Teams: erro “Unknown user” ou “You are not authorized” ao adicionar membros internos — corrija no Entra ID ativando UsersPermissionToReadOtherUsersEnabled

Ao tentar adicionar membros internos a uma equipe existente no Microsoft Teams, você vê erros como You are not authorized ou Unknown user – Email address is removed for privacy? Este guia mostra a causa real no Microsoft Entra ID e o passo a passo definitivo para resolver.

Resumo do problema

Em diversos locatários do Microsoft 365, administradores e proprietários de equipes não conseguem adicionar usuários internos a uma equipe já criada no Teams. As mensagens típicas são:

• Teams clássico: You are not authorized
• Novo Teams: Unknown user – Email address is removed for privacy

Curiosamente, os mesmos usuários podem ser adicionados a um Microsoft 365 Group pelo Outlook e, em seguida, a equipe do Teams pode ser criada com base nesse grupo, sem erro.

Causa principal confirmada

O incidente é causado pelo parâmetro de organização no Entra ID chamado UsersPermissionToReadOtherUsersEnabled, definido como False. Quando esse parâmetro está desativado, os aplicativos que dependem de leitura de atributos de outros usuários — como o Microsoft Teams ao buscar membros para uma equipe — ficam impedidos de concluir a operação de inclusão. Já o mecanismo de associação do Microsoft 365 Groups não é afetado da mesma forma, por isso a adição via Outlook/Groups funciona.

Em termos práticos, com o valor em False o Teams não consegue “enxergar” os perfis necessários para validar e adicionar os membros, gerando os erros acima.

Solução direta

É preciso ativar a permissão de leitura de perfis para usuários do locatário. Há três caminhos usuais: via PowerShell com o módulo MSOnline, via PowerShell com o módulo AzureAD (usando Directory Settings) ou via portal do Entra ID. Escolha um deles.

Correção via PowerShell com MSOnline

Recomendado pela simplicidade. Requer função de Global Administrator ou permissão equivalente em Entra ID.

# 1) Instalar (se necessário) e conectar
Install-Module MSOnline -Scope CurrentUser
Connect-MsolService

2) Verificar o valor atual

Get-MsolCompanyInformation | Select UsersPermissionToReadOtherUsersEnabled

3) Ativar a leitura de outros usuários

Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled \$true

4) Confirmar

Get-MsolCompanyInformation | Select UsersPermissionToReadOtherUsersEnabled 

Observação: O módulo MSOnline está em processo de descontinuação em muitos ambientes, mas ainda é amplamente utilizado. Se preferir evitar MSOnline, use a alternativa com AzureAD abaixo.

Correção via PowerShell com AzureAD (Directory Settings)

Usa o recurso de Company Settings do diretório.

# 1) Instalar (se necessário) e conectar
Install-Module AzureAD -Scope CurrentUser
Connect-AzureAD

2) Localizar o "Company" Directory Setting (criar se não existir)

\$company = Get-AzureADDirectorySetting | Where-Object {\$*.DisplayName -eq "Company"}
if (-not \$company) {
\$tmpl = Get-AzureADDirectorySettingTemplate | Where-Object {\$*.DisplayName -eq "Company"}
\$company = \$tmpl.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting \$company | Out-Null
\$company = Get-AzureADDirectorySetting | Where-Object {$\_.DisplayName -eq "Company"}
}

3) Ver o valor atual

\$company\["UsersPermissionToReadOtherUsersEnabled"]

4) Ativar

\$company\["UsersPermissionToReadOtherUsersEnabled"] = \$true
Set-AzureADDirectorySetting -Id \$company.Id -DirectorySetting \$company

5) Confirmar

(Get-AzureADDirectorySetting | Where-Object {$\_.DisplayName -eq "Company"})\["UsersPermissionToReadOtherUsersEnabled"] 

Correção via portal do Entra ID

1. Acesse o portal do Microsoft Entra ID com uma conta de administrador global.
2. Abra User settings.
3. Localize a opção Users can view other users’ basic information.
4. Defina como Yes e salve.

Aplicar, replicar e testar

1. Aguarde a replicação: pode levar de alguns minutos a algumas horas para todos os serviços refletirem a alteração.
2. Atualize o cliente: peça aos administradores e proprietários para fecharem e reabrirem o Teams, ou sign out e novo login.
3. Testar novamente: volte à equipe afetada e tente adicionar os membros internos.

Checklist rápido de diagnóstico

Sinal	Interpretação	Ação sugerida
Adicionar via Teams falha com You are not authorized ou Unknown user	Falha de leitura de atributos no diretório durante a validação	Checar UsersPermissionToReadOtherUsersEnabled
Adicionar via Outlook → Microsoft 365 Group funciona	Processo do Groups não sofre o mesmo bloqueio	Confirma suspeita sobre o parâmetro desativado
Proprietário da equipe também não consegue incluir membros	Não é questão de privilégio do proprietário	Atuar no parâmetro organizacional no Entra ID
Usuário aparece no diretório, mas não é “encontrado” pelo Teams	Cliente não consegue resolver o perfil pela API	Ativar leitura básica de usuários ou aguardar replicação

Por que esse parâmetro afeta só o Teams

O Microsoft Teams depende intensamente de chamadas ao diretório para validar identidades, sugerir usuários e resolver informações básicas (nome para exibição, UPN, e-mail primário, etc.) no momento de adicionar membros. Com a leitura bloqueada, o cliente não obtém os dados e acusa erro. O Microsoft 365 Groups emprega caminhos de resolução que, em muitos casos, não são barrados pelo mesmo controle — por isso a inclusão pelo Outlook pode funcionar, criando uma sensação de inconsistência.

Boas práticas de governança e segurança

• Escopo da leitura: a opção habilita visualização de informações básicas de perfil (como nome, cargo e e-mail). Não concede acesso a dados sensíveis nem conteúdo de usuário.
• Menor privilégio: mantenha políticas de acesso externo e de convidados separadas desta configuração. A leitura de perfis internos não abre o diretório a visitantes convidados.
• Auditoria: registre a mudança e a justificativa (restauração de funcionalidade do Teams) no seu processo de change management.
• Reversão: se for estritamente necessário reverter, saiba que voltar a False tende a quebrar novamente a experiência de inclusão de membros no Teams.

Etapas detalhadas para um reparo sem sustos

1. Confirmar o sintoma: reproduza a falha em uma equipe de teste, anotando exatamente a mensagem do cliente (clássico ou novo Teams).
2. Validar no diretório: busque os usuários no Entra ID e verifique se estão habilitados, com UPN correto e sem bloqueios.
3. Checar a configuração: use MSOnline ou AzureAD PowerShell para ler UsersPermissionToReadOtherUsersEnabled.
4. Ativar a permissão: aplique uma das correções de seção anterior.
5. Aguardar propagação: planeje a mudança em janela conhecida; replicações podem variar conforme o locatário.
6. Limpeza de cache opcional: caso o erro persista no novo Teams, peça que o usuário reinicie o aplicativo e refaça login.
7. Teste final: adicionando os mesmos usuários à equipe que falhava.

Procedimentos de verificação pós-correção

• Verificar inclusão individual: adicionar um único usuário interno com UPN simples.
• Verificar inclusão em lote: inserir múltiplos usuários para avaliar performance e mensagens.
• Pesquisar usuários: o campo de busca de pessoas no Teams deve resolver nomes/UPNs sem mensagens “Unknown user”.
• Verificar convidados: a alteração não deve modificar políticas de convidado; apenas confirme se não houve impacto colateral.

Como diferenciar de outros problemas aparentes

Cenário	Como se manifesta	Não é este caso se…	O que checar
Parâmetro de leitura desativado	Erros “Unknown user”/“You are not authorized” ao adicionar internos	Adicionar via Outlook/Groups também falha	Valor de UsersPermissionToReadOtherUsersEnabled
Usuário bloqueado ou sem licença	Falha só para alguns usuários específicos	Outros usuários internos funcionam normalmente	Estado do usuário, licenças, sign-in blocked
Políticas de convidado/externo	Falha ao convidar domínios externos	Internos adicionam sem problemas	Configurações de acesso externo e convidado
Cache do cliente	Erro persiste em uma máquina/usuário	Em outro dispositivo a inclusão funciona	Limpar cache e renovar sessão do Teams

Perguntas frequentes

Proprietários de equipe não conseguem adicionar membros. É falta de permissão?

Não. Mesmo proprietários ficam impedidos quando UsersPermissionToReadOtherUsersEnabled está False, pois o bloqueio ocorre na resolução de perfis, antes da verificação de privilégios no time.

Isso é um problema de licenciamento?

Em geral, não. Planos como Microsoft 365 Business Premium já incluem as licenças necessárias para Teams e Groups. O sintoma descrito está ligado à política organizacional de leitura de perfis, não ao SKU.

Posso criar a equipe a partir de um grupo do Outlook como alternativa definitiva?

Funciona como workaround, mas não ataca a causa. Em algum momento você precisará voltar a adicionar membros diretamente no Teams, especialmente em times que não nasceram de um Group existente.

Quanto tempo leva para a alteração surtir efeito?

Normalmente é rápido, mas em algumas organizações a replicação entre serviços pode levar algumas horas. Planeje a mudança e comunique os administradores para testarem após reiniciar o Teams.

Existe impacto de segurança ao ativar essa leitura?

A configuração libera apenas informações básicas de perfil entre usuários do mesmo locatário (nome, e-mail, função). Não expõe conteúdo ou dados sensíveis. A governança de convidados e externos continua sendo aplicada por políticas próprias.

Script de diagnóstico ponta a ponta

Use o bloco abaixo para testar, corrigir e validar em sequência com MSOnline:

$ErrorActionPreference = "Stop"

Conectar

if (-not (Get-Module -ListAvailable -Name MSOnline)) {
Install-Module MSOnline -Scope CurrentUser -Force
}
Connect-MsolService

Ler estado atual

\$before = (Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled
Write-Host "Estado atual: UsersPermissionToReadOtherUsersEnabled = \$before"

Corrigir se necessário

if (-not \$before) {
Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled \$true
Start-Sleep -Seconds 5
}

Confirmar

\$after = (Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled
Write-Host "Estado após correção: UsersPermissionToReadOtherUsersEnabled = \$after"

Orientações finais

if (\$after) {
Write-Host "Aguarde a replicação, reinicie o Teams e teste a inclusão de membros."
} else {
Write-Host "Falha ao aplicar a alteração. Revise permissões da conta administrativa."
} 

Boas práticas operacionais para equipes de TI

• Padronize o check: inclua a verificação do parâmetro em seus runbooks de suporte de Nível 2/3 para incidentes de inclusão no Teams.
• Documente a decisão: descreva por que a leitura básica é necessária para a colaboração em Teams.
• Automatize validações: crie um script de auditoria periódico para garantir que UsersPermissionToReadOtherUsersEnabled permaneça True após grandes mudanças.
• Eduque proprietários: explique que o erro não é culpa do “dono do time” nem de licenças individuais; trata-se de uma configuração organizacional.

Exemplos de mensagens e como agir

Mensagem vista	Cliente	Ação recomendada
You are not authorized	Teams clássico	Ativar leitura de perfis e testar novamente
Unknown user – Email address is removed for privacy	Novo Teams	Confirmar parâmetro no Entra ID e limpar cache do cliente
Falha ao adicionar apenas usuários externos	Teams (qualquer)	Revisar políticas de convidado/acesso externo, não este parâmetro

Fluxo de decisão recomendado

1. Falha ao adicionar membros internos no Teams?
2. Consegue adicionar os mesmos usuários em um Microsoft 365 Group?
3. Se sim, verifique UsersPermissionToReadOtherUsersEnabled.
4. Se estiver False, ative e aguarde replicação.
5. Se continuar falhando, revise políticas de convidado, estado do usuário e cache do cliente.

Notas finais importantes

• Permissões: é necessário ser administrador global ou ter privilégios delegados para alterar configurações organizacionais no Entra ID.
• Clientes: erros podem variar entre o Teams clássico e o novo Teams; ambos se resolvem com a mesma correção.
• Compatibilidade: os comandos acima são amplamente suportados. Em ambientes que padronizaram em Microsoft Graph PowerShell, adapte a automação conforme seus padrões internos.

Conclusão

Quando o parâmetro UsersPermissionToReadOtherUsersEnabled está desativado no Microsoft Entra ID, o Microsoft Teams perde a capacidade de ler os dados básicos necessários para validar e incluir membros internos. Ao habilitar a leitura de perfis — por PowerShell ou pelo portal —, a inclusão volta a funcionar normalmente. Após a mudança, aguarde a replicação, reinicie o Teams e repita a tentativa de adicionar os usuários.