Configurar a política de expiração de grupos do Microsoft 365

  • Artigo

Este artigo mostra como gerenciar o ciclo de vida de grupos do Microsoft 365 definindo uma política de expiração para eles. Você só pode configurar uma política de expiração dos grupos do Microsoft 365 no Microsoft Entra ID.

Depois de configurar a expiração de um grupo:

  • Grupos com atividades do usuário são renovados automaticamente à medida que a expiração se aproxima.
  • Os proprietários do grupo são notificados para renovar o grupo, caso o grupo não seja renovado automaticamente.
  • Todos os grupos não renovados serão excluídos.
  • Os proprietários ou os administradores de grupos têm 30 dias para restaurar qualquer grupo do Microsoft 365 excluído.

Atualmente, apenas uma política de expiração pode ser configurada para todos os grupos do Microsoft 365 em uma organização do Microsoft Entra.

Observação

Configurar e usar a política de expiração para os grupos do Microsoft 365 exige que você tenha, mas não necessariamente atribua, licenças P1 ou P2 do Microsoft Entra ID para os membros de todos grupos aos quais a política de expiração é aplicada.

Para obter informações sobre como baixar e instalar cmdlets do Microsoft Graph PowerShell, consulte Instalar o SDK do Microsoft Graph PowerShell.

Importante

O Azure AD PowerShell deverá ser preterido em 30 de março de 2024. Para saber mais, leia a atualização de substituição. É recomendável migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). O Microsoft Graph PowerShell permite o acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas a dúvidas comuns sobre migração, consulte as Perguntas frequentes sobre migração.

Renovação automática baseada em atividade

Com a inteligência do Microsoft Entra ID, os grupos agora são renovados automaticamente baseado em terem ou não sido usados recentemente. Esse recurso elimina a necessidade de ação manual por parte dos proprietários do grupo. É baseado na atividade de usuários nos grupos dos serviços do Microsoft 365, como Outlook, SharePoint, Teams ou Yammer.

Por exemplo, um proprietário ou um membro do grupo pode fazer algo como:

  • Enviar um email para o grupo no Outlook.
  • Carregue um documento no SharePoint.
  • Visitar um canal do Teams.
  • Ver uma postagem no Yammer.

Nos cenários anteriores, o grupo é renovado automaticamente cerca de 35 dias antes de expirar e o proprietário não recebe nenhuma notificação de renovação.

Agora considere uma política de expiração definida para que um grupo expire após 30 dias de inatividade. Para evitar o envio de um email de expiração no dia em que a expiração do grupo é habilitada (pois ainda não há nenhuma atividade registrada), o Microsoft Entra primeiro aguarda cinco dias. Em seguida:

  • Se houver atividade nesses cinco dias, a política de expiração funcionará como esperado.
  • Se não houver nenhuma atividade dentro de cinco dias, o Microsoft Entra ID enviará um email de expiração ou renovação.
  • Se o grupo ficou inativo por cinco dias, um email foi enviado, e o grupo então ficou ativo, o Microsoft Entra o renovará automaticamente e o período de expiração começará novamente.

Atividades que renovam automaticamente a expiração do grupo

As ações de usuário a seguir causam a renovação automática do grupo:

  • SharePoint: exibir, editar, baixar, mover, compartilhar ou carregar arquivos.
  • Outlook: entrar em um grupo, ler ou escrever uma mensagem de grupo no espaço do grupo, "curtir" uma mensagem (no Outlook Web Access).
  • Teams: visitar um canal do Teams.
  • Yammer: ver uma postagem em uma comunidade do Yammer ou um email interativo no Outlook.

Auditoria e relatórios

Os administradores podem obter uma lista de grupos automaticamente renovados pelos logs de auditoria de atividades no Microsoft Entra ID.

Screenshot that shows automatic renewal of groups based on activity.

Funções e permissões

As funções a seguir podem configurar e usar a expiração para grupos do Microsoft 365 no Microsoft Entra ID.

Função Permissões
Administrador global, Administrador de grupos ou Administrador de usuários Pode criar, ler, atualizar ou excluir as configurações de política de expiração de grupos do Microsoft 365
Pode renovar qualquer grupo do Microsoft 365
Usuário Pode renovar um grupo do Microsoft 365 que possua
Pode restaurar um grupo do Microsoft 365 que possua
Pode ler as configurações da política de expiração

Para saber mais sobre permissões para restaurar um grupo excluído, confira Restaurar um grupo excluído do Microsoft 365 no Microsoft Entra ID.

Definir a expiração de grupo

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, administrador global.

  2. Selecione ID do Microsoft Entra.

  3. Escolha Grupos>Todos os grupos e selecione Expiração para abrir as configurações de expiração.

    Screenshot that shows expiration settings for groups.

  4. Na página Expiração, você pode:

    • Definir o tempo de vida do grupo em dias. Você pode selecionar um dos valores predefinidos ou um valor personalizado. O valor deve ser 30 dias ou mais.
    • Especificar um endereço de email para o qual as notificações de expiração e renovação são enviadas quando um grupo não tem nenhum proprietário.
    • Selecionar quais grupos do Microsoft 365 expirarão. Você pode definir a expiração para:
      • Todos os grupos do Microsoft 365.
      • Grupos selecionados do Microsoft 365.
      • Nenhum para restringir a expiração de todos os grupos.
    • Salve as configurações quando terminar selecionando Salvar.

Observação

  • Quando você configura a expiração pela primeira vez, todos os grupos que são mais antigos que o intervalo de expiração são definidos para expirar em 35 dias, a menos que o grupo seja renovado automaticamente ou o proprietário o renove.
  • Quando um grupo dinâmico é excluído e restaurado, ele é visto como um grupo novo e preenchido novamente de acordo com a regra. Esse processo pode levar até 24 horas.
  • Os avisos de expiração para grupos usados em equipes são exibidos no feed dos Proprietários de Equipes.
  • Ao habilitar a expiração para grupos selecionados, você pode adicionar até 500 grupos à lista. Se precisar adicionar mais de 500 grupos, poderá habilitar a expiração para todos os seus grupos. Nesse cenário, a limitação de 500 grupos não se aplica.
  • Os grupos não são renovados imediatamente quando ocorrem atividades de renovação automática. No caso de uma atividade, um sinalizador é colocado no grupo para indicar que ele está pronto para renovação quando estiver próximo da expiração. Se o grupo estiver próximo da expiração, a renovação ocorrerá dentro de 24 horas.

Notificações por email

Se os grupos não forem renovados automaticamente, notificações por email, como o exemplo a seguir, serão enviadas para os proprietários de grupos do Microsoft 365 30 dias, 15 dias e 1 dia antes da expiração do grupo.

O idioma preferido do proprietário dos grupos ou a configuração de idioma do Microsoft Entra determina o idioma do email. Se o proprietário do grupo definiu um idioma preferido ou se vários proprietários tiverem o mesmo idioma preferido, esse idioma será usado. Para todos os outros casos, será usada a configuração de idioma do Microsoft Entra.

Screenshot that shows expiration email notifications.

No email de notificação para Renovar o grupo, os proprietários do grupo podem acessar diretamente a página de detalhes do grupo no Painel de Acesso. Ali, os usuários podem obter mais informações sobre o grupo, como sua descrição, quando foi renovado pela última vez, quando expirará, e também a capacidade de renovar o grupo. A página de dados do grupo agora também inclui links para os recursos do grupo do Microsoft 365, para que o proprietário do grupo possa visualizar o conteúdo e a atividade em seu grupo de modo conveniente.

Importante

Se houver algum problema com os emails de notificação e eles não forem enviados ou ficarem atrasados, saiba que a Microsoft nunca exclui um grupo antes que o último email seja enviado.

Quando um grupo expira, o mesmo é excluído um dia depois da data de vencimento. Os proprietários do grupo do Microsoft 365 recebem um email de notificação como este informando sobre a expiração e exclusão imediata do grupo do Microsoft 365.

Screenshot that shows group deletion email notifications.

Você pode restaurar o grupo dentro de 30 dias após sua exclusão selecionando Grupo de restauração ou usando cmdlets do PowerShell. Para obter mais informações, consulte Restaurar um grupo do Microsoft 365 excluído no Microsoft Entra ID. Observe que o período de restauração do grupo de 30 dias não é personalizável.

Se o grupo que você está restaurando contém documentos, sites do SharePoint ou outros objetos persistentes, pode levar até 24 horas para restaurar completamente o grupo e seu conteúdo.

Recuperar a data de expiração de um grupo do Microsoft 365

Além de usar o Painel de Acesso para ver detalhes do grupo, como a data de validade e a data da última renovação, a data de validade de um grupo do Microsoft 365 pode ser recuperada da API REST do Microsoft Graph Beta. A propriedade expirationDateTime do grupo está habilitada no Microsoft Graph Beta. Você pode recuperá-la com uma solicitação GET. Para obter mais informações, consulte os este exemplo.

Observação

Para gerenciar as associações de grupo no Painel de Acesso, Restringir o acesso a Grupos no Painel de Acesso deve ser definido como Não na configuração Geral dos grupos do Microsoft Entra.

Quando um grupo expira e é excluído, 30 dias após a exclusão os dados do grupo dos aplicativos, como Planner, Sites ou Teams, são excluídos permanentemente. A caixa de correio de grupo que está em retenção legal é mantida e não é excluída permanentemente. O administrador pode usar cmdlets do Exchange para restaurar a caixa de correio para buscar os dados.

Expiração do grupo do Microsoft 365 com uma política de retenção

Você pode configurar a política de retenção com o portal de Segurança e Conformidade. Nele, você pode configurar uma política de retenção para grupos do Microsoft 365. Quando um grupo expira e é excluído, as conversas em grupo na caixa de correio do grupo e nos arquivos no site do grupo são mantidas no recipiente de retenção durante o número específico de dias definidos na política de retenção. Os usuários não verão o grupo ou seu conteúdo após a expiração. Eles podem recuperar os dados do site e da caixa de correio por meio da descoberta eletrônica.

Exemplos do PowerShell

Aqui estão alguns exemplos de como você pode usar cmdlets do PowerShell para definir as configurações de expiração para os grupos do Microsoft 365 em sua organização do Microsoft Entra:

  1. Instale o módulo Microsoft Graph PowerShell e inicie sessão no prompt do PowerShell.

    Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  2. Defina as configurações de expiração. Use o cmdlet New-MgGroupLifecyclePolicy para definir o tempo de vida de todos os grupos do Microsoft 365 na organização do Microsoft Entra como 365 dias. As notificações de renovação dos grupos do Microsoft 365 sem proprietário são enviadas para emailaddress@contoso.com.

    New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
   -GroupLifetimeInDays 365 -ManagedGroupTypes All

  3. Recupere a política existente usando Get-MgGroupLifecyclePolicy. Esse cmdlet recupera as configurações de expiração atuais do grupo do Microsoft 365 que foram configuradas.

    Get-MgGroupLifecyclePolicy

    Neste exemplo, você pode ver:

    • A ID da política.
    • As notificações de renovação dos grupos do Microsoft 365 sem proprietário são enviadas para emailaddress@contoso.com.
    • O tempo de vida de todos os grupos do Microsoft 365 na organização do Microsoft Entra é definido como 365 dias.
    Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
--                                   --------------------------- ------------------- -----------------
0d21d969-85ed-4c75-8675-eb1bc4899f4e emailaddress@contoso.com    365                 All

  4. Atualize a política existente usando Update-MgGroupLifecyclePolicy. Esse cmdlet é usado para atualizar uma política existente. No exemplo a seguir, o tempo de vida do grupo na política existente é alterado de 365 dias para 180 dias.

    Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"

  5. Adicione grupos específicos à política usando Add-MgGroupToLifecyclePolicy. Esse cmdlet adiciona um grupo à política de ciclo de vida. Por exemplo:

    Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"

  6. Remova a política existente usando Remove-MgGroupLifecyclePolicy. Esse cmdlet exclui as configurações de expiração do grupo do Microsoft 365, mas exige a ID da política. Este cmdlet desabilita a expiração para grupos do Microsoft 365.

    Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e"

Você pode usar os cmdlets a seguir ​​para configurar a política com mais detalhes. Para obter mais informações, confira Documentação do PowerShell do Microsoft Graph.

Próximas etapas

Para obter mais informações sobre grupos do Microsoft Entra, consulte: