Você executa um relatório de permissões do OneDrive para uma pasta ou arquivo compartilhado esperando uma lista completa de quem tem acesso. O relatório mostra permissões diretas de usuários e grupos, mas nunca inclui o acesso concedido por links de compartilhamento. Isso acontece porque o relatório de permissões do OneDrive foi projetado para mostrar apenas permissões explícitas, não acesso baseado em links. Este artigo explica por que o acesso por link é omitido, como visualizar o acesso por link separadamente usando ferramentas do Microsoft 365 e como auditar ambos os tipos de permissão para uma visão completa de segurança.
Principais Conclusões: Relatório de Permissões do OneDrive e Acesso por Link
- Relatório de permissões do OneDrive no SharePoint Admin Center > Access: Mostra apenas permissões explícitas de usuários e grupos. Não mostra ninguém que acessou o item por meio de um link de compartilhamento.
- Cmdlet Get-PnPListItemPermission do SharePoint Online Management Shell: Retorna entradas de permissão para itens de lista, mas exclui o acesso baseado em link em sua saída padrão.
- Log de auditoria do Microsoft 365 no Security & Compliance Center: Registra cada vez que um link de compartilhamento é criado, usado ou modificado. Use-o para rastrear o histórico de acesso por link.
Por que os Relatórios de Permissões do OneDrive Excluem o Acesso por Link
O OneDrive armazena permissões em duas camadas separadas. A primeira camada são as permissões explícitas, que são atribuições diretas a usuários ou grupos do Microsoft 365. A segunda camada é o acesso baseado em link, gerenciado por meio de links de compartilhamento que concedem acesso a qualquer pessoa com o link, pessoas da sua organização ou pessoas específicas. O relatório de permissões do OneDrive lê apenas a primeira camada. Ele consulta a estrutura de permissões subjacente do SharePoint, que armazena Entradas de Controle de Acesso explícitas para cada usuário ou grupo. Os links de compartilhamento são armazenados como objetos de permissão especiais que não aparecem na enumeração padrão de permissões para itens de lista ou pastas. O mecanismo do relatório simplesmente não consulta o armazenamento de permissões específico de links.
A Microsoft projetou essa separação para desempenho e clareza. Um único arquivo pode ter dezenas de links de compartilhamento, cada um com diferentes datas de expiração, requisitos de senha e níveis de acesso. Incluir todas essas entradas em um relatório de permissões tornaria o relatório rapidamente ilegível. O relatório destina-se a mostrar quem tem acesso permanente, não quem pode ter acesso temporário por meio de um link. No entanto, esse design cria um ponto cego para auditorias de segurança. Um auditor que depende apenas do relatório de permissões perderá qualquer pessoa que obteve acesso por meio de um link que nunca foi convertido em permissões explícitas.
Como Visualizar o Acesso por Link para Itens do OneDrive
Você pode ver o acesso por link para um arquivo ou pasta específica do OneDrive por meio da interface do usuário do Microsoft 365, do PowerShell e do log de auditoria. O método escolhido depende se você precisa de um instantâneo atual ou de um registro histórico.
Método 1: Verificar o Acesso por Link Através da Interface Web do OneDrive
- Abra o aplicativo web do OneDrive
Acesse onedrive.com e faça login com sua conta corporativa ou de estudante. Navegue até o arquivo ou pasta que deseja inspecionar. - Selecione o item e abra o painel de compartilhamento
Clique na caixa de seleção circular ao lado do item. Em seguida, clique no botão Compartilhar na barra de ferramentas no topo da página. O painel de compartilhamento é aberto no lado direito da tela. - Clique nos três pontos ao lado de um link
No painel de compartilhamento, você vê uma lista de todos os links de compartilhamento existentes para este item. Cada link mostra seu tipo, data de expiração (se definida) e se requer senha. Clique nos três pontos ao lado de um link e selecione Gerenciar acesso para ver quem usou esse link. - Revise o painel Gerenciar Acesso
Um novo painel é aberto mostrando todos os usuários que acessaram o item por meio desse link específico. Você vê o nome, e-mail e a data do último acesso ao arquivo. Essa visualização não aparece em nenhum relatório de permissões padrão.
Método 2: Usar a API do Microsoft Graph para Recuperar Permissões de Link
Para administradores que precisam auditar o acesso por link em várias contas do OneDrive, a API do Microsoft Graph fornece um endpoint permissions que retorna permissões explícitas e de link. Você deve filtrar a resposta para isolar as permissões do tipo link.
- Autentique-se no Microsoft Graph
Use um registro de aplicativo com a permissãoFiles.Read.AllouSites.Read.All. Obtenha um token de acesso para o contexto delegado ou de aplicativo. - Chame o endpoint de permissões para o item
Envie uma solicitação GET parahttps://graph.microsoft.com/v1.0/users/{user-id}/drive/items/{item-id}/permissions. Substitua{user-id}pelo ID do objeto do usuário e{item-id}pelo ID do item no OneDrive. - Analise a resposta para objetos de link
A resposta contém um arrayvalue. Cada objeto tem uma propriedadelinkse for um link de compartilhamento. Objetos sem a propriedadelinksão permissões explícitas. Filtre o array para objetos ondelinknão é nulo para obter todos os links de compartilhamento e suas propriedades, incluindoscope,typeesharedWith.
Método 3: Pesquisar o Log de Auditoria do Microsoft 365 para Atividade de Link
Quando você precisa saber quem acessou um arquivo por meio de um link em um momento específico, o log de auditoria é a fonte definitiva. Cada vez que um link de compartilhamento é criado, usado ou modificado, um registro de auditoria é gerado.
- Abra o portal do Microsoft 365 Defender
Acesse security.microsoft.com e faça login com uma conta que tenha a função de Log de Auditoria ou Leitor de Segurança. - Navegue até Auditoria
Na navegação à esquerda, selecione Auditoria na seção Soluções. Se não aparecer, clique em Mostrar tudo primeiro. - Defina os critérios de pesquisa para atividade de link
No filtro Atividades, pesquise e selecione Link de compartilhamento criado, Link de compartilhamento usado e Link de compartilhamento modificado. Defina o intervalo de datas para cobrir o período que você precisa auditar. Insira o nome do arquivo ou URL no campo Arquivo se quiser restringir os resultados a um item específico. - Revise os resultados da pesquisa
Clique em Pesquisar. Os resultados mostram cada evento com o usuário que realizou a ação, o tipo de link e o arquivo de destino. Clique em um resultado individual para ver detalhes como o ID do link, configurações de expiração e o usuário que acessou o link.
Problemas Comuns ao Auditar Acesso por Link no OneDrive
O Relatório de Permissões Não Mostra Usuários, mas o Arquivo Está Acessível
Essa situação ocorre quando o arquivo não tem permissões explícitas, mas é compartilhado por meio de um link para toda a organização ou para qualquer pessoa. O arquivo herda permissões de sua pasta pai, mas o link substitui a herança para acesso anônimo ou de toda a organização. Verifique os links de compartilhamento usando a interface web conforme descrito no Método 1. Se existir um link para toda a organização, todos os usuários do seu locatário podem acessar o arquivo, mesmo que o relatório de permissões mostre zero usuários explícitos.
O Log de Auditoria Não Retorna Resultados para Uso de Link
A auditoria deve estar habilitada para seu locatário. Vá para o centro de administração do Microsoft 365, selecione Auditoria em Segurança e Privacidade e verifique se a auditoria está ativada. Se estava desativada durante o período que você está pesquisando, não existem registros. Confirme também se o intervalo de datas está correto. Os logs de auditoria são retidos por 90 dias por padrão para licenças Microsoft 365 E3 e até um ano para licenças E5.
Permissões de Link do PowerShell Mostram Entradas Duplicadas
Ao usar a API do Graph ou o SharePoint Online Management Shell, um único link de compartilhamento pode aparecer várias vezes se tiver sido modificado. Cada modificação cria uma nova versão do objeto de permissão do link. Filtre pela propriedade id do link para obter entradas únicas. O lastModifiedDateTime mais recente indica o estado atual do link.
Relatório de Permissões vs Acesso por Link: O Que Cada Método Revela
| Item | Relatório de Permissões do OneDrive | Painel Gerenciar Acesso / API do Graph |
|---|---|---|
| Escopo do acesso mostrado | Apenas permissões explícitas de usuários e grupos | Permissões explícitas e todos os links de compartilhamento |
| Atividade histórica | Nenhum dado histórico, apenas estado atual | Estado atual para links; log de auditoria fornece histórico |
| Detecção de acesso anônimo | Não detecta acesso anônimo | Mostra links anônimos com escopo definido como “anonymous” |
| Informações de expiração e senha | Não disponível | Mostra data de expiração, exigência de senha e tipo de link |
| Exportabilidade | Exportável via CSV do SharePoint Admin Center | Sem exportação nativa; requer API do Graph ou script PowerShell |
O relatório de permissões é melhor para uma verificação rápida de quem tem acesso direto. O painel Gerenciar Acesso e a API do Graph são necessários para uma auditoria de segurança completa que inclua compartilhamento por link. Para auditorias de conformidade, use sempre tanto o relatório de permissões quanto o log de auditoria para cobrir todos os caminhos de acesso.
Agora você entende que o relatório de permissões do OneDrive intencionalmente exclui o acesso por link e como recuperar esses dados separadamente. Comece verificando o painel Gerenciar Acesso para qualquer arquivo que lhe preocupe. Para auditorias mais amplas, use a API do Microsoft Graph para coletar todas as permissões, incluindo links. Como etapa avançada, configure um script PowerShell agendado que chame a API do Graph semanalmente e compare a lista de permissões de link com a política de compartilhamento da sua organização para detectar links que violem regras de expiração ou escopo.