Ao se preparar para uma auditoria, você precisa verificar se os links de compartilhamento externo no OneDrive for Business funcionam corretamente. Um problema comum é que esses links abrem com um erro de “Acesso Negado” mesmo quando as configurações de compartilhamento parecem corretas. Esse problema geralmente ocorre devido a uma incompatibilidade entre o nível de permissão do link, o método de autenticação do destinatário ou as políticas de compartilhamento do locatário. Este artigo explica as causas raiz dos erros de acesso negado em links de compartilhamento externo e fornece etapas detalhadas de solução de problemas para resolvê-los antes da sua auditoria.
Principais conclusões: Correções de acesso negado em links de compartilhamento externo para auditores
- Centro de administração do Microsoft 365 > SharePoint > Compartilhamento: Controla as políticas de compartilhamento externo no nível do locatário que substituem as configurações individuais do OneDrive.
- Cliente de sincronização do OneDrive > Configurações > Conta > Gerenciar armazenamento: Verifica se a conta de usuário não está bloqueada ou expirada, o que pode causar falhas no link.
- Azure AD > Identidades Externas > Configurações de colaboração externa: Gerencia a expiração do acesso de usuários convidados e listas de domínios permitidos/bloqueados que afetam os destinatários do link.
Por que os links de compartilhamento externo retornam acesso negado
Um link de compartilhamento externo no OneDrive for Business pode falhar com “Acesso Negado” por vários motivos técnicos. A causa mais comum é que o tipo de link não corresponde ao método de autenticação do destinatário. Por exemplo, um link definido como “Pessoas da sua organização” negará acesso a qualquer pessoa fora do locatário. Outra causa frequente é a política de compartilhamento externo no nível do locatário no centro de administração do SharePoint, que pode bloquear todo o compartilhamento externo mesmo que as configurações individuais da pasta do OneDrive permitam. Além disso, se a conta do destinatário for um usuário convidado que expirou ou foi removido do Azure Active Directory, o link falhará. Por fim, o link pode ter sido criado com uma data de expiração específica ou exigir uma senha que o destinatário não pode atender.
Durante a preparação para auditoria, você deve testar cada tipo de link nas mesmas condições que os auditores externos usarão. Isso significa testar com uma conta que não seja do locatário, de uma rede diferente e com o modo de privacidade do navegador ativado para evitar credenciais em cache. As etapas abaixo cobrem todos esses cenários.
Etapas para diagnosticar e corrigir acesso negado em links de compartilhamento externo
- Verifique o tipo de link no OneDrive
Abra o OneDrive no seu navegador. Clique com o botão direito no arquivo ou pasta que possui o link externo. Selecione Compartilhar e depois Gerenciar acesso. Verifique o tipo de link exibido na entrada do link. Se o tipo de link for “Pessoas da sua organização” ou “Pessoas com acesso existente,” ele não funcionará para usuários externos. Altere o tipo de link para “Qualquer pessoa” ou “Pessoas específicas” e defina o nível de permissão como Visualizar ou Editar, conforme necessário. Clique em Aplicar para salvar. - Verifique a política de compartilhamento externo do locatário
Vá para o centro de administração do Microsoft 365. Navegue até Configurações > Configurações da organização > SharePoint. Em Compartilhamento, veja a configuração de compartilhamento externo para o OneDrive. A configuração deve estar definida como Qualquer pessoa ou Novos e convidados existentes para que os links externos funcionem. Se estiver definida como Apenas pessoas da sua organização, os links externos sempre falharão. Altere a configuração para o nível apropriado e clique em Salvar. - Verifique as configurações de expiração e senha do link
No mesmo painel Gerenciar acesso, clique na entrada do link. Procure as configurações de Data de expiração e Senha necessária. Se o link expirou, ele mostrará Acesso Negado. Se uma senha for necessária, o destinatário deve digitá-la corretamente. Para testes de auditoria, remova a exigência de senha e defina a data de expiração para pelo menos 30 dias no futuro. Clique em Aplicar. - Teste o link em uma janela privada do navegador
Abra uma janela privada ou anônima do navegador. Cole o link de compartilhamento externo na barra de endereços. Se for solicitado a fazer login, use uma conta pessoal da Microsoft ou uma conta de convidado que foi convidada para o locatário. Se você vir Acesso Negado, anote a mensagem de erro exata. Mensagens comuns incluem “Este link expirou,” “A política da sua organização não permite que você compartilhe este item,” ou “Você precisa de permissão para acessar este item.” Cada mensagem aponta para uma causa raiz diferente. - Verifique o status do usuário convidado no Azure Active Directory
Vá para o centro de administração do Azure Active Directory. Selecione Usuários > Todos os usuários. Filtre por Tipo de usuário e selecione Convidado. Encontre a conta de convidado do destinatário. Verifique o status Conta habilitada. Se for Não, a conta está bloqueada. Verifique também Último login para ver se a conta está inativa. Se a conta estiver desabilitada, habilite-a e peça ao convidado para fazer login novamente. Se o usuário convidado não existir, o link sempre falhará até que você o convide. - Verifique as listas de domínios permitidos e bloqueados
No Azure Active Directory, vá para Identidades Externas > Configurações de colaboração externa. Em Restrições de colaboração, verifique se o domínio de email do destinatário está na Lista de bloqueio. Se estiver, remova-o. Se o domínio não estiver na Lista de permissão e o locatário usar uma lista de permissão, adicione o domínio. Clique em Salvar. - Use o Relatório de Compartilhamento do SharePoint como prova de auditoria
Vá para o centro de administração do SharePoint. Em Relatórios > Compartilhamento, gere um relatório de compartilhamento para o arquivo ou pasta específicos. Este relatório mostra com quem o link foi compartilhado, o tipo de link, a data de expiração e se o link foi acessado. Exporte este relatório como um arquivo CSV para sua documentação de auditoria. Compare os dados do relatório com as configurações do link verificadas na etapa 1.
Se os links de compartilhamento externo ainda falharem após a correção principal
O link funciona para usuários internos, mas falha para usuários externos
Isso indica que o tipo de link está definido como “Pessoas da sua organização” ou “Pessoas com acesso existente.” Altere o tipo de link para “Qualquer pessoa” ou “Pessoas específicas” e compartilhe novamente. Verifique também se a política do locatário permite o compartilhamento com qualquer pessoa.
O link funciona para um usuário externo, mas não para outro
Verifique se o domínio do usuário com falha está bloqueado nas configurações de colaboração externa do Azure AD. Verifique também se a conta de convidado do usuário com falha está habilitada e não expirou. Se o link exigir login, o usuário deve usar o mesmo endereço de email que foi convidado.
O link mostra “Este link expirou” mesmo sem expiração definida
O OneDrive for Business tem uma política de expiração de link padrão que pode ser definida no nível do locatário. Vá para o centro de administração do SharePoint > Políticas > Compartilhamento. Em Escolher opções de expiração e permissões para links de compartilhamento, verifique a expiração padrão para links de qualquer pessoa. Se um padrão estiver definido, você deve criar novos links que o substituam ou alterar o padrão do locatário para um período mais longo.
O link solicita uma senha, mas nenhuma senha foi definida
O locatário pode ter uma política que exige uma senha para todos os links de compartilhamento externo. Vá para o centro de administração do SharePoint > Políticas > Compartilhamento. Em Escolher opções de expiração e permissões para links de compartilhamento, desmarque Exigir uma senha para todos os links de compartilhamento externo. Após alterar esta configuração, crie um novo link e teste-o.
Tipos de link externo e suas implicações para auditoria
| Item | Link para qualquer pessoa | Link para pessoas específicas |
|---|---|---|
| Descrição | Qualquer pessoa com o link pode acessar o item sem fazer login | Apenas usuários convidados com uma conta Microsoft ou conta de convidado podem acessar o item após fazer login |
| Autenticação necessária | Nenhuma autenticação necessária | O usuário deve fazer login com uma conta que corresponda ao email convidado |
| Detalhe da trilha de auditoria | Mostra apenas que o link foi acessado, não quem o acessou | Mostra a conta de usuário específica que acessou o item |
| Dependência da política do locatário | Requer política do locatário definida como Qualquer pessoa | Requer política do locatário definida como Novos e convidados existentes ou Qualquer pessoa |
| Melhor para auditoria | Apenas quando o acesso anônimo é aceitável e o rastreamento detalhado do usuário não é necessário | Preferido para auditoria porque cada acesso está vinculado a uma identidade de usuário específica |
Para preparação de auditoria, use links para pessoas específicas sempre que possível. Eles fornecem uma trilha de auditoria clara mostrando exatamente quem acessou cada arquivo e quando. Links para qualquer pessoa não rastreiam identidades de usuário individuais, o que pode tornar os relatórios de auditoria incompletos.
Após concluir as etapas acima, você pode testar e corrigir links de compartilhamento externo que mostram Acesso Negado. Para sua próxima execução de auditoria, gere o Relatório de Compartilhamento do SharePoint para cada arquivo compartilhado para documentar a configuração do link e o histórico de acesso. Como dica avançada, use o cmdlet Set-SPOSite SharingCapability do PowerShell para verificar e atualizar políticas de compartilhamento em massa em todos os sites do OneDrive do seu locatário, economizando tempo durante a preparação de auditoria em grande escala.