Quando um ex-funcionário sai da sua organização, os arquivos do OneDrive precisam ser transferidos ou excluídos. O Microsoft 365 inclui um recurso de governança de dados que envia uma solicitação de aprovação para um aprovador designado antes da limpeza prosseguir. No entanto, muitos administradores relatam que a solicitação de aprovação vai para a pessoa errada — geralmente um gerente que não supervisiona mais o usuário, uma caixa postal genérica ou até o próprio ex-funcionário. Esse problema ocorre porque a lógica de roteamento de aprovação no centro de administração do Microsoft 365 puxa o atributo de gerente errado do Azure Active Directory, especialmente para contratados cujo campo de gerente está desatualizado ou em branco. Este artigo explica a causa exata do desvio de aprovação, fornece uma correção passo a passo para redirecionar as solicitações ao aprovador correto e aborda padrões de falha relacionados, como aprovações travadas e opções de delegação ausentes.
Principais conclusões: Redirecione solicitações de aprovação do OneDrive de ex-funcionários para a pessoa correta
- Centro de administração do Microsoft 365 > Organização > Gerenciamento do ciclo de vida de dados > Microsoft 365 > Retenções: Controla qual administrador ou gerente recebe solicitações de aprovação para limpeza do OneDrive de ex-funcionários
- Azure AD > Usuários > Atributo Gerente: O campo exato que o sistema de aprovação lê para determinar o aprovador — deve ser atualizado para cada contratado
- Cmdlet Set-AzureADUserManager do PowerShell: Atualiza em massa o atributo Gerente para vários contratados para corrigir o roteamento em uma única operação
Por que a solicitação de aprovação vai para o aprovador errado
O fluxo de trabalho de limpeza de dados de ex-funcionários no Microsoft 365 depende do atributo Gerente armazenado no Azure Active Directory para cada usuário. Quando você inicia uma ação de limpeza — como transferir arquivos do OneDrive ou excluir a conta de usuário — o sistema consulta o campo Gerente do usuário. Em seguida, envia a solicitação de aprovação para o endereço de e-mail desse gerente. Se o atributo Gerente apontar para a pessoa errada, estiver vazio ou referenciar um usuário que não existe mais no locatário, a solicitação vai para uma pessoa incorreta ou nunca é entregue.
Para contratados, esse problema é especialmente comum. Muitas organizações não mantêm o atributo Gerente para trabalhadores temporários. O campo pode ficar em branco, ser definido para um supervisor que já saiu ou ser preenchido com uma caixa postal genérica como rh@contoso.com. O sistema de aprovação do Microsoft 365 não valida o status ativo do gerente antes de enviar a solicitação. Ele simplesmente lê o atributo e envia o e-mail. Se o gerente estiver inativo, a solicitação retorna ou fica sem entrega.
Uma segunda causa envolve as políticas de retenção do Gerenciamento do ciclo de vida de dados. Se uma política de retenção define um revisor ou grupo de aprovadores específico, esse grupo substitui o atributo Gerente no nível do usuário para aquela política. No entanto, se a política estiver configurada incorretamente — apontando para um grupo de distribuição que não existe ou para um usuário que saiu — a solicitação novamente vai para o lugar errado.
Passos para corrigir o aprovador errado na limpeza de contratados
Siga estes passos para identificar o atributo Gerente atual, corrigi-lo e verificar se as futuras solicitações de aprovação vão para a pessoa certa.
- Verifique o atributo Gerente atual no Azure AD
Faça login no portal do Azure em portal.azure.com. Navegue até Azure Active Directory > Usuários. Pesquise pelo usuário contratado. Abra o perfil dele e clique em Gerente no menu à esquerda. Anote o nome listado. Se o campo estiver em branco ou mostrar uma pessoa incorreta, prossiga para o passo 2. - Atualize o atributo Gerente para um usuário
Na mesma página de perfil, clique em Alterar gerente. Pesquise pelo gerente correto no seu diretório. Selecione o usuário correto e clique em Selecionar. Clique em Salvar no topo do painel. A alteração entra em vigor imediatamente. Aguarde até uma hora para o sistema de aprovação armazenar em cache o valor atualizado. - Atualize em massa o atributo Gerente usando PowerShell
Se você tiver vários contratados com gerentes errados, use o módulo Microsoft Graph PowerShell. Abra o PowerShell como administrador e executeConnect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All". Em seguida, execute o script abaixo, substituindo o caminho do arquivo CSV pela sua própria lista:$users = Import-Csv "C:\contratados.csv" foreach ($user in $users) { Update-MgUser -UserId $user.UserPrincipalName ` -ManagerId $user.ManagerObjectId }O CSV deve ter as colunas UserPrincipalName e ManagerObjectId. Você pode encontrar o ManagerObjectId executando
Get-MgUser -UserId gerente@dominio.com | Select-Object Id. - Verifique o aprovador da política de retenção do Gerenciamento do ciclo de vida de dados
Vá para o centro de administração do Microsoft 365 em admin.microsoft.com. Navegue até Organização > Gerenciamento do ciclo de vida de dados > Microsoft 365 > Retenções. Encontre a política de retenção que se aplica a ex-funcionários. Clique no nome da política e depois em Editar política. Em Revisores, certifique-se de que o usuário ou grupo correto esteja listado. Se um grupo estiver listado, verifique se ele ainda existe e contém membros ativos. - Teste a correção com uma limpeza simulada
Para confirmar que a solicitação de aprovação agora vai para a pessoa correta, crie um usuário de teste que espelhe o contratado. Atribua o mesmo atributo Gerente que você acabou de corrigir. Inicie uma ação de limpeza de ex-funcionário a partir do centro de administração do Microsoft 365 > Usuários > Usuários excluídos. Escolha Transferir arquivos do OneDrive. Observe o e-mail que a solicitação de aprovação gera. Ele deve chegar na caixa de entrada do gerente correto em até 15 minutos.
Se a limpeza do OneDrive ainda for para o aprovador errado
O atributo Gerente está correto, mas a solicitação ainda vai para uma pessoa diferente
Esse cenário geralmente significa que uma política de retenção ou política de revisão de supervisão substitui o atributo Gerente no nível do usuário. Verifique todas as políticas de retenção no centro de administração do Microsoft 365 em Gerenciamento do ciclo de vida de dados. Se alguma política tiver uma lista de revisores estática, remova o revisor incorreto e adicione o correto. Verifique também as políticas de Conformidade de comunicação no portal de conformidade do Microsoft Purview. Uma política de revisão de supervisão pode redirecionar e-mails de aprovação para um grupo de revisores separado.
A solicitação de aprovação é enviada para o próprio ex-funcionário
Isso ocorre quando o atributo Gerente do ex-funcionário aponta para o próprio objeto de usuário dele. Isso pode acontecer se o atributo nunca foi definido ou foi definido para o usuário por engano. Corrija o atributo Gerente conforme descrito no passo 2 acima. Se o usuário já foi excluído, você deve restaurar o usuário, corrigir o atributo Gerente e excluir o usuário novamente. Para restaurar um usuário excluído, vá para Azure AD > Usuários > Usuários excluídos, selecione o usuário e clique em Restaurar.
A solicitação de aprovação nunca chega e a limpeza do OneDrive fica travada
Se o atributo Gerente apontar para um usuário que não existe mais no locatário, o e-mail é enviado para uma caixa postal inexistente. O processo de limpeza aguarda indefinidamente por uma resposta. Para corrigir, atualize o atributo Gerente para um usuário ativo. Se você não conseguir identificar o gerente correto, atribua o atributo a uma caixa postal compartilhada que sua equipe de TI monitore. Após atualizar o atributo, vá para o centro de administração do Microsoft 365 > Usuários > Usuários excluídos, selecione o ex-funcionário e clique em Repetir limpeza.
Atributo Gerente vs Revisor de Política de Retenção: Principais diferenças
| Item | Atributo Gerente (Azure AD) | Revisor de Política de Retenção (centro de administração M365) |
|---|---|---|
| Descrição | Campo no nível do usuário que define o supervisor direto | Configuração no nível da política que define quem revisa as ações de limpeza |
| Onde configurar | Azure Active Directory > Usuários > perfil do usuário > Gerente | Centro de administração > Organização > Gerenciamento do ciclo de vida de dados > Retenções > editar política > Revisores |
| Escopo | Usuário único | Todos os usuários cobertos pela política de retenção |
| Comportamento de substituição | Destino de roteamento padrão se nenhum revisor de política for definido | Substitui o atributo Gerente para todos os usuários sob essa política |
| Melhor prática para contratados | Sempre definir para o ponto de contato da empresa contratante ou gerente de TI | Definir para um grupo de aprovação de TI dedicado para todas as solicitações de limpeza de contratados |
O roteamento de aprovação para limpeza do OneDrive de ex-funcionários depende de dois sistemas separados. O atributo Gerente no Azure AD serve como destino padrão. Os revisores da política de retenção substituem esse padrão. Ambos devem estar corretos para que a aprovação chegue à pessoa pretendida.
Após corrigir o atributo Gerente e verificar o revisor da política de retenção, você pode rotear as solicitações de aprovação de limpeza para o aprovador correto de forma confiável. Execute uma limpeza de teste em uma conta de contratado de teste para confirmar que o e-mail chega na caixa de entrada certa. Para gerenciamento de longo prazo, crie um grupo de segurança do Azure AD dedicado chamado AprovadoresLimpezaContratados e defina esse grupo como revisor na sua política de retenção. Essa abordagem garante que, mesmo que gerentes individuais mudem, o grupo de aprovação permaneça estável.