Quando um ex-funcionário sai da organização, a conta do OneDrive for Business é convertida em um conjunto de sites e a licença é removida. Durante uma revisão de acesso, os revisores geralmente veem uma mensagem de “acesso negado” ao tentar abrir o OneDrive desse ex-funcionário. Isso acontece porque a ferramenta de revisão de acesso tenta acessar o OneDrive usando as permissões do revisor, mas o conjunto de sites pode ter permissões exclusivas ou o revisor não tem acesso direto. Este artigo explica por que o erro de acesso negado ocorre e fornece uma correção passo a passo para conceder ao revisor as permissões necessárias para concluir a revisão.
Principais Conclusões: Corrigir Acesso Negado ao OneDrive de Ex-Funcionário em Revisões de Acesso
- Centro de administração do Microsoft 365 > Centro de administração do SharePoint > Conjuntos de sites: Localize o conjunto de sites do OneDrive do ex-funcionário e verifique suas configurações de permissão.
- Adicione o revisor como administrador do conjunto de sites: O revisor deve ser adicionado explicitamente ao conjunto de sites para contornar o erro de acesso negado.
- Comando PowerShell Set-SPOSite -Identity -SiteCollectionAdmin: Use este cmdlet para adicionar revisores em massa a vários sites do OneDrive de ex-funcionários de uma só vez.
Por que as Revisões de Acesso Mostram Acesso Negado para o OneDrive de Ex-Funcionário
Quando um funcionário sai da organização, o site do OneDrive é convertido em um conjunto de sites e a conta do usuário é desabilitada ou excluída. A ferramenta de revisão de acesso no Microsoft 365, como o Azure AD Access Reviews, tenta acessar o site do OneDrive para verificar quem ainda tem acesso. No entanto, o revisor que realiza a revisão não tem permissão automática para visualizar esse conjunto de sites. O conjunto de sites pode ter permissões exclusivas definidas quando o funcionário estava ativo, ou o conjunto de sites pode estar bloqueado após a conta ser desabilitada. Além disso, a própria ferramenta de revisão de acesso usa a identidade do revisor para navegar no site; portanto, se o revisor não for um administrador do conjunto de sites ou membro do grupo de visitantes do site, a ferramenta retorna um erro de acesso negado.
O erro não é um sinal de que a revisão está quebrada. É uma barreira de permissão. O revisor precisa receber pelo menos acesso de leitura ao conjunto de sites para concluir a revisão. Esta é uma medida de segurança deliberada da Microsoft para impedir o acesso não autorizado a dados que podem conter informações confidenciais sobre o trabalho do ex-funcionário.
Passos para Conceder Acesso do Revisor aos Sites do OneDrive de Ex-Funcionários
Siga estas etapas para resolver o erro de acesso negado nas revisões de acesso. Você precisa de permissões de administrador do SharePoint ou administrador global para realizar essas ações.
- Identifique a URL do conjunto de sites do OneDrive do ex-funcionário
Acesse o centro de administração do Microsoft 365 em admin.microsoft.com. Selecione Usuários > Usuários ativos. Encontre a conta do ex-funcionário. Se a conta foi excluída, use a guia Usuários excluídos. Na coluna OneDrive, clique no link que diz Criar link para arquivos ou Abrir OneDrive. A URL será semelhante ahttps://yourtenant-my.sharepoint.com/personal/username_domain_com. - Abra o centro de administração do SharePoint
No centro de administração, vá para Centros de administração > SharePoint. Na navegação à esquerda, selecione Conjuntos de sites (ou Sites ativos se estiver usando o novo centro de administração). - Localize o site do OneDrive do ex-funcionário
Pesquise pela URL do site que você copiou na etapa 1. Clique no nome do site para abrir suas propriedades. - Adicione o revisor como administrador do conjunto de sites
No painel de propriedades do site, role até Administradores do conjunto de sites. Clique em Editar. Digite o endereço de e-mail do revisor que precisa concluir a revisão de acesso. Clique em Salvar. Isso concede ao revisor acesso administrativo total ao site, o que é suficiente para a ferramenta de revisão de acesso ler as permissões. - Confirme que a revisão de acesso pode prosseguir
Peça ao revisor para voltar à revisão de acesso no portal de administração do Azure AD. Agora ele deve conseguir ver o OneDrive do ex-funcionário e concluir a revisão sem erro de acesso negado.
Usando PowerShell para Adicionar Vários Revisores a Vários Sites
Se você tiver muitos ex-funcionários e precisar adicionar o mesmo revisor a todos os sites do OneDrive, use o PowerShell. Primeiro, instale o SharePoint Online Management Shell. Em seguida, execute os seguintes comandos:
- Conecte-se ao SharePoint Online
Connect-SPOService -Url https://yourtenant-admin.sharepoint.com - Obtenha uma lista de todos os sites do OneDrive
Get-SPOSite -Template "SPSPERS#10" | Select-Object Url
Isso lista todos os conjuntos de sites pessoais (sites do OneDrive). - Adicione o revisor a cada site
Get-SPOSite -Template "SPSPERS#10" | ForEach-Object { Set-SPOSite -Identity $_.Url -SiteCollectionAdmin "revisor@yourtenant.com" }
Substituarevisor@yourtenant.compelo e-mail do revisor.
Se as Revisões de Acesso Ainda Mostrarem Acesso Negado Após Adicionar o Revisor
O revisor ainda vê acesso negado para um arquivo ou pasta específica
A permissão de administrador do conjunto de sites concede acesso a todo o site. Se o revisor vir acesso negado em um item específico, significa que esse item tem permissões exclusivas que bloqueiam até mesmo administradores do conjunto de sites. Isso é raro, pois administradores do conjunto de sites normalmente ignoram todas as configurações de permissão. Verifique se o item está em um sub-site com herança quebrada. Nesse caso, adicione o revisor diretamente a esse sub-site como administrador.
A revisão de acesso está tentando acessar o OneDrive de um usuário excluído que não existe mais
Quando um usuário é excluído e seu OneDrive não é retido, o conjunto de sites é removido após 93 dias. Se a revisão de acesso estiver referenciando um site que não existe mais, a revisão sempre mostrará um erro. Você deve remover esse usuário do escopo da revisão de acesso. Vá para Azure AD > Identity Governance > Access Reviews, edite a revisão e exclua a conta do usuário excluído.
O revisor está em um locatário diferente ou é um convidado externo
Revisores externos não podem acessar conjuntos de sites internos do OneDrive, a menos que sejam adicionados como usuários externos no SharePoint. Para revisões de acesso, é melhor usar revisores internos. Se você precisar usar um revisor externo, adicione-o como usuário externo no conjunto de sites do SharePoint e atribua o nível de permissão apropriado.
Administrador do Conjunto de Sites vs. Níveis de Permissão para Revisão de Acesso
| Item | Administrador do Conjunto de Sites | Permissão Necessária para Revisão de Acesso |
|---|---|---|
| Descrição | Controle total sobre todo o conjunto de sites, incluindo permissões, conteúdo e configurações | Acesso de leitura ao conjunto de sites para enumerar usuários e suas permissões |
| Nível de permissão | Controle Total | Leitura ou superior |
| Efeito na revisão de acesso | O revisor pode ver todos os usuários e suas permissões | O revisor pode ver usuários e permissões, mas não pode modificar o site |
| Facilidade de configuração | Simples via centro de administração do SharePoint ou PowerShell | Requer adicionar o revisor ao grupo Visitantes ou a um nível de permissão personalizado |
| Risco de segurança | Alto — o revisor obtém controle total do site | Baixo — o revisor obtém apenas acesso de leitura |
Para revisões de acesso, adicionar o revisor como administrador do conjunto de sites é a correção mais rápida. No entanto, se você quiser limitar o acesso do revisor somente leitura, adicione-o ao grupo Visitantes do conjunto de sites. Para fazer isso, vá para permissões do site, clique em Conceder permissões, digite o e-mail do revisor e selecione o nível de permissão Leitura. Isso ainda permite que a ferramenta de revisão de acesso funcione, pois ela só precisa ler as configurações de permissão.
Após concluir a revisão de acesso, você deve remover as permissões do revisor para manter a segurança. Use o centro de administração do SharePoint ou o PowerShell para remover o revisor da lista de administradores do conjunto de sites ou do grupo Visitantes.