Quando um novo perfil de usuário do Windows é iniciado pela primeira vez, o OneDrive pode fazer login com uma conta em cache em vez de solicitar as credenciais corporativas corretas. Isso acontece porque o OneDrive armazena uma credencial do Windows do usuário anterior e a reutiliza quando um novo perfil é criado no mesmo dispositivo. O resultado é que o novo usuário vê os arquivos de outra pessoa ou recebe um erro de sincronização porque a conta em cache não tem permissões. Este artigo fornece um checklist passo a passo para administradores forçarem o OneDrive a sempre solicitar credenciais em novos perfis e evitar contaminação entre contas.
Principais Conclusões: Impedir o OneDrive de Usar a Conta Errada em Novos Perfis
- Política de Grupo: Configuração do Computador > Modelos Administrativos > Componentes do Windows > OneDrive > Usar o OneDrive para login automático: Defina como Desabilitado para bloquear o login silencioso em novos perfis.
- Gerenciador de Credenciais do Windows: Credenciais do Windows > Credenciais Genéricas: Exclua a entrada de credencial em cache do OneDrive para forçar uma solicitação de login limpa na próxima inicialização.
- Central de administração do OneDrive: Sincronização > Permitir sincronização apenas em dispositivos ingressados em domínios específicos: Restrinja a sincronização a dispositivos ingressados no domínio para evitar reutilização de conta em máquinas compartilhadas ou não ingressadas.
Por que o OneDrive Usa a Conta Errada em Novos Perfis do Windows
O OneDrive for Business depende do Gerenciador de Credenciais do Windows para armazenar tokens de autenticação. Quando um usuário faz login no OneDrive em um dispositivo Windows, o token é salvo na seção Credenciais do Windows como uma entrada de credencial genérica chamada OneDrive Cached Credential. Esse token não expira automaticamente quando um novo perfil de usuário do Windows é criado na mesma máquina. Quando o novo perfil inicia o OneDrive — manualmente ou via programa de inicialização — o instalador lê a credencial em cache existente e tenta fazer login com ela. Se a credencial pertencer a uma conta diferente do Microsoft Entra ID, o OneDrive faz login com essa conta errada ou falha com um erro de sincronização porque o usuário em cache não tem licença ou permissões para o dispositivo.
O Papel do Gerenciador de Credenciais do Windows
O Windows armazena credenciais por máquina, não por perfil de usuário. Uma credencial em cache do OneDrive armazenada sob a conta SYSTEM ou no contexto da máquina local é acessível a qualquer usuário que iniciar o OneDrive naquele dispositivo. Esse comportamento é intencional para dispositivos de usuário único, mas causa problemas em estações de trabalho compartilhadas, Hosts de Sessão de Área de Trabalho Remota ou máquinas de laboratório onde vários usuários fazem login sequencialmente.
Comportamento de Inicialização do OneDrive em Novos Perfis
O OneDrive é configurado para iniciar automaticamente quando um usuário faz login no Windows. A entrada de inicialização é registrada por perfil em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Em um novo perfil, essa chave ainda não existe, mas a Configuração do OneDrive é executada durante o primeiro login se a configuração de Política de Grupo Executar a configuração do OneDrive no primeiro login não estiver desabilitada. A configuração verifica se há uma credencial em cache existente antes de exibir a janela de login. Se um token em cache for encontrado, o OneDrive pula a solicitação de login e usa esse token.
Checklist do Administrador para Forçar o OneDrive a Solicitar Credenciais em Novos Perfis
Use a seguinte sequência de etapas para garantir que todo novo perfil de usuário do Windows veja a solicitação de login do OneDrive e não reutilize uma conta em cache. Conclua cada etapa em uma máquina de referência e depois implante a configuração via Política de Grupo ou Microsoft Intune.
- Desabilitar o login automático do OneDrive via Política de Grupo
Abra o Console de Gerenciamento de Política de Grupo. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > OneDrive. Clique duas vezes em Usar o OneDrive para login automático. Defina como Desabilitado. Isso impede que o OneDrive leia credenciais em cache e faça login silenciosamente. Clique em OK. Vincule a GPO à unidade organizacional que contém os dispositivos afetados. - Remover credenciais em cache existentes do OneDrive
Na máquina de referência, abra o Gerenciador de Credenciais digitando gerenciador de credenciais no menu Iniciar. Clique em Credenciais do Windows. Em Credenciais Genéricas, localize entradas que contenham OneDrive ou MicrosoftOffice. Expanda cada entrada e clique em Remover. Confirme a exclusão. Isso limpa o token que o OneDrive reutilizaria em um novo perfil. - Bloquear a configuração do OneDrive no primeiro login
No mesmo console de Política de Grupo, navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > OneDrive. Habilite a política Impedir que o OneDrive seja executado no primeiro login do usuário. Isso impede que o assistente de Configuração do OneDrive seja iniciado automaticamente quando um novo usuário faz login pela primeira vez. Os usuários ainda podem iniciar o OneDrive manualmente pelo menu Iniciar. - Restringir a sincronização a dispositivos ingressados no domínio
Faça login na central de administração do Microsoft 365 em admin.microsoft.com. Vá para Configurações > Configurações da organização > OneDrive. Em Sincronização, marque Permitir sincronização apenas em PCs ingressados em domínios específicos. Digite o nome do seu domínio (ex.: contoso.com). Clique em Salvar. Isso impede que o OneDrive sincronize em dispositivos que não estão ingressados no seu domínio, reduzindo a chance de reutilização de credenciais em cache em máquinas não ingressadas. - Implantar a configuração via Intune (se usando MDM)
Na central de administração do Intune, vá para Dispositivos > Perfis de configuração. Crie um novo perfil com plataforma Windows 10 e posteriores e tipo de perfil Catálogo de configurações. Pesquise por OneDrive. Configure as seguintes configurações: Conectar usuários silenciosamente ao aplicativo de sincronização do OneDrive com suas credenciais do Windows definido como Bloquear, e Usar o OneDrive para login automático definido como Bloquear. Atribua o perfil ao grupo de dispositivos que contém estações de trabalho compartilhadas ou multi-usuário. - Testar em um perfil limpo do Windows
Crie uma nova conta de usuário local ou de domínio em um dispositivo de teste. Faça login com essa conta. Abra o OneDrive pelo menu Iniciar. Verifique se a janela de login aparece e não preenche automaticamente o endereço de e-mail de um usuário anterior. Complete o login com as credenciais do novo usuário. Confirme se a sincronização inicia corretamente e nenhum erro de credencial em cache aparece.
Se o OneDrive Ainda Usar a Conta Errada Após Aplicar o Checklist
O OneDrive continua fazendo login automático com uma conta em cache em novos perfis
Verifique se os arquivos ADMX da Política de Grupo do OneDrive estão ausentes ou desatualizados. Baixe os modelos administrativos mais recentes da Política de Grupo do OneDrive da Microsoft e copie-os para o Repositório Central no seu controlador de domínio. Verifique também se a GPO está aplicada à OU correta e se nenhuma política conflitante está habilitando o login automático em uma prioridade mais alta. Execute gpresult /h report.html no dispositivo de teste para confirmar as configurações da política.
Credencial em cache antiga reaparece após exclusão
Se um usuário fizer login no OneDrive em um dispositivo e depois sair, a credencial é armazenada novamente. Para evitar isso, defina a Política de Grupo Impedir que o OneDrive seja executado no primeiro login do usuário como Habilitado. Além disso, use um script PowerShell durante o logoff do usuário para excluir a credencial em cache. O script executa cmdkey /delete:OneDriveCachedCredential como o usuário que está saindo. Implante o script via Script de Logoff da Política de Grupo.
O OneDrive não inicia em novos perfis
Se você desabilitou o login automático e também impediu que o OneDrive seja executado no primeiro login, os usuários devem iniciar o OneDrive manualmente. Para facilitar, fixe o OneDrive na barra de tarefas via Política de Grupo. Navegue até Configuração do Usuário > Preferências > Configurações do Painel de Controle > Barra de Tarefas. Adicione um item fixado para %localappdata%\Microsoft\OneDrive\OneDrive.exe. Isso fornece aos usuários um atalho visível sem exigir a inicialização automática.
Métodos de Login do OneDrive para Novos Perfis: Credencial em Cache vs Login Manual
| Item | Login com Credencial em Cache | Login Manual |
|---|---|---|
| Gatilho | Inicialização do OneDrive lê a credencial do Windows armazenada | Usuário clica em Entrar e digita e-mail e senha |
| Experiência do usuário | Nenhuma solicitação; usuário vê arquivos do OneDrive do usuário anterior ou erro de sincronização | Solicitação de login completa; usuário insere credenciais corporativas corretas |
| Armazenamento de credencial | Credencial genérica em nível de máquina no Gerenciador de Credenciais do Windows | Token em nível de usuário armazenado por perfil após login bem-sucedido |
| Risco de conta errada | Alto em dispositivos compartilhados ou multi-usuário | Nenhum; cada usuário autentica de forma independente |
| Controle do administrador | Desabilitado via Política de Grupo: Usar o OneDrive para login automático | Habilitado por padrão quando o login automático é bloqueado |
| Melhor para | Dispositivos dedicados de usuário único | Estações de trabalho compartilhadas, hosts RDS, computadores de laboratório |
Após concluir este checklist, cada novo perfil do Windows será forçado a fazer login manualmente no OneDrive. A credencial em cache de um usuário anterior não será mais usada. Para reduzir ainda mais a reutilização de credenciais, configure um script de logoff que exclua a credencial em cache do OneDrive do Gerenciador de Credenciais do Windows. Esta etapa garante que, mesmo que um usuário faça login no OneDrive e depois saia, o próximo usuário ainda verá uma solicitação de login limpa.