Ich gehe davon aus, dass die Datei als Sicherheitsrisiko eingestuft wurde, also unter dem Verdacht stand, ein Virus, Trojaner oder etwas in der Art zu sein. Im Falle eines berechtigten Verdachts finde ich es sogar richtig, dass diese Dateien gelöscht werden, denn man kann ja nicht wissen, wo der Link überall die Runde macht.
Die "weiche" Methode wäre freilich, bei ungeklärten Fällen erstmal den externen Zugriff zu blockieren und den Fall zu klären. So unschön das zweifellos für dich ist, in diesem konkreten Fall ist der Ablauf für mich zumindest nachvollziehbar - auch wenn man das sicherlich besser machen kann. Wäre interessant zu wissen, wie bei OneDrive for Business in einem solchen Fall vorgegangen wird, also ob man dem Kunden da zumindest besser erklärt, was vor sich geht.