Quando ocorre uma transferência de departamento na sua organização, a solicitação de acesso ao OneDrive do ex-funcionário pode ser encaminhada ao aprovador errado. Isso acontece porque o OneDrive for Business usa o atributo de gerente do usuário no Microsoft Entra ID para determinar a cadeia de aprovação. O fluxo de aprovação padrão não é atualizado automaticamente quando um usuário muda de departamento, fazendo com que as solicitações de acesso sejam enviadas ao antigo gerente em vez do novo. Este guia explica a causa raiz, fornece correções passo a passo usando o centro de administração do Microsoft 365 e o PowerShell, e aborda padrões de falha relacionados.
Principais conclusões: Corrigindo o aprovador errado para acesso ao OneDrive de ex-funcionário
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos: Atualize o campo Gerente para o usuário transferido a fim de direcionar as solicitações de aprovação para a pessoa correta.
- Cmdlet do PowerShell Set-AzureADUserManager: Atualize em massa os atributos de gerente para vários usuários transferidos de uma só vez quando o centro de administração for impraticável.
- Centro de administração do Microsoft Entra > Usuários > Configurações de usuário: Ative a opção “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” para forçar o roteamento correto da aprovação.
Por que a aprovação de acesso ao OneDrive vai para a pessoa errada após uma transferência de departamento
O OneDrive for Business depende do atributo Gerente armazenado no Microsoft Entra ID para determinar quem deve aprovar o acesso aos arquivos de um ex-funcionário. Quando um usuário muda para um novo departamento, o atributo Gerente não é atualizado automaticamente. O fluxo de trabalho de aprovação continua enviando solicitações ao antigo gerente, mesmo que o usuário agora se reporte a outra pessoa.
A causa raiz é um desalinhamento entre o sistema de RH (ou processo de atualização manual) e o mecanismo de aprovação do OneDrive. Se o campo Gerente no Microsoft Entra ID não for atualizado durante ou imediatamente após a transferência, a cadeia de aprovação permanece quebrada. Isso afeta não apenas o acesso ao OneDrive, mas também outros serviços do Microsoft 365 que usam o mesmo atributo para delegação, como administração de conjunto de sites do SharePoint e moderação de canais do Teams.
O papel do atributo Gerente na aprovação do OneDrive
O atributo Gerente é uma propriedade de valor único em cada objeto de usuário. O OneDrive for Business o utiliza para determinar o “parente mais próximo” para solicitações de acesso. Quando um usuário é marcado como ex-funcionário, o sistema envia automaticamente um e-mail para o gerente listado, pedindo que aprove ou negue o acesso. Se o campo Gerente apontar para a pessoa errada, a solicitação de aprovação vai para a caixa de correio errada.
O fluxo de trabalho de aprovação também depende da configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” no centro de administração do Microsoft Entra. Se essa configuração estiver desabilitada, qualquer usuário pode solicitar acesso, mas o caminho de aprovação padrão ainda usa o atributo Gerente. Habilitar a configuração força o sistema a usar exclusivamente o campo Gerente, tornando essencial que o campo esteja correto.
Passos para corrigir o atributo Gerente e ajustar o roteamento de aprovação do OneDrive
Você tem dois métodos para corrigir o problema do aprovador errado. Use o centro de administração do Microsoft 365 para alterações em um único usuário. Use o PowerShell para atualizações em massa em vários usuários transferidos.
Método 1: Atualizar o campo Gerente no centro de administração do Microsoft 365
- Entre no centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com uma conta que tenha a função de Administrador Global ou Administrador de Usuários. - Navegue até Usuários ativos
No painel de navegação esquerdo, selecione Usuários e depois Usuários ativos. - Localize o usuário transferido
Use a caixa de pesquisa para encontrar o usuário que mudou de departamento. Clique no nome de exibição do usuário para abrir o perfil. - Abra a guia Gerente
No painel de perfil do usuário, selecione a guia Gerente. Essa guia mostra o gerente atualmente atribuído. - Clique em Alterar gerente
Clique no botão Alterar gerente. Uma caixa de diálogo de pesquisa aparece. - Selecione o novo gerente correto
Digite o nome do novo gerente do usuário no campo de pesquisa. Selecione a pessoa correta nos resultados. Clique em Salvar. - Verifique a alteração
Volte à guia Gerente e confirme se o nome do novo gerente aparece. O fluxo de trabalho de aprovação do OneDrive agora direcionará as solicitações para essa pessoa.
Método 2: Usar o PowerShell para atualizar o atributo Gerente em massa
- Instale o módulo do PowerShell do Microsoft Graph
Abra o Windows PowerShell como administrador. ExecuteInstall-Module Microsoft.Graph -Scope CurrentUsere pressione Enter. Aceite os prompts de instalação. - Conecte-se ao Microsoft Graph
ExecuteConnect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All". Faça login com uma conta de Administrador Global. - Prepare um arquivo CSV com o mapeamento de usuário e gerente
Crie um arquivo CSV com as colunasUserPrincipalNameeManagerUserPrincipalName. Cada linha mapeia um usuário transferido para seu novo gerente. Salve o arquivo comoC:\Temp\ManagerUpdates.csv. - Execute o script de atualização em massa
Execute o seguinte script no PowerShell:$updates = Import-Csv -Path "C:\Temp\ManagerUpdates.csv" foreach ($update in $updates) { $user = Get-MgUser -Filter "userPrincipalName eq '$($update.UserPrincipalName)'" $manager = Get-MgUser -Filter "userPrincipalName eq '$($update.ManagerUserPrincipalName)'" if ($user -and $manager) { Update-MgUser -UserId $user.Id -ManagerId $manager.Id Write-Host "Gerente atualizado para $($update.UserPrincipalName)" } } - Verifique as alterações
ExecuteGet-MgUser -UserId "user@domain.com" -Property Manager | Select-Object -ExpandProperty Managerpara confirmar se o gerente correto está definido para cada usuário.
Se o OneDrive ainda direcionar para o aprovador errado após atualizar o Gerente
A configuração de aprovação de acesso ao OneDrive não está habilitada
Mesmo com o atributo Gerente correto, o fluxo de trabalho de aprovação não o usará se a configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” estiver desativada. Para habilitá-la, vá ao centro de administração do Microsoft Entra em entra.microsoft.com. Navegue até Identidade > Usuários > Configurações de usuário. Em “Configurações do OneDrive for Business”, defina Restringir acesso ao OneDrive de ex-funcionário ao gerente dele como Sim. Clique em Salvar.
A alteração do atributo Gerente não foi replicada para o OneDrive
As alterações no Microsoft Entra ID podem levar até 24 horas para se propagar para o serviço de aprovação do OneDrive. Se você atualizou o campo Gerente recentemente, aguarde um dia útil completo e teste novamente. Para forçar uma sincronização mais rápida, execute o seguinte comando do PowerShell: Start-MgDirectoryObjectDirectoryObject -DirectoryObjectId "id-do-usuario". Substitua id-do-usuario pela ID de objeto do usuário transferido.
O status de ex-funcionário não foi aplicado corretamente
Se o usuário não estiver marcado como ex-funcionário no Microsoft Entra ID, o fluxo de trabalho de aprovação do OneDrive não será acionado. Para marcar um usuário como ex-funcionário, vá ao centro de administração do Microsoft 365, selecione o usuário e clique em Bloquear entrada. Em seguida, remova todas as licenças. A política de retenção do OneDrive será aplicada e o fluxo de aprovação será ativado usando o atributo Gerente.
Métodos de atualização do atributo Gerente: Centro de administração vs PowerShell
| Item | Centro de Administração do Microsoft 365 | PowerShell (Microsoft Graph) |
|---|---|---|
| Melhor para | Usuário único ou poucos usuários | Atualizações em massa de 10 ou mais usuários |
| Tempo para concluir | 2-3 minutos por usuário | 5-10 minutos para 100 usuários |
| Permissões necessárias | Administrador de Usuários ou Administrador Global | User.ReadWrite.All e Directory.ReadWrite.All |
| Risco de erro | Baixo devido à confirmação visual | Médio se o mapeamento CSV estiver incorreto |
| Velocidade de replicação | Até 24 horas | Até 24 horas |
Agora você pode corrigir o atributo Gerente para qualquer usuário transferido usando o centro de administração ou o PowerShell. Após atualizar o atributo, habilite a configuração “Restringir acesso ao OneDrive de ex-funcionário ao gerente dele” no centro de administração do Microsoft Entra para forçar o roteamento correto da aprovação. Como dica avançada, automatize a atualização do atributo Gerente integrando seu sistema de RH ao Microsoft Entra ID usando uma ferramenta de provisionamento como o Microsoft Identity Manager ou uma solução de sincronização de terceiros para evitar futuros desvios de roteamento.