Cuando un empleado vuelve a la organización con la misma dirección de correo electrónico que tenía antes, OneDrive for Business puede seguir conservando en su colección de sitios los metadatos de la cuenta anterior. El resultado son vínculos compartidos que muestran el display name antiguo en el cuadro de diálogo de uso compartido y, lo que es peor, producen el error “Access denied” al destinatario. A continuación encontrarás una guía completa —técnica y de procesos— para eliminar esa referencia obsoleta, regenerar los vínculos y evitar que el problema reaparezca en el futuro.
Por qué ocurre el conflicto de identidades
En Microsoft 365, OneDrive es una colección de sitios de SharePoint Online asociada al usuario propietario. Cuando un empleado vuelve a ingresar, Azure AD crea (o reactiva) un objeto de usuario con el mismo UPN. OneDrive, sin embargo, mantiene una entrada en la lista de “Usuarios del sitio” (UserInfo) que fue creada con el antiguo ObjectId. Al compartir, OneDrive busca ese registro y muestra el nombre que contiene, de ahí la confusión. Como el nuevo usuario tiene un ObjectId diferente, el token de seguridad no coincide y SharePoint devuelve acceso denegado.
Estructura implicada
- Azure AD: mantiene los objetos de identidad y sus
ObjectId. - OneDrive/SharePoint: conserva registros en la lista oculta
UserInfoy en la base de datos de autorización (Securable Object). - Teams, Planner, etc.: consumen las mismas ACL; si la entrada está corrupta también pueden fallar.
Cómo diagnosticar la situación
- El propietario comparte un archivo y en el cuadro de diálogo aparece el nombre antiguo.
- El destinatario abre el vínculo y ve la página con el identificador
?upn=usuario@dominio.compero recibe “Access denied”. - En Registros de auditoría ▸ Sharing and Access Requests se observa que la llamada usa una
UserIddiferente del nuevoObjectId. - Ejecutar
Get-SPOUser -Site https://contoso-my.sharepoint.com/personal/propietario -LoginName usuario@dominio.commuestra la entrada obsoleta con la fecha de alta original.
Procedimiento estándar para el propietario
Este método es el más rápido porque no requiere privilegios globales, solo permisos completos en su propio OneDrive.
- Iniciar sesión en OneDrive en un navegador.
- Al final de la URL principal añadir:
/_layouts/15/people.aspx?MembershipGroupId=0Se abrirá la lista de miembros con acceso a la colección. - Buscar la fila que contiene el nombre obsoleto.
- En la columna Actions seleccionar Delete User from Site Collection.
Tip: Si no aparece la columna, ampliar la ventana o activar el menú •••. - Cerrar la pestaña, volver a la raíz de OneDrive y pulsar Compartir de nuevo. El sistema consultará Azure AD, obtendrá el nuevo perfil y mostrará el nombre correcto.
- Enviar el vínculo actualizado a la usuaria. Debería abrirse sin errores.
Procedimiento con privilegios administrativos
Utilízalo cuando el propietario no pueda acceder a people.aspx (por ejemplo, si tiene permisos restringidos por políticas DLP) o cuando debas depurar varios OneDrive simultáneamente.
- En el Centro de administración de Microsoft 365 ▸ Usuarios ▸ Activos localiza al propietario y abre su pestaña OneDrive.
- Haz clic en Crear vínculo a archivos; se abrirá una nueva pestaña con la biblioteca de OneDrive en modo administrador.
- Repite los pasos 2‑4 del método estándar para eliminar la entrada de la lista.
- Informa al propietario para que vuelva a compartir los contenidos, o hazlo tú directamente si corresponde.
Limpieza adicional recomendada
Cierre de sesión del destinatario
Tras eliminar la entrada, el navegador del usuario puede seguir almacenando cookies de acceso antiguo en *.sharepoint.com. Pide que cierre sesión, borre caché o utilice una ventana en modo incógnito.
Verificar unicidad en Azure AD
Confirma que existe un único objeto activo para el UPN. Si la baja y el alta se hicieron manualmente, es común que permanezca un objeto sin licencia pero aún no eliminado. Si hay duplicados:
- Elimina o renombra el objeto obsoleto.
- Comprueba que el nuevo objeto tiene licencia SharePoint/OneDrive.
Sincronización híbrida
En entornos con AD Connect, el atributo ImmutableID vincula la identidad local con Azure AD. Al reactivar una cuenta, asigna un nuevo ImmutableID para evitar colisiones. Se recomienda:
# En PowerShell AD Connect
Set-ADUser -Identity "usuario" -Add @{ImmutableID = "$((New-Guid).ToString())"}
Start-ADSyncSyncCycle -PolicyType DeltaDespués, espera a que la sincronización termine antes de volver a compartir archivos.
Resiliencia y buenas prácticas
| Acción preventiva | Responsable | Frecuencia |
|---|---|---|
| Flujo automatizado de off‑boarding que elimina acceso en OneDrive y SharePoint. | TI / Recursos Humanos | Al término de la relación laboral |
| Uso de grupos de seguridad en lugar de compartir a usuarios individuales. | Propietarios de datos | Continuo |
| Revisión de invitaciones externas caducadas (External User Expiration). | Administrador de SharePoint | Trimestral |
| Políticas de retención para OneDrive (M365 Compliance Center). | Equipo de cumplimiento | Anual |
Preguntas frecuentes
¿Puedo borrar el OneDrive completo y recrearlo?
Técnicamente sí, pero perderás historial de versiones y permisos. Solo considera esta opción si el contenedor está gravemente dañado y existen copias en respaldo.
El nombre aún aparece mal en Microsoft Teams, ¿es normal?
Sí. Teams almacena un caché local. Pide al usuario que cierre sesión en el cliente de escritorio y vuelva a entrar; así descargará la foto y el nombre nuevos.
¿Cuánto tarda en propagarse la eliminación en todos los servicios?
OneDrive actualiza la lista UserInfo de inmediato, pero la caché global de SharePoint puede tardar hasta 30 minutos. Para forzar la actualización, agrega y quita cualquier permisión en el archivo afectado; esto invalida la entrada de caché.
¿Es posible automatizar este proceso?
Sí. Con el módulo Microsoft.Online.SharePoint.PowerShell puedes recorrer cada OneDrive y ejecutar Remove-SPOUser contra cualquier LoginName que no coincida con Azure AD. Integra el script en tu runbook de reingreso.
Conclusión
El error “Access denied” tras el reingreso de un empleado suele deberse a una referencia fantasma en la lista interna UserInfo de OneDrive. Borrar esa entrada —ya sea por el propietario o por un administrador— obliga a OneDrive a consultar la identidad correcta en Azure AD y regenerar los permisos. Si además mantienes buenas prácticas de off‑boarding y automatizas la limpieza, evitarás que este problema regrese.