Quando um ex-funcionário sai da sua organização, os administradores do Microsoft 365 precisam transferir ou excluir os arquivos do OneDrive. O fluxo de aprovação padrão encaminha as solicitações de acesso ao gerente do ex-funcionário. Se o ex-funcionário for um contratado ou temporário sem gerente ativo no Azure AD, a solicitação de aprovação vai para a pessoa errada ou fica travada. Este artigo explica por que a delegação padrão falha para contratados e como reatribuir a autoridade de aprovação corretamente.
Principais Conclusões: Corrigir o Roteamento de Aprovação do OneDrive para Contratados
- Centro de administração do Microsoft 365 > Gerenciamento de usuários > Usuários ativos > Campo Gerente: O campo Gerente no Azure AD determina quem recebe a solicitação de aprovação de acesso ao OneDrive de um ex-funcionário.
- Centro de administração do SharePoint > Solicitações de acesso > Enviar solicitações de aprovação para: Esta configuração permite escolher entre enviar para o proprietário do site, para o gerente do ex-funcionário ou para um grupo personalizado para todas as solicitações de acesso.
- Azure AD > Usuários > Usuários excluídos > Restaurar usuário: Restaurar um usuário excluído temporariamente permite atualizar o campo Gerente antes de excluir novamente a conta para corrigir o roteamento de aprovação na limpeza de contratados.
Por que as Solicitações de Acesso ao OneDrive Vão para o Aprovador Errado para Contratados
O Microsoft 365 usa um fluxo de aprovação padrão quando alguém solicita acesso ao OneDrive de um ex-funcionário. O sistema consulta o atributo Gerente no Azure Active Directory do usuário excluído. Se o campo Gerente estiver vazio, desatualizado ou apontar para outro contratado que também saiu, a solicitação é enviada para um destinatário não intencional. Para contratados e trabalhadores temporários, esse cenário é comum porque as organizações frequentemente pulam a atribuição de um gerente no Azure AD para funcionários de curto prazo.
O e-mail de solicitação de aprovação é enviado para o gerente listado no perfil do usuário no momento da exclusão. Se nenhum gerente for definido, a solicitação vai para o proprietário do site do OneDrive, que geralmente é o administrador global ou do SharePoint. Isso pode causar atrasos ou lacunas de segurança se a pessoa errada aprovar o acesso a arquivos confidenciais.
O Papel do Atributo Gerente no Azure AD
O Azure AD armazena um atributo Gerente para cada objeto de usuário. Este campo é usado por vários serviços do Microsoft 365, incluindo a delegação de acesso ao OneDrive. Quando você exclui um usuário, o sistema retém esse atributo. Qualquer solicitação de acesso futura para o OneDrive desse usuário é roteada para o gerente especificado no atributo. Se o gerente também for excluído, a solicitação falha silenciosamente ou vai para um aprovador substituto, geralmente o administrador global.
Por que os Contratados São Afetados com Mais Frequência
Contratados e fornecedores são frequentemente integrados sem a atribuição de um gerente. Os sistemas de RH podem não sincronizar o campo gerente para contas de não funcionários. Mesmo quando um gerente é atribuído, esse gerente pode ser um contratado que sai antes do processo de limpeza. Isso cria uma cadeia de aprovação quebrada que as ferramentas padrão não conseguem resolver.
Passos para Roteamento Correto da Aprovação do OneDrive para Ex-Contratados
Para corrigir o roteamento de aprovação, você deve atualizar o atributo Gerente no objeto de usuário excluído. Isso requer restaurar o usuário, atribuir um gerente válido e excluir o usuário novamente. Siga estes passos em ordem.
- Identifique o ex-contratado em usuários excluídos
Vá para o centro de administração do Microsoft 365. Selecione Gerenciamento de usuários > Usuários excluídos. Encontre a conta do contratado. Anote o nome UPN e o gerente atual, se houver. - Restaure o usuário excluído
Selecione o usuário e clique em Restaurar usuário. Esta ação reativa a conta. Aguarde 30 segundos para a alteração ser propagada. - Atribua um gerente válido ao usuário restaurado
Navegue até Gerenciamento de usuários > Usuários ativos. Abra o perfil do usuário restaurado. Vá para a seção Gerente. Clique em Editar e selecione um funcionário ativo que cuidará da limpeza do OneDrive. Salve a alteração. - Exclua o usuário novamente
Volte para Usuários ativos. Selecione a conta do contratado restaurada. Clique em Excluir usuário. Confirme a exclusão. O usuário volta para a lista de Usuários excluídos. - Verifique o roteamento de aprovação
Abra um navegador em modo anônimo. Tente acessar a URL do OneDrive do ex-contratado:https://yourtenant-my.sharepoint.com/personal/UPN. Observe o fluxo de solicitação de acesso. O e-mail de aprovação agora deve ir para o gerente que você atribuiu.
Método Alternativo: Usar uma Caixa de Correio Compartilhada ou Grupo de Segurança como Aprovador
Se você não puder restaurar o usuário, pode alterar o comportamento de aprovação padrão no nível do locatário. Vá para o centro de administração do SharePoint. Selecione Políticas > Controle de acesso > Solicitações de acesso. Em Enviar solicitações de aprovação para, escolha Pessoas ou grupo específico. Insira uma caixa de correio compartilhada ou grupo de segurança que lida com o desligamento de contratados. Este método redireciona todas as solicitações de acesso para todos os sites, não apenas para o OneDrive.
Se a Solicitação de Aprovação Ainda For para a Pessoa Errada
Mesmo após atualizar o gerente, alguns cenários causam roteamento incorreto persistente. Verifique estas falhas comuns.
O Campo Gerente Não Está Sincronizado do Active Directory Local
Se sua organização usa o Azure AD Connect para sincronizar do Active Directory local, o atributo Gerente pode ser sobrescrito durante o próximo ciclo de sincronização. Após restaurar e atualizar o gerente no Microsoft 365, force uma sincronização delta do seu servidor local. Execute este comando PowerShell: Start-ADSyncSyncCycle -PolicyType Delta. Em seguida, exclua o usuário novamente.
O OneDrive do Ex-Contratado Já Está em Retenção
Quando um OneDrive é colocado em retenção para descoberta eletrônica ou retenção legal, o roteamento de solicitação de acesso é bloqueado. A solicitação de aprovação não será enviada para nenhum gerente. Você deve remover a retenção antes de alterar o fluxo de aprovação. Verifique o portal de conformidade do Microsoft Purview em eDiscovery > Retenções para quaisquer retenções aplicadas ao OneDrive do usuário.
O Gerente É um Usuário Convidado ou Externo
Se o gerente do ex-funcionário for um usuário convidado no seu locatário, as solicitações de aprovação podem falhar porque contas de convidado não têm permissão para aprovar acesso ao OneDrive. Substitua o gerente convidado por um usuário interno usando o método de restaurar e reatribuir descrito acima.
Opções de Roteamento de Aprovação do OneDrive para Ex-Funcionários
| Item | Roteamento Padrão do Gerente | Roteamento de Grupo Personalizado |
|---|---|---|
| Aprovador | Gerente listado no Azure AD no momento da exclusão | Grupo de segurança específico ou caixa de correio compartilhada |
| Local de configuração | Campo Gerente do usuário no Azure AD | Centro de administração do SharePoint > Solicitações de acesso |
| Melhor para | Funcionários em tempo integral com gerentes ativos | Contratados, temporários ou usuários sem gerentes |
| Atraso após alteração | Imediato após restaurar e reexcluir o usuário | Até 24 horas para a configuração de todo o locatário ser aplicada |
| Substituto se vazio | Proprietário do site do OneDrive (administrador global) | Nenhum substituto; o grupo deve existir e ter membros |
Agora você tem dois métodos confiáveis para controlar quem aprova o acesso ao OneDrive de um ex-contratado. O método de restaurar e reatribuir é a correção mais rápida para um único usuário. A abordagem de grupo personalizado no nível do locatário é melhor para organizações que frequentemente integram e desligam contratados. Para gerenciamento contínuo, considere usar um grupo do Microsoft 365 dedicado a tarefas de desligamento e defina-o como o aprovador padrão para todas as solicitações de acesso.