Quando um ex-funcionário sai da sua organização, os arquivos do OneDrive precisam ser transferidos para um novo proprietário. O processo de aprovação no Microsoft 365 foi projetado para encaminhar essa solicitação ao gerente direto do ex-funcionário. No entanto, para equipes de projeto em que o usuário que está saindo se reporta a uma pessoa diferente do líder do projeto, a solicitação de acesso geralmente vai para o aprovador errado. Isso causa atrasos e lacunas de segurança, pois o líder do projeto não consegue recuperar os arquivos sem passar por uma cadeia de aprovação incorreta.
A causa raiz está na forma como o Microsoft 365 determina o atributo de gerente. O sistema consulta o campo Manager no Azure Active Directory, e não as permissões do site do SharePoint ou a associação à equipe do projeto. Quando um membro da equipe do projeto sai, a solicitação de aprovação é enviada ao gerente departamental, em vez do líder do projeto que realmente precisa dos dados. Este guia explica como corrigir o roteamento atualizando o atributo de gerente ou usando um método de delegação alternativo.
Principais conclusões: Corrigir o roteamento de aprovação para acesso ao OneDrive de ex-funcionário
- Atributo Manager do Azure AD: O único fator que determina qual aprovador recebe a solicitação de acesso ao OneDrive de um ex-funcionário.
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Gerente: O local onde você atualiza o campo Gerente para direcionar as solicitações ao líder de projeto correto.
- Delegação de administrador de conjunto de sites do SharePoint: Um método alternativo que dá ao líder do projeto acesso direto ao OneDrive do ex-funcionário sem depender do fluxo de trabalho de aprovação.
Por que a solicitação de aprovação vai para a pessoa errada
O Microsoft 365 usa o atributo Manager armazenado no Azure Active Directory para determinar o aprovador quando o acesso ao OneDrive de um ex-funcionário é solicitado. Esse atributo geralmente é definido por sistemas de RH ou entrada manual do administrador. Ele reflete a estrutura hierárquica organizacional, não a estrutura da equipe do projeto. Quando um membro da equipe do projeto sai, o sistema envia o e-mail de aprovação para a pessoa listada como gerente no Azure AD, mesmo que essa pessoa não tenha envolvimento com o projeto ou com os arquivos armazenados no OneDrive.
O fluxo de trabalho de aprovação faz parte do recurso delegação de acesso ao OneDrive. Quando um administrador tenta atribuir um novo proprietário ao OneDrive de um ex-funcionário, o Microsoft 365 verifica o gerente do usuário que está saindo e envia uma solicitação de aprovação para esse gerente. O líder do projeto, que realmente precisa dos arquivos, nunca é notificado, a menos que também seja o gerente no Azure AD. Esse design funciona bem para estruturas departamentais padrão, mas falha em organizações matriciais e equipes baseadas em projetos.
Além disso, o problema se torna mais complexo quando o ex-funcionário era membro de várias equipes de projeto. A solicitação de aprovação só pode ir para um gerente, então apenas um líder de projeto pode ser designado como destinatário. As outras equipes de projeto precisam aguardar a conclusão da primeira aprovação antes de solicitar acesso por meio de um processo secundário.
Etapas para direcionar a aprovação ao líder de projeto correto
Antes de o ex-funcionário sair, atualize o atributo Manager do Azure AD para apontar para o líder do projeto que deve receber a solicitação de aprovação. Se o funcionário já tiver saído, você ainda pode alterar o campo Gerente, desde que a conta de usuário exista no Azure AD.
- Entre no centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com uma conta que tenha privilégios de Administrador Global ou Administrador de Usuários. - Navegue até o perfil do usuário
No menu à esquerda, selecione Usuários > Usuários ativos. Encontre o ex-funcionário na lista e clique no nome dele. - Edite o campo Gerente
No painel de detalhes do usuário, selecione a guia Organização. Em Gerente, clique em Editar. Digite o nome do líder do projeto que deve aprovar a solicitação de acesso ao OneDrive. Clique em Salvar. - Aguarde a sincronização
As alterações no Azure AD podem levar até 30 minutos para se propagar para todos os serviços do Microsoft 365. Se precisar de efeito imediato, aguarde 30 minutos antes de iniciar a transferência do OneDrive. - Inicie a transferência do OneDrive
Vá para Centro de administração do Microsoft 365 > Usuários > Usuários ativos. Selecione o ex-funcionário novamente. Clique em OneDrive no menu superior. Em Acesso, clique em Transferir arquivos. Selecione o líder do projeto como novo proprietário. A solicitação de aprovação agora irá para o líder do projeto, pois o nome dele está no campo Gerente.
Método alternativo: Delegação direta via administrador de conjunto de sites do SharePoint
Se você não puder alterar o atributo Manager devido a políticas de RH ou automação, pode ignorar o fluxo de trabalho de aprovação concedendo ao líder do projeto acesso direto ao OneDrive do ex-funcionário como administrador de conjunto de sites.
- Abra o site do OneDrive do ex-funcionário
No centro de administração do Microsoft 365, vá para Usuários > Usuários ativos. Selecione o ex-funcionário. Clique em OneDrive e depois em Criar link para arquivos. Copie a URL. - Adicione o líder do projeto como administrador de conjunto de sites
Cole a URL no navegador. No final da URL, adicione /_layouts/15/people.aspx?MembershipGroupId=0. Pressione Enter. Clique em Novo e selecione Adicionar usuários a este site. Digite o e-mail do líder do projeto. Em Permissões, selecione Administradores de Conjunto de Sites. Clique em Compartilhar. - Confirme o acesso
O líder do projeto agora pode acessar o OneDrive do ex-funcionário diretamente pela URL do site. Nenhuma solicitação de aprovação é necessária.
Problemas comuns após alterar o aprovador
A solicitação de aprovação ainda vai para o gerente antigo
Isso acontece quando a alteração do atributo Manager não foi totalmente sincronizada. Aguarde pelo menos 30 minutos. Se o problema persistir, verifique se o novo gerente é um usuário ativo com um endereço de e-mail válido no Azure AD. Verifique também se a conta do ex-funcionário não foi excluída temporariamente, o que pode impedir atualizações de atributos.
O líder do projeto não está recebendo o e-mail de aprovação
Verifique a pasta de spam ou lixo eletrônico do líder do projeto. O e-mail vem do Microsoft 365 com o assunto Solicitação de acesso aos arquivos de [ex-funcionário]. Se o e-mail não estiver lá, verifique se o líder do projeto tem uma licença válida do Exchange Online. Usuários sem licença não podem receber e-mails de aprovação.
Várias equipes de projeto precisam de acesso ao mesmo OneDrive
A transferência do OneDrive só pode designar um novo proprietário. Após a conclusão da transferência, o novo proprietário pode compartilhar pastas com outras equipes de projeto. Use as permissões padrão de compartilhamento do SharePoint para conceder acesso de leitura ou gravação a outros usuários.
Atributo Manager vs. Delegação direta: Principais diferenças
| Item | Atualizar atributo Manager | Delegação direta via administrador de conjunto de sites |
|---|---|---|
| Fluxo de aprovação | Usa a aprovação padrão do Microsoft 365 | Ignora a aprovação completamente |
| Tempo de configuração | 5 minutos + 30 minutos de espera de sincronização | 10 minutos, efeito imediato |
| Impacto nos sistemas de RH | Pode conflitar com o campo Manager sincronizado pelo RH | Nenhum impacto nos sistemas de RH |
| Reversibilidade | Fácil de reverter após a transferência | Requer remoção manual dos direitos de administrador do site |
| Trilha de auditoria | Registrada nos logs de auditoria do Azure AD | Registrada nos logs de auditoria do SharePoint |
Ambos os métodos alcançam o mesmo objetivo de dar ao líder do projeto acesso ao OneDrive do ex-funcionário. O método do atributo Manager é melhor para conformidade de longo prazo, pois segue o fluxo de trabalho de aprovação padrão. O método de delegação direta é mais rápido e funciona quando o campo Manager não pode ser alterado.
Agora você pode direcionar as solicitações de aprovação de acesso ao OneDrive para o líder de projeto correto, atualizando o atributo Manager no Azure AD ou adicionando o líder do projeto como administrador de conjunto de sites. Para saídas futuras, considere configurar um script do PowerShell que atualize automaticamente o campo Manager quando um usuário sair de uma equipe de projeto. O cmdlet Set-AzureADUserManager pode ser usado em uma tarefa agendada para manter o atributo Manager alinhado com as atribuições do projeto.