Quando um investigador ou administrador de TI tenta acessar o OneDrive for Business de um ex-funcionário, a solicitação de aprovação às vezes vai para a pessoa errada. Em vez de chegar ao gerente correto ou ao oficial de segurança, a solicitação pode ser encaminhada a um delegado antigo, um grupo desatualizado ou a ninguém. Esse desvio atrasa a resposta a incidentes críticos e pode deixar dados inacessíveis durante uma investigação ativa. A causa raiz geralmente é uma permissão mal configurada no site do OneDrive ou um atributo de gerente desatualizado no Microsoft Entra ID. Este artigo explica por que o fluxo de aprovação falha e fornece etapas exatas para corrigir o roteamento, garantindo que o aprovador correto receba a solicitação.
Principais conclusões: corrigindo o roteamento de aprovação do OneDrive para ex-funcionários
- Centro de administração do Microsoft Entra > Usuários > Gerente: O campo Gerente no perfil do usuário determina quem recebe a solicitação de aprovação de acesso ao OneDrive de um ex-funcionário.
- Centro de administração do SharePoint > Sites ativos > Permissões do site: Administradores de conjunto de sites secundários no OneDrive do ex-funcionário também podem receber solicitações de aprovação se o campo Gerente estiver vazio ou mal configurado.
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > Licenças e aplicativos: Remover todas as licenças do ex-usuário bloqueia o acesso ao site para qualquer pessoa, incluindo o aprovador, interrompendo todo o fluxo.
Por que a solicitação de aprovação do OneDrive vai para o aprovador errado
Quando um administrador tenta acessar o OneDrive de um ex-funcionário pelo centro de administração do Microsoft 365 ou pelo PowerShell, o sistema verifica duas fontes de dados para determinar quem deve aprovar o acesso. A fonte primária é o atributo Gerente no Microsoft Entra ID. Se o campo Gerente estiver vazio, o sistema recorre à lista de administradores do conjunto de sites no OneDrive do ex-funcionário. Se nenhuma fonte fornecer um aprovador válido, a solicitação pode expirar ou ser roteada para uma conta de usuário desatualizada que não existe mais.
A causa mais comum de roteamento incorreto é um atributo Gerente desatualizado ou incorreto. Quando um usuário sai da organização, o campo Gerente pode ainda apontar para outro ex-funcionário ou para uma pessoa que mudou de cargo. O sistema não atualiza automaticamente esse campo quando o usuário é desprovisionado. Outra causa frequente é que o ex-funcionário concedeu acesso de delegado a um colega que não é o aprovador pretendido. O sistema trata esse delegado como administrador do conjunto de sites, então a solicitação de aprovação vai para o delegado em vez do gerente real.
Como funciona a lógica de roteamento de aprovação
O fluxo de solicitação de acesso para o OneDrive de um ex-funcionário segue esta ordem de prioridade:
- Atributo Gerente no Microsoft Entra ID
O sistema verifica o campo Gerente no objeto do usuário. Se o campo Gerente contiver um usuário válido com uma conta ativa, a solicitação de aprovação é enviada para essa pessoa. - Administradores do conjunto de sites no site do OneDrive
Se o campo Gerente estiver vazio ou a conta do gerente estiver desabilitada, o sistema consulta a lista de administradores do conjunto de sites no OneDrive do ex-funcionário. O primeiro administrador ativo na lista se torna o aprovador. - Nenhum aprovador encontrado
Se ambas as fontes não retornarem nenhum usuário ativo válido, a solicitação falha silenciosamente ou o administrador vê uma mensagem de erro informando que não foi possível determinar um aprovador.
Etapas para identificar e corrigir o aprovador errado
Siga estas etapas em ordem para encontrar o aprovador atual e redirecionar a solicitação para a pessoa correta. Execute todas as etapas como Administrador Global ou Administrador do SharePoint no seu locatário.
Etapa 1: Verifique o atributo Gerente no Microsoft Entra ID
- Abra o centro de administração do Microsoft Entra
Acesse https://entra.microsoft.com e faça login com sua conta de Administrador Global. - Navegue até Usuários
No menu à esquerda, selecione Usuários e depois Todos os usuários. - Localize a conta do ex-funcionário
Pesquise pelo nome de exibição ou nome principal do usuário. Clique no nome do usuário para abrir o perfil. - Verifique o campo Gerente
Na guia Propriedades, procure o atributo Gerente. Se o campo mostrar um nome, clique no nome para verificar se a conta do gerente está ativa e não desabilitada ou excluída. - Atualize o campo Gerente se estiver incorreto
Se o campo Gerente estiver vazio ou apontar para a pessoa errada, clique em Editar ao lado do campo Gerente. Pesquise pelo gerente correto e selecione o nome. Clique em Salvar.
Etapa 2: Verifique e atualize os administradores do conjunto de sites do OneDrive
- Abra o centro de administração do SharePoint
Acesse https://admin.microsoft.com/SharePoint e faça login como Administrador do SharePoint. - Navegue até Sites ativos
No menu à esquerda, selecione Sites e depois Sites ativos. - Encontre o site do OneDrive do ex-funcionário
Pesquise pelo nome de exibição do usuário ou pelo padrão de URLhttps://yourtenant-my.sharepoint.com/personal/user_domain_com. Clique no nome do site para abrir o painel de detalhes. - Revise as permissões do site
No painel de detalhes, role até a seção Administradores do conjunto de sites. Anote a lista de usuários que atualmente têm acesso de administrador. - Remova administradores incorretos e adicione o aprovador correto
Clique em Gerenciar ao lado de Administradores do conjunto de sites. Remova quaisquer usuários que não devam ser aprovadores. Adicione o gerente correto ou um membro da equipe de segurança. Clique em Salvar.
Etapa 3: Confirme o status da licença do usuário
- Abra o centro de administração do Microsoft 365
Acesse https://admin.microsoft.com e faça login como Administrador Global. - Vá para Usuários ativos
No menu à esquerda, selecione Usuários e depois Usuários ativos. - Selecione o ex-funcionário
Clique no nome do usuário para abrir o painel de detalhes. - Verifique a guia Licenças e aplicativos
Clique na guia Licenças e aplicativos. Se o usuário não tiver licenças atribuídas, o site do OneDrive ainda estará acessível, mas o fluxo de aprovação pode falhar porque o objeto do usuário é considerado inativo. Atribua pelo menos uma licença do SharePoint Online ao usuário temporariamente. Você pode remover a licença após a conclusão da resposta ao incidente.
Etapa 4: Teste o fluxo de aprovação
- Inicie uma solicitação de acesso
No centro de administração do Microsoft 365, navegue até Usuários > Usuários ativos, selecione o ex-funcionário e clique em Configurações do OneDrive. Escolha Acessar arquivos e siga as instruções para solicitar acesso. - Verifique o destino da solicitação de aprovação
Verifique a caixa de entrada de e-mail da pessoa que você definiu como Gerente ou administrador do conjunto de sites. O e-mail de aprovação deve chegar em alguns minutos. Se não chegar, repita as etapas acima para confirmar se o campo Gerente e os administradores do site estão corretos. - Aprove a solicitação
Peça ao aprovador designado para clicar no link Aprovar no e-mail. O administrador solicitante deve então receber acesso ao OneDrive do ex-funcionário.
Se a solicitação de aprovação ainda for para a pessoa errada
Solicitação de aprovação do OneDrive vai para um delegado desatualizado
Se o ex-funcionário concedeu acesso de delegado a um colega antes de sair, esse delegado permanece como administrador do conjunto de sites até ser removido explicitamente. Para corrigir isso, siga a Etapa 2 acima e remova o delegado desatualizado da lista de administradores do conjunto de sites. Em seguida, adicione o gerente correto ou o oficial de segurança como o único administrador.
Solicitação de aprovação do OneDrive vai para um gerente que não trabalha mais na empresa
Quando o atributo Gerente aponta para um usuário cuja conta foi excluída, o sistema não consegue rotear a solicitação. Você deve atualizar o campo Gerente para um usuário ativo. Use a Etapa 1 para definir um novo gerente. Se você não souber o gerente correto, defina o campo Gerente como uma caixa de correio de grupo de segurança ou uma caixa de correio compartilhada que a equipe de resposta a incidentes monitore. Observe que o campo Gerente aceita apenas objetos de usuário individuais, não grupos. Você deve usar uma conta de usuário específica.
Solicitação de aprovação do OneDrive nunca chega
Se nenhum e-mail de aprovação chegar, verifique a pasta de spam ou lixo eletrônico do aprovador pretendido. Verifique também se a caixa de correio do aprovador não está cheia. Se a caixa de correio estiver cheia, o e-mail de aprovação será rejeitado. Libere espaço na caixa de correio ou atribua uma cota de caixa de correio maior. Em seguida, reinicie a solicitação de acesso pelo centro de administração do Microsoft 365.
| Item | Atributo Gerente (Microsoft Entra ID) | Administrador do Conjunto de Sites (SharePoint) |
|---|---|---|
| Prioridade no fluxo de aprovação | Verificado primeiro | Verificado em segundo lugar |
| Pode ser um grupo ou lista de distribuição | Não, apenas contas de usuário individuais | Sim, grupos de segurança e usuários individuais |
| Requer uma conta de usuário ativa | Sim, o gerente deve ter uma conta ativa | Sim, cada administrador deve ter uma conta ativa |
| Mais fácil de atualizar | Atualizado pelo centro de administração do Microsoft Entra ou PowerShell | Atualizado pelo centro de administração do SharePoint ou PowerShell |
Após corrigir o atributo Gerente e a lista de administradores do conjunto de sites, a solicitação de aprovação para o OneDrive de um ex-funcionário será roteada para a pessoa correta. A equipe de resposta a incidentes poderá acessar os dados sem atrasos. Como próximo passo, considere automatizar a atualização do campo Gerente durante o processo de desligamento usando PowerShell ou uma política de Governança do Microsoft Entra ID. Isso evita que o mesmo problema ocorra quando o próximo funcionário sair.