Ao executar uma revisão de acesso para o OneDrive de um ex-funcionário, a ferramenta de revisão exibe “acesso negado” em vez da lista de arquivos ou dados de permissão esperados. Isso acontece porque a conta de usuário do ex-funcionário está desabilitada ou excluída no Microsoft Entra ID, o que impede a consulta ao site pela revisão de acesso. Este artigo explica a causa raiz, fornece um checklist passo a passo para restaurar a visibilidade da revisão e aborda padrões de falha relacionados que você pode encontrar durante o processo.
Principais conclusões: Restaurar a visibilidade da revisão de acesso para o OneDrive de um ex-funcionário
- Centro de administração do Microsoft Entra > Usuários > Usuários excluídos: Restaure o objeto de usuário do ex-funcionário antes que a janela de exclusão reversível de 30 dias expire para reabilitar as consultas da revisão de acesso.
- Centro de administração do OneDrive > Usuário > Acesso > Adicionar usuário externo: Conceda ao revisor de acesso permissões explícitas no nível do site quando o objeto de usuário não puder ser restaurado.
- Centro de administração do Microsoft 365 > Configuração > Insights da organização > Revisões de acesso: Agende revisões recorrentes apenas para usuários ativos e trate ex-funcionários separadamente para evitar erros de “acesso negado”.
Por que as revisões de acesso mostram acesso negado para o OneDrive de um ex-funcionário
As revisões de acesso do Microsoft Entra dependem do objeto de usuário no diretório para consultar as permissões do site do OneDrive. Quando um administrador exclui ou desabilita a conta de usuário do ex-funcionário, o diretório não retorna mais tokens de autenticação válidos para essa identidade. O mecanismo de revisão de acesso recebe então uma resposta de “acesso negado” porque o site não pode confirmar as permissões do revisor em relação a um objeto de usuário inexistente ou desabilitado.
O site do OneDrive em si permanece acessível se você tiver um link direto, mas a ferramenta de revisão de acesso usa a identidade do revisor para enumerar permissões. Se a conta do revisor não tiver direitos explícitos de Administrador da Coleção de Sites nesse OneDrive, a revisão falha. A herança de permissão padrão para o OneDrive de um ex-funcionário é quebrada quando o usuário é excluído, deixando apenas o administrador da coleção de sites como um caminho de acesso válido.
Detalhe técnico importante: Exclusão reversível vs. exclusão permanente
Quando você exclui um usuário do centro de administração do Microsoft 365, o objeto de usuário entra em um estado de exclusão reversível no Entra ID por 30 dias. Durante essa janela, você pode restaurar o objeto de usuário e a revisão de acesso do OneDrive funcionará novamente. Após 30 dias, o usuário é removido permanentemente e o OneDrive se torna órfão. As revisões de acesso não podem consultar sites órfãos sem atribuição manual de permissões.
Checklist para corrigir acesso negado em revisões de acesso para ex-funcionários
Siga estas etapas em ordem. Cada etapa resolve uma camada da falha na revisão de acesso.
- Restaure a conta de usuário do ex-funcionário se ainda estiver na janela de exclusão reversível
Acesse o centro de administração do Microsoft Entra em https://entra.microsoft.com. Selecione Identidade > Usuários > Usuários excluídos. Encontre o nome principal de usuário do ex-funcionário. Selecione o usuário e clique em Restaurar usuário. Aguarde cinco minutos para a replicação do diretório. A ferramenta de revisão de acesso agora poderá consultar o site do OneDrive. - Atribua o revisor de acesso como Administrador da Coleção de Sites
Abra o centro de administração do SharePoint em https://admin.microsoft.com/SharePoint. Selecione Sites ativos e localize o site do OneDrive do ex-funcionário (a URL termina com /personal/ seguido pelo nome do usuário). Selecione o site e clique em Permissões na barra de comandos. Clique em Adicionar usuários, insira o endereço de e-mail do revisor de acesso e selecione Administrador da Coleção de Sites como nível de permissão. Clique em Adicionar. Isso concede ao revisor acesso direto para enumerar as permissões do site. - Execute novamente a revisão de acesso
Acesse o centro de administração do Microsoft 365 em https://admin.microsoft.com. Expanda Configuração e selecione Insights da organização. Em Revisões de acesso, localize a revisão que falhou. Clique no nome da revisão e depois em Iniciar ou Executar agora. A revisão agora deve carregar as permissões do OneDrive sem erro de acesso negado. - Se o usuário foi excluído permanentemente, conceda permissões explícitas ao revisor
Quando o objeto de usuário é removido permanentemente, você não pode restaurá-lo. No centro de administração do SharePoint, selecione o site do OneDrive órfão. Clique em Permissões e depois em Adicionar usuários. Adicione o revisor de acesso como Administrador da Coleção de Sites conforme descrito na etapa 2. A ferramenta de revisão agora terá as permissões necessárias para consultar o site. - Remova as permissões do revisor após a conclusão da revisão
Após a revisão de acesso terminar, volte ao centro de administração do SharePoint, selecione o site do OneDrive, clique em Permissões, selecione o nome do revisor e clique em Remover permissões de usuário. Isso evita acesso residual aos dados do ex-funcionário.
Se as revisões de acesso ainda mostrarem acesso negado após a correção principal
O site do OneDrive está em uma localização geográfica diferente
Para locatários com várias regiões geográficas, a ferramenta de revisão de acesso pode não rotear corretamente para a localização geográfica do site. Confirme se a conta do revisor tem as permissões de localização geográfica corretas. Acesse o centro de administração do SharePoint, selecione Localizações geográficas e verifique se o perfil de usuário do revisor está atribuído à mesma localização geográfica do site do OneDrive. Caso contrário, atualize a localização de dados preferida do revisor no Microsoft Entra ID em Usuários > Propriedades do usuário > Localização de uso.
A revisão foi criada com um usuário excluído como revisor
Se a própria revisão de acesso foi atribuída ao ex-funcionário como revisor, a revisão falhará porque o objeto de usuário não existe mais. Edite a revisão no centro de administração do Microsoft 365 em Revisões de acesso. Altere o campo de revisor para uma conta de usuário ativa. Salve a revisão e reinicie-a.
O site do OneDrive tem herança de permissão personalizada
Se o OneDrive do ex-funcionário tiver herança de permissão quebrada, a ferramenta de revisão de acesso pode não conseguir enumerar todas as permissões exclusivas. No centro de administração do SharePoint, selecione o site e clique em Permissões. Clique em Gerenciar herança de permissões e selecione Herdar permissões do pai. Isso restaura a herança padrão e permite que a ferramenta de revisão consulte todas as permissões no site.
Revisão de usuário ativo vs. revisão de ex-funcionário: principais diferenças
| Item | Revisão de usuário ativo | Revisão de ex-funcionário |
|---|---|---|
| Status do objeto de usuário | Habilitado e ativo no Entra ID | Desabilitado ou excluído |
| Comportamento da revisão de acesso | Consulta permissões do site automaticamente | Exibe acesso negado a menos que o revisor tenha direitos de administrador do site explícitos |
| Permissões necessárias | Revisor precisa da função de administrador do SharePoint ou administrador global | Revisor precisa ser Administrador da Coleção de Sites no OneDrive específico |
| Agenda de revisão recomendada | Trimestral ou semestral | Execute imediatamente após o desligamento e antes da exclusão do usuário |
Esta tabela esclarece por que o erro de acesso negado ocorre apenas para ex-funcionários. Para usuários ativos, o diretório retorna um objeto de usuário válido que a ferramenta de revisão pode usar para consultar permissões. Para ex-funcionários, o objeto de usuário ausente ou desabilitado força a atribuição manual de permissões ao revisor.
Agora você pode restaurar um usuário com exclusão reversível, atribuir o revisor como Administrador da Coleção de Sites e executar novamente a revisão de acesso para limpar o erro de acesso negado. Em seguida, considere automatizar o processo de desligamento com um fluxo de trabalho de ciclo de vida no Microsoft Entra ID Governance que acione uma revisão de acesso antes que a conta de usuário seja excluída. Uma dica avançada é usar a API do Microsoft Graph com o endpoint beta/accessReviews para atribuir programaticamente o revisor como administrador do site quando um usuário for excluído, eliminando completamente as etapas manuais.