Ao executar um relatório de compartilhamento do OneDrive no centro de administração do Microsoft 365, você pode ver contas de convidados listadas como “Excluídas” mesmo que esses convidados ainda tenham acesso aos arquivos compartilhados. Isso acontece porque o Azure AD não remove completamente um objeto de usuário convidado quando você o exclui do centro de administração do Microsoft 365. Em vez disso, o objeto convidado entra em um estado de exclusão reversível, e o relatório de compartilhamento reflete esse status como “Excluído” enquanto o convidado ainda pode acessar o conteúdo compartilhado se o link de compartilhamento ainda estiver ativo.
Este artigo explica por que os relatórios de compartilhamento do OneDrive mostram contas de convidados excluídas, como funciona o ciclo de vida de convidados no Azure AD e quais medidas você pode tomar para remover permanentemente o acesso de convidados. Você também aprenderá a verificar o acesso real do convidado e limpar os links de compartilhamento para evitar riscos de segurança.
Entender esse comportamento é crítico para administradores de TI que dependem de relatórios de compartilhamento para auditar o acesso externo. Interpretar erroneamente o status “Excluído” pode levar a uma falsa sensação de segurança ou a trilhas de auditoria incompletas.
Principais Conclusões: Por que Contas de Convidados Aparecem como Excluídas nos Relatórios de Compartilhamento do OneDrive
- Comportamento de exclusão reversível do Azure AD: Excluir um convidado do centro de administração do Microsoft 365 apenas remove o objeto de usuário de forma reversível, deixando os links de compartilhamento intactos.
- Fonte de dados do relatório de compartilhamento do OneDrive: O relatório obtém o status do convidado do Azure AD, não do status ativo do link de compartilhamento; portanto, “Excluído” não significa acesso revogado.
- Remoção permanente do convidado requer duas etapas: Exclua o convidado do Azure AD usando o centro de administração ou PowerShell e, em seguida, remova ou expire todos os links de compartilhamento para esse convidado.
Por que os Relatórios de Compartilhamento do OneDrive Mostram Contas de Convidados Excluídas
A causa raiz é como o Azure Active Directory lida com a exclusão de usuários convidados. Quando você exclui um usuário convidado do centro de administração do Microsoft 365 em Usuários > Usuários convidados, o Azure AD não remove permanentemente o objeto de usuário. Em vez disso, ele marca o objeto como excluído reversivelmente e o move para a lista de Usuários Excluídos. Nesse estado, o objeto de usuário convidado ainda existe no diretório por até 30 dias, e quaisquer permissões de compartilhamento concedidas a esse convidado permanecem ativas.
O relatório de compartilhamento do OneDrive consulta o Azure AD para obter o status do objeto de usuário. Se o convidado estiver no estado de exclusão reversível, o relatório exibe o status como “Excluído”. No entanto, o relatório não verifica se o convidado ainda possui links de compartilhamento ativos. Isso significa que um convidado pode aparecer como “Excluído” no relatório enquanto ainda pode acessar arquivos por meio de um link de compartilhamento direto ou de um convite que foi aceito antes da exclusão.
Exclusão Reversível vs. Exclusão Permanente no Azure AD
O Azure AD usa um mecanismo de exclusão reversível para usuários convidados a fim de evitar a perda permanente acidental de dados do usuário e associações a grupos. Um convidado excluído reversivelmente pode ser restaurado em até 30 dias. Uma exclusão permanente remove o objeto de usuário definitivamente e não pode ser desfeita. O relatório de compartilhamento do OneDrive reflete apenas o estado de exclusão reversível. Ele não mostra se o convidado possui sessões ou tokens ativos.
Independência do Link de Compartilhamento em Relação ao Status do Usuário Convidado
Quando você compartilha um arquivo ou pasta com um convidado, o OneDrive cria um link de compartilhamento vinculado ao ID do objeto do convidado. Excluir o usuário convidado não invalida automaticamente o link de compartilhamento. O link permanece válido até ser removido manualmente, expirado ou até que o objeto de usuário convidado seja excluído permanentemente. É por isso que um convidado excluído ainda pode acessar arquivos.
Etapas para Verificar e Remover o Acesso de Convidados do OneDrive
Siga estas etapas para confirmar se um convidado excluído ainda tem acesso e para revogar esse acesso permanentemente.
- Execute o relatório de compartilhamento do OneDrive no centro de administração
Vá para Centro de administração do Microsoft 365 > Relatórios > Uso > Arquivos do OneDrive. Selecione a guia Compartilhamento. Procure por contas de convidados com status “Excluído”. Anote o endereço de e-mail do convidado e os arquivos compartilhados. - Verifique se o convidado foi excluído reversivelmente ou permanentemente
No centro de administração, vá para Usuários > Usuários excluídos. Se o convidado aparecer na lista, ele foi excluído reversivelmente. Se o convidado não aparecer, pode ter sido excluído permanentemente ou removido há mais de 30 dias. - Teste o acesso do convidado a um arquivo compartilhado
Abra a URL do arquivo compartilhado em uma janela anônima do navegador ou peça ao convidado para tentar acessar o arquivo. Se o convidado conseguir abrir o arquivo, o link de compartilhamento ainda está ativo. - Exclua permanentemente o usuário convidado do Azure AD
No centro de administração, vá para Usuários > Usuários excluídos, selecione o convidado e escolha “Excluir permanentemente”. Alternativamente, use o PowerShell:Remove-AzureADUser -ObjectId "convidado@dominio.com" -RemoveFromRecycleBin $true. Isso exclui permanentemente o objeto de usuário. - Remova ou expire todos os links de compartilhamento para o convidado
Vá para o site do OneDrive onde os arquivos foram compartilhados. Para cada arquivo ou pasta, selecione o ícone de compartilhar, clique nos três pontos ao lado do nome do convidado e escolha “Remover acesso direto”. Alternativamente, use o SharePoint Online Management Shell:Remove-SPOExternalUser -UniqueId "convidado@dominio.com". - Verifique se o acesso foi revogado
Tente abrir a URL do arquivo compartilhado em uma janela anônima do navegador. Você deve ver uma mensagem de acesso negado. Se o convidado relatar acesso contínuo, repita a etapa 5 para todos os itens compartilhados.
Se Contas de Convidados Excluídas Ainda Aparecerem em Relatórios Futuros
Mesmo após excluir permanentemente um convidado e remover os links de compartilhamento, o relatório de compartilhamento do OneDrive pode ainda mostrar o convidado como “Excluído” por até 24 horas. Isso ocorre porque o relatório armazena em cache dados do Azure AD e dos logs de atividade do OneDrive. Aguarde um dia útil completo e execute o relatório novamente. Se o convidado ainda aparecer, verifique se o convidado foi reconvidado ou se uma pasta compartilhada foi configurada para permitir qualquer pessoa com o link.
Convidado Reaparece Após a Exclusão
Se um convidado reaparecer no relatório após você tê-lo excluído permanentemente, provavelmente alguém reconvidou o convidado para um arquivo ou pasta compartilhada. O OneDrive recria automaticamente o objeto de usuário convidado quando um novo convite de compartilhamento é enviado. Para evitar isso, audite todos os links de compartilhamento desse arquivo ou pasta e altere a permissão de compartilhamento para “Pessoas específicas” ou remova o link completamente.
Relatório de Compartilhamento Mostra Convidado como Excluído, mas o Acesso Ainda Está Ativo
Este é o cenário mais comum. O objeto de usuário convidado foi excluído reversivelmente, mas o link de compartilhamento ainda é válido. Siga as etapas da seção anterior para excluir permanentemente o convidado e remover todos os links de compartilhamento. Se você não conseguir encontrar o arquivo ou pasta específico, use a visualização “Compartilhado comigo” no OneDrive do convidado para identificar todos os itens que ele pode acessar.
Status do Convidado no Relatório de Compartilhamento do OneDrive Comparado ao Acesso Real
| Item | Status no Relatório de Compartilhamento | Acesso Real do Convidado |
|---|---|---|
| Objeto de usuário convidado no Azure AD | Excluído (exclusão reversível) | Ainda existe no diretório como excluído reversivelmente |
| Validade do link de compartilhamento | Não informado | Permanece ativo até ser removido ou expirado |
| Convidado pode acessar arquivos | Excluído | Sim, se o link de compartilhamento estiver ativo |
| Convidado não pode acessar arquivos | Excluído | Não, se o link de compartilhamento foi removido ou expirado |
Esta tabela mostra que o status do relatório de compartilhamento sozinho não pode determinar se um convidado tem acesso ativo. Você deve verificar o status do link de compartilhamento separadamente.
Agora você entende por que os relatórios de compartilhamento do OneDrive mostram contas de convidados excluídas e como remover permanentemente o acesso de convidados. Comece executando o relatório para identificar os convidados afetados, depois exclua permanentemente o usuário convidado do Azure AD e remova todos os links de compartilhamento associados. Para auditoria contínua, agende uma revisão semanal do relatório de compartilhamento e use scripts do PowerShell para automatizar a remoção de convidados excluídos reversivelmente com links de compartilhamento ativos. Isso garante que seu compartilhamento externo permaneça seguro e totalmente auditável.