Quando usuários iOS tocam no botão de upload no Safari ou em outro navegador e veem uma página de login do OneDrive para o locatário errado do Microsoft 365, os uploads de arquivos falham ou vão para a organização errada. Isso acontece porque o Safari do iOS e muitos navegadores de terceiros armazenam em cache o estado de autenticação de uma sessão anterior, especialmente quando um usuário fez login em vários locatários. Este artigo explica por que o Safari redireciona para o locatário errado e fornece um checklist de correções do lado do administrador e do usuário para garantir que os uploads web sempre atinjam o locatário correto do OneDrive.
Principais conclusões: corrigindo upload web no iOS para o locatário errado do OneDrive
- Ajustes > Safari > Limpar Histórico e Dados de Sites: Remove tokens de autenticação em cache que causam erros de redirecionamento de locatário.
- Central de administração do Microsoft 365 > Configurações > Configurações da organização > Segurança e privacidade > Métodos de autenticação: Configure políticas de sessão em todo o locatário para limitar o tempo de vida do token e evitar o reuso de tokens entre locatários.
- Azure AD > Aplicativos empresariais > Microsoft Office 365 > Logon único: Force o SSO iniciado pelo IdP com um domínio específico do locatário para forçar o locatário correto em cada solicitação de autenticação.
Por que o Safari no iOS redireciona uploads web para o locatário errado
Quando um usuário iOS toca no botão de upload em um site que se integra ao OneDrive, o Safari ou o navegador incorporado abre uma página de autenticação da Microsoft. O Safari armazena cookies e tokens de autenticação em seu armazenamento de dados compartilhado. Se o usuário fez login anteriormente em um locatário diferente do Microsoft 365 — por exemplo, uma conta pessoal da Microsoft ou uma segunda conta de trabalho — o Safari pode apresentar o token em cache desse outro locatário em vez de solicitar credenciais. A plataforma de identidade da Microsoft vê um token válido e faz login silenciosamente do usuário no locatário errado. Isso não é um bug no OneDrive; é um efeito colateral de como o Safari lida com múltiplas sessões de provedores de identidade e a ausência de um domínio específico do locatário na solicitação de autenticação.
O papel do armazenamento compartilhado de cookies do Safari
O Safari no iOS usa um único armazenamento de cookies e tokens para toda a navegação. Quando um usuário se autentica no locatário A, o token é armazenado e reutilizado para qualquer solicitação de autenticação subsequente da Microsoft que não especifique um ID de locatário ou domínio verificado. O fluxo de upload web normalmente usa o endpoint comum (login.microsoftonline.com/common), que não força um locatário específico. Como resultado, o Safari silenciosamente seleciona o token do locatário A mesmo quando o usuário pretende fazer upload para o locatário B.
Por que isso afeta mais usuários iOS do que usuários de desktop
Navegadores de desktop, especialmente Chrome e Edge, usam armazenamento isolado por site e contêineres de perfil separados que reduzem o reuso de tokens entre locatários. O Safari no iOS não oferece um contêiner por site. Além disso, usuários iOS frequentemente alternam entre contas pessoais e de trabalho no mesmo dispositivo, tornando o problema mais frequente. O aplicativo móvel do OneDrive não tem esse problema porque usa a Microsoft Authentication Library com um ID de cliente e URI de redirecionamento específicos do locatário.
Checklist do administrador: forçar o locatário correto para uploads web no iOS
Use este checklist para reduzir ou eliminar o redirecionamento para o locatário errado para usuários iOS. Cada item aborda uma camada diferente do fluxo de autenticação.
1. Impor endpoints de autenticação específicos do locatário
- Substitua o endpoint comum pelo ID do seu locatário
Em qualquer aplicativo web ou página do SharePoint que acione uploads do OneDrive, altere a URL de autenticação dehttps://login.microsoftonline.com/commonparahttps://login.microsoftonline.com/seulocatario.onmicrosoft.comouhttps://login.microsoftonline.com/seuIDdolocatario. Isso força a plataforma de identidade a aceitar apenas tokens emitidos para seu locatário. - Atualize os registros de aplicativo no Azure AD
Vá para Azure AD > Registros de aplicativo > Seu aplicativo > Autenticação. Na seção URIs de redirecionamento, garanta que os URIs usem seu domínio específico do locatário. Remova qualquer URI que use o endpoint comum.
2. Configurar políticas de token de sessão
- Defina o tempo de vida do token para uma duração mais curta
No Azure AD > Segurança > Acesso Condicional > Sessão > Frequência de login, defina um valor como 1 hora. Isso força o Safari a reautenticar com mais frequência, reduzindo a chance de um token obsoleto de outro locatário ser reutilizado. - Habilite a proteção de token para sessões de login
No Azure AD > Segurança > Acesso Condicional > Sessão > Proteção de token, habilite a vinculação de token ao dispositivo. Isso impede que tokens sejam usados em um dispositivo ou sessão de navegador diferente.
3. Usar o Microsoft Intune para gerenciar configurações do navegador
- Implante uma política de navegador gerenciado
Se sua organização usa o Intune, envie o Microsoft Edge para iOS como navegador gerenciado. No Intune > Aplicativos > Políticas de configuração de aplicativos, crie uma política para o Edge que force a autenticação através do endpoint específico do seu locatário. - Bloqueie o Safari de acessar recursos de trabalho
No Intune > Acesso Condicional > Aplicativos cliente, defina a política para exigir um aplicativo cliente aprovado. Isso bloqueia o Safari e força os usuários a usar o Edge ou o aplicativo móvel do OneDrive para uploads web.
4. Educar os usuários sobre limpeza manual de cache
- Instrua os usuários a limpar os dados do Safari antes do upload
Diga aos usuários para irem em Ajustes > Safari > Limpar Histórico e Dados de Sites em seus dispositivos iOS. Isso remove todos os tokens de autenticação em cache e força um novo login. Os usuários devem fechar e reabrir o Safari após limpar os dados. - Oriente os usuários a usar o aplicativo móvel do OneDrive
Uploads web não são o método principal de upload para iOS. Instrua os usuários a instalar o aplicativo OneDrive da App Store e usar o recurso de upload integrado, que sempre atinge o locatário correto.
Se os usuários ainda virem o locatário errado após as correções
Upload web do OneDrive redireciona para uma conta pessoal em vez da conta de trabalho
Isso ocorre quando o Safari tem um token em cache para uma Conta Microsoft (MSA) e a solicitação de autenticação não especifica o locatário de trabalho. A correção é impor o endpoint específico do locatário conforme descrito no passo 1 do checklist. Se o problema persistir, peça ao usuário para sair de todas as contas Microsoft no Safari acessando login.microsoftonline.com e clicando em Sair de todos os lugares.
Usuários iOS não conseguem acessar o OneDrive via Safari
Se o Safari bloquear a página de autenticação devido a políticas de Acesso Condicional que exigem um navegador gerenciado, os usuários podem ver um erro em vez da página de login. Nesse caso, o usuário deve mudar para o Microsoft Edge para iOS ou usar o aplicativo OneDrive. Verifique se a política de Acesso Condicional não bloqueia acidentalmente todo o acesso ao navegador sem fornecer uma alternativa.
O aplicativo móvel do OneDrive também abre o locatário errado
O aplicativo OneDrive usa a Microsoft Authentication Library e deve sempre atingir o locatário associado à conta com a qual o usuário fez login. Se o aplicativo mostrar o locatário errado, provavelmente o usuário fez login no aplicativo com uma conta diferente. Vá para as configurações do aplicativo, toque no nome da conta e selecione Sair. Em seguida, faça login novamente com a conta de trabalho correta. Isso não é um problema de cache do Safari.
Upload web via Safari vs aplicativo móvel OneDrive: principais diferenças
| Item | Upload web via Safari | Aplicativo móvel OneDrive |
|---|---|---|
| Método de autenticação | Cookies e tokens do navegador | Microsoft Authentication Library com ID de cliente específico do locatário |
| Direcionamento de locatário | Depende do token em cache; pode redirecionar para o locatário errado | Sempre atinge o locatário da conta conectada |
| Limpeza de cache | Requer limpeza manual do histórico e dados do Safari | Sair e entrar novamente nas configurações do aplicativo |
| Suporte a Acesso Condicional | Bloqueado se a política exigir navegador gerenciado | Totalmente suportado com verificações de conformidade do dispositivo |
| Limite de tamanho de upload de arquivo | 100 MB por arquivo no Safari | 250 GB por arquivo no aplicativo |
| Upload offline | Não suportado | Suportado com sincronização automática quando online |
Agora você pode identificar por que uploads web no iOS redirecionam para o locatário errado do OneDrive e aplicar as correções do lado do administrador no Azure AD, Acesso Condicional e Intune. Comece atualizando o endpoint de autenticação para o domínio específico do seu locatário em qualquer aplicativo web que acione uploads do OneDrive. Para uma experiência mais confiável, direcione os usuários iOS para o aplicativo móvel do OneDrive, que evita completamente problemas de cache do navegador. Como etapa avançada, considere implantar o Microsoft Edge para iOS com uma política de configuração específica do locatário para eliminar o Safari do fluxo de trabalho.