Quando usuários do Chrome clicam no botão de upload web no OneDrive, às vezes eles caem no locatário errado do Microsoft 365. Em vez da página de login da empresa, veem uma conta pessoal ou uma organização diferente. Isso acontece porque o Chrome armazena em cache cookies de autenticação e redireciona com base na última sessão ativa. Este artigo explica a causa raiz, fornece um checklist passo a passo para administradores evitarem o problema e aborda falhas relacionadas e suas correções.
Principais Conclusões: Corrigindo a Incompatibilidade de Locatário no Upload Web do OneDrive para Chrome
- Centro de administração do Microsoft 365 > Configurações da organização > Serviços > OneDrive > Compartilhamento: Restrinja o compartilhamento externo para evitar que usuários caiam em um locatário diferente.
- Azure AD > Aplicativos empresariais > Microsoft Office 365 > Propriedades: Defina Atribuição Necessária como Sim e restrinja o login do usuário ao locatário correto.
- Navegador Chrome > Configurações > Privacidade e segurança > Limpar dados de navegação: Limpe cookies e dados de site em cache para login.microsoftonline.com para forçar uma nova solicitação de autenticação.
Por que Usuários do Chrome Veem o Locatário Errado no Upload Web do OneDrive
O botão de upload web do OneDrive usa o sistema de login online da Microsoft. Quando um usuário clica no botão, o Chrome envia uma solicitação para login.microsoftonline.com. Se o navegador tiver cookies de autenticação em cache de uma sessão anterior com um locatário diferente, a plataforma de identidade da Microsoft redireciona o usuário para esse locatário em vez do locatário da empresa. Isso acontece porque o Chrome não limpa automaticamente os cookies entre sessões. O problema é mais comum quando os usuários têm várias contas da Microsoft, como uma conta pessoal do Outlook.com e uma conta de trabalho, e fizeram login na conta errada primeiro.
Outro fator contribuinte é a incompatibilidade de ID do locatário. Quando uma organização usa um domínio personalizado que também está registrado em outro locatário, o fluxo de autenticação pode escolher o locatário errado. Isso é raro, mas ocorre quando as configurações de DNS estão mal configuradas ou quando as restrições de locatário do Azure AD não são aplicadas.
Como o Cache de Cookies Causa o Redirecionamento
O Chrome armazena cookies por site. Quando um usuário faz login em uma conta pessoal do OneDrive em login.microsoftonline.com, o Chrome salva o cookie de sessão para esse site. Mais tarde, quando o mesmo usuário clica no botão de upload web na página do SharePoint ou OneDrive da empresa, o Chrome envia o cookie de sessão pessoal. A plataforma de identidade da Microsoft vê o cookie válido e faz o login do usuário no locatário pessoal. O usuário nunca vê um prompt de login porque o cookie ainda está fresco. Isso não é um bug; é um comportamento esperado do navegador que os administradores devem gerenciar.
Checklist do Administrador para Prevenir Redirecionamentos para o Locatário Errado
Use este checklist para configurar seu locatário do Microsoft 365 e as configurações do navegador Chrome. Complete cada etapa em ordem.
- Restrinja o compartilhamento externo no centro de administração do OneDrive
Vá para o centro de administração do Microsoft 365 em admin.microsoft.com. Navegue até Configurações da organização > Serviços > OneDrive > Compartilhamento. Defina o controle deslizante de compartilhamento externo como Apenas pessoas da sua organização. Isso impede que os usuários façam login acidentalmente em um locatário externo ao clicar no botão de upload web. Clique em Salvar. - Imponha restrições de locatário no Azure AD
Abra o portal de administração do Azure AD em entra.microsoft.com. Vá para Aplicativos empresariais > Microsoft Office 365 > Propriedades. Defina Atribuição Necessária como Sim. Em seguida, vá para Acesso Condicional > Políticas > Criar nova política. Nomeie-a como Restrição de Locatário para OneDrive. Em Atribuições, selecione Todos os usuários. Em Aplicativos de nuvem, selecione Office 365. Em Controles de acesso, selecione Conceder e marque Exigir que o dispositivo seja marcado como em conformidade. Em Sessão, marque Usar restrições impostas pelo aplicativo. Defina a política como Ativada e clique em Criar. Isso força o Chrome a verificar o ID do locatário antes de permitir o login. - Configure a política de grupo do Chrome para limpar cookies ao sair
Se sua organização gerencia o Chrome via Política de Grupo, baixe os modelos ADM do Chrome em google.com/chrome. Abra o Console de Gerenciamento de Política de Grupo. Vá para Configuração do Computador > Modelos Administrativos > Google Chrome > Configurações de conteúdo. Ative a política Limpar cookies e dados do site ao fechar o navegador. Defina o valor como Ativado. Também ative a política Permitir ou bloquear cookies e defina como Bloquear cookies de terceiros. Aplique a política a todos os computadores dos usuários. Isso força o Chrome a remover cookies de autenticação após cada sessão, evitando problemas de cache de locatário. - Configure a política de consentimento de aplicativos multilocatário
No Azure AD, vá para Aplicativos empresariais > Consentimento e permissões > Configurações de consentimento do usuário. Defina a política de consentimento do usuário como Não permitir consentimento do usuário. Em Solicitações de consentimento do administrador, selecione Permitir consentimento do administrador para todos os usuários. Isso impede que os usuários concedam acesso a aplicativos de um locatário diferente. Clique em Salvar. - Ative o Azure AD Identity Protection para risco de login
No Azure AD, vá para Segurança > Identity Protection > Política de registro de MFA. Defina a política como Ativada e atribua a Todos os usuários. Em Política de risco do usuário, defina como Ativada e selecione Médio e acima. Isso força os usuários do Chrome a passar pela autenticação multifator ao fazer login de um dispositivo ou local não reconhecido, reduzindo a chance de cair no locatário errado. - Comunique a correção aos usuários do Chrome
Envie um e-mail ou publique um anúncio explicando que os usuários devem limpar os cookies do navegador para login.microsoftonline.com se virem o locatário errado. Inclua as etapas: Abra o Chrome, clique no menu de três pontos, vá para Configurações > Privacidade e segurança > Limpar dados de navegação. Selecione Todo o período, marque Cookies e outros dados do site e clique em Limpar dados. Em seguida, reinicie o Chrome e tente o upload web novamente.
Se o Upload Web do OneDrive Ainda Abrir o Locatário Errado
Usuários do Chrome veem uma conta pessoal da Microsoft em vez da conta de trabalho
Este é o sintoma mais comum. O usuário clica em Upload na página do OneDrive da empresa, mas o navegador redireciona para login.live.com ou uma interface pessoal do OneDrive. A correção é limpar os cookies do Chrome conforme descrito na etapa 6. Se o problema persistir, verifique se o usuário tem uma conta pessoal da Microsoft que é a conta de login padrão no Chrome. Instrua o usuário a sair de todas as contas: clique no ícone de perfil no Chrome, clique em Sair. Em seguida, faça login apenas na conta de trabalho.
Botão de upload web fica desabilitado para usuários do Chrome
Isso não é um problema de redirecionamento de locatário, mas um problema de compatibilidade do navegador. O upload web do OneDrive requer JavaScript moderno e falha se extensões do Chrome bloquearem scripts. Peça ao usuário para desabilitar bloqueadores de anúncios ou bloqueadores de script para o domínio do OneDrive. Vá para Chrome > Configurações > Extensões, desabilite cada extensão uma por uma e teste o botão de upload. Se o botão funcionar após desabilitar uma extensão, mantenha essa extensão desabilitada para o site do OneDrive.
Usuários do Chrome recebem uma mensagem de erro: “Você não tem acesso a este locatário”
Este erro aparece quando as restrições de locatário do Azure AD são aplicadas, mas o navegador do usuário está enviando um cookie de um locatário bloqueado. O usuário deve limpar os cookies e fazer login novamente. Se o erro persistir, o usuário pode ter uma conta de convidado conflitante no locatário errado. Remova a conta de convidado: vá para Azure AD > Usuários > Usuários externos, encontre o usuário e clique em Excluir. Em seguida, peça ao usuário para fazer login novamente.
Comportamento do Locatário no Upload Web do OneDrive: Cookies vs Restrições de Locatário
| Item | Cache de Cookies do Navegador | Restrições de Locatário do Azure AD |
|---|---|---|
| O que controla | Qual token de sessão o Chrome envia nas solicitações de autenticação | Quais locatários têm permissão para emitir tokens para sua organização |
| Como causa o locatário errado | O Chrome envia um token de sessão pessoal em cache em vez do token de trabalho | Se não configurado, o Chrome pode aceitar tokens de qualquer locatário |
| Quem configura | Usuário limpa cookies; administrador pode impor política do Chrome | Administrador define política de Acesso Condicional no Azure AD |
| Eficácia | Funciona apenas após limpar cookies manualmente | Bloqueia redirecionamento para locatário errado independentemente de cookies |
| Limitação | Não impede cache futuro | Requer licença Azure AD Premium P1 |
O cache de cookies é a causa imediata do redirecionamento para o locatário errado. As restrições de locatário do Azure AD são a solução permanente porque bloqueiam o redirecionamento no nível de autenticação. Use ambas juntas para proteção total.
Após concluir este checklist, os usuários do Chrome verão o locatário correto ao clicar no botão de upload web do OneDrive. Teste a correção limpando os cookies em uma máquina de teste e verificando se o botão de upload redireciona para a página de login da sua empresa. Para prevenção contínua, defina um lembrete para revisar as políticas de restrição de locatário do Azure AD a cada trimestre. A abordagem mais eficaz a longo prazo é combinar a política de grupo do Chrome para limpeza de cookies com as restrições de locatário do Acesso Condicional do Azure AD.