Quando um funcionário sai da organização, é preciso verificar se os arquivos do OneDrive continuam acessíveis às pessoas certas após a conta ser desabilitada. Sem uma verificação de permissões, arquivos e pastas compartilhados podem ficar órfãos, deixando dados críticos bloqueados. A causa raiz desse problema é que as permissões do OneDrive estão vinculadas à conta do usuário e, quando a conta é excluída, todos os links de compartilhamento são quebrados e o acesso delegado é revogado. Este artigo explica exatamente quais permissões validar, como verificá-las usando o centro de administração do Microsoft 365 e o PowerShell, e o que fazer antes de concluir o processo de offboarding.
Principais Conclusões: Validar Permissões do OneDrive Antes do Offboarding
- Centro de administração do Microsoft 365 > Usuários > Usuários ativos > selecione o usuário > guia OneDrive: Veja quem tem acesso às pastas e arquivos do OneDrive do usuário antes de desabilitar a conta.
- SharePoint Online Management Shell > Get-SPOSiteGroup e Get-SPOUser: Cmdlets do PowerShell para listar todas as permissões no nível do site e identificar acesso externo ou delegado.
- Cliente de Sincronização do OneDrive > Configurações > Conta > Gerenciar Backup: Verifique se as pastas conhecidas do usuário estão com backup e se a sincronização está ativada para pastas compartilhadas que precisam de acesso contínuo.
Por que as Permissões Devem Ser Validadas Antes do Offboarding
O OneDrive for Business armazena arquivos em um conjunto de sites do SharePoint exclusivo para cada usuário. Quando você desabilita ou exclui uma conta de usuário, o site do OneDrive associado é automaticamente definido como somente leitura após 30 dias e excluído após 93 dias. Durante esse período, todos os links de compartilhamento que dependiam da identidade do usuário se tornam inválidos. As permissões delegadas, como aquelas concedidas por meio da caixa de diálogo de compartilhamento do OneDrive para pessoas específicas, também são removidas.
O principal risco é a perda de dados de conteúdo compartilhado. Por exemplo, um gerente pode ter compartilhado uma pasta de projeto com um funcionário que está saindo. Após a saída do funcionário, o gerente perde o acesso a essa pasta, a menos que as permissões tenham sido transferidas anteriormente. Da mesma forma, um funcionário pode ter compartilhado seus próprios arquivos com colegas. Esses colegas perdem o acesso assim que a conta é removida.
Validar permissões significa verificar duas camadas: o acesso no nível do site (quem pode visualizar todo o OneDrive) e o compartilhamento no nível do item (quem tem links para arquivos ou pastas específicos). Você também deve identificar quaisquer usuários externos que tenham acesso de convidado ao conteúdo do OneDrive. O processo de validação garante que você possa migrar as permissões para outro usuário ou recompartilhar os arquivos antes que a conta seja desabilitada.
Etapas para Validar Permissões do OneDrive Antes do Offboarding
Siga estas etapas em ordem. Comece com o centro de administração para uma visão geral rápida e depois use o PowerShell para uma auditoria completa.
Etapa 1: Acessar o OneDrive do Usuário Alvo no Centro de Administração
- Abra o centro de administração do Microsoft 365
Vá para admin.microsoft.com e faça login com uma conta de Administrador Global ou Administrador do SharePoint. - Navegue até Usuários Ativos
Na navegação à esquerda, selecione Usuários e depois Usuários ativos. - Selecione o usuário que está sendo desligado
Clique no nome de exibição do usuário para abrir o painel de detalhes. - Abra a guia OneDrive
No painel de detalhes do usuário, clique na guia OneDrive. Isso mostra o uso de armazenamento do usuário, links de compartilhamento e uma lista de usuários que têm acesso ao site do OneDrive. - Revise a lista de usuários com acesso
Em Usuários com acesso, você vê todos os usuários internos e externos que receberam acesso ao OneDrive. Anote quaisquer usuários que devam manter o acesso após o offboarding. - Clique no link para abrir o site do OneDrive diretamente
Selecione Abrir OneDrive para navegar pelos arquivos e pastas. Isso permite inspecionar o compartilhamento no nível do item.
Etapa 2: Verificar Links de Compartilhamento no Nível do Item
- Navegue até uma pasta ou arquivo
No site do OneDrive, navegue até uma pasta que contenha conteúdo compartilhado. Clique com o botão direito na pasta e selecione Gerenciar acesso. - Revise a caixa de diálogo de compartilhamento
Um painel é aberto listando todas as pessoas e grupos que têm acesso direto a esse item. Anote o tipo de permissão: Pode visualizar, Pode editar ou Pode compartilhar. - Verifique os links de compartilhamento
Se o item foi compartilhado por meio de um link, o tipo de link aparece aqui. Os tipos comuns são Pessoas na sua organização, Pessoas com acesso existente ou Pessoas específicas. Links que usam Qualquer pessoa serão quebrados após a exclusão do usuário, pois o link está vinculado à identidade do usuário. - Repita para todas as pastas críticas
Realize essa verificação para cada pasta que contenha dados necessários para outros membros da equipe. Documente as permissões para que você possa recriá-las no OneDrive de um novo proprietário, se necessário.
Etapa 3: Usar o PowerShell para Exportar Todas as Permissões
Para uma auditoria completa, use o SharePoint Online Management Shell. Este método exporta todas as permissões no nível do site e do item para o site do OneDrive do usuário.
- Instale e conecte o SharePoint Online Management Shell
Abra o PowerShell como administrador e executeInstall-Module -Name Microsoft.Online.SharePoint.PowerShell. Em seguida, executeConnect-SPOService -Url https://seu-dominio-admin.sharepoint.come faça login com suas credenciais de administrador. - Obtenha a URL do site do OneDrive do usuário
ExecuteGet-SPOSite -IncludePersonalSite $true -Filter "Owner -eq 'usuario@dominio.com'". Substituausuario@dominio.compelo e-mail do usuário alvo. A saída inclui a URL do site, geralmentehttps://seu-dominio-my.sharepoint.com/personal/usuario_dominio_com. - Liste todos os administradores do conjunto de sites
ExecuteGet-SPOSite -Identity. Isso mostra quem tem controle total sobre o site do OneDrive.| Select -ExpandProperty Owners - Liste todos os grupos do site e seus membros
ExecuteGet-SPOSiteGroup -Sitepara ver grupos como Visualizadores, Membros e Proprietários. Em seguida, executeGet-SPOUser -Site(substitua Membros pelo nome real do grupo) para ver os usuários individuais.-Group "Membros" - Exporte os resultados para um arquivo CSV
ExecuteGet-SPOSiteGroup -Site. Isso fornece um registro portátil para compartilhar com a equipe de offboarding.| Export-Csv -Path "C:\temp\permissoes.csv" -NoTypeInformation
Etapa 4: Transferir Permissões para um Novo Proprietário
Se você identificar usuários que devem manter o acesso, transfira a propriedade do OneDrive para outro usuário ativo. Isso é feito no centro de administração.
- No centro de administração, vá para a guia OneDrive do usuário
Repita a Etapa 1 para abrir os detalhes do OneDrive do usuário. - Clique em Transferir propriedade
Selecione Transferir propriedade e insira o e-mail do novo proprietário. O novo proprietário recebe controle total do site do OneDrive, incluindo todos os arquivos e permissões. - Confirme a transferência
Clique em Transferir. O novo proprietário aparece imediatamente na lista de administradores do conjunto de sites. Os links de compartilhamento existentes permanecem ativos porque a propriedade do site mudou, não a identidade por trás dos links.
Problemas Comuns ao Validar Permissões do OneDrive
Listas de permissão mostram apenas o próprio usuário
Se a guia OneDrive não mostrar outros usuários com acesso, o usuário pode ter compartilhado arquivos apenas por meio de links que não concedem acesso direto. Use a caixa de diálogo Gerenciar acesso em pastas individuais para ver as permissões baseadas em links. Você também pode executar Get-SPOSite -Identity no PowerShell para ver a política de compartilhamento.
Usuários externos não são encontrados na lista de permissões
Usuários externos com acesso de convidado aparecem nos grupos do site, mas nem sempre no resumo do centro de administração. Use o PowerShell: Get-SPOExternalUser -SiteUrl para listar todos os usuários externos que acessaram o OneDrive. Se você precisar que eles mantenham o acesso, adicione-os à lista de compartilhamento do OneDrive do novo proprietário antes do offboarding.
Permissões ausentes após a transferência
Ao transferir a propriedade do OneDrive, o novo proprietário se torna administrador do conjunto de sites. No entanto, os links de compartilhamento no nível do item criados pelo usuário original não são recriados automaticamente. Os links continuam funcionando apenas se foram definidos como Pessoas na sua organização ou Qualquer pessoa. Links definidos como Pessoas específicas ainda funcionam porque estão vinculados ao item, não ao usuário. Se um link quebrar, você deve recompartilhar o item a partir da conta do novo proprietário.
| Item | Verificação Manual no Centro de Administração | Auditoria com PowerShell |
|---|---|---|
| Tempo necessário | 5-10 minutos por usuário | 15-30 minutos para exportação em lote |
| Profundidade da permissão | Apenas nível do site | Nível do site e do item via grupos do site |
| Detecção de usuário externo | Visível apenas se tiver acesso direto | Lista completa via Get-SPOExternalUser |
| Capacidade de exportação | Captura de tela manual ou cópia | Exportação CSV com todas as associações de grupo |
| Requer função de administrador | Administrador Global ou Administrador do SharePoint | Administrador do SharePoint |
Após validar e transferir as permissões, você pode prosseguir com o offboarding com segurança. O novo proprietário agora tem controle total sobre o site do OneDrive e todos os links de compartilhamento existentes permanecem funcionais. Como etapa final, defina uma política de site no centro de administração do SharePoint para transferir automaticamente a propriedade de sites do OneDrive órfãos para um gerente ou equipe de TI usando as configurações de Política de site. Isso evita a perda de dados se um usuário for desligado sem uma verificação prévia de permissões.