Gerenciamento de acessos de ex-colaboradores no Microsoft Entra ID

Gerenciar os acessos de ex-colaboradores no Microsoft Entra ID é uma etapa crítica para garantir a segurança, a conformidade regulatória e a integridade da identidade corporativa. Quando esse processo não é conduzido corretamente, o risco de acesso indevido, vazamento de informações e uso inadequado de licenças cresce de forma significativa. Por isso, é fundamental aplicar boas práticas e adotar procedimentos claros sempre que ocorre o desligamento de um colaborador.

Desabilitar a conta imediatamente

Assim que o desligamento do colaborador for confirmado:

1. Acesse o portal: https://entra.microsoft.com
2. Vá em: Identidade > Usuários > Todos os usuários
3. Selecione o usuário > clique em Bloquear entrada → define Login habilitado: Não

No entanto, é importante destacar que, mesmo com a conta bloqueada, sessões que já estavam ativas podem permanecer válidas por um período. Para lidar com isso, o administrador deve revogar manualmente todas as sessões, ação que desconecta o usuário de aplicativos web, clientes de desktop e dispositivos móveis. Esse cuidado complementa o bloqueio inicial e elimina brechas temporárias de segurança.

Revogar sessões ativas

Mesmo após bloquear, sessões abertas podem continuar ativas por um tempo. Ainda na página do usuário, clique em: Revogar sessões. Isso desconecta o usuário de todas as sessões web, desktop e mobile imediatamente. 

Remover acesso a apps e recursos

Remova o usuário de grupos atribuídos a apps, recursos e políticas, atribuições diretas, grupos de segurança e, quando utilizado o gerenciamento de pacotes de acesso (Access Packages), encerrar ou remover os pacotes vinculados ao colaborador.

Dessa forma, garante-se que o desligado não mantenha vínculo indireto com sistemas críticos.

Desativar e/ou excluir licenças

Vá em: Usuário > Licenças > Atribuições Remova as licenças (Microsoft 365, Entra P1/P2, Defender, Intune, etc.) Isso libera licenças para realocação e impede uso indevido de recursos.

O gerenciamento de licenças também deve ser realizado com atenção. Por meio do portal administrativo, é possível identificar quais licenças estão associadas ao ex-funcionário e removê-las imediatamente. Além de evitar uso indevido de produtos como Microsoft 365, Defender, Intune e Entra P1/P2, essa prática contribui para liberar licenças que poderão ser realocadas a outros colaboradores, otimizando custos de TI.

Gerenciar dados pessoais e corporativos E-mail e arquivos

Outro ponto sensível do processo é a administração dos dados pessoais e corporativos do ex-funcionário. Redirecione o e-mail para um gestor, se necessário Transfira a propriedade dos arquivos de OneDrive para outro colaborador (Use PowerShell ou portal do Microsoft 365 Admin) Arquive ou delete a caixa de entrada após a retenção legal/política.

A execução dessas etapas pode ser feita tanto pelo portal administrativo quanto via PowerShell, permitindo maior flexibilidade.

Automação com Playbooks (opcional)

Use Microsoft Entra Lifecycle Workflows (requer P2) para automatizar bloqueio de entrada, revogar sessões, remover licenças e enviar notificações para gestores e equipes de TI

Auditoria e conformidade Consulte logs de atividade e auditoria em: Microsoft Entra > Monitoramento > Logs de Auditoria
Verifique se o usuário participou de funções privilegiadas (via PIM)

Por fim, todo o processo deve ser acompanhado por auditoria e conformidade. A análise dos logs de atividade e auditoria no Entra ID permite identificar se o usuário possuía privilégios administrativos e se houve ações relevantes nos dias anteriores à sua saída. Em cenários que envolvem o Privileged Identity Management (PIM), a verificação deve ser ainda mais detalhada para assegurar que nenhum acesso privilegiado permaneça ativo.
A documentação de todas essas etapas é fundamental para atender normas como ISO 27001, LGPD e GDPR, além de reforçar a governança de identidade da organização.