Quando um ex-funcionário sai da sua organização, as equipes de TI ou jurídica geralmente precisam acessar o OneDrive desse usuário para coletar arquivos para descoberta eletrônica ou revisão jurídica. Em muitos locatários do Microsoft 365, a solicitação de acesso ao OneDrive de um ex-funcionário é encaminhada ao aprovador errado, como o próprio ex-funcionário ou um gerente não relacionado. Isso acontece porque as configurações de delegação padrão do OneDrive atribuem a administração do conjunto de sites com base no campo de gerente do usuário no Azure AD, e esse gerente pode não ser mais válido ou não ser o contato jurídico correto. Este artigo explica por que a rota de aprovação dá errado e fornece uma correção passo a passo para redirecionar as solicitações de acesso ao revisor jurídico correto.
Você aprenderá como identificar o administrador atual do conjunto de sites do OneDrive de um ex-funcionário, como alterar o aprovador delegado e como evitar o mesmo problema em futuras saídas. A correção envolve atualizar o atributo de gerente do usuário no Azure AD, modificar as permissões do site do OneDrive via Central de Administração do SharePoint e configurar uma política de locatário para acesso de retenção legal. Seguindo estas etapas, você pode garantir que as solicitações de revisão jurídica cheguem à pessoa certa todas as vezes.
Principais conclusões: Redirecionando aprovações de acesso ao OneDrive para o revisor jurídico correto
- Atributo de gerente do usuário no Azure AD: O OneDrive atribui o administrador do conjunto de sites com base no campo de gerente no Azure AD; um gerente incorreto ou ausente causa o aprovador errado.
- Central de Administração do SharePoint > Sites ativos > OneDrive do ex-funcionário: Altere diretamente o administrador principal do conjunto de sites para o revisor jurídico correto.
- Central de administração do Microsoft 365 > Usuários > Usuários ativos > ex-funcionário > guia Email: Defina uma regra de encaminhamento de email para redirecionar as notificações de solicitação de acesso para a equipe jurídica.
Por que as solicitações de acesso ao OneDrive vão para o aprovador errado
Quando um usuário sai da sua organização, o site do OneDrive permanece ativo por 30 dias por padrão. Durante esse período, qualquer solicitação de acesso a esse OneDrive é enviada ao administrador do conjunto de sites. O OneDrive define automaticamente o administrador do conjunto de sites como o gerente do usuário, conforme definido no Azure Active Directory. Se o atributo de gerente estiver em branco, desatualizado ou apontar para uma pessoa que não está mais na empresa, o email de solicitação de acesso será entregue à pessoa errada ou não será entregue.
A causa raiz técnica é que o OneDrive herda a atribuição de administrador do conjunto de sites do campo de gerente do objeto de usuário no momento em que o site é criado ou quando o usuário é desabilitado. O Microsoft 365 não atualiza automaticamente essa delegação quando o gerente muda ou sai. Além disso, as solicitações de revisão jurídica geralmente exigem uma pessoa ou grupo específico, como um oficial de conformidade ou gerente de descoberta eletrônica, mas a lógica de delegação padrão não permite aprovadores personalizados sem intervenção manual.
Outro fator contribuinte é que o recurso de solicitação de acesso do OneDrive usa permissões de site do SharePoint, não funções do Azure AD. Mesmo se você atribuir uma função de administrador global ou administrador de conformidade à pessoa correta, essa função não se torna automaticamente o administrador do conjunto de sites para cada OneDrive de ex-funcionário. Você deve atualizar explicitamente as permissões no nível do site para redirecionar o fluxo de aprovação.
Etapas para redirecionar o acesso ao OneDrive de ex-funcionário para o revisor jurídico correto
As etapas a seguir alterarão o administrador do conjunto de sites do OneDrive de um ex-funcionário e configurarão o roteamento de aprovação para sua equipe jurídica.
- Identifique a URL do OneDrive do ex-funcionário
Vá para a Central de administração do Microsoft 365 em admin.microsoft.com. Selecione Usuários > Usuários ativos. Encontre o ex-funcionário, clique no nome dele e selecione a guia OneDrive. Copie a URL do OneDrive mostrada em Obter acesso aos arquivos. O formato da URL é https://yourtenant-my.sharepoint.com/personal/username_domain_com. - Abra a Central de Administração do SharePoint e localize o site
Vá para admin.microsoft.com > Centros de administração > SharePoint. Na navegação à esquerda, selecione Sites > Sites ativos. Cole a URL do OneDrive do ex-funcionário na caixa de pesquisa e pressione Enter. Clique no nome do site para abrir o painel de detalhes. - Altere o administrador principal do conjunto de sites
No painel de detalhes, role até Administradores do conjunto de sites. Clique em Editar. Remova o administrador atual se estiver incorreto. Adicione o endereço de email do revisor jurídico ou uma caixa de correio compartilhada usada pela equipe jurídica. Clique em Salvar. Essa alteração entra em vigor imediatamente e todas as solicitações de acesso futuras serão enviadas ao novo administrador. - Atualize o atributo de gerente do Azure AD para saídas futuras
Vá para admin.microsoft.com > Usuários > Usuários ativos. Selecione o ex-funcionário e clique em Gerenciar no campo Gerente. Defina o gerente como o revisor jurídico correto ou uma caixa de correio jurídica genérica. Clique em Salvar. Isso garante que, se o site do OneDrive for recriado ou restaurado, o gerente correto se tornará automaticamente o administrador do conjunto de sites. - Configure o encaminhamento de email para notificações de solicitação de acesso
Na Central de administração do Microsoft 365, selecione o ex-funcionário e vá para a guia Email. Clique em Gerenciar encaminhamento de email. Ative o encaminhamento e insira o endereço de email da equipe jurídica. Marque a caixa para manter uma cópia das mensagens encaminhadas. Clique em Salvar. Isso encaminha quaisquer emails de notificação de solicitação de acesso que foram originalmente enviados para a caixa de correio do ex-funcionário para o revisor jurídico. - Teste o fluxo de solicitação de acesso
Faça login como um usuário diferente que não tenha acesso ao OneDrive do ex-funcionário. Abra a URL do OneDrive em um navegador. Você deve ver uma mensagem informando que precisa de permissão. Clique em Solicitar acesso. O revisor jurídico deve receber uma notificação por email em alguns minutos. Confirme se o email chega na caixa de correio correta e se o revisor pode aprovar ou negar a solicitação.
Se o acesso ao OneDrive ainda for para o aprovador errado após a correção
O revisor jurídico não recebe o email de solicitação de acesso
Verifique novamente as configurações do administrador do conjunto de sites do SharePoint. A alteração pode não ter sido salva se você não clicou no botão Salvar no painel de detalhes. Verifique também se o endereço de email do revisor jurídico está correto e se ele tem uma licença válida do Microsoft 365. Se o revisor for um usuário externo, ele não pode ser um administrador do conjunto de sites. Use um usuário interno licenciado ou uma caixa de correio compartilhada com licença.
A solicitação de acesso vai para o gerente do ex-funcionário em vez da equipe jurídica
Isso acontece quando o site do OneDrive ainda tem o administrador original do conjunto de sites do atributo de gerente. Repita as etapas para alterar o administrador do conjunto de sites na Central de Administração do SharePoint. Você deve remover o administrador antigo e adicionar o novo. A simples atualização do atributo de gerente no Azure AD não altera retroativamente o administrador do conjunto de sites para sites existentes do OneDrive.
As solicitações de acesso não são enviadas
As solicitações de acesso ao OneDrive estão desabilitadas por padrão em alguns locatários. Vá para Central de Administração do SharePoint > Configurações > Solicitações de acesso. Certifique-se de que Permitir solicitações de acesso esteja definido como Ativado. Você também pode definir um endereço de email padrão para solicitações de acesso para todos os sites nesta configuração. Se você ativar isso, todas as solicitações de acesso para qualquer site do OneDrive irão para o email especificado, substituindo a configuração do administrador do conjunto de sites.
Alteração manual do administrador do conjunto de sites vs. atualização do gerente no Azure AD: principais diferenças
| Item | Alteração manual do administrador do conjunto de sites | Atualização do gerente no Azure AD |
|---|---|---|
| Escopo | Afeta apenas o site do OneDrive do ex-funcionário selecionado | Afeta o objeto do usuário e pode influenciar a criação ou restauração futura de sites |
| Efeito imediato | Sim, as solicitações de acesso são redirecionadas em minutos | Não, os sites existentes do OneDrive não são atualizados automaticamente |
| Requer permissões de administrador do SharePoint | Sim, você precisa da função de Administrador do SharePoint ou Administrador Global | Não, você só precisa da função de Administrador de Usuários para atualizar o campo de gerente |
| Melhor para | Corrigir a aprovação de acesso ao OneDrive de um ex-funcionário específico | Configurar a delegação correta para todas as saídas futuras |
| Limitação | Deve ser repetido para cada ex-funcionário individualmente | Não altera as permissões existentes do site |
Agora você pode direcionar as solicitações de acesso ao OneDrive de ex-funcionários para o revisor jurídico correto, atualizando o administrador do conjunto de sites na Central de Administração do SharePoint e, opcionalmente, configurando o atributo de gerente no Azure AD para casos futuros. Em seguida, considere configurar uma política de retenção do Microsoft 365 ou retenção legal nos sites do OneDrive de ex-funcionários para preservar dados automaticamente. Uma dica avançada é usar a API do Microsoft Graph para atualizar em lote os administradores do conjunto de sites de todos os ex-funcionários do seu locatário, economizando tempo ao lidar com várias saídas de uma só vez.