Desligamento
O Desligamento Automático do Sincroniza executa uma sequência completa de ações de offboarding quando um funcionário é desligado no sistema de RH, indo muito além da simples desabilitação de conta.
O que é o Desligamento Automático?
Quando um funcionário é desligado, diversas ações precisam ser executadas nos provedores de identidade para garantir a segurança da organização e a conformidade com políticas internas. O Desligamento Automático coordena todas essas ações em uma sequência organizada por fases.
O processo é disparado automaticamente quando o status do funcionário no RH muda para um dos status configurados como "desligamento" (por exemplo: "Demitido", "Desligado", "Rescindido").
Recurso Premium
O Desligamento Automático está disponível apenas com a licença Premium do Sincroniza.
Diferença entre Mapeamento de Status e Desligamento
É importante entender a distinção entre estes dois recursos:
| Aspecto | Mapeamento de Status | Desligamento Automático |
|---|---|---|
| Escopo | Habilitar ou desabilitar conta | Sequência completa de 7 fases |
| Ações | Uma ação simples (enable/disable) | Até 10+ ações coordenadas |
| Segurança | Apenas desabilita acesso | Revoga sessões, reseta senhas, remove grupos |
| Exchange | Não altera | Converte caixa, configura resposta automática, remove licenças |
| Renomeação | Não altera | Renomeia contas para liberar username |
| Aprovação | Segue política geral | Possui modo de aprovação próprio |
O Mapeamento de Status é suficiente para organizações que precisam apenas habilitar e desabilitar contas. O Desligamento Automático é necessário quando a organização exige um processo completo de offboarding.
Nota
Quando o Desligamento Automático está habilitado, ele substitui a ação de desabilitar do Mapeamento de Status para os status configurados como desligamento. O Mapeamento de Status continua funcionando normalmente para os demais status.
Fases do Desligamento
O processo de desligamento é organizado em 7 fases, executadas em sequência:
┌─────────────────────────────────────────────────────────────┐
│ DESLIGAMENTO AUTOMÁTICO │
├─────────────────────────────────────────────────────────────┤
│ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 1: Segurança │ │
│ │ • Revogar sessões ativas (Entra ID) │ │
│ │ • Resetar senhas (AD e/ou Entra ID) │ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 2: Desabilitar Contas │ │
│ │ • Desabilitar conta no AD │ │
│ │ • Desabilitar conta no Entra ID │ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 3: Resposta Automática │ │
│ │ • Configurar mensagem de ausência no Exchange │ │
│ │ • Templates para interno e externo │ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 4: Remover de Grupos │ │
│ │ • Remover de grupos do AD (exceto preservados) │ │
│ │ • Remover de grupos do Entra ID (exceto preservados)│ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 5: Ações do Exchange │ │
│ │ • Converter caixa de correio para compartilhada │ │
│ │ • Restringir e-mail externo │ │
│ │ • Ocultar da lista de endereços global (GAL) │ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 6: Remover Licenças │ │
│ │ • Remover licenças M365 (exceto preservadas) │ │
│ └──────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ FASE 7: Renomear Contas │ │
│ │ • Renomear sAMAccountName e UPN no AD │ │
│ │ • Renomear UPN no Entra ID │ │
│ │ • Libera username para reutilização │ │
│ └──────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘Por que esta Ordem?
A sequência das fases é cuidadosamente planejada:
- Segurança primeiro: Revogar sessões e resetar senhas impede acesso imediato
- Desabilitar antes de remover: Conta desabilitada não pode acessar recursos
- Resposta automática antes de remover licença: Precisa da licença do Exchange ativa
- Grupos antes de licenças: Remover de grupos de distribuição antes de perder a licença
- Exchange antes de licença: Converter para caixa compartilhada preserva os dados
- Licenças antes de renomear: Licenças são removidas com a identidade original
- Renomear por último: Libera o username para um possível novo funcionário
Modos de Aprovação
O Desligamento Automático possui seu próprio controle de aprovação, independente das políticas de aprovação gerais:
| Modo | Descrição |
|---|---|
| Nunca | Ações de desligamento são executadas imediatamente, sem aprovação. |
| Sempre (padrão) | Todas as ações de desligamento requerem aprovação antes da execução. |
| Horário Comercial | Aprovação necessária apenas durante horário comercial (9h-18h). Fora do horário, as ações são executadas imediatamente. |
| Somente Alto Impacto | Aprovação necessária apenas para usuários de alto impacto (gestores, executivos). Funcionários regulares são processados imediatamente. |
Preservação de Dados
O sistema permite preservar recursos específicos durante o desligamento:
Grupos Preservados
Configure grupos que não devem ser removidos durante o desligamento. Útil para:
- Grupos de distribuição de ex-funcionários
- Grupos de compliance ou retenção legal
- Grupos de acesso a arquivos compartilhados em transição
Licenças Preservadas
Configure licenças (SKU IDs) que não devem ser removidas. Útil para:
- Licenças necessárias para manter a caixa de correio acessível
- Licenças de arquivamento (Exchange Online Archiving)
Conversão para Caixa Compartilhada
Antes de remover a licença do Exchange, o sistema pode converter a caixa de correio do usuário para uma caixa compartilhada. Isso:
- Preserva todos os e-mails do funcionário desligado
- Não requer licença (caixas compartilhadas são gratuitas até 50GB)
- Permite acesso por outros funcionários autorizados
Recontratação
Quando um funcionário previamente desligado retorna à organização:
- O sistema detecta a mudança de status no RH (de desligamento para ativo)
- As contas são habilitadas novamente
- Grupos e licenças são reatribuídos conforme os Pacotes de Atribuição atuais
- Contas renomeadas mantêm o nome alterado — o novo provisionamento cria a identidade correta
Nota sobre Renomeação
Se a conta foi renomeada durante o desligamento (ex: TERM_joao.silva_20250107), a recontratação não reverte o nome. O sistema provisiona conforme o perfil atual do funcionário, podendo criar novas credenciais se necessário.
Boas Práticas
Recomendações
Use o modo "Sempre" inicialmente: Revise cada desligamento até ter confiança no processo.
Configure a conversão para caixa compartilhada: Preserve os dados de e-mail antes de remover licenças.
Defina grupos preservados: Identifique grupos que devem persistir após o desligamento.
Configure a resposta automática: Informe remetentes sobre a saída do funcionário e forneça contatos alternativos.
Teste com um desligamento controlado: Antes de ativar em produção, execute o processo com um funcionário de teste.
Habilite notificações de desligamento: Mantenha gestores e administradores informados sobre a conclusão do processo.
Próximos Passos
- Configurar Desligamento - Guia passo a passo para administradores
- Mapeamento de Status - Entenda como status do RH disparam ações
- Ações - Como ações são executadas e monitoradas