Quando o OneDrive de um ex-funcionário exibe acesso negado para um contratado que precisa limpar arquivos, os métodos padrão de administrador de conjunto de sites ou acesso delegado geralmente falham. Isso acontece porque as permissões do site do OneDrive estão vinculadas à identidade do usuário no Azure AD e, após a exclusão da conta ou remoção da licença, o site entra em um estado restrito. Os administradores do Microsoft 365 devem usar ferramentas administrativas específicas — e não o compartilhamento direto — para recuperar o acesso para limpeza. Este artigo explica a causa raiz e fornece um checklist passo a passo para resolver erros de acesso negado para contratados.
Principais conclusões: Restaurar o acesso do contratado ao OneDrive de um ex-funcionário
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Conta do ex-funcionário: Se a conta de usuário ainda existir, mas estiver desabilitada, reatribua uma licença e redefina a senha para restaurar o acesso ao site para o contratado.
- Centro de administração do SharePoint > Sites > Sites ativos > URL do OneDrive do ex-funcionário: Adicione o contratado como administrador do conjunto de sites para ignorar erros de permissão diretamente.
- Centro de administração do Microsoft 365 > Configuração > Migração de dados > Migração do OneDrive: Use a ferramenta de migração do OneDrive para transferir arquivos para o OneDrive do contratado quando o acesso direto estiver bloqueado.
Por que o OneDrive exibe acesso negado para contratados após a saída do funcionário
Quando um usuário sai da organização, o Microsoft 365 remove ou desabilita sua licença após um período de retenção. O site do OneDrive permanece por 30 a 93 dias, dependendo da política de retenção do locatário, mas o modelo de permissão do site depende da identidade do usuário no Azure AD. Uma vez que a conta é desabilitada ou excluída, o proprietário do site (o ex-funcionário) não existe mais como um principal de segurança ativo. Os contratados que receberam acesso anteriormente por meio de links de compartilhamento ou permissões diretas veem acesso negado porque o SharePoint avalia primeiro o status de proprietário do site. O site não transfere automaticamente a propriedade para um gerente ou administrador. Sem intervenção administrativa explícita, o contratado não pode navegar, baixar ou excluir arquivos.
O papel do proprietário do site do OneDrive
Cada site do OneDrive tem um único proprietário — o usuário original. Quando a conta desse usuário é excluída temporariamente, o campo de proprietário do site fica vazio ou aponta para um objeto excluído. O SharePoint Online trata isso como um site órfão. A herança de permissão padrão é interrompida e qualquer usuário que não seja administrador do conjunto de sites recebe acesso negado. Apenas administradores globais ou administradores do SharePoint podem adicionar novos administradores a sites órfãos do OneDrive usando o Centro de administração do SharePoint ou o PowerShell.
Por que o acesso do contratado falha especificamente
Contratados são usuários externos ou contas de convidado no Azure AD. Mesmo que o contratado tenha sido adicionado anteriormente como membro do site, o estado órfão do site impede qualquer nova avaliação de permissão. O erro de acesso negado aparece porque o SharePoint não pode validar a identidade do proprietário do site, então ele nega todas as solicitações não administrativas por padrão. Isso é uma medida de segurança para evitar acesso não autorizado a dados após a saída de um funcionário.
Checklist: Etapas para conceder acesso de contratado ao OneDrive de um ex-funcionário
Siga estas etapas em ordem. Se a conta do ex-funcionário já foi excluída, pule para a etapa 3.
- Verifique se a conta do ex-funcionário ainda existe no Azure AD
Vá para o Centro de administração do Microsoft 365 > Usuários > Usuários excluídos. Se a conta estiver listada, restaure-a dentro de 30 dias após a exclusão. Selecione o usuário e escolha Restaurar usuário. Isso restabelece a identidade do proprietário do site do OneDrive. - Reatribua uma licença do OneDrive à conta restaurada
Se o usuário restaurado não tiver licença, vá para Usuários > Usuários ativos, selecione o usuário e depois Licenças e aplicativos. Atribua uma licença do OneDrive for Business. Aguarde até 24 horas para o site se tornar ativo novamente. - Localize a URL do OneDrive do ex-funcionário
No Centro de administração do SharePoint, vá para Sites > Sites ativos. Pesquise pelo nome ou email do usuário. A URL segue o padrãohttps://[locatário]-my.sharepoint.com/personal/[usuário]_[domínio]_com. Copie esta URL. - Adicione o contratado como administrador do conjunto de sites
No Centro de administração do SharePoint, selecione o site do OneDrive e clique em Permissões na barra de comandos. Em Administradores do conjunto de sites, clique em Adicionar administrador do conjunto de sites. Insira o email do contratado. Clique em Salvar. O contratado agora tem acesso administrativo total ao site. - Peça ao contratado para acessar o OneDrive diretamente
Forneça a URL do OneDrive ao contratado. Ele deve fazer login com sua conta do Microsoft 365. Agora ele pode navegar, baixar, copiar ou excluir arquivos conforme necessário. - Transfira arquivos para o OneDrive do contratado, se necessário
Para mover arquivos permanentemente, use a Ferramenta de migração do OneDrive no Centro de administração do Microsoft 365. Vá para Configuração > Migração de dados > Migração do OneDrive. Selecione o site de origem (OneDrive do ex-funcionário) e o destino (OneDrive do contratado). Inicie a migração. Isso é mais rápido do que baixar e reenviar. - Remova o acesso de administrador do contratado após a limpeza
Após o contratado terminar, volte ao Centro de administração do SharePoint, selecione o site, clique em Permissões e remova o contratado da lista de administradores do conjunto de sites. Isso evita acesso contínuo a dados confidenciais.
Se a conta foi excluída permanentemente ou o período de retenção expirou
Quando a conta do ex-funcionário é excluída permanentemente ou o período de retenção expirou, o site do OneDrive também é excluído. Nesse caso, o acesso é irrecuperável. Certifique-se de ter uma política de backup em vigor. Use o Centro de conformidade do Microsoft 365 > Gerenciamento do ciclo de vida de dados > Políticas de retenção para definir um período mínimo de retenção para arquivos do OneDrive. Para saídas futuras, configure a Retenção do OneDrive para 365 dias no Centro de administração do SharePoint > Configurações > OneDrive.
Problemas comuns durante a limpeza por contratado
Contratado recebe acesso negado após ser adicionado como administrador do conjunto de sites
Isso geralmente acontece quando o contratado é um usuário convidado em um locatário diferente. O SharePoint não oferece suporte a acesso de administrador de conjunto de sites entre locatários. O contratado deve ter uma conta no mesmo locatário que o ex-funcionário. Se o contratado for externo, você deve primeiro adicioná-lo como convidado no Azure AD: Centro de administração do Microsoft Entra > Usuários > Novo usuário > Convidar usuário externo. Após ele aceitar o convite, adicione-o como administrador do conjunto de sites.
O OneDrive do ex-funcionário não aparece em Sites ativos
Se o site do OneDrive não estiver listado, ele pode estar na Lixeira do Centro de administração do SharePoint. Vá para Sites > Sites excluídos. Se o site estiver lá, restaure-o. Se não estiver na lixeira, ele foi excluído permanentemente.
Contratado não consegue ver arquivos mesmo com acesso de administrador
Alguns arquivos podem ter permissões exclusivas que bloqueiam até mesmo administradores do conjunto de sites. Como administrador do conjunto de sites, o contratado pode substituir permissões. Ele deve navegar até o arquivo, clicar nos três pontos, selecionar Gerenciar acesso e depois Configurações avançadas de permissões. A partir daí, ele pode interromper a herança ou adicionar a si mesmo diretamente.
Métodos de acesso ao OneDrive para limpeza por contratado: Comparação
| Item | Administrador do Conjunto de Sites via Centro de Administração do SharePoint | Ferramenta de Migração do OneDrive |
|---|---|---|
| Descrição | Concede acesso administrativo total ao contratado temporariamente | Transfere arquivos do OneDrive do ex-funcionário para o OneDrive do contratado |
| Melhor para | Revisar, organizar ou excluir arquivos no local | Mover todos os arquivos para um novo local para retenção de longo prazo |
| Requer | Conta do contratado no mesmo locatário; site deve estar ativo | Ambos os sites do OneDrive (origem e destino) devem estar ativos |
| Tempo para concluir | 5 minutos | Minutos a horas, dependendo do volume de arquivos |
| Acesso pós-limpeza | Deve remover manualmente os direitos de administrador | Nenhum acesso adicional necessário; arquivos foram movidos |
Agora você pode restaurar o acesso de um contratado ao OneDrive de um ex-funcionário usando o Centro de administração do SharePoint ou a ferramenta de migração do OneDrive. Sempre remova as permissões de administrador após a limpeza para manter a segurança. Para proteção contínua, configure uma política de retenção do OneDrive de pelo menos 365 dias no Centro de administração do SharePoint em Configurações > OneDrive. Isso garante que você tenha tempo suficiente para recuperar arquivos antes que o site seja excluído.