Quando um funcionário sai da organização, TI ou RH muitas vezes precisa transferir os arquivos do OneDrive dessa pessoa para um gerente ou substituto. O centro de administração do Microsoft 365 oferece um fluxo de trabalho dedicado para conceder acesso ao OneDrive de um ex-funcionário. No entanto, esse processo pode falhar quando a solicitação de acesso ou a atribuição de delegação vai para o aprovador errado. Em vez de chegar ao gerente de RH ou administrador de TI correto, a solicitação pode ir para um destinatário não intencional, causando atrasos na transferência. Este artigo explica por que o fluxo às vezes roteia incorretamente e fornece correções passo a passo para garantir que a pessoa certa receba a solicitação de aprovação de acesso.
Principais conclusões: Redirecionar solicitações de acesso ao OneDrive para o aprovador de RH correto
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Selecionar usuário > Guia OneDrive: Concede acesso ao OneDrive de um ex-funcionário a um substituto ou gerente específico.
- Centro de administração do SharePoint > Solicitações de acesso > Solicitações pendentes: Lista todas as solicitações de acesso pendentes e permite reatribuí-las ao aprovador correto.
- Azure AD > Usuários > Configurações de usuário > Configurações de colaboração externa: Controla quem pode aprovar solicitações de acesso externo, o que pode substituir o aprovador interno pretendido.
Por que as solicitações de acesso ao OneDrive vão para o aprovador errado
O recurso de delegação de acesso do OneDrive for Business usa o atributo de gerente do ex-funcionário no Azure Active Directory como aprovador padrão. Quando você concede acesso ao OneDrive de um ex-funcionário, o Microsoft 365 envia uma solicitação de aprovação para a pessoa listada como gerente desse usuário. Se o campo de gerente estiver ausente, desatualizado ou apontar para uma pessoa não intencional, a solicitação vai para o aprovador errado.
Além disso, o centro de administração do SharePoint tem suas próprias configurações de solicitação de acesso que podem substituir o roteamento padrão baseado em gerente. Se uma organização configurou as configurações de solicitação de acesso para enviar todas as solicitações para um endereço de e-mail ou grupo específico, o fluxo de delegação pode ignorar o gerente completamente. Por fim, as configurações de colaboração externa no Azure AD podem fazer com que as solicitações sejam roteadas para usuários externos ou aprovadores convidados se a conta do ex-funcionário tiver permissões de convidado ou se as políticas de compartilhamento estiverem mal configuradas.
Como o aprovador padrão é determinado
O aprovador padrão para o acesso ao OneDrive de um ex-funcionário é o usuário listado no campo Gerente do perfil do Azure AD desse funcionário. Esse campo geralmente é preenchido durante a integração do funcionário por meio de sistemas de RH ou atualizações manuais. Se o campo de gerente estiver vazio, o sistema recorre ao administrador do conjunto de sites do site do OneDrive, que geralmente é o próprio funcionário ou um administrador do SharePoint. Nesse cenário, nenhuma solicitação de aprovação é enviada e o substituto pode receber acesso imediato sem supervisão.
Quando as configurações de solicitação de acesso do SharePoint substituem o gerente
O SharePoint Online permite configurações de solicitação de acesso em nível de locatário e de site. Se um administrador do SharePoint configurou as solicitações de acesso para serem enviadas para um endereço de e-mail ou grupo específico, o fluxo de delegação do OneDrive pode enviar a solicitação de aprovação para esse endereço em vez do gerente. Essa é uma causa comum de roteamento incorreto em organizações que centralizam solicitações de acesso por meio de uma caixa de correio compartilhada ou fila de suporte de TI.
Etapas para redirecionar solicitações de acesso ao OneDrive para o aprovador de RH correto
Siga estas etapas em ordem para garantir que a solicitação de acesso ao OneDrive do ex-funcionário chegue ao gerente de RH ou substituto de TI pretendido.
Método 1: Atualizar o campo Gerente no Azure Active Directory
- Entre no portal do Azure
Acesse portal.azure.com e faça login com uma conta de Administrador Global ou Administrador de Usuários. - Navegue até o Azure Active Directory
Selecione Azure Active Directory no menu esquerdo e depois escolha Usuários. - Encontre o ex-funcionário
Pesquise pela conta de usuário do funcionário que está saindo e clique no nome para abrir o perfil. - Edite o campo Gerente
Selecione Propriedades no menu esquerdo e role até a seção Informações do trabalho. Clique em Editar, depois no campo Gerente, digite o nome do gerente de RH ou substituto de TI correto que deve aprovar o acesso. Clique em Salvar. - Aguarde a replicação
Aguarde até 15 minutos para que a alteração seja replicada nos serviços do Microsoft 365 antes de tentar novamente a concessão de acesso.
Método 2: Conceder acesso por meio da guia OneDrive no centro de administração
- Abra o centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com uma conta de Administrador Global. - Vá para Usuários > Usuários ativos
Selecione a conta do ex-funcionário na lista. - Abra a guia OneDrive
Clique na guia OneDrive no painel de perfil do usuário. - Defina o acesso para o substituto
Em Acesso a arquivos, clique em Criar link para arquivos. No painel, escolha uma duração e insira o endereço de e-mail do gerente de RH ou substituto de TI correto. Clique em Criar link. - Envie o link diretamente
Copie o link gerado e envie-o para o substituto por e-mail. Este método ignora completamente o fluxo de aprovação e concede acesso imediato.
Método 3: Alterar as configurações de solicitação de acesso do SharePoint
- Abra o centro de administração do SharePoint
Acesse admin.microsoft.com/SharePoint e faça login com uma conta de Administrador do SharePoint. - Navegue até Políticas de acesso
No menu esquerdo, selecione Políticas e depois escolha Controle de acesso. Clique em Solicitações de acesso. - Configure o e-mail de solicitação de acesso
Em Enviar solicitações de acesso para o seguinte endereço de e-mail, limpe o campo se ele contiver uma caixa de correio compartilhada ou grupo que não seja o aprovador pretendido. Deixe em branco para reverter ao roteamento padrão baseado em gerente. - Salve as alterações
Clique em Salvar na parte inferior da página.
Se o acesso ao OneDrive ainda for para o aprovador errado
O campo de gerente está vazio, mas a solicitação ainda vai para algum lugar
Quando o campo de gerente está vazio, o sistema verifica as configurações de solicitação de acesso do SharePoint no nível do locatário. Se um endereço de e-mail de todo o locatário estiver configurado, a solicitação irá para lá. Limpe o e-mail de solicitação de acesso conforme descrito no Método 3 para forçar o sistema a não enviar nenhuma solicitação, permitindo que o substituto receba acesso sem aprovação.
A solicitação vai para o próprio ex-funcionário
Isso acontece quando o ex-funcionário está listado como administrador do conjunto de sites do seu próprio OneDrive. Para corrigir, vá para o centro de administração do SharePoint, selecione Sites > Sites ativos, encontre o site do OneDrive do ex-funcionário e altere o administrador principal do conjunto de sites para o gerente de RH ou substituto de TI. Depois, tente novamente a concessão de acesso.
Usuários externos recebem a solicitação de aprovação
Se a conta do ex-funcionário tiver permissões de convidado ou se as políticas de compartilhamento permitirem usuários externos, a solicitação pode ir para um endereço de e-mail externo. Verifique Azure AD > Identidades Externas > Configurações de colaboração externa. Certifique-se de que Configurações de convite para convidados esteja definido como Apenas usuários atribuídos a funções administrativas específicas podem convidar convidados para evitar roteamento não autorizado.
Roteamento baseado em gerente vs. e-mail de solicitação de acesso do SharePoint: principais diferenças
| Item | Roteamento baseado em gerente | E-mail de solicitação de acesso do SharePoint |
|---|---|---|
| Fonte do aprovador | Atributo Gerente do Azure AD do ex-funcionário | Endereço de e-mail configurado no centro de administração do SharePoint > Solicitações de acesso |
| Onde configurar | Azure AD > Usuários > Perfil do usuário > Campo Gerente | Centro de administração do SharePoint > Políticas > Controle de acesso > Solicitações de acesso |
| Comportamento de fallback | Se vazio, nenhuma solicitação é enviada, a menos que substituído | Se vazio, nenhuma solicitação é enviada, mesmo que o campo gerente esteja preenchido |
| Prioridade de substituição | Menor — a configuração de e-mail do SharePoint tem precedência | Maior — substitui o roteamento baseado em gerente quando configurado |
O método de roteamento baseado em gerente é o padrão para delegação do OneDrive. No entanto, se um endereço de e-mail de solicitação de acesso do SharePoint estiver configurado no nível do locatário, esse endereço de e-mail receberá a solicitação em vez do gerente. Para garantir que o aprovador correto receba a solicitação, preencha o campo gerente e limpe o e-mail de solicitação de acesso do SharePoint, ou use o método de link direto na guia OneDrive para ignorar completamente o fluxo de aprovação.
Ao atualizar o campo gerente no Azure AD, limpar o e-mail de solicitação de acesso do SharePoint ou usar o método de link direto, você pode agora garantir que a solicitação de acesso ao OneDrive do ex-funcionário chegue ao gerente de RH ou substituto de TI correto. Em seguida, revise a lista de verificação de desligamento da sua organização para incluir uma etapa que verifique se o campo gerente está atualizado para todos os funcionários que estão saindo. Como dica avançada, considere usar o PowerShell com o cmdlet Set-AzureADUser para atualizar em lote os atributos de gerente para vários usuários que estão saindo de uma só vez, reduzindo erros manuais durante períodos de desligamento em grande volume.