Quando ocorre uma transferência de departamento e o OneDrive de um ex-funcionário apresenta acesso negado, a causa raiz geralmente é uma incompatibilidade entre o estado da conta do usuário e a herança de permissões do site do OneDrive. Os sites do OneDrive for Business são provisionados automaticamente com permissões exclusivas vinculadas à conta do proprietário original. Se a conta for desabilitada, excluída ou movida para uma unidade organizacional diferente sem a reatribuição adequada de permissões, todo o acesso delegado é interrompido. Este artigo explica exatamente por que o erro de acesso negado aparece durante transferências de departamento e fornece um checklist passo a passo para restaurar o acesso sem perda de dados.
Principais conclusões: Restaurando o acesso ao OneDrive de um ex-funcionário após uma transferência de departamento
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > selecionar usuário > guia OneDrive: Defina diretamente o proprietário secundário do site ou conceda acesso de administrador do conjunto de sites.
- Centro de administração do SharePoint > Sites > Sites ativos > selecionar URL do OneDrive > Permissões: Adicione o novo gerente ou administrador de TI como administrador do conjunto de sites.
- Cmdlet do PowerShell Set-SPOUser -Site: Atribua em massa direitos de administrador do conjunto de sites a vários sites do OneDrive para funcionários transferidos.
Por que uma transferência de departamento causa acesso negado no OneDrive de um ex-funcionário
Cada site do OneDrive for Business é um conjunto de sites especial do SharePoint com permissões exclusivas. Por padrão, apenas o proprietário original tem controle total. Quando um funcionário é transferido para um departamento diferente, a equipe de TI geralmente desabilita a conta antiga ou a move para um grupo de segurança bloqueado. Essa ação remove a capacidade do proprietário de conceder acesso por meio da interface de compartilhamento do OneDrive. Se o novo gerente ou administrador do departamento tentar abrir o site, o SharePoint retorna um erro de acesso negado porque o token do usuário não tem permissão explícita para o conjunto de sites.
O erro de acesso negado não é um sinal de corrupção de dados. É um problema de herança de permissões. Os sites do OneDrive não herdam permissões do locatário pai do SharePoint. Cada site tem seu próprio conjunto de permissões. Quando a conta do proprietário original é desabilitada ou excluída, qualquer acesso delegado (compartilhado com usuários específicos) permanece, mas ninguém tem direitos administrativos para alterar permissões. O novo gerente vê acesso negado porque nunca foi adicionado como administrador do conjunto de sites ou proprietário secundário.
Outra causa comum é o site do OneDrive estar em retenção legal ou política de retenção que bloqueia alterações de permissão. Nesse cenário, mesmo administradores globais não podem modificar permissões até que a retenção seja removida. Este artigo foca no cenário padrão de transferência de departamento, onde a conta está desabilitada, mas o site ainda está ativo.
Checklist para restaurar o acesso ao OneDrive de um funcionário transferido
Siga as etapas abaixo na ordem. Não pule a etapa um, a menos que tenha certeza de que a conta do proprietário original foi excluída permanentemente.
- Verifique o estado da conta do proprietário original no centro de administração do Microsoft 365
Vá para Centro de administração do Microsoft 365 > Usuários > Usuários ativos. Pesquise pelo ex-funcionário. Se a conta estiver listada como Desabilitada ou Bloqueada, reabilite-a temporariamente. Esta etapa é necessária para reatribuir permissões por meio da interface do OneDrive. Se a conta foi excluída, pule para a etapa 3. - Adicione o novo gerente como administrador do conjunto de sites por meio da guia OneDrive
Nas propriedades do mesmo usuário, selecione a guia OneDrive. Em Acesso, clique em Criar link para arquivos ou Gerenciar acesso. Adicione o endereço de e-mail do novo gerente e atribua permissões de Pode editar. Alternativamente, clique em Adicionar administrador do conjunto de sites e insira o e-mail do novo gerente. Isso concede controle administrativo total. - Use o centro de administração do SharePoint se a conta foi excluída
Vá para Centro de administração do SharePoint > Sites > Sites ativos. Localize o site do OneDrive pelo padrão de URL:https://[tenant]-my.sharepoint.com/personal/[user_upn]. Selecione o site e clique em Permissões. Em Administradores do conjunto de sites, clique em Adicionar administrador do conjunto de sites. Insira o e-mail do novo gerente e salve. - Conceda administrador do conjunto de sites via PowerShell para transferências em massa
Abra o SharePoint Online Management Shell como administrador. ExecuteConnect-SPOService -Url https://[tenant]-admin.sharepoint.com. Em seguida, executeSet-SPOUser -Site https://[tenant]-my.sharepoint.com/personal/[user_upn] -LoginName [new_manager_email] -IsSiteCollectionAdmin $true. Substitua os valores entre colchetes pelo locatário real, UPN do usuário e e-mail do gerente. Este método funciona mesmo se a conta do proprietário original foi excluída, desde que o site exista. - Verifique se o novo gerente consegue acessar o OneDrive
Peça ao novo gerente para navegar diretamente para a URL do OneDrive. Ele deve ver a lista de arquivos sem erro de acesso negado. Se o erro persistir, verifique a herança de permissões do site. Vá para Centro de administração do SharePoint > Sites > Sites ativos, selecione o site do OneDrive, clique em Permissões e certifique-se de que Permissões exclusivas esteja selecionado. Se mostrar Herdado, altere para Permissões exclusivas e adicione o gerente novamente.
Se o OneDrive ainda mostrar acesso negado após a correção principal
O site do OneDrive está em retenção legal ou política de retenção
Se o site estiver sob uma política de retenção do Microsoft 365 ou retenção legal, as alterações de permissão são bloqueadas. Para verificar, vá para Portal de conformidade do Microsoft Purview > Gerenciamento do ciclo de vida dos dados > Políticas de retenção. Verifique se alguma política se aplica ao OneDrive do ex-funcionário. Se uma retenção estiver ativa, remova a retenção ou exclua o site da política antes de reatribuir permissões. Observe que remover uma retenção pode afetar os requisitos de conformidade.
A conta do novo gerente não tem licença do SharePoint Online
Um usuário deve ter uma licença do SharePoint Online atribuída para acessar qualquer site do OneDrive. No Centro de administração do Microsoft 365, vá para Usuários > Usuários ativos, selecione o novo gerente e verifique a guia Licenças e aplicativos. Certifique-se de que SharePoint Online (Plano 2) ou SharePoint Online (Plano 1) esteja habilitado. Se não estiver, atribua a licença e aguarde 15 minutos antes de tentar o acesso novamente.
O site do OneDrive foi excluído e está na lixeira
Quando uma conta de usuário é excluída, o site do OneDrive é movido para a lixeira do centro de administração do SharePoint após 30 dias. Vá para Centro de administração do SharePoint > Sites > Sites excluídos. Pesquise pela URL do OneDrive. Se aparecer, selecione-o e clique em Restaurar. Após a restauração, siga a etapa 3 ou 4 do checklist acima para conceder acesso. Sites na lixeira não podem ter permissões modificadas.
Métodos de atribuição de permissão do OneDrive: comparação de abordagens de recuperação de acesso
| Item | Guia OneDrive do Centro de Administração do Microsoft 365 | Permissões do Site no Centro de Administração do SharePoint | PowerShell Set-SPOUser |
|---|---|---|---|
| Melhor para | Usuário único, conta ainda ativa | Usuário único, conta excluída ou desabilitada | Operações em massa, vários sites |
| Nível de permissão atribuído | Pode editar ou administrador do conjunto de sites | Administrador do conjunto de sites | Administrador do conjunto de sites |
| Requer conta do proprietário original ativa | Sim | Não | Não |
| Etapas para concluir | 3 cliques após localizar o usuário | 4 cliques após localizar o site | 2 comandos do PowerShell |
Após concluir o checklist, o novo gerente terá acesso total aos arquivos do OneDrive do ex-funcionário. Em seguida, considere mover os arquivos para o próprio OneDrive do novo gerente ou para um site de equipe compartilhado para evitar problemas futuros de permissão. Uma dica avançada: use a Ferramenta de Migração do SharePoint para transferir todo o conteúdo do OneDrive para uma biblioteca de documentos do SharePoint no conjunto de sites do novo departamento, centralizando as permissões sob a estrutura da nova equipe.