Quando um ex-funcionário sai da sua organização, as equipes de resposta a incidentes geralmente precisam de acesso imediato aos arquivos do OneDrive. O fluxo de aprovação padrão no centro de administração do Microsoft 365 envia a solicitação de acesso ao gerente do ex-funcionário. Se o gerente estiver indisponível ou também tiver saído da empresa, a solicitação vai para o aprovador errado ou fica travada. Este guia explica por que o aprovador errado é selecionado e fornece uma correção passo a passo para direcionar as solicitações de acesso para a equipe de segurança ou TI correta.
Principais conclusões: Redirecionar aprovações de acesso ao OneDrive para resposta a incidentes
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Segurança e privacidade > Acesso ao OneDrive: Controla quem recebe solicitações de aprovação para acessar o OneDrive de um ex-funcionário.
- Azure AD > Usuários > Campo Gerente: O aprovador padrão é o usuário listado como gerente do funcionário. Se estiver ausente ou incorreto, a solicitação é enviada a um administrador global ou a uma pessoa inesperada.
- Cmdlet PowerShell Set-SPOTenant –RequireSecondaryContact: Adiciona um aprovador secundário ou substitui o roteamento baseado no gerente para cenários de resposta a incidentes.
Por que as solicitações de acesso ao OneDrive vão para o aprovador errado
Quando um administrador inicia uma solicitação para acessar o OneDrive de um ex-funcionário, o Microsoft 365 verifica o perfil do Azure Active Directory desse usuário. O sistema procura o atributo Gerente. Se um gerente estiver listado, a solicitação de aprovação é enviada a essa pessoa. Se o campo gerente estiver vazio, a solicitação é escalada para qualquer administrador global no locatário.
O problema ocorre em três cenários comuns:
- O gerente do ex-funcionário também é um ex-funcionário ou está em licença prolongada. A solicitação fica em uma caixa de correio não lida.
- O campo gerente está preenchido com uma pessoa fora da cadeia de resposta a incidentes, como um líder de projeto que não tem conhecimento dos procedimentos de recuperação de dados.
- O locatário não tem um contato secundário configurado, então a solicitação é direcionada a um único administrador global que pode não estar monitorando as solicitações de aprovação.
A causa principal é que o roteamento de aprovação padrão usa o atributo Gerente no Azure AD, que nunca foi projetado para fluxos de trabalho de resposta a incidentes. A correção exige alterar o contato de aprovação ou adicionar um aprovador secundário que faça parte da equipe de segurança ou TI.
Etapas para redirecionar a aprovação de acesso ao OneDrive para a equipe correta
Você tem dois métodos para corrigir o problema do aprovador errado. Use o Método 1 se quiser definir um contato secundário permanente para todas as solicitações de acesso de ex-funcionários. Use o Método 2 se precisar alterar o aprovador para um único usuário imediatamente.
Método 1: Definir um aprovador secundário em nível de locatário via PowerShell
- Conectar ao SharePoint Online PowerShell
Abra o Windows PowerShell como administrador. ExecuteConnect-SPOService -Url https://yourtenant-admin.sharepoint.com. Substituayourtenantpelo nome real do seu locatário. Faça login com uma conta de administrador global. - Verificar a configuração atual de contato secundário
ExecuteGet-SPOTenant | Select-Object RequireSecondaryContact. Se retornarFalse, nenhum contato secundário é aplicado. Se retornarTrue, um contato secundário já é exigido. - Habilitar a exigência de contato secundário
ExecuteSet-SPOTenant –RequireSecondaryContact $true. Isso força o sistema a verificar se há um aprovador secundário antes de enviar a solicitação ao gerente. - Atribuir um contato secundário ao usuário afetado
ExecuteSet-SPOUser –Site https://yourtenant-my.sharepoint.com/personal/formeremployee_domain_com –LoginName approver@domain.com –IsSiteCollectionAdmin $true. Substitua a URL pela URL do OneDrive do ex-funcionário e o nome de login pelo e-mail do membro da equipe de segurança. O contato secundário deve ser administrador do conjunto de sites nesse OneDrive. - Testar o fluxo de aprovação
Inicie uma solicitação de acesso de teste no centro de administração do Microsoft 365. O e-mail de aprovação agora deve ir tanto para o gerente quanto para o contato secundário que você atribuiu.
Método 2: Atualizar o campo Gerente para um único usuário
- Abrir o Azure Active Directory
Acesse https://aad.portal.azure.com e faça login como administrador global ou administrador de usuários. - Localizar a conta do ex-funcionário
Selecione Usuários e depois Todos os usuários. Pesquise pelo nome do ex-funcionário e clique no perfil dele. - Alterar o atributo Gerente
Na navegação à esquerda, clique em Propriedades. Role até a seção Informações do trabalho. Clique em Gerente e selecione um usuário da equipe de resposta a incidentes. Clique em Salvar. - Verificar a alteração
Acesse o centro de administração do Microsoft 365 em https://admin.microsoft.com. Navegue até Usuários > Usuários ativos. Selecione o ex-funcionário. Em OneDrive, clique em Obter acesso aos arquivos. A solicitação de aprovação agora será enviada ao novo gerente que você definiu.
Se a aprovação ainda for para a pessoa errada
O campo gerente está vazio, mas a solicitação vai para um administrador desconhecido
Quando o campo gerente está em branco, o Microsoft 365 escala a solicitação para qualquer administrador global. Se houver vários administradores globais, um deles receberá o e-mail. Para corrigir isso, sempre defina um gerente ou use o Método 1 para atribuir um contato secundário. Você também pode remover funções de administrador global desnecessárias para limitar quem recebe solicitações de fallback.
O contato secundário não está recebendo e-mails de aprovação
O contato secundário deve ser administrador do conjunto de sites no OneDrive do ex-funcionário. Se você atribuiu o contato secundário, mas ele não está recebendo e-mails, verifique o status de administrador do conjunto de sites. Execute Get-SPOUser –Site https://yourtenant-my.sharepoint.com/personal/formeremployee_domain_com –LoginName approver@domain.com | Select-Object IsSiteCollectionAdmin. Se retornar False, execute o comando Set-SPOUser novamente com –IsSiteCollectionAdmin $true.
A solicitação de aprovação expira sem resposta
As solicitações de aprovação expiram após 30 dias se ninguém responder. Para evitar isso, crie uma caixa de correio compartilhada para a equipe de resposta a incidentes e defina o e-mail dessa caixa como gerente ou contato secundário. Monitore a caixa de correio diariamente. Como alternativa, use o campo Adicionar contato secundário no centro de administração do Microsoft 365 em Configurações > Configurações da organização > Segurança e privacidade > Acesso ao OneDrive. Este campo aceita qualquer endereço de e-mail, incluindo um grupo de distribuição.
Aprovador padrão vs. Contato secundário: Principais diferenças
| Item | Aprovador padrão (Gerente) | Contato secundário |
|---|---|---|
| Fonte da atribuição | Atributo Gerente do Azure AD | Definido via PowerShell ou centro de administração |
| Requer direitos de administrador do conjunto de sites | Não, apenas um usuário do Azure AD | Sim, deve ser adicionado como administrador do conjunto de sites |
| Afeta todos os usuários no locatário | Não, atributo por usuário | Sim, quando RequireSecondaryContact está habilitado |
| Fallback se indisponível | Escalado para qualquer administrador global | Sem fallback; a solicitação aguarda um dos aprovadores |
| Melhor para resposta a incidentes | Apenas se o gerente estiver na equipe de segurança | Sim, pode ser uma caixa de correio compartilhada ou grupo de distribuição |
Agora você pode redirecionar as solicitações de aprovação de acesso ao OneDrive para a equipe de resposta a incidentes correta. Comece verificando o atributo de gerente atual de qualquer funcionário que tenha saído recentemente. Se sua equipe precisar de uma solução permanente, habilite a exigência de contato secundário com o PowerShell e atribua uma caixa de correio compartilhada como aprovador. Para acesso urgente, atualize o campo gerente temporariamente e reverta após a investigação.