Office 365

Gestão de funcionários desligados no Office 365

Introdução

Uma preocupação comum para vários clientes é com relação à gestão de usuários desligados da empresa e outros tipos de situações com contas de usuário, como: conceder acesso à dados de um ex-funcionário, manter dados em uma caixa de e-mail inativa, excluir dados de conexão de dispositivos móveis e outros.

Para esse artigo, contei com o apoio do João Victor (https://www.linkedin.com/in/jvjaniro/) e do Edson Serrano (https://www.linkedin.com/in/edsonserranojr/), do time que faço parte de Technical Specialists na Microsoft. Obrigado pessoal!

Uma preocupação muito comum é: Como posso desabilitar meu usuário rapidamente para evitar que ele continue usando o serviço?

Quando um funcionário deixa a empresa, existem alguns passos que devemos realizar para fazer o seu desligamento corretamente. Isso vai depender de como está configurado seu ambiente hoje, se está em um cenário híbrido ou somente nuvem e outros fatores de uso do serviço. No geral, temos algumas recomendações e passos que descrevo abaixo.

Obs.: os passos marcados como opcionais são de acordo com a necessidade dos serviços que você está usando e necessidades específicas de cada organização.

Para detalhes de retenção do OneDrive, consulte os seguintes links:

https://docs.microsoft.com/pt-br/microsoft-365/admin/add-users/get-access-to-and-back-up-a-former-user-s-data?view=o365-worldwide

https://docs.microsoft.com/en-us/sharepoint/manage-user-profiles#add-and-remove-admins-for-a-users-onedrive

https://docs.microsoft.com/en-us/onedrive/retention-and-deletion

Passo 1: Redefinir a senha e forçar o Logoff de todas aplicações

  1. No centro de administração, acesse a página Usuários Usuários ativos.
  2. Marque a caixa ao lado do nome do usuário e selecione Redefinir senha.
  3. Digite uma nova senha e selecione Redefinir. (Não envie para o usuário).
  4. Selecione o nome do usuário para acessar o painel de propriedades e, na guia OneDrive, selecione Iniciar logoff.

Dentro de uma hora – ou depois que eles saem da página atual do Microsoft 365 em que estão – eles serão solicitados a entrar novamente. (Um token de acesso é válido por uma hora, portanto, a linha do tempo depende de quanto tempo resta nesse token e se ele sai da página atual).

Obs.: Você pode especificar o tempo de vida de um token emitido pelo Azure Active Directory (Azure AD). O tempo de vida de um token de acesso é de 1 hora, com o tempo mínimo configurável de 10 minutos e o máximo de 1 dia. Veja este link para saber mais a respeito – https://docs.microsoft.com/pt-br/azure/active-directory/develop/active-directory-configurable-token-lifetimes.

Passo 2 (opcional): Manter uma caixa de e-mail inativa para consultas futuras

Quando você precisa manter uma caixa de um ex-funcionário por um tempo determinado, você pode fazer de duas principais formas: 1) exportar os dados para um PST ou 2) manter a caixa como inativa.

Para manter a caixa inativa (inactive mailbox) no próprio Office 365 e viabilizar para futuras consultas futuras centralizadas, você pode fazer o seguinte:

  1. Antes de excluir o usuário/caixa, colocá-lo em hold (Litigation, eDiscovery Hold ou uma Retention policy no Security & Compliance Center – este último sendo o método preferencial) – https://docs.microsoft.com/en-us/microsoft-365/compliance/retention-policies?view=o365-worldwide.
  2. Realizar o procedimento padrão de exclusão de usuário, sendo:
  • Se o usuário está somente na nuvem (cloud only identity), excluir pelo Portal de Administração do Office 365.
  • Se é um usuário sincronizado, excluir pelo Active Directory on-premises (movendo para uma OU que não sincroniza ou deletando o usuário).

Depois de converter a caixa em uma “caixa de correio inativa“, os administradores, responsáveis pela conformidade podem usar as ferramentas de descoberta eletrônica (eDiscovery) para acessar e pesquisar o conteúdo.

Passo 3 (opcional): Encaminhar o email de um ex-funcionário para outro funcionário ou converter para uma caixa de correio compartilhada

Você pode atribuir o endereço de e-mail do ex-funcionário para outro ou converter sua caixa de correio em uma caixa de correio compartilhada (shared mailbox) criada por você.

  • Criar uma caixa de correio compartilhada é o caminho mais econômico, pois você não precisará pagar por uma licença, desde que a caixa de correio seja menor que 50 GB. Com mais de 50 GB e você precisará atribuir uma licença a ele.
  • Se você converter a caixa de correio em uma caixa de correio compartilhada, todos os emails antigos permanecerão disponíveis (isso pode ocupar muito espaço).
  • Se você configurar o encaminhamento de e-mail, apenas os novos e-mails enviados para o ex-funcionário serão enviados ao atual.
  • O encaminhamento de e-mail exige que a conta do ex-funcionário tenha uma licença.

Obs: Se você estiver configurando o encaminhamento de e-mail ou uma caixa de correio compartilhada, no final, não exclua a conta do ex-funcionário. A conta precisa estar lá para realizar o encaminhamento de email ou para manter a caixa de correio compartilhada.

Como fazer:

  1. No centro de administração, acesse a página Usuários > Usuários ativos.
  2. Selecione o nome do funcionário que você deseja bloquear e selecione a guia Correio.
  3. Em Encaminhamento de email, selecione Gerenciar encaminhamento de emailAtivar Encaminhar todos os emails enviados para esta caixa de correio.
  4. Na caixa Endereço de encaminhamento, digite o endereço de email do funcionário atual (ou da caixa de correio compartilhada) que receberá o email.
  5. Selecione Salvar.
  6. Lembre-se de não excluir a conta do ex-funcionário.       

Passo 4 (opcional): Bloqueando dispositivos móveis

Se o seu ex-funcionário possuir um telefone da organização, você poderá usar o centro de administração do Exchange para limpar (wipe) e bloquear esse dispositivo, para que todos os dados da organização sejam removidos do dispositivo e não possam mais se conectar ao Office 365.

1 – Vá para o centro de administração do Exchange em https://outlook.office.com/ecp/.

2 – No centro de administração do Exchange, navegue para Destinatários > Caixas de Correio.

3 – Selecione o usuário e, em Dispositivos móveis, selecione Exibir detalhes.

4 – Na página Detalhes do dispositivo móvel, em Dispositivos móveis, selecione o dispositivo, selecione Limpar dados e selecione Bloquear.

5 – Selecione Salvar.

Passo 5: Bloquear o acesso de um ex-funcionário aos dados do Microsoft 365

Importante: O bloqueio de uma conta pode levar até 24 horas para entrar em vigor. Se você precisar impedir imediatamente o acesso de entrada de um usuário, redefina a senha e inicie um evento único que os desconectará das sessões do Microsoft 365 em todos os dispositivos. Veja a seção Sign Out Now: https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/remove-former-employee?view=o365-worldwide#sign-out-now.

  1. No centro de administração, acesse a página Usuários > Usuários ativos.
  2. Selecione o nome do funcionário que você deseja bloquear e, sob o nome do usuário, selecione o símbolo para Bloquear este usuário.
  3. Selecione Bloquear o usuário de entrar e, em seguida, selecione Salvar.
  • Bloquear o acesso de um ex-funcionário a email (Exchange Online)
  1. Vá para o centro de administração do Exchange.
  2. No centro de administração do Exchange, navegue para Destinatários > Caixas de Correio.
  3. Clique duas vezes no usuário e vá para a página de recursos da Caixa de Correio.
  4. Em Dispositivos Móveis, selecione Desativar Exchange ActiveSync e Desativar OWA para Dispositivos e responda Sim a ambos quando solicitado.
  5. Em Conectividade de email, selecione Desativar e responda Sim quando solicitado.

Passo 6: Remova e exclua a licença do Microsoft 365 de um ex-funcionário

Para que você não continue pagando por uma licença depois que alguém deixar sua organização, remova a licença do Microsoft 365 e exclua-a da sua assinatura. Se você optar por não excluir a licença da sua assinatura, poderá atribui-la a outro usuário.

Quando você remove a licença, todos os dados desse usuário são mantidos por 30 dias por padrão. Você pode acessar os dados ou restaurar a conta se o usuário voltar. Após 30 dias, todos os dados do usuário (exceto os documentos armazenados no SharePoint Online) são excluídos permanentemente do Microsoft 365 e não podem ser recuperados, a menos que você tenha criado uma política de retenção para esta conta antes de excluí-la.

  1. No centro de administração, acesse a página Usuários> Usuários ativos.
  2. Selecione o nome do funcionário que você deseja bloquear e selecione a guia Licenças e aplicativos.
  3. Desmarque as caixas de seleção das licenças que você deseja remover e selecione Salvar alterações.

Para reduzir o número de licenças pelas quais você está pagando até contratar outra pessoa, faça o seguinte:

  1. No centro de administração, acesse a página Faturamento Produtos e serviços.
  2. Selecione Adicionar remover licenças para excluir a licença e não pagá-la até contratar outra pessoa.

Passo 7: Excluir a conta de usuário de um ex-funcionário

Depois de salvar e acessar todos os dados de usuário do ex-funcionário, você pode excluir a conta do ex-funcionário.

Não exclua a conta se você configurou o encaminhamento de e-mail ou a converteu em uma caixa de correio compartilhada. Ambos precisam da conta para ancorar o encaminhamento ou a caixa de correio compartilhada.

  1. No centro de administração, acesse a página Usuários > Usuários ativos.
  2. Selecione o nome do funcionário que você deseja excluir.
  3. Sob o nome do usuário, selecione o símbolo para Excluir usuário.
  4. Escolha as opções desejadas para esse usuário e selecione Excluir usuário.

Se você usa Active Directory:

  1. Mover a conta para uma OU que não sincroniza com o Azure AD

ou

  1. Excluir a conta no ambiente do AD on-premises

O que você precisa saber sobre o encerramento da sessão de email de um funcionário

Aqui estão as informações sobre como excluir um funcionário do email (Exchange).

Conclusão

Nesse artigo mostrei como tratar contas de usuários desligados da organização e suas opções de limpeza e retenção de dados.

Referências oficiais:

https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/remove-former-employee?view=o365-worldwide

https://docs.microsoft.com/en-us/microsoft-365/compliance/retention-policies?view=o365-worldwide

https://docs.microsoft.com/en-us/microsoft-365/compliance/inactive-mailboxes-in-office-365?view=o365-worldwide

Tiago Souza

Tiago Souza

Security Technical Specialist
Cyber Security Technical Specialist at Microsoft | Cloud Security & Threat Protection | Blog content creator at CyberGeeks.Cloud - https://linktr.ee/tiagovf