Quando um dispositivo Windows compartilhado é iniciado, o OneDrive às vezes faz login com uma conta pessoal da Microsoft em vez da conta corporativa ou de estudante atribuída. Isso acontece porque o comportamento de login automático do OneDrive depende de credenciais em cache de sessões anteriores e, em dispositivos compartilhados, vários perfis de usuário podem deixar tokens conflitantes. Este artigo apresenta um checklist administrativo estruturado para forçar a conta correta do OneDrive em cada inicialização em computadores compartilhados.
A causa raiz é que o OneDrive for Business usa o Gerenciador de Credenciais do Windows e configurações do registro que persistem entre reinicializações. Em um dispositivo usado por várias pessoas, a última conta que fez login pode se tornar o padrão para a inicialização automática. Sem controle de política de grupo ou registro, o OneDrive tentará fazer login com qualquer conta que encontrar primeiro no cache de credenciais.
Este checklist cobre configuração de política de grupo, edições de registro e configurações do Known Folder Move para garantir que o OneDrive sempre inicie com a conta organizacional correta em dispositivos Windows 10 e Windows 11 compartilhados.
Principais Conclusões: Forçar a Conta Correta do OneDrive em Dispositivos Compartilhados
- Política de Grupo > Configuração do Computador > Modelos Administrativos > OneDrive > Impedir o OneDrive de fazer login com uma conta pessoal: Bloqueia contas pessoais da Microsoft de fazer login no OneDrive em dispositivos ingressados no domínio.
- Chave do registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive\DisablePersonalSync: Defina como 1 para aplicar a mesma restrição em dispositivos sem política de grupo.
- Central de administração do OneDrive > Sincronização > Permitir sincronização apenas em PCs ingressados em domínios específicos: Restringe a sincronização do OneDrive a dispositivos que são ingressados no Azure AD ou híbridos.
Por que o OneDrive Escolhe a Conta Errada na Inicialização em Dispositivos Compartilhados
O OneDrive for Business armazena tokens de autenticação no Gerenciador de Credenciais do Windows nas entradas Windows Live ID e MicrosoftOffice16. Em um dispositivo compartilhado, cada usuário que faz login deixa seu próprio conjunto de tokens. Quando o Windows inicia e o OneDrive é executado automaticamente, ele lê o token mais recente ou padrão do Gerenciador de Credenciais. Se o último login interativo foi uma conta pessoal da Microsoft, o OneDrive tentará usar essa conta em vez da conta corporativa ou de estudante atribuída ao usuário atual.
Esse comportamento é proposital para dispositivos de usuário único, mas em estações de trabalho compartilhadas ou computadores de laboratório, cria confusão e possíveis problemas de acesso a dados. Os usuários veem a estrutura de pastas errada do OneDrive, são solicitados a fornecer credenciais repetidamente ou não conseguem sincronizar arquivos porque a conta pessoal não tem acesso aos sites do SharePoint da organização.
A correção requer uma combinação de controles administrativos que impedem o login de conta pessoal, aplicam restrições de sincronização baseadas em domínio e limpam tokens obsoletos no logoff ou na inicialização.
Checklist do Administrador para Forçar a Conta Correta do OneDrive
Etapa 1: Bloquear Contas Pessoais da Microsoft via Política de Grupo
- Abra o Console de Gerenciamento de Política de Grupo
Em um controlador de domínio ou estação de trabalho de gerenciamento, execute gpmc.msc. Crie ou edite um Objeto de Política de Grupo (GPO) vinculado à unidade organizacional que contém os dispositivos compartilhados. - Navegue até o modelo de política do OneDrive
Vá para Configuração do Computador > Modelos Administrativos > OneDrive. Se você não vir a pasta OneDrive, baixe e adicione o modelo administrativo do OneDrive (OneDrive.admx) do centro de download da Microsoft. - Habilite a política para bloquear contas pessoais
Clique duas vezes em Impedir o OneDrive de fazer login com uma conta pessoal. Selecione Habilitado e clique em OK. Essa política define o valor do registro DisablePersonalSync como 1 em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive. - Force uma atualização de política nos dispositivos compartilhados
Em cada máquina de destino, execute gpupdate /force em um prompt de comando elevado. Reinicie o dispositivo para aplicar a política.
Etapa 2: Restringir a Sincronização Apenas a Dispositivos Ingressados no Domínio
- Faça login na central de administração do Microsoft 365
Vá para admin.microsoft.com e navegue até Configurações > Configurações da organização > OneDrive. - Habilite as restrições de sincronização baseadas em domínio
Na guia Sincronização, marque Permitir sincronização apenas em PCs ingressados em domínios específicos. Insira o nome de domínio da sua organização (por exemplo, contoso.com). Salve a configuração. - Verifique se a chave do registro foi definida
Em um dispositivo compartilhado, abra o Editor de Registro e confirme se HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive\AllowTenantList contém o ID do seu locatário ou domínio. Se estiver faltando, a política pode não ter sido aplicada corretamente.
Etapa 3: Limpar Credenciais Obsoletas no Logoff Usando um Script
- Crie um script de logoff
Abra o Bloco de Notas e cole os seguintes comandos:cmdkey /delete:MicrosoftOffice16_Data:ADAL:<SeuTenantID>
cmdkey /delete:MicrosoftOffice16_Data:ADAL:<GUIDContaPessoal>
cmdkey /delete:WindowsLiveID:<EmailPessoal>Substitua os placeholders pelos valores reais. Salve o arquivo como ClearOneDriveCreds.bat.
- Atribua o script via Política de Grupo
No mesmo GPO usado na Etapa 1, vá para Configuração do Usuário > Configurações do Windows > Scripts > Logoff. Clique em Adicionar, navegue até o arquivo batch e clique em OK. Isso executará o script toda vez que um usuário sair. - Teste o script em um único dispositivo
Faça login com uma conta pessoal, saia e faça login com uma conta corporativa. O OneDrive deve solicitar as credenciais corporativas em vez de reutilizar o token pessoal.
Etapa 4: Configurar o OneDrive para Iniciar Apenas para o Usuário Atual
- Desabilite a inicialização do OneDrive por máquina
O OneDrive instala uma entrada de inicialização no registro do usuário atual em HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Em dispositivos compartilhados, certifique-se de que o OneDrive não esteja configurado para ser executado para todos os usuários em HKEY_LOCAL_MACHINE. Exclua qualquer valor do OneDrive em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. - Use um script de inicialização para forçar a conta correta
Crie um script PowerShell que seja executado no logon do usuário:Start-Process "$env:LOCALAPPDATA\Microsoft\OneDrive\OneDrive.exe" -ArgumentList "/background"Implante este script via Política de Grupo em Configuração do Usuário > Configurações do Windows > Scripts > Logon.
Se o OneDrive Ainda Mostrar a Conta Errada Após a Configuração
OneDrive Continua Solicitando Credenciais Após a Aplicação da Política
Se os usuários ainda virem uma solicitação de login para uma conta pessoal, a chave do registro DisablePersonalSync pode não ter sido aplicada corretamente. Abra o Editor de Registro no dispositivo afetado e navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive. Verifique se DisablePersonalSync existe e está definido como 1. Se a chave estiver ausente, execute gpupdate /force novamente e reinicie. Se ainda não aparecer, adicione manualmente o valor DWORD e defina-o como 1.
OneDrive Sincroniza com o Locatário Errado Após a Reinicialização
Isso ocorre quando o dispositivo é ingressado no Azure AD, mas o usuário faz login com uma conta pessoal que estava em cache. A correção é desvincular o OneDrive pessoal completamente. Vá para Configurações do OneDrive > Conta > Desvincular este PC. Em seguida, faça login novamente usando a conta corporativa ou de estudante. Para evitar a recorrência, aplique a política Permitir sincronização apenas em PCs ingressados em domínios específicos na central de administração.
Política de Grupo vs Edição de Registro: Comparação para Controle de Conta em Dispositivos Compartilhados
| Item | Método de Política de Grupo | Método de Edição de Registro |
|---|---|---|
| Escopo de implantação | Aplica-se a todos os dispositivos em uma UO | Aplica-se apenas à máquina local |
| Requer ingresso no domínio | Sim, os dispositivos devem estar ingressados no domínio | Não, funciona em dispositivos de grupo de trabalho |
| Nome da chave ou configuração | Impedir o OneDrive de fazer login com uma conta pessoal | DisablePersonalSync (DWORD, valor 1) |
| Localização | Configuração do Computador > Modelos Administrativos > OneDrive | HKLM\SOFTWARE\Policies\Microsoft\OneDrive |
| Substituição pelo usuário | Não pode ser alterado por um usuário padrão | Não pode ser alterado por um usuário padrão se protegido por ACL |
| Método de atualização | gpupdate /force | Importação manual ou por script do registro |
Após concluir este checklist, o OneDrive em seus dispositivos compartilhados será iniciado com a conta organizacional correta em cada inicialização. Em seguida, revise as configurações do Known Folder Move na central de administração do OneDrive para garantir que Área de Trabalho, Documentos e Imagens sejam redirecionados para o locatário correto. Para ambientes avançados, considere implantar o Windows Autopilot com uma política de preparação de dispositivo que pré-configure o OneDrive antes do primeiro login.