Quando um usuário acessa uma pasta do OneDrive que pertence a um Grupo do Microsoft 365, a cadeia de permissões pode se tornar difícil de seguir. O grupo em si é o proprietário do armazenamento, e os membros individuais herdam o acesso por meio de sua associação ao grupo. Este artigo explica como identificar qual Grupo do Microsoft 365 é proprietário de um site específico do OneDrive e como rastrear exatamente como um usuário obteve acesso por meio desse grupo.
Você aprenderá a usar o centro de administração do Microsoft 365 e o centro de administração do SharePoint para encontrar o grupo por trás de uma URL do OneDrive. As etapas incluem verificar a associação ao grupo, revisar as permissões do site e usar logs de auditoria para confirmar os caminhos de acesso. Ao final, você será capaz de determinar se o acesso de um usuário vem de compartilhamento direto, de uma associação a um grupo ou de um grupo de segurança aninhado.
Principais Conclusões: Rastreando o Acesso ao OneDrive por Meio de Grupos do Microsoft 365
- Centro de administração do Microsoft 365 > Grupos > Grupos ativos: Encontre o grupo proprietário de um site específico do OneDrive combinando a URL do site com o site do SharePoint do grupo.
- Centro de administração do SharePoint > Sites ativos > Configurações do site conectado ao grupo: Visualize o Grupo do Microsoft 365 conectado a um site e gerencie suas permissões.
- Centro de administração do Microsoft 365 > Log de auditoria > Pesquisar: Use o log de auditoria para ver quando um usuário acessou um arquivo do OneDrive e qual associação ao grupo concedeu a permissão.
Entendendo o Armazenamento do OneDrive para Grupos do Microsoft 365
Cada Grupo do Microsoft 365, incluindo Teams, grupos do Outlook e sites de equipe do SharePoint, possui um site dedicado do SharePoint. Esse site inclui uma biblioteca de documentos padrão que aparece como um local do OneDrive para o grupo. Quando os usuários acessam essa biblioteca por meio do Teams, SharePoint ou cliente de sincronização do OneDrive, eles estão, na verdade, acessando um site do SharePoint de propriedade do grupo.
O grupo em si é uma entidade de segurança no Azure Active Directory. A associação ao grupo pode ser direta, herdada de outro grupo ou dinâmica com base em atributos do usuário. Quando você compartilha uma pasta do OneDrive com um Grupo do Microsoft 365, todos os membros atuais e futuros desse grupo obtêm acesso. Esse modelo de permissão indireta torna o rastreamento do acesso mais complexo do que o compartilhamento direto com o usuário.
Para rastrear o acesso, você precisa identificar três informações: o grupo proprietário do site do OneDrive, a associação do usuário a esse grupo e o nível de permissão específico que ele possui nos arquivos. As seções a seguir explicam como encontrar cada informação usando os portais de administração.
Encontrando o Grupo do Microsoft 365 por Trás de um Site do OneDrive
O primeiro passo é determinar qual Grupo do Microsoft 365 é proprietário do site do OneDrive que você está investigando. Cada site do SharePoint conectado a um grupo tem uma URL que inclui o nome do grupo ou um identificador único. Você pode localizar essas informações no centro de administração do SharePoint.
- Abra o centro de administração do SharePoint
Entre no centro de administração do Microsoft 365 em admin.microsoft.com. Na navegação à esquerda, expanda Centros de administração e selecione SharePoint. Isso abre o centro de administração do SharePoint. - Navegue até Sites ativos
No centro de administração do SharePoint, selecione Sites ativos no menu à esquerda. Isso mostra uma lista de todos os sites do SharePoint no seu locatário, incluindo sites conectados a grupos. - Encontre o site pela URL
Na caixa de pesquisa no topo da lista de sites, cole ou digite parte da URL do OneDrive que você está investigando. Por exemplo, se a URL do OneDrive forhttps://contoso.sharepoint.com/sites/MarketingTeam, pesquise por MarketingTeam. O site aparece nos resultados. - Verifique a coluna Grupo
Na lista de sites, localize a coluna Grupo. Se o site estiver conectado a um Grupo do Microsoft 365, essa coluna mostra o nome do grupo. Clique no nome do grupo para abrir os detalhes do grupo no centro de administração do Microsoft 365.
Se a coluna Grupo não estiver visível, clique em Colunas no topo da lista e selecione Grupo para adicioná-la. Depois de obter o nome do grupo, você pode prosseguir para verificar a associação do usuário.
Verificando a Associação do Usuário no Grupo do Microsoft 365
Após identificar o grupo, verifique se o usuário é membro. A associação ao grupo determina se o usuário herdou o acesso ao site do OneDrive.
- Abra o centro de administração do Microsoft 365
Vá para admin.microsoft.com e selecione Grupos na navegação à esquerda, depois escolha Grupos ativos. - Pesquise pelo grupo
Na caixa de pesquisa, digite o nome do grupo encontrado na seção anterior. Clique no nome do grupo para abrir o painel de detalhes. - Visualize os membros
No painel de detalhes do grupo, selecione a guia Membros. Isso mostra uma lista de todos os membros e proprietários diretos. Se o usuário aparecer aqui, ele tem associação direta. - Verifique grupos aninhados
Se o usuário não estiver na lista de membros diretos, ele pode pertencer a um grupo aninhado. Clique em Ver todos e gerenciar membros para ver a lista completa de membros. Procure por outros grupos listados como membros. Talvez seja necessário verificar a associação de cada grupo aninhado para encontrar o usuário.
Grupos dinâmicos não mostram membros individuais no centro de administração. Para grupos dinâmicos, use o Azure Active Directory para revisar a consulta de associação e confirmar se o usuário atende aos critérios.
Usando Logs de Auditoria para Confirmar Eventos de Acesso
Os logs de auditoria fornecem um registro de quando um usuário acessou um arquivo do OneDrive e o contexto de permissão naquele momento. Esta é a maneira mais confiável de rastrear o caminho de acesso.
- Abra o centro de administração do Microsoft 365
Vá para admin.microsoft.com e selecione Conformidade na navegação à esquerda. Isso abre o portal de conformidade do Microsoft Purview. - Navegue até Auditoria
No portal de conformidade, selecione Auditoria na seção Soluções. Se for solicitado a ativar o log de auditoria, faça isso. - Pesquise eventos de acesso a arquivos
Na guia Pesquisar, defina o intervalo de datas para cobrir o horário suspeito de acesso. No campo Atividades, selecione Atividades de arquivo e página e escolha Arquivo acessado. No campo Usuário, insira o endereço de e-mail do usuário. Clique em Pesquisar. - Revise os resultados da auditoria
Os resultados da pesquisa mostram cada evento de acesso a arquivos. Clique em um evento para abrir o painel de detalhes. Procure pelo campo Associação ou Permissão. Esse campo indica se o acesso foi concedido por meio de um compartilhamento direto, um link ou uma associação a grupo. Se disser Grupo, o acesso veio do Grupo do Microsoft 365.
A retenção do log de auditoria depende da sua licença. Assinantes E5 têm 365 dias de retenção. Assinantes E3 têm 90 dias. Para eventos mais antigos, talvez seja necessário usar a exportação do log de auditoria unificado ou uma ferramenta de terceiros.
Problemas Comuns ao Rastrear o Acesso ao OneDrive
O usuário não está listado como membro direto, mas ainda tem acesso
Isso geralmente acontece quando o usuário pertence a um grupo de segurança aninhado que é membro do Grupo do Microsoft 365. Verifique a lista de membros do grupo em busca de outros grupos. Você também pode usar o Azure AD para expandir a associação ao grupo. No centro de administração do Azure AD, navegue até Grupos, selecione o grupo e use Membros para ver todos os membros aninhados.
O log de auditoria mostra acesso, mas nenhum nome de grupo
Alguns eventos de auditoria não capturam o grupo específico que concedeu o acesso. Nesse caso, use o relatório de permissões do site do SharePoint. No centro de administração do SharePoint, abra o site e selecione Configurações > Permissões do site. Revise os níveis de permissão para cada grupo. A cadeia de herança de permissões está visível na coluna Níveis de permissão.
A URL do OneDrive não corresponde a nenhum site ativo
Isso pode ocorrer se o site foi excluído ou se a URL é de uma biblioteca pessoal do OneDrive. Sites pessoais do OneDrive não são propriedade de Grupos do Microsoft 365. URLs pessoais do OneDrive contêm /personal/ no caminho. URLs do OneDrive de propriedade de grupo contêm /sites/. Verifique o formato da URL antes de prosseguir.
Acesso Direto do Usuário vs. Acesso Baseado em Grupo: Principais Diferenças
| Item | Acesso Direto do Usuário | Acesso Baseado em Grupo |
|---|---|---|
| Fonte da permissão | Compartilhamento explícito com um usuário específico | Herdada por meio da associação ao Grupo do Microsoft 365 |
| Local de gerenciamento | Configurações de compartilhamento do OneDrive | Centro de administração do Microsoft 365 ou configurações de grupo do Azure AD |
| Visibilidade do usuário na auditoria | O log de auditoria mostra o usuário diretamente | O log de auditoria pode mostrar o nome do grupo ou a associação como contexto |
| Método de revogação | Remover o usuário do compartilhamento | Remover o usuário do grupo ou alterar as permissões do grupo |
| Impacto da alteração no grupo | Nenhum impacto em outros usuários | Todos os membros do grupo perdem ou ganham acesso simultaneamente |
Entender essas diferenças ajuda a decidir qual método usar ao conceder ou revogar acesso. O acesso baseado em grupo é mais fácil de gerenciar para equipes grandes, mas requer monitoramento cuidadoso das alterações de associação.
Agora você pode rastrear o acesso ao OneDrive por meio de Grupos do Microsoft 365 identificando o proprietário do grupo, verificando a associação e usando logs de auditoria para confirmar eventos de acesso. Comece verificando a conexão do grupo do site do OneDrive no centro de administração do SharePoint. Para monitoramento contínuo, configure relatórios de associação a grupos no Azure AD para capturar alterações que afetam o acesso a arquivos. Dica avançada: Use o comando PowerShell Get-SPOSiteGroup para recuperar todas as permissões de grupo de um site em lote, o que é mais rápido do que verificar cada usuário manualmente no centro de administração.