Quando a solicitação de acesso ao OneDrive de um ex-funcionário vai para o aprovador errado durante uma transferência de departamento, o fluxo de aprovação trava e o novo gerente não consegue acessar arquivos críticos. Isso ocorre porque a lógica de delegação padrão do Microsoft 365 atribui a solicitação ao gerente original listado no Azure Active Directory ou no Active Directory local, não ao novo gerente após a transferência. Este artigo explica por que a rota de aprovação quebra após uma mudança de departamento e fornece correções passo a passo para redirecionar a solicitação ao aprovador correto.
Principais conclusões: corrigindo aprovador errado para acesso ao OneDrive de ex-funcionário
- Central de administração > Usuários > Usuários ativos > campo Gerente: O atributo de gerente no Azure AD determina quem recebe a solicitação de aprovação de acesso ao OneDrive; atualize-o primeiro após uma transferência de departamento.
- Central de administração do Microsoft 365 > Configurações > Configurações da organização > OneDrive > Notificar aprovadores: Configura quais usuários recebem solicitações de acesso ao OneDrive de ex-funcionários, substituindo a lógica padrão do gerente.
- Cmdlet do PowerShell Set-SPOTenant -NotifyOwnersWhenInvitationsAccepted: Controla o comportamento de notificação em todo o locatário para solicitações de acesso ao OneDrive e pode redirecionar aprovações para um administrador global ou grupo de segurança.
Por que a aprovação de acesso ao OneDrive vai para a pessoa errada após uma transferência de departamento
Quando um usuário sai da organização, o Microsoft 365 retém o site do OneDrive for Business por 30 dias por padrão. Durante esse período, gerentes ou administradores delegados podem solicitar acesso aos arquivos do ex-funcionário. A solicitação de aprovação é enviada para o usuário listado como Gerente no Azure Active Directory. Se a transferência de departamento do ex-funcionário foi processada no sistema de RH, mas o atributo Gerente não foi atualizado no Azure AD, a solicitação vai para o gerente antigo.
O OneDrive usa um modelo de delegação que depende do atributo gerente sincronizado do Active Directory local ou definido diretamente no Azure AD. Quando ocorre uma transferência de departamento, o sistema de RH atualiza o departamento e o cargo do usuário, mas a atribuição do gerente muitas vezes permanece inalterada até que um administrador de TI a atualize manualmente. A solicitação de aprovação para acesso ao OneDrive é enviada por e-mail para o gerente listado no perfil do usuário. Se esse gerente também tiver saído da empresa ou não for mais relevante, a solicitação vai para uma caixa de entrada inválida ou errada.
Além disso, o recurso de solicitação de acesso ao OneDrive na central de administração do SharePoint tem uma configuração chamada Notificar aprovadores. Por padrão, essa configuração envia notificações para o gerente do usuário. Se o atributo de gerente estiver desatualizado, a notificação nunca chega ao aprovador correto. A solicitação fica pendente até que um administrador intervenha ou o período de retenção de 30 dias expire, causando risco de perda de dados.
Passos para redirecionar solicitações de acesso ao OneDrive para o aprovador correto
- Atualize o atributo Gerente no Azure Active Directory
Entre na Central de administração do Microsoft 365 em admin.microsoft.com. Vá para Usuários > Usuários ativos. Selecione a conta do ex-funcionário. No painel direito, clique na guia Gerente. Clique em Editar, pesquise o nome do novo gerente e selecione-o. Clique em Salvar. Essa alteração atualiza o atributo de gerente no Azure AD, que é a fonte de verdade para o roteamento de aprovação do OneDrive. - Verifique a alteração do gerente no Azure AD
Abra a Central de administração do Azure Active Directory em entra.microsoft.com. Vá para Usuários > Todos os usuários. Selecione a conta de usuário do ex-funcionário. Na seção Gerente, confirme se o novo gerente está listado. Se a alteração não foi propagada, force uma sincronização do seu Active Directory local se você usar identidade híbrida, ou aguarde até 30 minutos para a replicação do Azure AD. - Configure notificações de solicitação de acesso ao OneDrive na central de administração do SharePoint
Na Central de administração do SharePoint em admin.microsoft.com/SharePoint, vá para Políticas > Controle de acesso. Em Solicitações de acesso ao OneDrive, clique em Notificar aprovadores. Selecione Pessoas específicas e insira os endereços de e-mail dos aprovadores corretos, como o novo gerente ou uma caixa de correio compartilhada. Clique em Salvar. Isso substitui o roteamento padrão baseado em gerente para todas as solicitações de acesso futuras. - Use o PowerShell para definir o roteamento de aprovação em nível de locatário
Abra o SharePoint Online Management Shell como administrador. ExecuteConnect-SPOService -Url https://[tenant]-admin.sharepoint.com. Em seguida, executeSet-SPOTenant -NotifyOwnersWhenInvitationsAccepted $truepara habilitar notificações. Para redirecionar todas as solicitações para um grupo de segurança, executeSet-SPOTenant -RequireAcceptingAccountMatchInvitedAccount $true. Isso garante que apenas o grupo especificado possa aprovar o acesso. - Force uma nova tentativa de solicitações de acesso pendentes
Se houver uma solicitação de acesso pendente anterior à alteração do gerente, o novo gerente pode não vê-la. Acesse o site do OneDrive do ex-funcionário diretamente usando o padrão de URLhttps://[tenant]-my.sharepoint.com/personal/[user]_[domain]_com. Navegue até Configurações do site > Permissões do site > Solicitações de acesso e convites. Reenvie a solicitação pendente para o gerente atualizado clicando em Reenviar convite.
Se o OneDrive ainda rotear para o aprovador errado após as correções
A solicitação de acesso ao OneDrive vai para um usuário excluído
Se o gerente antigo do ex-funcionário foi excluído do Azure AD, a solicitação de aprovação pode ir para um endereço de e-mail inválido. Para corrigir, restaure a conta do gerente excluído na Central de administração do Azure AD > Usuários > Usuários excluídos. Alternativamente, siga o Passo 3 acima para configurar Pessoas específicas na central de administração do SharePoint para ignorar completamente o atributo de gerente.
A solicitação de acesso ao OneDrive vai para um usuário em um departamento diferente
Isso acontece quando o atributo de gerente não foi atualizado após uma transferência de departamento. Use o módulo Microsoft Graph PowerShell para atualizar em massa os atributos de gerente de vários usuários transferidos. Execute Get-MgUser -Filter "Department eq 'OldDept'" | Update-MgUser -ManagerId 'NewManagerID'. Este script atualiza todos os usuários no departamento antigo para reportar ao gerente correto.
A notificação de solicitação de acesso ao OneDrive nunca chega
O e-mail de notificação pode ser bloqueado por filtros de spam ou o site do OneDrive do ex-funcionário pode ter sido excluído. Verifique a Central de administração do Exchange > Fluxo de emails > Rastreamento de mensagens para ver se a notificação foi enviada. Se o site foi excluído, você não pode solicitar acesso. Restaure o site do OneDrive dentro de 93 dias na Central de administração do SharePoint > Sites excluídos.
Atributo Gerente vs Notificação para Pessoas Específicas: Principais Diferenças
| Item | Atributo Gerente (Padrão) | Pessoas Específicas (Personalizado) |
|---|---|---|
| Local da configuração | Perfil do usuário no Azure AD > campo Gerente | Central de administração do SharePoint > Controle de acesso > Notificar aprovadores |
| Requisito de atualização | Deve ser atualizado manualmente para cada usuário transferido | Definido uma vez no nível do locatário; aplica-se a todas as solicitações futuras |
| Atribuição do aprovador | Dinâmico com base no atributo de gerente do usuário | Lista estática de endereços de e-mail ou grupo de segurança |
| Melhor para | Pequenas organizações com transferências pouco frequentes | Grandes organizações com mudanças frequentes de departamento |
O método do atributo gerente exige atualizar o perfil de cada usuário após cada transferência. O método de pessoas específicas ignora completamente o atributo de gerente e envia todas as solicitações de acesso para uma equipe designada, como suporte de TI ou uma caixa de correio compartilhada. Para organizações com transferências frequentes de departamento, o método de pessoas específicas reduz a sobrecarga administrativa e evita que solicitações vão para o aprovador errado.
Após atualizar o atributo de gerente ou configurar aprovadores específicos, você pode verificar a alteração enviando uma solicitação de acesso de teste de uma conta secundária para o OneDrive do ex-funcionário. A notificação deve chegar ao aprovador correto em minutos. Para gerenciamento contínuo, considere criar um script do PowerShell que seja executado diariamente para auditar os atributos de gerente de todos os usuários que mudaram de departamento no sistema de RH. Essa abordagem proativa evita atrasos na aprovação e garante a continuidade dos dados durante as transferências de departamento.