Ao executar um relatório de compartilhamento no centro de administração do SharePoint, você pode ver entradas rotuladas como “Usuário Desconhecido” em vez do nome ou e-mail da pessoa. Isso acontece porque a conta de usuário que realizou a ação de compartilhamento não existe mais no seu locatário do Microsoft 365. O usuário pode ter sido excluído do Azure Active Directory ou sua licença pode ter sido removida. Este artigo explica por que o relatório mostra usuários desconhecidos e como identificar o usuário original por trás dessas entradas.
Principais Conclusões: Corrigindo Usuários Desconhecidos em Relatórios de Compartilhamento do SharePoint
- Log de auditoria de usuários excluídos do Azure AD: Use o portal de conformidade do Microsoft 365 para encontrar o nome principal do usuário (UPN) original do usuário excluído que acionou o evento de compartilhamento.
- Pesquisa no log de auditoria do SharePoint: Filtre pela data do evento de compartilhamento desconhecido e pela URL do site para restringir a operação exata e o usuário de destino.
- Restaure o usuário excluído: Se precisar ver o histórico completo de compartilhamento do usuário, restaure-o da lista de usuários excluídos do Azure AD dentro de 30 dias após a exclusão.
Por que os Relatórios de Compartilhamento do SharePoint Mostram Usuários Desconhecidos
O SharePoint armazena eventos de compartilhamento com o identificador único do usuário que realizou a ação, não com o nome de exibição ou e-mail do usuário. Quando um usuário é excluído do Azure Active Directory, o identificador permanece nos logs de auditoria, mas o objeto de usuário que mapeia esse identificador para um nome desaparece. O relatório de compartilhamento exibe então “Usuário Desconhecido” porque não consegue resolver o identificador para uma conta conhecida.
Essa situação também ocorre se a licença de um usuário for removida e a conta for desabilitada, mas não totalmente excluída. No entanto, a causa mais comum é a exclusão permanente do Azure AD. O log de auditoria retém os dados do evento, mas a consulta ao usuário falha. O relatório de compartilhamento não está quebrado; ele está mostrando informações precisas com base nos dados disponíveis.
Passos para Identificar o Usuário Original por Trás de Eventos de Compartilhamento Desconhecidos
- Abra o portal de conformidade do Microsoft 365
Acesse https://compliance.microsoft.com e faça login com uma conta de administrador global ou administrador de conformidade. Na navegação à esquerda, selecione Auditoria na seção Soluções. - Pesquise no log de auditoria a atividade de usuário excluído
Defina o intervalo de datas para incluir o momento em que o evento de compartilhamento desconhecido ocorreu. Na lista de Atividades, selecione Usuário excluído e clique em Pesquisar. Procure o evento que corresponde ao horário aproximado do relatório de compartilhamento. A entrada de auditoria mostrará o nome principal do usuário (UPN) do usuário excluído. - Filtre o log de auditoria para o evento de compartilhamento específico
Limpe o filtro de Atividades e selecione Arquivo, pasta ou site compartilhado ou Arquivo, pasta ou site compartilhado com usuário externo. Insira a URL do site na caixa de pesquisa, se souber. Encontre o evento que mostra o usuário ou grupo de destino com quem foi compartilhado. A coluna Usuário nos resultados mostrará o UPN do usuário excluído se o evento ainda estiver dentro da janela de retenção de 30 dias. - Use o PowerShell para extrair os detalhes do usuário excluído
Abra o módulo do PowerShell do Exchange Online. Execute o comandoGet-Mailbox -SoftDeletedMailbox | Format-List Name, WindowsEmailAddress, Identitypara listar todas as caixas de correio excluídas temporariamente. Se a caixa de correio do usuário ainda estiver nesta lista, você pode ver o endereço de e-mail original. Para usuários sem caixa de correio, useGet-AzureADDeletedUser -ObjectIdapós obter o ObjectId do log de auditoria. - Restaure o usuário excluído, se necessário
Se precisar visualizar o histórico completo de compartilhamento do usuário ou reativar seu acesso, restaure o usuário do Azure AD. Vá para Centro de administração do Azure Active Directory > Usuários > Usuários excluídos. Selecione o usuário e clique em Restaurar usuário. Essa ação restaura o objeto do usuário e o relatório de compartilhamento passará a mostrar o nome do usuário novamente.
Se o Relatório de Compartilhamento Ainda Mostrar Usuários Desconhecidos Após a Correção Principal
“Restaurei o usuário, mas o relatório ainda mostra Usuário Desconhecido”
O relatório de compartilhamento é um instantâneo de eventos passados. Restaurar um usuário não atualiza retroativamente o relatório. O relatório mostrará o nome correto apenas para eventos futuros. Para ver o usuário original de eventos passados, você deve usar a pesquisa no log de auditoria conforme descrito nas etapas acima.
“O log de auditoria não contém o evento de usuário excluído”
A retenção do log de auditoria depende da sua licença do Microsoft 365. Assinaturas E3 e E5 retêm logs de auditoria por 90 dias. Se o usuário foi excluído há mais de 90 dias, o evento não está disponível. Nesse caso, a única maneira de identificar o usuário é por meio de registros externos, como tickets de help desk de TI ou relatórios de permissão de site do SharePoint anteriores.
“O evento de compartilhamento mostra Usuário Desconhecido, mas o usuário não foi excluído”
Isso pode acontecer se a conta do usuário foi convertida de uma conta somente na nuvem para uma conta sincronizada do Active Directory local. O ID do objeto do usuário muda durante a conversão, fazendo com que os eventos antigos fiquem órfãos. A solução é planejar as conversões de conta de usuário e garantir que os logs de auditoria sejam limpos ou migrados adequadamente.
| Item | Usuário Excluído | Usuário Desabilitado | Usuário Convertido |
|---|---|---|---|
| Causa | Usuário removido do Azure AD | Licença removida ou conta bloqueada | ID do objeto alterado durante conversão de sincronização |
| O relatório mostra | Usuário Desconhecido | Usuário Desconhecido após 30 dias | Usuário Desconhecido para eventos passados |
| Resolução no log de auditoria | Pesquisar por atividade de usuário excluído | Pesquisar por atividade de login do usuário | Nenhuma resolução direta |
| Correção permanente | Restaurar usuário em até 30 dias | Reativar conta ou reatribuir licença | Planejar conversões e recriar eventos de compartilhamento |
Agora você pode identificar qualquer usuário por trás de um evento de compartilhamento desconhecido no SharePoint usando o log de auditoria no portal de conformidade do Microsoft 365. Para eventos futuros, considere habilitar notificações de exclusão de usuário do Azure AD para rastrear quando um usuário for removido. Como dica avançada, configure um script do PowerShell que seja executado semanalmente para exportar todos os usuários excluídos com seus ObjectIds e armazená-los em um local seguro para referência futura de auditoria.