Quando um ex-funcionário sai da sua organização, o site do OneDrive for Business é automaticamente bloqueado e o acesso é restrito. Durante uma resposta a incidentes, a equipe de segurança de TI pode ver um erro de acesso negado ao tentar abrir os arquivos do OneDrive do ex-funcionário. Isso ocorre porque a política de retenção e o bloqueio do site impedem o acesso direto por meio da conta do usuário. Este artigo explica a causa raiz do erro de acesso negado e fornece métodos passo a passo para recuperar o acesso para análise forense ou eDiscovery.
Principais Conclusões: Recuperar Acesso ao OneDrive de Ex-Funcionário para Resposta a Incidentes
- Centro de administração do Microsoft 365 > Gerenciamento de usuários > Usuários ativos: Use para localizar a conta do ex-funcionário e verificar o status de licenciamento antes de tentar o acesso.
- Centro de administração do SharePoint > Políticas de acesso > Gerenciar acesso ao site: Conceda a você ou à sua equipe de resposta a incidentes direitos de administrador de conjunto de sites diretamente no OneDrive do ex-funcionário.
- Portal de conformidade do Microsoft Purview > eDiscovery (Standard): Adicione o ex-funcionário como fonte de dados e coloque em espera ou pesquise o OneDrive dele sem precisar de acesso direto ao usuário.
Por que o Acesso Negado Ocorre no OneDrive de um Ex-Funcionário
Quando um funcionário é desligado ou sai da organização, o administrador do locatário do Microsoft 365 normalmente remove a licença do usuário e exclui ou desabilita a conta. O OneDrive for Business está vinculado à identidade do Azure AD do usuário. Assim que a conta do usuário é desabilitada ou a licença é removida, o site do OneDrive entra em estado bloqueado. A URL do site permanece, mas as permissões do usuário são revogadas. Qualquer tentativa de acessar o site usando as credenciais do ex-funcionário ou por meio de um link direto resulta em uma mensagem de acesso negado.
A Microsoft aplica automaticamente uma política de retenção aos sites do OneDrive excluídos. Por padrão, o OneDrive de um usuário excluído é retido por 30 dias após a exclusão da conta. Durante esse período, o site existe, mas está inacessível para o usuário original e para qualquer pessoa que não tenha direitos explícitos de administrador do conjunto de sites. O erro de acesso negado é o comportamento correto imposto pelo modelo de permissão do SharePoint e pela política de ciclo de vida do usuário. As equipes de resposta a incidentes devem usar métodos alternativos, não as credenciais do usuário original, para acessar os dados.
Passos para Recuperar o Acesso ao OneDrive de um Ex-Funcionário para Resposta a Incidentes
Use um dos métodos a seguir, dependendo da sua função e das ferramentas disponíveis. Todos os métodos exigem privilégios de administrador do SharePoint ou administrador global no Microsoft 365.
Método 1: Conceder a Si Mesmo Acesso de Administrador do Conjunto de Sites pelo Centro de Administração do SharePoint
- Encontre a URL do OneDrive do ex-funcionário
Entre no centro de administração do Microsoft 365 em admin.microsoft.com. Vá para Gerenciamento de usuários > Usuários ativos. Localize a conta do ex-funcionário. Se a conta foi excluída, use a guia Usuários excluídos. Copie o nome principal do usuário (UPN), por exemplo, usuario@contoso.com. A URL do OneDrive é https://contoso-my.sharepoint.com/personal/usuario_contoso_com. - Abra o centro de administração do SharePoint
No centro de administração, vá para Centros de administração > SharePoint. No menu esquerdo do centro de administração do SharePoint, selecione Políticas de acesso e depois Gerenciar acesso ao site. - Adicione-se como administrador do conjunto de sites
No painel Gerenciar acesso ao site, insira a URL do OneDrive do ex-funcionário. Selecione Adicionar um administrador do conjunto de sites. Digite seu próprio UPN ou o UPN de um membro da equipe de resposta a incidentes. Clique em Salvar. Aguarde até 15 minutos para a permissão ser propagada. - Acesse o site do OneDrive
Abra uma nova janela do navegador e navegue até a URL do OneDrive do ex-funcionário. Agora você deve ver o conteúdo do site sem o erro de acesso negado. Use a biblioteca Documentos para navegar, baixar ou exportar arquivos.
Método 2: Usar eDiscovery (Standard) no Microsoft Purview
- Abra o portal de conformidade do Microsoft Purview
Vá para compliance.microsoft.com e entre com uma função de administrador global ou gerente de eDiscovery. Na navegação à esquerda, selecione eDiscovery > Standard. - Crie um novo caso de eDiscovery
Clique em Criar um caso. Dê ao caso um nome como “Resposta a Incidentes – OneDrive de Ex-Funcionário”. Adicione uma descrição e clique em Salvar. - Adicione o ex-funcionário como fonte de dados
Abra o caso que você acabou de criar. Selecione a guia Fontes e clique em Adicionar fonte > Adicionar fontes de dados. Escolha Exchange e OneDrive. Digite o UPN do ex-funcionário. Clique em Adicionar e depois em Concluído. - Coloque em espera ou pesquise
Selecione a guia Esperas e clique em Criar espera para preservar os dados. Como alternativa, selecione a guia Pesquisas e clique em Nova pesquisa. Configure critérios de pesquisa, como palavras-chave, intervalos de datas ou tipos de arquivo. Execute a pesquisa. Revise os resultados na guia Resultados. Exporte os arquivos conforme necessário.
Método 3: Restaurar o OneDrive do Ex-Funcionário via PowerShell
- Instale e conecte-se ao SharePoint Online Management Shell
Abra o Windows PowerShell como administrador. ExecuteInstall-Module -Name Microsoft.Online.SharePoint.PowerShell. Em seguida, executeConnect-SPOService -Url https://contoso-admin.sharepoint.come entre com uma conta de administrador global. - Restaure o site do OneDrive excluído
Execute o comandoRestore-SPODeletedSite -Identity https://contoso-my.sharepoint.com/personal/usuario_contoso_com. Substitua a URL pela URL do OneDrive do ex-funcionário. Este comando restaura o site e o torna acessível aos administradores do conjunto de sites. - Conceda a si mesmo direitos de administrador
ExecuteSet-SPOUser -Site https://contoso-my.sharepoint.com/personal/usuario_contoso_com -LoginName admin@contoso.com -IsSiteCollectionAdmin $true. Substitua a URL e o nome de login pelos seus. - Acesse o site restaurado
Navegue até a URL do OneDrive em um navegador. Agora você tem acesso total ao conteúdo para resposta a incidentes.
Se o Acesso Negado Ainda Aparecer Após a Correção Principal
URL do OneDrive retorna 404 ou Site Não Encontrado
Se a URL do OneDrive do ex-funcionário retornar um erro 404 em vez de acesso negado, o site pode ter sido excluído permanentemente ou o período de retenção de 30 dias expirou. Verifique a lista de Usuários excluídos no centro de administração do Microsoft 365. Se o usuário não estiver mais listado, o site não pode ser restaurado. Use o eDiscovery apenas se os dados foram preservados por meio de uma política de retenção ou espera legal antes da exclusão.
Você não consegue se adicionar como administrador do conjunto de sites
Se o painel Gerenciar acesso ao site no centro de administração do SharePoint não mostrar a opção de adicionar um administrador do conjunto de sites, você pode não ter privilégios de administrador do SharePoint. Solicite a um administrador global que atribua a função de administrador do SharePoint a você. Como alternativa, o site pode estar em um estado bloqueado somente leitura. Use o eDiscovery como alternativa, pois ele não requer direitos de administrador direto do site.
Pesquisa de eDiscovery não retorna resultados
Se uma pesquisa de eDiscovery retornar zero resultados, o OneDrive do ex-funcionário pode não ter sido indexado. Isso geralmente acontece se o usuário foi excluído nas últimas 24 horas. Aguarde 24 horas e execute a pesquisa novamente. Verifique também se a fonte de dados foi adicionada corretamente e se o UPN do usuário foi digitado exatamente como aparece no Azure AD.
Acesso Direto de Administrador vs eDiscovery: Principais Diferenças para Resposta a Incidentes
| Item | Acesso Direto de Administrador via Centro de Administração do SharePoint | eDiscovery (Standard) no Microsoft Purview |
|---|---|---|
| Função necessária | Administrador do SharePoint ou administrador global | Gerente de eDiscovery ou administrador global |
| Permissão concedida | Administrador do conjunto de sites no site do OneDrive | Acesso somente leitura para pesquisar e exportar dados |
| Visibilidade dos dados | Acesso total a todos os arquivos e pastas do site | Apenas arquivos que correspondem aos critérios de pesquisa |
| Impacto na retenção | Não coloca em espera; os dados podem ser modificados | Pode colocar em espera para preservar os dados |
| Caso de uso | Acesso total imediato para coleta forense | Pesquisa direcionada com preservação legal |
| Tempo para conceder acesso | Até 15 minutos para propagação de permissão | Imediato após a criação do caso |
Ambos os métodos são válidos para resposta a incidentes. Use o acesso direto de administrador quando precisar de todo o inventário de arquivos. Use o eDiscovery quando precisar pesquisar palavras-chave ou datas específicas e preservar os dados como evidência.
Após concluir a resposta a incidentes, revogue quaisquer direitos temporários de administrador do conjunto de sites que você concedeu. Vá para Centro de administração do SharePoint > Políticas de acesso > Gerenciar acesso ao site, insira a URL do OneDrive e remova-se da lista de administradores do conjunto de sites. Isso evita acesso não autorizado futuro e mantém a conformidade com as políticas de governança de dados.