Quando um ex-funcionário sai da organização, muitas vezes você precisa acessar rapidamente os arquivos do OneDrive dele para resposta a incidentes ou eDiscovery. Mas se a solicitação de acesso vai para o aprovador errado, você não consegue obter os arquivos quando precisa. Isso acontece porque o OneDrive atribui um administrador de conjunto de sites padrão com base no campo de gerente do usuário no Microsoft Entra ID. Este artigo explica por que a pessoa errada recebe a solicitação de aprovação e fornece um checklist passo a passo para corrigir o problema e evitar que ele se repita.
Principais Conclusões: Corrigindo o Aprovador Errado para Acesso ao OneDrive de Ex-Funcionário
- Microsoft Entra ID > Usuários > Campo Gerente: O OneDrive usa esse campo para determinar o administrador de conjunto de sites padrão que recebe as solicitações de aprovação de acesso.
- Centro de administração do SharePoint > Perfis de usuário > Gerenciar perfis de usuário: Você pode substituir o aprovador padrão editando diretamente os administradores de conjunto de sites do OneDrive do ex-funcionário.
- Centro de administração do Microsoft 365 > Configuração > Insights da organização: Use isso para auditar e verificar qual gerente está atribuído antes de desprovisionar um usuário.
Por que as Solicitações de Acesso ao OneDrive Vão para o Aprovador Errado
O OneDrive for Business herda o administrador de conjunto de sites da propriedade de gerente do usuário no Microsoft Entra ID. Quando você exclui ou desabilita uma conta de usuário, o OneDrive não reatribui automaticamente o administrador de conjunto de sites. Se o campo de gerente estiver desatualizado, vazio ou apontar para alguém fora da equipe de resposta a incidentes, a solicitação de acesso será enviada para essa pessoa incorreta. Isso não é um bug. É por design para simplificar o provisionamento inicial, mas se torna um problema durante a resposta a incidentes quando a velocidade é crítica.
O comportamento padrão se aplica apenas quando o campo de gerente está preenchido. Se o campo de gerente estiver em branco, o OneDrive atribui o administrador global como administrador de conjunto de sites. No entanto, em grandes organizações, o administrador global pode não ser o aprovador correto para resposta a incidentes. O resultado é um atraso de horas ou dias enquanto você localiza a pessoa certa para aprovar o acesso.
Como o Campo Gerente Controla o Acesso ao OneDrive
O Microsoft Entra ID armazena o atributo de gerente por usuário. Ao criar um usuário, você pode definir o gerente. O OneDrive usa esse atributo para definir o administrador de conjunto de sites inicial. Se você alterar o gerente no Entra ID posteriormente, o OneDrive não atualiza automaticamente o administrador de conjunto de sites. Você deve atualizar o site do OneDrive diretamente ou usar o PowerShell para alterar o administrador.
Etapas para Redirecionar o Acesso ao OneDrive de Ex-Funcionário para o Aprovador Correto
Siga estas etapas para garantir que as equipes de resposta a incidentes recebam as solicitações de acesso ao OneDrive de ex-funcionários. Execute estas etapas antes de desprovisionar a conta de usuário.
- Verifique o campo de gerente no Microsoft Entra ID
Entre no Centro de administração do Microsoft Entra. Vá para Usuários > Todos os usuários. Selecione a conta do ex-funcionário. Na guia Propriedades, localize o campo Gerente. Se o campo estiver em branco ou apontar para a pessoa errada, anote o valor atual. - Atualize o campo de gerente para o aprovador de resposta a incidentes
Se precisar alterar o gerente, clique em Editar nas propriedades do usuário. No campo Gerente, digite o nome do membro correto da equipe de resposta a incidentes ou do administrador de segurança. Clique em Salvar. Essa alteração entra em vigor imediatamente para provisionamento futuro, mas não atualiza o site do OneDrive existente. - Altere o administrador de conjunto de sites do OneDrive diretamente
Abra o Centro de administração do SharePoint. Vá para Sites ativos. Pesquise o site do OneDrive do ex-funcionário. O formato da URL éhttps://yourtenant-my.sharepoint.com/personal/username_domain_com. Selecione o site e clique em Configurações na barra de ferramentas. Em Permissões, clique em Gerenciar administradores de conjunto de sites. Remova o gerente antigo e adicione o aprovador correto de resposta a incidentes. Clique em Salvar. - Verifique a alteração simulando uma solicitação de acesso
Abra uma janela de navegador privada. Navegue até a URL do OneDrive do ex-funcionário. Clique em Solicitar acesso. Confirme se o e-mail de aprovação é enviado para o novo administrador de conjunto de sites. Se o e-mail for para a pessoa errada, repita a etapa 3 e certifique-se de que salvou a alteração. - Defina uma política de retenção para o site do OneDrive
No Portal de conformidade do Microsoft Purview, vá para Gerenciamento do ciclo de vida de dados > Políticas de retenção do Microsoft 365. Crie uma nova política ou edite uma existente. Adicione o site do OneDrive do ex-funcionário como um local. Defina o período de retenção de acordo com seus requisitos de resposta a incidentes. Isso impede a exclusão automática de arquivos durante a investigação. - Documente a alteração em seu manual de resposta a incidentes
Registre o nome do ex-funcionário, o gerente anterior, o novo aprovador e a data da alteração. Armazene essas informações em um local seguro acessível à equipe de resposta a incidentes. Esta etapa garante que futuros respondedores saibam quem tem acesso.
Se o Acesso ao OneDrive Ainda For para a Pessoa Errada
Mesmo após seguir as etapas acima, você pode perceber que as solicitações de acesso continuam indo para o aprovador errado original. Isso geralmente acontece porque o site do OneDrive do usuário ainda tem permissões em cache ou porque a alteração não foi aplicada ao site correto.
A lista de administradores de conjunto de sites não é atualizada
Se o centro de administração do SharePoint mostrar o gerente antigo mesmo depois de adicionar o novo, aguarde 15 minutos e atualize a página. Se a alteração não aparecer, use o PowerShell para forçar a atualização. Execute o seguinte comando no SharePoint Online Management Shell:
Set-SPOUser -Site "https://yourtenant-my.sharepoint.com/personal/username_domain_com" -LoginName "newapprover@domain.com" -IsSiteCollectionAdmin $true
Em seguida, remova o gerente antigo com Set-SPOUser -Site "..." -LoginName "oldmanager@domain.com" -IsSiteCollectionAdmin $false.
O campo de gerente foi alterado após a exclusão do usuário
Se você já excluiu a conta de usuário do Microsoft Entra ID, não pode editar o campo de gerente diretamente. Nesse caso, você deve usar o centro de administração do SharePoint ou o PowerShell para atualizar os administradores de conjunto de sites. Você não pode confiar no campo de gerente porque o objeto de usuário não existe mais.
Métodos de Acesso ao OneDrive para Ex-Funcionários: Padrão vs Corrigido
| Item | Comportamento Padrão (Aprovador Errado) | Comportamento Corrigido (Aprovador Correto) |
|---|---|---|
| Fonte do aprovador | Campo Gerente no Microsoft Entra ID | Administrador de conjunto de sites definido manualmente |
| Método de atualização | Automático com base no gerente do Entra ID | Centro de administração do SharePoint ou PowerShell |
| Tempo para aplicar | Imediato para novos usuários | 15 minutos para sites existentes |
| Persistência após exclusão do usuário | Campo Gerente se torna não editável | Admin de conjunto de sites permanece até ser alterado |
| Adequação para resposta a incidentes | Ruim, pois o aprovador pode estar indisponível | Boa, pois o aprovador é um respondedor designado |
Use este checklist antes de desprovisionar qualquer usuário que possa precisar de acesso para resposta a incidentes. Atualize o campo de gerente no Entra ID e, em seguida, defina manualmente o administrador de conjunto de sites no centro de administração do SharePoint. Verifique a alteração solicitando acesso de uma conta de teste. Esse processo garante que sua equipe de resposta a incidentes possa acessar os arquivos do OneDrive de ex-funcionários sem atrasos.