Ao executar uma revisão de acesso do Microsoft Entra para o OneDrive, você pode ver entradas rotuladas como “Desconhecido” na coluna de entidade. Essas entradas aparecem para usuários, grupos ou entidades de serviço que existiam no momento da criação da revisão, mas foram excluídos do locatário. Este artigo explica por que essas entidades desconhecidas aparecem, quais riscos elas podem representar e como identificá-las e removê-las das suas revisões de acesso do OneDrive.
Principais Conclusões: Como Lidar com Entidades Desconhecidas em Revisões de Acesso do OneDrive
- Centro de administração do Microsoft Entra > Identity Governance > Access Reviews: A interface de revisão mostra “Desconhecido” quando um revisor, usuário ou grupo previamente atribuído foi excluído do locatário.
- Centro de administração do Microsoft 365 > Usuários > Usuários excluídos: Restaure um usuário excluído em até 30 dias para recuperar sua identidade e resolver o rótulo de entidade desconhecida.
- Módulo PowerShell do Azure AD (AzureAD): Use o cmdlet Get-AzureADDeletedDirectoryObject para localizar objetos excluídos e confirmar se uma entidade desconhecida era um usuário, grupo ou entidade de serviço.
Por que as Revisões de Acesso do OneDrive Mostram Entidades Desconhecidas
Uma revisão de acesso no Microsoft Entra ID avalia quem tem acesso a um recurso como um site do OneDrive. A revisão lista todas as entidades que receberam permissões de revisão, associação ou acesso direto. Quando uma entidade é excluída do locatário após a criação da revisão, o Microsoft Entra ID não consegue resolver seu nome de exibição ou nome de usuário principal. A interface então mostra “Desconhecido” na coluna de entidade.
Existem três cenários comuns que produzem entidades desconhecidas:
Contas de Usuário Excluídas
Um usuário que fazia parte do escopo da revisão é removido do locatário. O ID do objeto do usuário permanece na revisão, mas o nome de exibição não está mais disponível. Esta é a causa mais frequente de entidades desconhecidas em revisões de acesso do OneDrive.
Grupos Excluídos
Um grupo que foi atribuído para revisar o acesso ao OneDrive é excluído. O ID do objeto do grupo persiste no registro da revisão, mas o Microsoft Entra ID não consegue recuperar seu nome.
Entidades de Serviço Excluídas
Um aplicativo ou entidade de serviço que tinha acesso delegado ao OneDrive é removido. O ID do objeto da entidade de serviço permanece, mas o nome de exibição é perdido. Esse cenário é menos comum, mas pode ocorrer quando um registro de aplicativo é excluído sem antes remover suas permissões.
Etapas para Identificar e Remover Entidades Desconhecidas das Revisões de Acesso do OneDrive
Siga estas etapas para localizar a origem das entidades desconhecidas e limpar suas revisões de acesso.
- Abra a Revisão de Acesso no Centro de Administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra. Vá para Identity Governance > Access Reviews. Encontre a revisão que contém entidades desconhecidas e clique no nome dela. - Identifique o ID do Objeto da Entidade Desconhecida
Nos resultados da revisão, localize a linha onde a coluna de entidade mostra “Desconhecido”. Clique na linha para abrir o painel de detalhes. O campo Object ID mostra o GUID da entidade excluída. Copie esse GUID. - Determine o Tipo de Entidade Usando PowerShell
Abra o Windows PowerShell como administrador. Execute os seguintes comandos para instalar o módulo do Azure AD, se ainda não o fez:Install-Module AzureADConnect-AzureAD
Em seguida, execute:Get-AzureADDeletedDirectoryObject -Id "GUID"
Substitua GUID pelo ID do objeto que você copiou. A saída mostra o tipo de objeto, que será User, Group ou ServicePrincipal. - Restaure a Entidade Excluída se Necessário
Se a entidade for um usuário e tiver sido excluída nos últimos 30 dias, você pode restaurá-la. Vá para o centro de administração do Microsoft 365 > Usuários > Usuários excluídos. Encontre o usuário pelo nome de exibição ou UPN, selecione o usuário e clique em Restaurar. Após a restauração, a revisão de acesso mostrará o nome do usuário em vez de “Desconhecido”. - Remova a Entidade Desconhecida da Revisão
Se você não precisar restaurar a entidade, pode removê-la da revisão de acesso. Nos detalhes da revisão de acesso, marque a caixa de seleção ao lado da linha da entidade desconhecida. Clique em Remover. Confirme a remoção. A entidade não aparecerá mais nos resultados da revisão. - Audite as Entidades Desconhecidas Restantes
Após a remoção, execute a revisão de acesso novamente para confirmar que nenhuma nova entidade desconhecida aparece. Se a revisão for recorrente, verifique a próxima instância para garantir que a entidade excluída não seja readicionada automaticamente.
Se as Entidades Desconhecidas Persistirem Após a Remoção
Entidade Desconhecida Reaparece no Próximo Ciclo de Revisão
Se a revisão de acesso for configurada como recorrente, a entidade desconhecida pode reaparecer porque o modelo de revisão ainda referencia o ID do objeto excluído. Para interromper isso, edite as configurações da revisão e remova a entidade excluída do escopo. Vá para a página de configurações da revisão, em Escopo, remova qualquer usuário ou grupo que não exista mais. Salve as alterações.
Nenhum ID de Objeto é Exibido para a Entidade Desconhecida
Em casos raros, o painel de detalhes da entidade desconhecida pode não mostrar um Object ID. Isso ocorre quando o objeto da entidade foi excluído permanentemente e seu GUID não está mais disponível. Nessa situação, você não pode restaurar a entidade. Você deve remover a linha da revisão conforme descrito na etapa 5. Se a linha não puder ser removida, entre em contato com o Suporte da Microsoft com o ID da revisão e o ID do locatário.
Entidade Desconhecida é uma Entidade de Serviço que Ainda Existe
Uma entidade de serviço pode aparecer como “Desconhecido” se sua propriedade de nome de exibição estiver vazia. Isso pode acontecer quando um registro de aplicativo é criado programaticamente sem um nome de exibição. Para corrigir isso, localize a entidade de serviço no Microsoft Entra ID > Applications > Enterprise applications. Encontre o aplicativo pelo ID do objeto. Edite suas propriedades e adicione um nome de exibição. A revisão de acesso será atualizada em até 24 horas.
Entidade Excluída vs Entidade Desconhecida: Principais Diferenças
| Item | Entidade Excluída | Entidade Desconhecida |
|---|---|---|
| Nome de exibição na revisão | Mostra o nome de exibição anterior até que o objeto seja excluído permanentemente | Mostra “Desconhecido” porque o objeto não é mais resolvível |
| ID do Objeto | Visível no painel de detalhes | Visível no painel de detalhes |
| Janela de restauração | 30 dias para usuários, 30 dias para grupos, sem restauração para entidades de serviço | Mesmo que entidade excluída; depende do tipo de objeto |
| Nível de risco | Baixo se o usuário foi removido intencionalmente | Baixo se a entidade foi excluída intencionalmente; médio se a exclusão não foi autorizada |
Quando você vê uma entidade desconhecida em uma revisão de acesso do OneDrive, o primeiro passo é verificar se a exclusão foi intencional. Verifique os logs de auditoria do Microsoft Entra para o evento Excluir usuário, Excluir grupo ou Excluir entidade de serviço. Observe a data e hora da exclusão. Se a exclusão não foi autorizada, restaure a entidade imediatamente e investigue a causa da exclusão.
Para visualizar os logs de auditoria, vá para o centro de administração do Microsoft Entra > Identity > Monitoring & health > Audit logs. Filtre pelo intervalo de datas da revisão de acesso e pela atividade “Excluir usuário” ou “Excluir grupo”. Corresponda o ID do objeto da entidade desconhecida ao ID de destino na entrada do log de auditoria.
Agora você pode identificar a origem das entidades desconhecidas nas revisões de acesso do OneDrive e decidir se deve restaurá-las ou removê-las. Para revisões recorrentes, atualize o escopo da revisão para excluir objetos excluídos. Como dica avançada, exporte os resultados da revisão de acesso para CSV usando o botão “Download” na página de detalhes da revisão. Isso fornece um registro permanente de todas as entidades, incluindo seus IDs de objeto, mesmo após serem removidas da revisão.