OneDrive for Business: Acesso de ex-funcionário vai para o aprovador errado após transferência de departamento – Guia de correção
🔍 WiseChecker

OneDrive for Business: Acesso de ex-funcionário vai para o aprovador errado após transferência de departamento – Guia de correção

Por

Quando ocorre uma transferência de departamento na sua organização, a solicitação de acesso ao OneDrive do ex-funcionário pode ser encaminhada ao aprovador errado. Isso acontece porque o OneDrive for Business usa o atributo de gerente do usuário no Microsoft Entra ID para determinar a cadeia de aprovação. O fluxo de aprovação padrão não é atualizado automaticamente quando um usuário muda de departamento, fazendo com que as solicitações de acesso sejam enviadas ao antigo gerente em vez do novo. Este guia explica a causa raiz, fornece correções passo a passo usando o centro de administração do Microsoft 365 e o PowerShell, e aborda padrões de falha relacionados.

Principais conclusões: Corrigindo o aprovador errado para acesso ao OneDrive de ex-funcionário

  • Centro de administração do Microsoft 365 > Usuários > Usuários ativos: Atualize o campo Gerente para o usuário transferido a fim de direcionar as solicitações de aprovação para a pessoa correta.
  • Cmdlet do PowerShell Set-AzureADUserManager: Atualize em massa os atributos de gerente para vários usuários transferidos de uma só vez quando o centro de administração for impraticável.
  • Centro de administração do Microsoft Entra > Usuários > Configurações de usuário: Ative a opção “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” para forçar o roteamento correto da aprovação.

ADVERTISEMENT

Por que a aprovação de acesso ao OneDrive vai para a pessoa errada após uma transferência de departamento

O OneDrive for Business depende do atributo Gerente armazenado no Microsoft Entra ID para determinar quem deve aprovar o acesso aos arquivos de um ex-funcionário. Quando um usuário muda para um novo departamento, o atributo Gerente não é atualizado automaticamente. O fluxo de trabalho de aprovação continua enviando solicitações ao antigo gerente, mesmo que o usuário agora se reporte a outra pessoa.

A causa raiz é um desalinhamento entre o sistema de RH (ou processo de atualização manual) e o mecanismo de aprovação do OneDrive. Se o campo Gerente no Microsoft Entra ID não for atualizado durante ou imediatamente após a transferência, a cadeia de aprovação permanece quebrada. Isso afeta não apenas o acesso ao OneDrive, mas também outros serviços do Microsoft 365 que usam o mesmo atributo para delegação, como administração de conjunto de sites do SharePoint e moderação de canais do Teams.

O papel do atributo Gerente na aprovação do OneDrive

O atributo Gerente é uma propriedade de valor único em cada objeto de usuário. O OneDrive for Business o utiliza para determinar o “parente mais próximo” para solicitações de acesso. Quando um usuário é marcado como ex-funcionário, o sistema envia automaticamente um e-mail para o gerente listado, pedindo que aprove ou negue o acesso. Se o campo Gerente apontar para a pessoa errada, a solicitação de aprovação vai para a caixa de correio errada.

O fluxo de trabalho de aprovação também depende da configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” no centro de administração do Microsoft Entra. Se essa configuração estiver desabilitada, qualquer usuário pode solicitar acesso, mas o caminho de aprovação padrão ainda usa o atributo Gerente. Habilitar a configuração força o sistema a usar exclusivamente o campo Gerente, tornando essencial que o campo esteja correto.

Passos para corrigir o atributo Gerente e ajustar o roteamento de aprovação do OneDrive

Você tem dois métodos para corrigir o problema do aprovador errado. Use o centro de administração do Microsoft 365 para alterações em um único usuário. Use o PowerShell para atualizações em massa em vários usuários transferidos.

Método 1: Atualizar o campo Gerente no centro de administração do Microsoft 365

  1. Entre no centro de administração do Microsoft 365
    Acesse admin.microsoft.com e faça login com uma conta que tenha a função de Administrador Global ou Administrador de Usuários.
  2. Navegue até Usuários ativos
    No painel de navegação esquerdo, selecione Usuários e depois Usuários ativos.
  3. Localize o usuário transferido
    Use a caixa de pesquisa para encontrar o usuário que mudou de departamento. Clique no nome de exibição do usuário para abrir o perfil.
  4. Abra a guia Gerente
    No painel de perfil do usuário, selecione a guia Gerente. Essa guia mostra o gerente atualmente atribuído.
  5. Clique em Alterar gerente
    Clique no botão Alterar gerente. Uma caixa de diálogo de pesquisa aparece.
  6. Selecione o novo gerente correto
    Digite o nome do novo gerente do usuário no campo de pesquisa. Selecione a pessoa correta nos resultados. Clique em Salvar.
  7. Verifique a alteração
    Volte à guia Gerente e confirme se o nome do novo gerente aparece. O fluxo de trabalho de aprovação do OneDrive agora direcionará as solicitações para essa pessoa.

Método 2: Usar o PowerShell para atualizar o atributo Gerente em massa

  1. Instale o módulo do PowerShell do Microsoft Graph
    Abra o Windows PowerShell como administrador. Execute Install-Module Microsoft.Graph -Scope CurrentUser e pressione Enter. Aceite os prompts de instalação.
  2. Conecte-se ao Microsoft Graph
    Execute Connect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All". Faça login com uma conta de Administrador Global.
  3. Prepare um arquivo CSV com o mapeamento de usuário e gerente
    Crie um arquivo CSV com as colunas UserPrincipalName e ManagerUserPrincipalName. Cada linha mapeia um usuário transferido para seu novo gerente. Salve o arquivo como C:\Temp\ManagerUpdates.csv.
  4. Execute o script de atualização em massa
    Execute o seguinte script no PowerShell: 
    $updates = Import-Csv -Path "C:\Temp\ManagerUpdates.csv"
foreach ($update in $updates) {
    $user = Get-MgUser -Filter "userPrincipalName eq '$($update.UserPrincipalName)'"
    $manager = Get-MgUser -Filter "userPrincipalName eq '$($update.ManagerUserPrincipalName)'"
    if ($user -and $manager) {
        Update-MgUser -UserId $user.Id -ManagerId $manager.Id
        Write-Host "Gerente atualizado para $($update.UserPrincipalName)"
    }
}
  5. Verifique as alterações
    Execute Get-MgUser -UserId "user@domain.com" -Property Manager | Select-Object -ExpandProperty Manager para confirmar se o gerente correto está definido para cada usuário.

ADVERTISEMENT

Se o OneDrive ainda direcionar para o aprovador errado após atualizar o Gerente

A configuração de aprovação de acesso ao OneDrive não está habilitada

Mesmo com o atributo Gerente correto, o fluxo de trabalho de aprovação não o usará se a configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” estiver desativada. Para habilitá-la, vá ao centro de administração do Microsoft Entra em entra.microsoft.com. Navegue até Identidade > Usuários > Configurações de usuário. Em “Configurações do OneDrive for Business”, defina Restringir acesso ao OneDrive de ex-funcionário ao gerente dele como Sim. Clique em Salvar.

A alteração do atributo Gerente não foi replicada para o OneDrive

As alterações no Microsoft Entra ID podem levar até 24 horas para se propagar para o serviço de aprovação do OneDrive. Se você atualizou o campo Gerente recentemente, aguarde um dia útil completo e teste novamente. Para forçar uma sincronização mais rápida, execute o seguinte comando do PowerShell: Start-MgDirectoryObjectDirectoryObject -DirectoryObjectId "id-do-usuario". Substitua id-do-usuario pela ID de objeto do usuário transferido.

O status de ex-funcionário não foi aplicado corretamente

Se o usuário não estiver marcado como ex-funcionário no Microsoft Entra ID, o fluxo de trabalho de aprovação do OneDrive não será acionado. Para marcar um usuário como ex-funcionário, vá ao centro de administração do Microsoft 365, selecione o usuário e clique em Bloquear entrada. Em seguida, remova todas as licenças. A política de retenção do OneDrive será aplicada e o fluxo de aprovação será ativado usando o atributo Gerente.

Métodos de atualização do atributo Gerente: Centro de administração vs PowerShell

Item Centro de Administração do Microsoft 365 PowerShell (Microsoft Graph)
Melhor para Usuário único ou poucos usuários Atualizações em massa de 10 ou mais usuários
Tempo para concluir 2-3 minutos por usuário 5-10 minutos para 100 usuários
Permissões necessárias Administrador de Usuários ou Administrador Global User.ReadWrite.All e Directory.ReadWrite.All
Risco de erro Baixo devido à confirmação visual Médio se o mapeamento CSV estiver incorreto
Velocidade de replicação Até 24 horas Até 24 horas

Agora você pode corrigir o atributo Gerente para qualquer usuário transferido usando o centro de administração ou o PowerShell. Após atualizar o atributo, habilite a configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” no centro de administração do Microsoft Entra para forçar o roteamento correto da aprovação. Como dica avançada, automatize a atualização do atributo Gerente integrando seu sistema de RH ao Microsoft Entra ID usando uma ferramenta de provisionamento como o Microsoft Identity Manager ou uma solução de sincronização de terceiros para evitar futuros desvios de roteamento.

ADVERTISEMENT

← Voltar ao InícioMais em OneDrive for Business

🔍 Recomendado para Você