Quando um revisor de acesso tenta abrir o site do OneDrive de um ex-funcionário durante uma revisão de acesso do Microsoft 365, geralmente vê um erro de acesso negado. Isso acontece porque a conta do ex-funcionário está desabilitada ou excluída, bloqueando todas as permissões de delegação e compartilhamento do OneDrive. O revisor, mesmo que atribuído como revisor, não herda automaticamente as permissões necessárias no site. Este artigo explica o modelo de permissão específico que causa a negação e fornece as etapas exatas para conceder acesso temporário para que a revisão possa prosseguir.
Principais conclusões: Como corrigir acesso negado durante revisão de acesso do OneDrive
- Centro de administração do Microsoft 365 > Funções > Revisões de acesso: Os revisores são atribuídos no nível da instância de revisão, mas ainda precisam de permissões explícitas no site do OneDrive para visualizar os arquivos do ex-funcionário.
- Centro de administração do SharePoint > Sites ativos > OneDrive do ex-funcionário: A concessão de permissão no nível do site é a única maneira de dar acesso ao revisor enquanto a conta do usuário estiver desabilitada.
- Cmdlet do PowerShell Set-SPOSite -GrantAccessToAllSiteUsers: Este cmdlet pode abrir temporariamente o site para todos os usuários autenticados, mas não é recomendado para revisões de acesso, pois concede acesso amplo além do revisor.
Por que o acesso negado aparece para o OneDrive de um ex-funcionário
Os sites do OneDrive for Business são protegidos no nível do conjunto de sites. Quando um usuário sai da organização, o site do OneDrive entra em um período de retenção. O proprietário do site é a conta de usuário desabilitada ou excluída do ex-funcionário. Nenhum outro usuário, incluindo administradores globais, tem acesso automático, a menos que seja adicionado explicitamente. As revisões de acesso dependem da capacidade do revisor de visualizar o conteúdo para verificar se os arquivos do ex-funcionário não contêm dados confidenciais que devam ser retidos ou excluídos. No entanto, a função do revisor na ferramenta de revisão de acesso não se traduz em nenhuma permissão no site do OneDrive. O revisor vê acesso negado porque o SharePoint Online aplica permissões no nível do site antes que qualquer lógica da ferramenta de revisão seja aplicada. Além disso, se a conta do ex-funcionário tiver licença para o OneDrive, o site permanece ativo, mas bloqueado para todos que não sejam proprietários, até que um administrador conceda pelo menos acesso de leitura.
Etapas para conceder acesso ao OneDrive do ex-funcionário para o revisor
As etapas a seguir usam o centro de administração do SharePoint para adicionar o revisor de acesso como administrador do conjunto de sites no OneDrive do ex-funcionário. Isso concede ao revisor acesso total de leitura a todos os arquivos nesse OneDrive. O revisor deve ser um usuário licenciado no locatário.
- Identifique a URL do OneDrive do ex-funcionário
Vá para o centro de administração do Microsoft 365. Selecione Usuários > Usuários ativos. Encontre a conta do ex-funcionário. Se a conta foi excluída, use a guia Usuários excluídos. Copie o Nome Principal do Usuário, por exemplo, jdoe@contoso.com. A URL do OneDrive segue o padrão https://contoso-my.sharepoint.com/personal/jdoe_contoso_com. Substitua o domínio e o nome de usuário conforme necessário. - Abra o centro de administração do SharePoint
Vá para Centros de administração > SharePoint. Na navegação à esquerda, selecione Mais recursos e depois Sites ativos. Pesquise o site do OneDrive do ex-funcionário usando a URL ou o nome do usuário. O nome do site geralmente aparece como OneDrive – Contoso com o nome do usuário como administrador principal. - Adicione o revisor como administrador do conjunto de sites
Selecione a linha do site. Na barra de comandos, clique em Permissões. Em Administradores do conjunto de sites, clique em Adicionar. Digite o endereço de e-mail do revisor de acesso. Selecione o revisor e clique em Salvar. O revisor agora tem controle total do site, incluindo a capacidade de navegar por todos os arquivos e pastas. - Verifique se a revisão de acesso pode prosseguir
Peça ao revisor para navegar até a instância de revisão de acesso no centro de administração do Microsoft 365 ou no portal de revisões de acesso do Azure AD. O revisor agora deve conseguir abrir o conteúdo do OneDrive do ex-funcionário sem ver acesso negado. A concessão de permissão entra em vigor imediatamente. - Remova o acesso do revisor após a conclusão da revisão
Volte ao centro de administração do SharePoint, selecione o mesmo site do OneDrive, clique em Permissões e remova o revisor da lista de administradores do conjunto de sites. Isso restaura o estado bloqueado padrão do site.
Se o acesso negado persistir após conceder acesso de administrador do site
O revisor ainda vê acesso negado após ser adicionado como administrador do conjunto de sites
Isso geralmente acontece quando o site do OneDrive do ex-funcionário está em um estado de bloqueio somente leitura devido à política de retenção. O Microsoft 365 aplica um bloqueio no site quando a conta do usuário é excluída. Para verificar isso, vá ao centro de administração do SharePoint, selecione o site e observe a coluna Estado de bloqueio. Se mostrar Somente leitura ou Sem acesso, você deve alterá-lo. Clique na linha do site e depois em Configurações. Em Estado de bloqueio do site, selecione Desbloquear. Isso permite que o administrador do conjunto de sites visualize o conteúdo. Após a conclusão da revisão de acesso, defina o estado de bloqueio de volta para Somente leitura ou Sem acesso, conforme exigido pela sua política de retenção.
O revisor não encontra o OneDrive do ex-funcionário na interface de revisão de acesso
A ferramenta de revisão de acesso mostra apenas recursos para os quais o revisor tem permissão de acesso. Se o revisor não foi adicionado como administrador do conjunto de sites antes do início da revisão, o site do OneDrive não aparecerá na lista de revisão. Após conceder acesso de administrador do site, o revisor pode precisar atualizar o navegador ou aguardar até 15 minutos para que a ferramenta de revisão detecte as novas permissões. Se o site ainda não aparecer, crie uma nova instância de revisão de acesso que inclua o mesmo OneDrive do ex-funcionário. A nova instância reconhecerá as permissões do revisor.
O site do OneDrive do ex-funcionário não existe porque o período de retenção expirou
Os sites do OneDrive de ex-funcionários são excluídos automaticamente após o período de retenção definido no centro de administração do SharePoint. O período de retenção padrão é de 30 dias após a exclusão da conta do usuário. Se o site já foi excluído, as revisões de acesso não podem mostrar nenhum conteúdo. A única opção é restaurar o site da coleção Sites excluídos do centro de administração do SharePoint dentro de 93 dias após a exclusão. Após a restauração, conceda acesso de administrador do site ao revisor conforme descrito anteriormente.
Permissões para revisões de acesso: Administrador do conjunto de sites vs. Função de revisor
| Item | Administrador do Conjunto de Sites | Função de Revisor de Acesso |
|---|---|---|
| Origem da permissão | Adicionado explicitamente via centro de administração do SharePoint ou PowerShell | Atribuído na instância de revisão de acesso do Azure AD |
| Acesso aos arquivos do OneDrive | Acesso total de leitura e gravação a todos os arquivos e pastas | Nenhum acesso, a menos que permissões do site sejam concedidas separadamente |
| Afetado pelo bloqueio da conta de usuário | Sim, o bloqueio do site substitui as permissões do administrador | Não se aplica, pois não existem permissões no site |
| Duração do acesso | Até ser removido explicitamente ou o site ser excluído | Apenas durante o período de revisão ativo |
| Interface de gerenciamento | Centro de administração do SharePoint ou PowerShell Set-SPOUser | Centro de administração do Azure AD ou centro de administração do Microsoft 365 |
A função de revisor de acesso foi projetada para avaliar se um usuário ainda precisa de acesso a um recurso. Ela não concede nenhuma permissão direta ao recurso em si. A função de administrador do conjunto de sites é a única maneira confiável de dar a um revisor acesso ao OneDrive de um ex-funcionário. Usar apenas a função de revisor sempre resultará em acesso negado.
Conclusão
Agora você pode resolver erros de acesso negado para sites do OneDrive de ex-funcionários durante revisões de acesso adicionando o revisor como administrador do conjunto de sites no centro de administração do SharePoint. Após a revisão, remova o revisor e restaure o estado de bloqueio do site para manter a segurança. Para revisões de acesso recorrentes, considere criar um script do PowerShell que adicione e remova automaticamente o revisor usando o cmdlet Set-SPOUser. Essa abordagem garante que os revisores tenham acesso apenas durante a janela de revisão ativa e reduz o trabalho administrativo manual.