Gestão de funcionários desligados no Office 365
![](https://cybergeeks.cloud/wp-content/uploads/2021/07/1588273223585-e1625790669805-750x450.jpg)
Introdução
Uma preocupação comum para vários clientes é com relação à gestão de usuários desligados da empresa e outros tipos de situações com contas de usuário, como: conceder acesso à dados de um ex-funcionário, manter dados em uma caixa de e-mail inativa, excluir dados de conexão de dispositivos móveis e outros.
Para esse artigo, contei com o apoio do João Victor (https://www.linkedin.com/in/jvjaniro/) e do Edson Serrano (https://www.linkedin.com/in/edsonserranojr/), do time que faço parte de Technical Specialists na Microsoft. Obrigado pessoal!
Uma preocupação muito comum é: Como posso desabilitar meu usuário rapidamente para evitar que ele continue usando o serviço?
Quando um funcionário deixa a empresa, existem alguns passos que devemos realizar para fazer o seu desligamento corretamente. Isso vai depender de como está configurado seu ambiente hoje, se está em um cenário híbrido ou somente nuvem e outros fatores de uso do serviço. No geral, temos algumas recomendações e passos que descrevo abaixo.
Obs.: os passos marcados como opcionais são de acordo com a necessidade dos serviços que você está usando e necessidades específicas de cada organização.
Para detalhes de retenção do OneDrive, consulte os seguintes links:
https://docs.microsoft.com/en-us/onedrive/retention-and-deletion
Passo 1: Redefinir a senha e forçar o Logoff de todas aplicações
- No centro de administração, acesse a página Usuários > Usuários ativos.
- Marque a caixa ao lado do nome do usuário e selecione Redefinir senha.
- Digite uma nova senha e selecione Redefinir. (Não envie para o usuário).
- Selecione o nome do usuário para acessar o painel de propriedades e, na guia OneDrive, selecione Iniciar logoff.
Dentro de uma hora – ou depois que eles saem da página atual do Microsoft 365 em que estão – eles serão solicitados a entrar novamente. (Um token de acesso é válido por uma hora, portanto, a linha do tempo depende de quanto tempo resta nesse token e se ele sai da página atual).
Obs.: Você pode especificar o tempo de vida de um token emitido pelo Azure Active Directory (Azure AD). O tempo de vida de um token de acesso é de 1 hora, com o tempo mínimo configurável de 10 minutos e o máximo de 1 dia. Veja este link para saber mais a respeito – https://docs.microsoft.com/pt-br/azure/active-directory/develop/active-directory-configurable-token-lifetimes.
Passo 2 (opcional): Manter uma caixa de e-mail inativa para consultas futuras
Quando você precisa manter uma caixa de um ex-funcionário por um tempo determinado, você pode fazer de duas principais formas: 1) exportar os dados para um PST ou 2) manter a caixa como inativa.
Para manter a caixa inativa (inactive mailbox) no próprio Office 365 e viabilizar para futuras consultas futuras centralizadas, você pode fazer o seguinte:
- Antes de excluir o usuário/caixa, colocá-lo em hold (Litigation, eDiscovery Hold ou uma Retention policy no Security & Compliance Center – este último sendo o método preferencial) – https://docs.microsoft.com/en-us/microsoft-365/compliance/retention-policies?view=o365-worldwide.
- Realizar o procedimento padrão de exclusão de usuário, sendo:
- Se o usuário está somente na nuvem (cloud only identity), excluir pelo Portal de Administração do Office 365.
- Se é um usuário sincronizado, excluir pelo Active Directory on-premises (movendo para uma OU que não sincroniza ou deletando o usuário).
Depois de converter a caixa em uma “caixa de correio inativa“, os administradores, responsáveis pela conformidade podem usar as ferramentas de descoberta eletrônica (eDiscovery) para acessar e pesquisar o conteúdo.
Passo 3 (opcional): Encaminhar o email de um ex-funcionário para outro funcionário ou converter para uma caixa de correio compartilhada
Você pode atribuir o endereço de e-mail do ex-funcionário para outro ou converter sua caixa de correio em uma caixa de correio compartilhada (shared mailbox) criada por você.
- Criar uma caixa de correio compartilhada é o caminho mais econômico, pois você não precisará pagar por uma licença, desde que a caixa de correio seja menor que 50 GB. Com mais de 50 GB e você precisará atribuir uma licença a ele.
- Se você converter a caixa de correio em uma caixa de correio compartilhada, todos os emails antigos permanecerão disponíveis (isso pode ocupar muito espaço).
- Se você configurar o encaminhamento de e-mail, apenas os novos e-mails enviados para o ex-funcionário serão enviados ao atual.
- O encaminhamento de e-mail exige que a conta do ex-funcionário tenha uma licença.
Obs: Se você estiver configurando o encaminhamento de e-mail ou uma caixa de correio compartilhada, no final, não exclua a conta do ex-funcionário. A conta precisa estar lá para realizar o encaminhamento de email ou para manter a caixa de correio compartilhada.
Como fazer:
- No centro de administração, acesse a página Usuários > Usuários ativos.
- Selecione o nome do funcionário que você deseja bloquear e selecione a guia Correio.
- Em Encaminhamento de email, selecione Gerenciar encaminhamento de email. Ativar Encaminhar todos os emails enviados para esta caixa de correio.
- Na caixa Endereço de encaminhamento, digite o endereço de email do funcionário atual (ou da caixa de correio compartilhada) que receberá o email.
- Selecione Salvar.
- Lembre-se de não excluir a conta do ex-funcionário.
Passo 4 (opcional): Bloqueando dispositivos móveis
Se o seu ex-funcionário possuir um telefone da organização, você poderá usar o centro de administração do Exchange para limpar (wipe) e bloquear esse dispositivo, para que todos os dados da organização sejam removidos do dispositivo e não possam mais se conectar ao Office 365.
1 – Vá para o centro de administração do Exchange em https://outlook.office.com/ecp/.
2 – No centro de administração do Exchange, navegue para Destinatários > Caixas de Correio.
3 – Selecione o usuário e, em Dispositivos móveis, selecione Exibir detalhes.
![](http://blog.cybergeeks.com.br/wp-content/uploads/2021/07/1588272653571.png)
4 – Na página Detalhes do dispositivo móvel, em Dispositivos móveis, selecione o dispositivo, selecione Limpar dados e selecione Bloquear.
![](http://blog.cybergeeks.com.br/wp-content/uploads/2021/07/1588272673897.png)
5 – Selecione Salvar.
Passo 5: Bloquear o acesso de um ex-funcionário aos dados do Microsoft 365
Importante: O bloqueio de uma conta pode levar até 24 horas para entrar em vigor. Se você precisar impedir imediatamente o acesso de entrada de um usuário, redefina a senha e inicie um evento único que os desconectará das sessões do Microsoft 365 em todos os dispositivos. Veja a seção Sign Out Now: https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/remove-former-employee?view=o365-worldwide#sign-out-now.
- No centro de administração, acesse a página Usuários > Usuários ativos.
- Selecione o nome do funcionário que você deseja bloquear e, sob o nome do usuário, selecione o símbolo para Bloquear este usuário.
- Selecione Bloquear o usuário de entrar e, em seguida, selecione Salvar.
- Bloquear o acesso de um ex-funcionário a email (Exchange Online)
- Vá para o centro de administração do Exchange.
- No centro de administração do Exchange, navegue para Destinatários > Caixas de Correio.
- Clique duas vezes no usuário e vá para a página de recursos da Caixa de Correio.
- Em Dispositivos Móveis, selecione Desativar Exchange ActiveSync e Desativar OWA para Dispositivos e responda Sim a ambos quando solicitado.
- Em Conectividade de email, selecione Desativar e responda Sim quando solicitado.
Passo 6: Remova e exclua a licença do Microsoft 365 de um ex-funcionário
Para que você não continue pagando por uma licença depois que alguém deixar sua organização, remova a licença do Microsoft 365 e exclua-a da sua assinatura. Se você optar por não excluir a licença da sua assinatura, poderá atribui-la a outro usuário.
Quando você remove a licença, todos os dados desse usuário são mantidos por 30 dias por padrão. Você pode acessar os dados ou restaurar a conta se o usuário voltar. Após 30 dias, todos os dados do usuário (exceto os documentos armazenados no SharePoint Online) são excluídos permanentemente do Microsoft 365 e não podem ser recuperados, a menos que você tenha criado uma política de retenção para esta conta antes de excluí-la.
- No centro de administração, acesse a página Usuários> Usuários ativos.
- Selecione o nome do funcionário que você deseja bloquear e selecione a guia Licenças e aplicativos.
- Desmarque as caixas de seleção das licenças que você deseja remover e selecione Salvar alterações.
Para reduzir o número de licenças pelas quais você está pagando até contratar outra pessoa, faça o seguinte:
- No centro de administração, acesse a página Faturamento > Produtos e serviços.
- Selecione Adicionar / remover licenças para excluir a licença e não pagá-la até contratar outra pessoa.
Passo 7: Excluir a conta de usuário de um ex-funcionário
Depois de salvar e acessar todos os dados de usuário do ex-funcionário, você pode excluir a conta do ex-funcionário.
Não exclua a conta se você configurou o encaminhamento de e-mail ou a converteu em uma caixa de correio compartilhada. Ambos precisam da conta para ancorar o encaminhamento ou a caixa de correio compartilhada.
- No centro de administração, acesse a página Usuários > Usuários ativos.
- Selecione o nome do funcionário que você deseja excluir.
- Sob o nome do usuário, selecione o símbolo para Excluir usuário.
- Escolha as opções desejadas para esse usuário e selecione Excluir usuário.
Se você usa Active Directory:
- Mover a conta para uma OU que não sincroniza com o Azure AD
ou
- Excluir a conta no ambiente do AD on-premises
O que você precisa saber sobre o encerramento da sessão de email de um funcionário
Aqui estão as informações sobre como excluir um funcionário do email (Exchange).
![](http://blog.cybergeeks.com.br/wp-content/uploads/2021/07/1588272512488.png)
Conclusão
Nesse artigo mostrei como tratar contas de usuários desligados da organização e suas opções de limpeza e retenção de dados.
Referências oficiais:
https://docs.microsoft.com/en-us/microsoft-365/compliance/retention-policies?view=o365-worldwide