Quando um ex-funcionário sai da organização, o RH precisa acessar os arquivos do OneDrive desse usuário para transferência ou retenção de registros. Mas em muitos locatários do Microsoft 365, a solicitação de acesso ou a ação de transferência de dados é direcionada para a pessoa errada — geralmente o gerente do ex-funcionário ou um administrador global aleatório, em vez do aprovador designado do RH. Isso acontece porque o gerenciamento de acesso ao OneDrive depende do atributo de gerente no Microsoft Entra ID e da política de compartilhamento padrão do site. Este artigo explica por que o aprovador está errado e como reconfigurar o locatário para que o RH receba a solicitação de acesso.
Principais Conclusões: Redirecionando o Acesso ao OneDrive de Ex-Funcionário para o RH
- Centro de administração do Microsoft Entra > Usuários > Campo Gerente: O atributo de gerente controla o aprovador padrão da solicitação de acesso ao OneDrive de um ex-funcionário. Se o gerente estiver errado, a solicitação vai para a pessoa errada.
- Centro de administração do SharePoint > Política de acesso do OneDrive: A configuração “Notificar pessoas que podem solicitar acesso” determina quem recebe o e-mail. Substitua esta configuração para enviar solicitações para uma caixa de correio compartilhada do RH ou grupo de segurança.
- Power Automate ou Graph API: Use automação para reatribuir o atributo de gerente ou acionar um fluxo de aprovação personalizado quando um usuário for excluído ou desabilitado, garantindo que o RH seja sempre o aprovador.
Por que a Solicitação de Acesso ao OneDrive do Ex-Funcionário Vai para o Aprovador Errado
Quando um usuário é excluído do Microsoft Entra ID, o site do OneDrive dele é retido por 30 dias por padrão (ou até 3.650 dias se você configurar a retenção). Durante esse período, qualquer pessoa que tentar acessar o OneDrive do ex-funcionário verá uma página de solicitação de acesso. O e-mail de solicitação é enviado para a pessoa listada no campo Gerente do perfil do usuário excluído no Microsoft Entra ID. Se o campo de gerente estiver vazio, desatualizado ou apontar para uma pessoa fora da equipe de RH, a solicitação vai para o aprovador errado. Além disso, se o gerente tiver saído da organização ou não tiver mais permissões, a solicitação pode nunca ser aprovada. O comportamento padrão assume que o gerente é a pessoa certa para aprovar a transferência de dados, mas em muitas organizações, o RH lida com esse processo.
O Papel do Atributo de Gerente no Microsoft Entra ID
O atributo Gerente do Microsoft Entra ID é uma propriedade de usuário simples que armazena o nome distinto ou o nome principal de usuário do gerente do usuário. Este campo é usado por vários recursos do Microsoft 365, incluindo solicitações de acesso ao OneDrive, expiração de associação a equipes e portal MyApps. Quando um usuário é excluído, o sistema lê este atributo para determinar quem deve ser notificado sobre solicitações de acesso ao OneDrive do usuário. Se o campo de gerente não estiver definido, a solicitação vai para o administrador do SharePoint ou um administrador de coleção de sites. Se o gerente estiver definido, mas não estiver mais ativo, a entrega do e-mail falha silenciosamente.
Comportamento Padrão da Política de Compartilhamento do OneDrive
A política de compartilhamento do OneDrive no centro de administração do SharePoint inclui uma configuração chamada Notificar pessoas que podem solicitar acesso. Por padrão, ela é definida como o proprietário do site (o ex-funcionário) e o administrador da coleção de sites. Mas para usuários excluídos, o sistema recai para o gerente porque o proprietário do site não existe mais. A política não roteia automaticamente as solicitações para um grupo ou caixa de correio específica, a menos que você a configure. É por isso que a solicitação vai para a pessoa errada: o sistema usa uma lógica de fallback que a maioria das organizações não personaliza.
Etapas para Redirecionar Solicitações de Acesso ao OneDrive de Ex-Funcionário para o RH
Para garantir que o RH receba a solicitação de acesso, você deve atualizar o atributo de gerente do usuário que está saindo antes da exclusão ou configurar a política de acesso do OneDrive para enviar solicitações para uma caixa de correio compartilhada. As etapas a seguir cobrem ambos os métodos.
Método 1: Atualizar o Atributo de Gerente Antes da Exclusão do Usuário
- Entre no centro de administração do Microsoft Entra
Acesse https://entra.microsoft.com e faça login com uma conta de Administrador Global ou Administrador de Usuários. - Navegue até o perfil do usuário
Selecione Identidade > Usuários > Todos os usuários. Encontre o funcionário que está saindo e clique no nome de exibição dele. - Edite o campo Gerente
Na navegação à esquerda, selecione Propriedades. Na seção Informações do trabalho, clique em Editar. No campo Gerente, digite o nome do usuário de RH ou de uma caixa de correio compartilhada que cuidará da transferência. Clique em Salvar. - Exclua ou desabilite o usuário
Depois de salvar a alteração do gerente, volte para a lista de usuários. Selecione o usuário e clique em Excluir usuário ou Revogar sessões e Bloquear entrada conforme seu processo de desligamento. A solicitação de acesso ao OneDrive agora será enviada para o usuário de RH que você definiu como gerente.
Método 2: Configurar a Política de Acesso do OneDrive para Usar uma Caixa de Correio Compartilhada
- Entre no centro de administração do SharePoint
Acesse https://admin.microsoft.com/SharePoint e faça login com uma conta de Administrador do SharePoint ou Administrador Global. - Abra a política de acesso do OneDrive
Na navegação à esquerda, selecione Políticas > Compartilhamento. Role para baixo até a seção Solicitações de acesso do OneDrive. - Altere o destinatário da notificação
Em Notificar pessoas que podem solicitar acesso, limpe o valor padrão e insira o endereço de e-mail de uma caixa de correio compartilhada do RH (por exemplo, rh@contoso.com). Clique em Salvar. - Teste a configuração
Peça a um usuário que não tenha acesso ao OneDrive de um ex-funcionário que visite a URL do OneDrive. Ele deve ver um botão de solicitação de acesso. Depois que ele enviar a solicitação, verifique se a caixa de correio compartilhada do RH recebe o e-mail de notificação em alguns minutos.
Método 3: Usar o Power Automate para Automatizar a Atribuição de Gerente
- Crie um novo fluxo de nuvem automatizado
Acesse https://make.powerautomate.com e faça login. Clique em Criar > Fluxo de nuvem automatizado. - Defina o gatilho como “Quando um usuário é excluído do Microsoft Entra ID”
Pesquise pelo conector do Microsoft Entra ID e selecione o gatilho Quando um usuário é excluído do Microsoft Entra ID. Clique em Criar. - Adicione uma ação para atualizar o gerente
Clique em + Novo passo. Pesquise pelo conector do Microsoft Entra ID e selecione a ação Atualizar usuário. No campo ID do usuário, insira o nome principal de usuário do usuário excluído (disponível na saída do gatilho). No campo Gerente, insira o e-mail da caixa de correio compartilhada do RH. Clique em Salvar. - Teste o fluxo
Exclua um usuário de teste (ou use um gatilho simulado) para verificar se o atributo de gerente é atualizado antes do envio da solicitação de acesso ao OneDrive. Verifique se a caixa de correio do RH recebe o e-mail de solicitação.
Se a Solicitação de Acesso Ainda For para a Pessoa Errada
Campo de Gerente Estava Vazio no Momento da Exclusão
Se o campo de gerente estava vazio quando o usuário foi excluído, o sistema envia a solicitação de acesso para o administrador da coleção de sites, que geralmente é um administrador global. Para corrigir isso retroativamente, você deve restaurar o usuário excluído, atualizar o campo de gerente e excluir o usuário novamente. Para restaurar um usuário excluído, vá para o centro de administração do Microsoft Entra, selecione Identidade > Usuários > Usuários excluídos, selecione o usuário e clique em Restaurar usuário. Em seguida, siga o Método 1 acima.
A Conta de Usuário do Gerente Também Está Desabilitada ou Excluída
Se o gerente também tiver saído da organização, o e-mail de solicitação de acesso não será entregue. O sistema não recai para outro aprovador. Para evitar isso, sempre defina o gerente como uma caixa de correio ativa do RH ou um grupo de segurança que tenha um proprietário designado. Você também pode criar uma caixa de correio compartilhada especificamente para solicitações de acesso ao OneDrive e defini-la como gerente para todos os usuários que estão saindo.
O E-mail de Solicitação de Acesso Vai para Spam ou é Bloqueado
O e-mail de notificação é enviado de Microsoft SharePoint com o assunto “Solicitação de acesso para [nome do site]”. Se suas regras de segurança de e-mail bloquearem mensagens externas ou automatizadas, a caixa de correio do RH pode nunca ver a solicitação. Adicione o endereço de e-mail de notificação do SharePoint à lista de remetentes permitidos nas regras de fluxo de e-mail do Exchange Online. Você também pode verificar a pasta de Lixo Eletrônico da caixa de correio.
Atributo de Gerente vs Política de Acesso do SharePoint: Principais Diferenças
| Item | Atributo de Gerente (Microsoft Entra ID) | Política de Acesso do SharePoint (OneDrive) |
|---|---|---|
| Escopo | Todos os serviços do Microsoft 365 que usam o campo de gerente | Apenas sites do OneDrive |
| Local de configuração | Centro de administração do Microsoft Entra > Propriedades do usuário | Centro de administração do SharePoint > Políticas > Compartilhamento |
| Quando se aplica | Antes da exclusão do usuário ou via automação | No momento da solicitação de acesso |
| Pode ser um grupo ou caixa de correio compartilhada | Sim, se você inserir o endereço de e-mail de uma caixa de correio compartilhada | Sim, você pode inserir qualquer endereço de e-mail |
| Comportamento de fallback | Se vazio, recai para o administrador da coleção de sites | Se vazio, recai para o proprietário do site (usuário excluído), depois para o gerente |
O atributo de gerente é o controle principal para o aprovador da solicitação de acesso ao OneDrive. A política de acesso do SharePoint apenas substitui o destinatário da notificação para solicitações feitas após a exclusão do usuário. Para obter os resultados mais confiáveis, defina o campo de gerente como uma caixa de correio ativa do RH antes de excluir o usuário. Você também pode usar o Power Automate para automatizar esse processo e garantir que nenhum usuário que está saindo seja esquecido. A política de acesso do SharePoint fornece uma salvaguarda secundária se o campo de gerente não estiver definido no momento da exclusão. Use ambos os métodos juntos para garantir que o RH receba todas as solicitações de acesso.