Se você gerencia o OneDrive em uma empresa, pode ser necessário bloquear o acesso de determinadas equipes enquanto mantém o recurso ativo para outras. Por exemplo, um grupo que lida com dados confidenciais pode não ter permissão para sincronizar arquivos no armazenamento pessoal na nuvem. Este artigo explica como desabilitar o OneDrive para um grupo de usuários específico usando Política de Grupo, configurações do centro de administração do Microsoft 365 e PowerShell. Você aprenderá as etapas exatas para segmentar apenas um grupo sem afetar o restante da organização.
Principais Conclusões: Desabilitar o OneDrive para um Grupo Específico
- Política de Grupo > Configuração do Computador > Modelos Administrativos > OneDrive: Use a política “Impedir o uso do OneDrive para armazenamento de arquivos” para desabilitar o aplicativo de sincronização em computadores direcionados.
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > OneDrive > Sincronização: Bloqueie a sincronização para um grupo de segurança inserindo o alias de email no campo “Bloquear sincronização em dispositivos com Windows”.
- SharePoint Online Management Shell > Set-SPOTenantSyncClientRestriction: Cmdlet do PowerShell para aplicar restrições de sincronização no nível do locatário para grupos específicos.
Por que Desabilitar o OneDrive para um Grupo Específico
O OneDrive é habilitado por padrão para todos os usuários em um locatário do Microsoft 365. Quando você precisa restringir o acesso de um grupo específico, não é possível simplesmente desativar o serviço para usuários individuais no centro de administração. O aplicativo de sincronização pode ser bloqueado usando Política de Grupo em dispositivos Windows ingressados no domínio, ou você pode restringir a sincronização no nível do locatário usando o centro de administração do Microsoft 365 ou PowerShell. Cada método atinge uma camada diferente: a Política de Grupo controla a instalação local e o comportamento do cliente de sincronização, enquanto as configurações do centro de administração bloqueiam a capacidade de sincronização para usuários específicos em todos os dispositivos. Escolha o método que se adequa ao seu ambiente e ao nível de controle necessário.
Método 1: Usando Política de Grupo para Desabilitar o OneDrive para um Grupo Específico
A Política de Grupo aplica configurações a computadores em um domínio do Active Directory. Para direcionar um grupo de usuários específico, você cria um Objeto de Política de Grupo, vincula-o a uma unidade organizacional que contém esses usuários e configura a política do OneDrive. Este método impede que o aplicativo de sincronização do OneDrive seja executado nas máquinas direcionadas.
- Baixe os Modelos Administrativos de Política de Grupo do OneDrive
Acesse o Microsoft Download Center e pesquise por “OneDrive Group Policy Administrative Templates.” Baixe os arquivos OneDrive.admx e OneDrive.adml. Copie-os para o Repositório Central no seu controlador de domínio ou para a pasta PolicyDefinitions na máquina local. - Abra o Console de Gerenciamento de Política de Grupo
Em um controlador de domínio ou em uma máquina com as ferramentas RSAT instaladas, pressione Windows + R, digite gpmc.msc e pressione Enter. - Crie um novo GPO
Clique com o botão direito na unidade organizacional que contém os usuários que você deseja bloquear. Selecione Criar um GPO neste domínio e vinculá-lo aqui. Nomeie o GPO, por exemplo, “Bloquear OneDrive para Grupo Financeiro.” - Edite o GPO
Clique com o botão direito no novo GPO e selecione Editar. Navegue até Configuração do Computador > Modelos Administrativos > OneDrive. - Habilite a política
Clique duas vezes em Impedir o uso do OneDrive para armazenamento de arquivos. Selecione Habilitado e clique em OK. - Aplique a filtragem de segurança
No GPMC, selecione o GPO. No painel direito, clique na guia Delegação e depois em Avançado. Remova Usuários Autenticados da lista de Filtragem de Segurança. Adicione o grupo de segurança que não deve usar o OneDrive, por exemplo, “Usuários Financeiros.” Certifique-se de que o grupo tenha permissões Leitura e Aplicar Política de Grupo definidas como Permitir. - Force a atualização da política
Nas máquinas de destino, execute gpupdate /force em um Prompt de Comando elevado. O aplicativo de sincronização do OneDrive parará de funcionar e não será reiniciado.
Método 2: Usando o Centro de Administração do Microsoft 365 para Bloquear a Sincronização de um Grupo
Este método bloqueia o cliente de sincronização de arquivos para usuários específicos, mas não desinstala o aplicativo. Os usuários no grupo bloqueado verão um X vermelho no ícone do OneDrive e receberão uma mensagem de erro ao tentar sincronizar.
- Entre no centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com uma conta de Administrador Global ou Administrador do SharePoint. - Vá para Configurações da organização
Na navegação à esquerda, selecione Configurações e depois Configurações da organização. - Abra as configurações do OneDrive
Role para baixo e clique em OneDrive. - Configure as restrições de sincronização
Na guia Sincronização, localize Bloquear sincronização em dispositivos com Windows. Insira o alias de email do grupo de segurança que você deseja bloquear, por exemplo, “financeiro@contoso.com.” Clique em Salvar. - Aguarde a propagação
As alterações entram em vigor em alguns minutos. Os usuários no grupo especificado verão a mensagem de sincronização bloqueada na próxima vez que fizerem login no OneDrive.
Método 3: Usando PowerShell para Desabilitar a Sincronização do OneDrive para um Grupo Específico
O PowerShell oferece controle mais granular e é útil para scripts em vários locatários ou grupos. Você usa o SharePoint Online Management Shell para definir a restrição do cliente de sincronização.
- Instale o SharePoint Online Management Shell
Abra uma janela elevada do PowerShell e execute Install-Module -Name Microsoft.Online.SharePoint.PowerShell. Se solicitado, confirme a instalação. - Conecte-se ao SharePoint Online
Execute Connect-SPOService -Url https://contoso-admin.sharepoint.com. Faça login com uma conta de Administrador do SharePoint ou Administrador Global. - Obtenha as configurações atuais de restrição de sincronização
Execute Get-SPOTenantSyncClientRestriction. Observe o estado atual de ExcludedFileExtensions, BlockMacSync e DomainGuids. - Defina a restrição para o grupo
Execute Set-SPOTenantSyncClientRestriction -BlockSyncOnWindows $true -DomainGuids @(“seu-grupo-guid”). Substitua seu-grupo-guid pelo GUID do grupo de segurança. Para encontrar o GUID, execute Get-AzureADGroup -SearchString “Usuários Financeiros” | Select-Object ObjectId no módulo do Azure AD. - Verifique a restrição
Execute Get-SPOTenantSyncClientRestriction novamente para confirmar as configurações. Os usuários no grupo especificado serão impedidos de sincronizar.
Erros Comuns e Problemas ao Desabilitar o OneDrive para um Grupo
A Política de Grupo não se aplica aos usuários direcionados
Se o GPO usa filtragem de segurança, mas o grupo está aninhado, a política pode não ser aplicada. Certifique-se de que o grupo de segurança seja um membro direto da UO onde o GPO está vinculado. Verifique também se o GPO tem permissões Leitura e Aplicar Política de Grupo para o grupo.
Os usuários ainda podem sincronizar pelo navegador ou aplicativo móvel
Os métodos descritos acima bloqueiam o cliente de sincronização apenas no Windows. Os usuários ainda podem acessar arquivos do OneDrive pelo navegador ou aplicativo móvel. Para bloquear todo o acesso, seria necessário remover a licença do SharePoint Online ou usar políticas de Acesso Condicional no Azure AD.
A restrição de sincronização no centro de administração não mostra o grupo no menu suspenso
O campo no centro de administração espera o alias de email de um grupo de segurança habilitado para email ou um grupo de distribuição. Se o grupo não estiver habilitado para email, a configuração não o aceitará. Crie um grupo de segurança habilitado para email no centro de administração do Exchange ou no Azure AD e adicione os usuários a esse grupo.
Política de Grupo vs Centro de Administração vs PowerShell: Comparação dos Métodos
| Item | Política de Grupo | Centro de Administração do Microsoft 365 | PowerShell |
|---|---|---|---|
| Alvo | Computadores em uma UO | Usuários em um grupo de segurança habilitado para email | Usuários em um grupo de segurança por GUID |
| Escopo | Dispositivos Windows locais ingressados no domínio | Todos os dispositivos Windows, incluindo não ingressados no domínio | Todos os dispositivos Windows no locatário |
| Requer Active Directory local | Sim | Não | Não |
| Desinstala o aplicativo de sincronização | Não, apenas bloqueia o uso | Não, apenas bloqueia a sincronização | Não, apenas bloqueia a sincronização |
| Tempo de propagação | Após gpupdate ou reinicialização | Alguns minutos | Imediato |
Escolha a Política de Grupo se você gerencia dispositivos em um domínio e precisa impor a configuração no nível da máquina. Escolha o centro de administração ou o PowerShell se você gerencia usuários diretamente no Microsoft 365 e deseja bloquear a sincronização em todos os dispositivos sem tocar na Política de Grupo local.
Agora você pode desabilitar o OneDrive para um grupo de usuários específico usando Política de Grupo, o centro de administração do Microsoft 365 ou PowerShell. Comece identificando o grupo que precisa de acesso restrito. Em seguida, aplique o método que se adequa à sua infraestrutura. Para uma solução mais permanente, considere usar políticas de Acesso Condicional para bloquear todo o acesso ao OneDrive e SharePoint para esse grupo, deixando apenas o acesso pela web, se necessário.