Em processos de desligamento de colaboradores, uma das maiores dúvidas dos administradores de Microsoft 365 e Azure é o que acontece com os arquivos armazenados no OneDrive quando a conta do usuário é excluída. Essa dúvida é legítima, pois envolve continuidade do negócio, acesso a informações críticas e prevenção de perda de dados.
Este artigo explica de forma completa e prática o comportamento do OneDrive após a exclusão de um usuário no Microsoft Entra ID, como funcionam os compartilhamentos, o período de retenção e, principalmente, traz dois passos a passo essenciais: como transferir corretamente os arquivos de um colaborador desligado e como automatizar esse processo no offboarding.
Exclusão de usuário e retenção do OneDrive
Quando uma conta de usuário é excluída no Microsoft Entra ID, o OneDrive associado a esse usuário não é apagado imediatamente. O serviço entra em um estado conhecido como soft delete. Nesse estado, todos os arquivos permanecem armazenados pela Microsoft por aproximadamente 93 dias. Durante esse período, o administrador pode restaurar o usuário e recuperar integralmente o OneDrive, mantendo estrutura de pastas e arquivos.
Caso o prazo de retenção expire sem que a conta seja restaurada, o OneDrive é removido permanentemente e os dados não podem mais ser recuperados.
O que acontece com arquivos compartilhados
Um ponto crítico é o comportamento dos arquivos que estavam compartilhados com outras pessoas. Mesmo que outro usuário tivesse acesso direto a arquivos ou pastas no OneDrive do colaborador desligado, esse acesso deixa de funcionar imediatamente após a exclusão da conta.
Isso ocorre porque o compartilhamento está vinculado ao proprietário do OneDrive. Ao excluir o usuário, o proprietário deixa de existir e, consequentemente, os links e permissões são invalidados na mesma hora. Os arquivos continuam existindo durante o período de retenção, mas ficam inacessíveis para usuários finais.
Riscos de não tratar o OneDrive no desligamento
Excluir um usuário sem tratar o OneDrive pode causar interrupções operacionais, perda temporária de acesso a documentos importantes, impacto em auditorias e dependência de restauração emergencial da conta. Em ambientes corporativos maduros, o tratamento do OneDrive faz parte obrigatória do processo de offboarding.
Transferir o OneDrive de um colaborador desligado
O método mais recomendado é transferir automaticamente o acesso ao OneDrive para o gestor direto ou para outro responsável antes de excluir o usuário.
Primeiro, acesse o Centro de Administração do Microsoft 365 com uma conta de administrador global ou administrador do SharePoint. Em seguida, vá até Usuários, selecione Usuários ativos e clique no colaborador que será desligado.
Ao abrir o painel do usuário, localize a opção OneDrive e clique em Criar link para arquivos. O Microsoft 365 permite atribuir automaticamente acesso total ao OneDrive desse usuário para outro colaborador, normalmente o gestor.
Informe o e-mail do responsável que receberá os arquivos. Esse usuário passará a ter permissão de administrador sobre todo o conteúdo do OneDrive do colaborador desligado. Após essa configuração, o gestor poderá acessar todos os arquivos diretamente pelo próprio OneDrive ou copiá-los para uma biblioteca do SharePoint.
Somente depois de confirmar que os arquivos foram acessados ou copiados é recomendado excluir o usuário no Entra ID.
Copiar arquivos do OneDrive para SharePoint
Outra abordagem bastante segura é mover os arquivos do OneDrive do colaborador desligado para um site do SharePoint, garantindo que os dados passem a pertencer à organização e não a um usuário específico.
Após conceder acesso ao OneDrive conforme o passo anterior, o responsável deve acessar o OneDrive do colaborador desligado, selecionar as pastas ou arquivos necessários e usar a opção Mover para. Em seguida, escolha o site e a biblioteca do SharePoint corporativo onde os arquivos devem ficar armazenados.
Esse método é ideal para documentos de projetos, áreas ou times, pois centraliza a informação e evita dependência de contas individuais. Esse processo normalmente é feito manualmente pelo gestor, mas pode ser parcialmente automatizado com scripts adicionais ou ferramentas de migração da Microsoft.
Automatizar o offboarding do OneDrive
A automação do offboarding do OneDrive garante que nenhum dado corporativo seja perdido e que o acesso seja transferido de forma padronizada sempre que um colaborador for desligado. Abaixo está um processo prático e realista, baseado em PowerShell e Microsoft 365, amplamente utilizado em ambientes corporativos.
O objetivo do fluxo é identificar o usuário desligado, conceder acesso administrativo ao OneDrive para o gestor ou responsável e garantir que os dados possam ser movidos ou preservados antes da exclusão definitiva.
O primeiro passo é garantir os pré-requisitos. A conta que executará o script deve ser Administrador Global ou Administrador do SharePoint. É necessário ter os módulos PowerShell do Microsoft Graph e do SharePoint Online instalados no ambiente de administração.
Após garantir os pré-requisitos, conecte-se ao Microsoft Graph e ao SharePoint Online. A autenticação deve utilizar permissões suficientes para leitura de usuários e gerenciamento de sites pessoais do OneDrive.
Em seguida, identifique o usuário desligado. Normalmente esse usuário já está bloqueado para login ou marcado como desativado no processo de RH. O script deve capturar o User Principal Name desse colaborador.
Com o usuário identificado, o próximo passo é localizar automaticamente o OneDrive associado a ele. Cada OneDrive é tecnicamente um site pessoal do SharePoint Online, e pode ser recuperado a partir do UPN do usuário.
Depois de localizar o OneDrive, o script deve conceder permissão de administrador a outro usuário, normalmente o gestor direto. Essa permissão garante acesso completo a todos os arquivos, inclusive conteúdos não compartilhados anteriormente.
Após a concessão de acesso, é altamente recomendado enviar uma notificação automática por e-mail ao gestor, informando que o OneDrive do colaborador desligado está disponível para revisão e transferência de arquivos.
Opcionalmente, o script pode mover automaticamente todo o conteúdo do OneDrive para uma biblioteca do SharePoint corporativo, garantindo que os dados passem a pertencer oficialmente à organização (scipt: powershell_scripts/Microsoft/Onedrive/user_disable.ps1 at main · iamjrbro/powershell_scripts).
Somente após a execução completa desse fluxo é que a conta do usuário deve ser excluída do Microsoft Entra ID, respeitando o período de retenção do OneDrive.
Esse processo pode ser integrado a fluxos de Identity Governance no Microsoft Entra ID, como Lifecycle Workflows, garantindo que a automação seja acionada automaticamente no evento de desligamento, sem dependência de ações manuais.
Automatizando com Entra ID Lifecycle Workflows
Para eliminar totalmente a dependência de scripts manuais, o Microsoft Entra ID oferece os Lifecycle Workflows, que permitem acionar ações automáticas quando um usuário entra ou sai da organização.
No Centro de Administração do Microsoft Entra ID, acesse Identity Governance e depois Lifecycle Workflows. Crie um novo workflow do tipo Offboarding.
Defina como gatilho o desligamento do usuário, normalmente baseado em data de término ou atributo vindo do RH.
Nas tarefas do workflow, adicione a ação de conceder acesso ao OneDrive do usuário desligado para o gestor. Essa ação usa automaticamente o atributo manager do usuário no Entra ID.
Também é possível incluir tarefas como envio de e-mail automático ao gestor, bloqueio de login e remoção de grupos e licenças.
Comments
Post a Comment