Quando um contratante sai ou é removido, os administradores de TI geralmente precisam conceder a um gerente ou delegado acesso ao OneDrive do ex-funcionário. O fluxo de trabalho interno no centro de administração do Microsoft 365 deve encaminhar a solicitação de acesso para a pessoa correta. No entanto, muitos administradores relatam que a solicitação de acesso vai para o aprovador errado, atrasando a limpeza e a recuperação de dados. Esse problema geralmente ocorre porque o proprietário do OneDrive de destino tem um gerente diferente atribuído no diretório do Microsoft 365 do que o esperado, ou porque as configurações de delegação no portal de administração estão mal configuradas. Este artigo explica por que a solicitação de aprovação é mal direcionada e fornece correções passo a passo para encaminhar a solicitação para a pessoa correta.
O fluxo de trabalho de aprovação depende do atributo de gerente no Azure Active Directory. Se o campo de gerente estiver vazio, desatualizado ou apontar para um usuário que não existe mais, o sistema recorre a um aprovador padrão. Além disso, as configurações do centro de administração do OneDrive podem substituir a cadeia de aprovação padrão. Entender essas duas causas raiz é essencial para resolver o problema de roteamento.
Este artigo aborda a causa técnica de aprovações mal direcionadas, as etapas para verificar e corrigir o atributo de gerente e como configurar as configurações de aprovação do centro de administração. Também inclui uma comparação dos dois principais métodos de aprovação e soluções para padrões de falha relacionados.
Principais conclusões: Corrigindo o roteamento de aprovação de acesso ao OneDrive
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Gerente: O atributo de gerente no objeto de usuário do ex-funcionário determina o aprovador padrão. Verifique e atualize este campo.
- Centro de administração do OneDrive > Gerenciamento de acesso > Delegação: Substitui a cadeia de aprovação padrão. Defina a delegação para um grupo ou usuário específico para garantir o roteamento correto.
- Sincronização do Azure AD Connect: Se os dados do gerente vierem do Active Directory local, um erro de sincronização ou atributo desatualizado pode causar o aprovador errado. Force uma sincronização ou atualize a origem.
Por que a solicitação de aprovação vai para o aprovador errado
O fluxo de trabalho de aprovação do Microsoft 365 para conceder acesso ao OneDrive de um ex-funcionário usa uma cadeia de três opções de fallback. O sistema primeiro verifica o atributo gerente no objeto de usuário do ex-funcionário no Azure Active Directory. Se o campo de gerente estiver preenchido e o usuário gerente estiver ativo, a solicitação é enviada para essa pessoa. Se o campo de gerente estiver vazio, o sistema verifica as configurações de delegação no centro de administração do OneDrive. Se nenhuma delegação estiver configurada, a solicitação é enviada para o grupo de administradores globais.
A causa mais comum de roteamento incorreto é um atributo de gerente incorreto ou ausente. Por exemplo, um contratante pode ter sido atribuído a um gerente que saiu da empresa, ou o campo de gerente nunca foi preenchido durante a integração. Outra causa frequente é uma configuração de delegação desatualizada que aponta para um usuário ou grupo que não existe mais ou tem as permissões erradas.
Uma causa menos óbvia é um atraso na sincronização de diretório. Se você usa o Azure AD Connect para sincronizar usuários do Active Directory local, o atributo de gerente pode não ter sido sincronizado corretamente. A solicitação de aprovação é gerada com base nos dados no Azure AD no momento em que a solicitação é enviada. Se a sincronização estiver travada ou o atributo não estiver mapeado, o aprovador errado é selecionado.
Etapas para encaminhar a solicitação de aprovação para o aprovador correto
- Verifique o atributo de gerente no objeto de usuário do ex-funcionário
Vá para o centro de administração do Microsoft 365 em admin.microsoft.com. Selecione Usuários > Usuários ativos. Encontre a conta do ex-funcionário e clique para abrir o painel de detalhes. Selecione a guia Correio e localize o campo Gerente. Se o gerente estiver incorreto ou em branco, clique em Editar e selecione a pessoa correta no diretório. Salve a alteração. - Verifique se o gerente é um usuário ativo com uma licença válida
O gerente deve ser um usuário ativo com uma licença válida do Microsoft 365. Se a conta do gerente estiver desabilitada ou sem licença, a solicitação de aprovação não chegará até ele. Vá para Usuários > Usuários ativos e confirme o status da conta do gerente. Se necessário, reative a conta ou atribua uma licença. - Force uma sincronização do Azure AD Connect se estiver usando Active Directory local
Se sua organização sincroniza usuários do Active Directory local, a atualização do atributo de gerente pode não aparecer imediatamente. No servidor do Azure AD Connect, abra o PowerShell como administrador e executeStart-ADSyncSyncCycle -PolicyType Delta. Aguarde cinco minutos e verifique novamente o atributo de gerente no centro de administração do Microsoft 365. - Configure as configurações de delegação do centro de administração do OneDrive
Vá para o centro de administração do OneDrive em admin.onedrive.com. Selecione Gerenciamento de acesso na navegação à esquerda. Em Delegação, selecione Permitir delegação e escolha Usuários ou grupos específicos. Insira o endereço de email do aprovador correto ou um grupo de segurança que contenha o aprovador. Clique em Salvar. Essa configuração substitui o atributo de gerente para todas as solicitações de acesso futuras. - Envie uma nova solicitação de acesso após atualizar as configurações
Depois de corrigir o atributo de gerente ou a configuração de delegação, vá para o centro de administração do Microsoft 365. Selecione Usuários > Usuários ativos, clique no nome do ex-funcionário e selecione OneDrive. Clique em Obter acesso aos arquivos. A solicitação de aprovação agora deve ser enviada para o aprovador correto. Confirme verificando a caixa de entrada de email do aprovador para a solicitação.
Se a solicitação de aprovação ainda for para o aprovador errado
A atualização do atributo de gerente não foi aplicada
Se o gerente parecer correto no centro de administração, mas a solicitação ainda for para a pessoa errada, a alteração pode não ter sido propagada. O Azure AD pode levar até 30 minutos para ser totalmente atualizado. Aguarde e tente novamente. Se o problema persistir, verifique o Log de auditoria no centro de conformidade para erros relacionados à atualização do objeto de usuário.
A configuração de delegação não está sendo respeitada
As configurações de delegação no centro de administração do OneDrive se aplicam apenas a novas solicitações de acesso. Se uma solicitação anterior já foi enviada e rejeitada ou expirou, a configuração de delegação pode não entrar em vigor para esse usuário específico. Cancele quaisquer solicitações pendentes e envie uma nova. Para cancelar, vá para Centro de administração do OneDrive > Gerenciamento de acesso > Solicitações e exclua a solicitação pendente.
O OneDrive do ex-funcionário está em um locatário diferente
Se o contratante tinha uma conta de convidado em seu locatário, mas o OneDrive está no locatário de origem, o fluxo de trabalho de aprovação não se aplica. Você não pode conceder acesso por meio do centro de administração do Microsoft 365. Em vez disso, o administrador do locatário de origem do contratante deve conceder acesso diretamente. Esse cenário é comum com contratantes externos que foram convidados como convidados.
A solicitação de aprovação vai para um grupo que não existe mais
Se a configuração de delegação apontar para um grupo de segurança que foi excluído, a solicitação não será enviada para ninguém. Verifique a configuração de delegação no centro de administração do OneDrive e certifique-se de que o grupo ainda existe e contém os membros corretos. Se o grupo foi excluído, atualize a delegação para um grupo ou usuário válido.
Atributo de Gerente vs Configuração de Delegação: Comparação de Roteamento de Aprovação
| Item | Atributo de Gerente | Configuração de Delegação |
|---|---|---|
| Local de configuração | Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Campo Gerente | Centro de administração do OneDrive > Gerenciamento de acesso > Delegação |
| Prioridade de aprovação | Verificado primeiro pelo fluxo de trabalho | Verificado apenas se o atributo de gerente estiver vazio ou inválido |
| Escopo | Aplica-se por usuário individual | Aplica-se a todos os usuários sem um gerente válido |
| Melhor para | Organizações com dados de diretório precisos | Organizações com muitos contratantes ou convidados |
| Limitação | Requer atualização manual para cada usuário | Substitui a cadeia de gerente para todos os usuários |
Quando a solicitação vai para o aprovador errado, primeiro corrija o atributo de gerente. Se isso não funcionar ou for impraticável para muitos usuários, configure a configuração de delegação para uma pessoa ou grupo específico. Ambos os métodos podem ser usados juntos para máximo controle.
Agora você pode encaminhar solicitações de acesso ao OneDrive para o aprovador correto atualizando o atributo de gerente ou a configuração de delegação. Como próximo passo, revise os atributos de gerente de todas as contas de contratantes para evitar roteamento incorreto no futuro. Para limpeza em grande escala, considere usar o PowerShell para atualizar em massa o campo de gerente com o cmdlet Set-AzureADUserManager. Essa abordagem garante que cada contratante tenha um aprovador válido antes da data de saída.