Quando um ex-funcionário ou colaborador externo sai da sua organização, a conta de usuário geralmente permanece nas permissões de compartilhamento do OneDrive. Essas entradas residuais são chamadas de usuários órfãos. Elas aparecem como nomes sem endereço de e-mail ou com uma foto de perfil esmaecida no painel Gerenciar Acesso. Usuários órfãos criam um risco de segurança porque as permissões ainda estão ativas mesmo que a conta esteja desabilitada ou excluída. Este artigo explica como identificar usuários órfãos no OneDrive e removê-los usando o centro de administração do Microsoft 365, PowerShell e a interface web do OneDrive.
Principais Conclusões: Removendo Usuários Órfãos das Permissões do OneDrive
- OneDrive web > Gerenciar Acesso: Use a caixa de diálogo Compartilhar para remover manualmente usuários órfãos individuais de arquivos e pastas.
- SharePoint Online Management Shell: Execute o cmdlet
Remove-SPOUserpara remover em massa usuários órfãos de uma coleção de sites do OneDrive. - Centro de administração do Microsoft 365 > Usuários excluídos: Restaure um usuário excluído temporariamente para revogar permissões pela interface do usuário e depois exclua a conta novamente.
O Que São Usuários Órfãos e Por Que Persistem
Um usuário órfão no OneDrive é uma entidade de segurança cuja conta do Azure AD foi excluída temporária ou permanentemente. Quando um usuário é removido do Azure AD, as entradas de permissão em arquivos e pastas do OneDrive não são limpas automaticamente. O OneDrive mantém o identificador do usuário como um identificador de segurança, que é exibido como um nome sem um link de e-mail funcional. A permissão permanece ativa até ser revogada explicitamente. Se a conta de usuário excluída for restaurada por um invasor ou agente mal-intencionado, ele recupera acesso imediato a todos os arquivos aos quais tinha permissão anteriormente. É por isso que a remoção de usuários órfãos é uma tarefa crítica de higiene de segurança para administradores de TI.
Usuários órfãos aparecem nos seguintes locais: no painel Gerenciar Acesso da caixa de diálogo Compartilhar, nas permissões da coleção de sites no centro de administração do SharePoint e na saída de cmdlets do PowerShell que enumeram permissões. A causa mais comum é desligar um usuário sem antes remover seus links de compartilhamento explícitos e permissões diretas de conteúdo compartilhado do OneDrive. Outra causa são contas de convidados externos que são excluídas da colaboração B2B do Azure AD, mas suas permissões permanecem em documentos compartilhados.
Métodos para Remover Usuários Órfãos
Existem três métodos confiáveis para remover usuários órfãos das permissões do OneDrive. Escolha o método que corresponde ao número de usuários órfãos e aos seus privilégios administrativos. A remoção manual funciona para alguns arquivos. A remoção em massa com PowerShell é melhor para centenas de entradas órfãs. O método do centro de administração é útil quando você precisa restaurar e excluir novamente uma conta para limpar as permissões.
Método 1: Remoção Manual pelo OneDrive Web
- Abra o aplicativo web do OneDrive
Acesse onedrive.live.com e faça login com sua conta de administrador ou proprietário do Microsoft 365. - Navegue até o arquivo ou pasta afetado
Vá até o item que mostra um usuário órfão na lista de compartilhamento. Selecione o item clicando na caixa de seleção circular que aparece ao passar o mouse sobre ele. - Abra a caixa de diálogo Compartilhar
Clique no botão Compartilhar no topo da página. Um painel é aberto no lado direito da tela. - Clique em Gerenciar Acesso
Na parte inferior do painel Compartilhar, clique em Gerenciar Acesso. Uma lista de todos os usuários com permissões aparece. - Localize o usuário órfão
Encontre a entrada que mostra um nome sem endereço de e-mail ou um ícone esmaecido. A entrada pode exibir o nome de exibição do usuário, mas o campo de e-mail está em branco. - Remova o usuário órfão
Clique na seta suspensa ao lado do nome do usuário órfão. Selecione Remover acesso direto. Confirme a remoção na caixa de diálogo.
Método 2: Remoção em Massa com PowerShell
- Instale o SharePoint Online Management Shell
Abra o Windows PowerShell como administrador. ExecuteInstall-Module -Name Microsoft.Online.SharePoint.PowerShell. Se solicitado, confirme a instalação. - Conecte-se ao SharePoint Online
ExecuteConnect-SPOService -Url https://[tenant]-admin.sharepoint.com. Substitua[tenant]pelo nome do seu locatário do Microsoft 365. Faça login com uma conta de administrador do SharePoint ou administrador global. - Obtenha a URL do site do OneDrive
ExecuteGet-SPOSite -IncludePersonalSite $true -Filter "Url -like '-my.sharepoint.com/personal/'"para listar todas as coleções de sites do OneDrive. Identifique a URL do site que contém as permissões órfãs. - Liste os usuários do site
ExecuteGet-SPOUser -Site https://[tenant]-my.sharepoint.com/personal/[user]_[tenant]_com. Revise a saída em busca de usuários com um LoginName que mostre um GUID ou um domínio que não existe mais no seu locatário. - Remova o usuário órfão
ExecuteRemove-SPOUser -Site https://[tenant]-my.sharepoint.com/personal/[user]_[tenant]_com -LoginName "i:0#.f|membership|[orphanedUserGUID]". Substitua o nome de login pelo valor exato da etapa anterior. Confirme a remoção quando solicitado. - Repita para outros sites
Se houver usuários órfãos em vários sites do OneDrive, repita as etapas 3 a 5 para cada coleção de sites.
Método 3: Método Restaurar e Revogar
- Restaure o usuário excluído no centro de administração
Vá para Centro de administração do Microsoft 365 > Usuários > Usuários excluídos. Encontre a conta de usuário órfão. Selecione o usuário e clique em Restaurar. A conta de usuário é reativada no Azure AD. - Faça login como o usuário restaurado ou use a administração
Opção A: Redefina a senha do usuário e faça login no OneDrive. Revogue todos os links de compartilhamento e remova permissões de arquivos. Opção B: Use o centro de administração do SharePoint para remover as permissões do usuário diretamente da coleção de sites do OneDrive. - Remova permissões do site do OneDrive
No centro de administração do SharePoint, vá para Sites ativos. Encontre o site do OneDrive do usuário restaurado. Selecione o site, clique em Permissões e remova quaisquer usuários que não devam ter acesso. - Exclua a conta de usuário novamente
Volte ao centro de administração do Microsoft 365. Vá para Usuários > Usuários ativos. Selecione o usuário restaurado e clique em Excluir usuário. Confirme a exclusão. As permissões agora estão limpas porque o usuário estava presente durante o processo de remoção.
Se Usuários Órfãos Persistirem Após a Remoção
Usuário Órfão Ainda Aparece em Gerenciar Acesso
Se você removeu um usuário órfão, mas a entrada reaparece após atualizar a página, o usuário pode ter sido adicionado novamente por um link de compartilhamento que concede acesso a Todos ou a um grupo de segurança. Verifique todos os links de compartilhamento no arquivo ou pasta. No painel Compartilhar, clique em Gerenciar Acesso e revise a seção Links. Se um link estiver definido como Pessoas em [Sua Organização] ou Qualquer pessoa, as permissões do usuário órfão podem ser herdadas de uma associação a grupo. Altere o tipo de link para Pessoas específicas e remova a entrada órfã manualmente.
PowerShell Retorna Erro Usuário Não Encontrado
O cmdlet Remove-SPOUser falha com um erro de usuário não encontrado quando o nome de login do usuário órfão está malformado ou o usuário foi excluído permanentemente. Nesse caso, use o cmdlet Set-SPOUser -Site com o parâmetro -IsSiteCollectionAdmin $false se o usuário for um administrador da coleção de sites. Se o usuário for um membro comum, a única opção é remover a entrada órfã via API REST do SharePoint ou usando a interface Gerenciar Acesso em cada arquivo. Para limpeza em massa em centenas de arquivos, considere usar uma ferramenta de governança de terceiros, como ShareGate ou AvePoint.
Usuário Órfão é um Convidado Externo
Contas de convidados externos que são excluídas do Azure AD B2B deixam entradas órfãs exatamente como usuários internos. Para remover um convidado externo órfão, você deve primeiro reconvidar o convidado ao seu locatário usando o mesmo endereço de e-mail. Vá para Centro de administração do Microsoft 365 > Usuários > Usuários convidados. Clique em Adicionar usuário convidado e insira o endereço de e-mail. Após o convidado ser recriado, remova as permissões dele no OneDrive usando o Método 1 ou Método 2. Em seguida, exclua a conta de convidado do Azure AD novamente.
Remoção Manual vs Remoção em Massa com PowerShell: Diferenças Chave
| Item | Remoção Manual (OneDrive Web) | Remoção em Massa com PowerShell |
|---|---|---|
| Escopo | Arquivo ou pasta individual por vez | Coleção de sites inteira do OneDrive |
| Privilégio necessário | Proprietário ou editor do arquivo | Administrador do SharePoint ou administrador global |
| Tempo para concluir | 2-5 minutos por usuário órfão | 10-30 segundos por site após configuração |
| Risco de erro | Baixo — o usuário confirma cada remoção | Médio — remoção acidental de usuário ativo |
| Trilha de auditoria | Exibida no log de auditoria do OneDrive | Exibida no log de auditoria do administrador do SharePoint |
| Melhor para | Menos de 10 entradas órfãs | Mais de 10 entradas órfãs |
Após remover usuários órfãos, você reduziu a superfície de ataque do seu ambiente OneDrive. O próximo passo é configurar uma auditoria recorrente usando o log de Auditoria do Centro de conformidade do Microsoft 365. Pesquise por eventos de Acesso direto removido para confirmar que a limpeza de usuários órfãos está ocorrendo regularmente. Uma dica avançada é criar um script PowerShell que seja executado semanalmente via Azure Automation. O script enumera todas as coleções de sites do OneDrive, compara a lista de permissões com a lista atual de usuários do Azure AD e remove automaticamente quaisquer entradas de usuários órfãos. Isso elimina a necessidade de verificações manuais e mantém as permissões do seu locatário limpas.