Microsoft 365: 10 configuracoes de seguranca

Por que segurança nativa do Microsoft 365 não basta por padrão

Quando uma empresa adquire licenças Microsoft 365 — seja Business Standard, Business Premium ou Enterprise E3/E5 — recebe um dos ambientes de produtividade mais robustos do mercado. Porém, um erro recorrente que observamos em diagnósticos de clientes é acreditar que "comprar a Microsoft já significa estar seguro". A realidade é que o tenant é entregue com configurações padrão voltadas à compatibilidade e à curva de adoção, não à postura de segurança máxima. Cabe ao administrador do tenant ativar, endurecer e monitorar os controles disponíveis.

Relatórios da própria Microsoft indicam que mais de 99,9% das tentativas de comprometimento de contas são bloqueadas quando a autenticação multifator (MFA) está habilitada — ainda assim, a telemetria pública mostra que apenas cerca de 38% dos tenants empresariais têm MFA efetivamente aplicada a todos os administradores. Esse tipo de gap entre "a ferramenta existe" e "a ferramenta está ativa" é exatamente onde atacantes prosperam, especialmente em ataques de phishing direcionado, consent phishing em aplicativos OAuth e roubo de tokens de sessão.

O ambiente Microsoft 365 hoje concentra e-mail, documentos, planilhas financeiras, repositórios de RH, canais de comunicação de diretoria e integrações com ERPs. Um único comprometimento de administrador global pode expor toda a operação. Por isso, este guia lista 10 configurações de segurança que consideramos prioridade zero em qualquer projeto de hardening que a Duk conduz — com a justificativa técnica e o efeito prático de cada uma.

As 10 configurações de segurança prioritárias no Microsoft 365

A lista a seguir segue a ordem de implementação recomendada: começa pelos controles de identidade (que bloqueiam a maior superfície de ataque) e avança para proteção de dados, e-mail e dispositivos. Não é uma lista exaustiva — o Microsoft 365 tem mais de 200 controles relevantes —, mas representa o conjunto mínimo viável para uma empresa madura.

1. Ativar MFA obrigatório via Conditional Access — Substitua os "Security Defaults" por políticas granulares no Azure AD / Microsoft Entra ID. Crie uma policy exigindo MFA para todos os usuários, com exceção controlada apenas para contas de serviço documentadas.
2. Bloquear autenticação legada (Legacy Auth) — Protocolos como IMAP, POP3, SMTP AUTH e EWS básico não suportam MFA e são o vetor preferido de ataques de password spray. Bloqueie-os por Conditional Access.
3. Implementar acesso baseado em dispositivo compatível — Exija que o acesso a aplicativos sensíveis (SharePoint, Exchange Online, Teams) ocorra apenas em dispositivos registrados no Intune ou marcados como híbridos compatíveis.
4. Restringir consentimento a aplicativos OAuth — No Microsoft Entra, desabilite a capacidade de usuários comuns consentirem a apps de terceiros. Configure "admin consent workflow" para que solicitações passem por aprovação do TI.
5. Habilitar Microsoft Defender for Office 365 (Safe Links + Safe Attachments) — Protege contra URLs maliciosas em tempo de clique (mesmo após a entrega do e-mail) e executa sandbox em anexos antes da entrega.
6. Configurar políticas anti-phishing com proteção de representação — Defina pelo menos diretoria, financeiro e domínio corporativo como "protegidos" contra spoofing e lookalike. Ative Mailbox Intelligence.
7. Aplicar rótulos de sensibilidade (Sensitivity Labels) com criptografia — Crie labels como "Confidencial — Duk Interno" que aplicam Azure Rights Management automaticamente, impedindo reenvio ou impressão de documentos vazados.
8. Ativar Data Loss Prevention (DLP) — Políticas que detectam CPF, CNPJ, cartão de crédito e segredos em e-mails, Teams e OneDrive, bloqueando ou auditando o compartilhamento externo.
9. Forçar retenção e recuperação (Litigation Hold + Versioning) — Ative retenção de 7 anos em caixas de diretoria, versioning no SharePoint/OneDrive (mínimo 100 versões) e lixeira estendida. Ransomware não apaga o que está sob hold.
10. Monitorar com Microsoft Secure Score e alertas de Defender — Defina meta mínima de 70% no Secure Score, reveja semanalmente e encaminhe alertas de alta severidade para um SOC ou equipe NOC dedicada.

Identidade primeiro: MFA, Conditional Access e bloqueio de Legacy Auth

A identidade é o novo perímetro. Em ambientes Microsoft 365, aproximadamente 80% dos incidentes que investigamos tiveram origem em credenciais comprometidas — não em exploração de vulnerabilidade zero-day. Portanto, qualquer projeto de hardening começa por eliminar o cenário em que uma senha vazada (de um data breach em outro serviço) permita login no tenant corporativo.

A ativação da MFA deve ser feita via Conditional Access, não via "per-user MFA" legado. O Conditional Access permite lógica condicional: exigir MFA para usuários externos à rede corporativa, dispensar em dispositivos gerenciados, exigir token forte (FIDO2 ou Microsoft Authenticator com number matching) para administradores. Essa granularidade diminui a fricção para o usuário comum e eleva drasticamente a barreira para o atacante.

O bloqueio de autenticação legada é frequentemente negligenciado porque "quebra" clientes de e-mail antigos. Mas é justamente esse o ponto: protocolos que não suportam MFA precisam morrer. A Microsoft depreciou o Basic Auth no Exchange Online em outubro de 2022, mas ainda encontramos tenants com exceções permanentes que nunca foram revisadas. Faça o levantamento dos sign-in logs filtrando por "Client App = Other clients, IMAP, POP, SMTP" antes de bloquear — você vai identificar scanners, multifuncionais e integrações que precisam migrar para OAuth ou para contas de serviço isoladas.

"Em 2025, 94% dos ataques de ransomware envolveram comprometimento inicial de conta via phishing ou credencial vazada. O custo médio de um incidente em empresas de médio porte no Brasil passou de R$ 6,4 milhões, segundo o IBM Cost of a Data Breach Report. MFA universal e bloqueio de Legacy Auth reduzem esse risco em ordem de magnitude — e custam zero em licença adicional para quem já tem Microsoft 365 Business Premium."

Proteção de dados: DLP, Sensitivity Labels e Defender for Office 365

Uma vez que a identidade está fortalecida, o próximo eixo é o dado em si. Aqui entram três pilares complementares: classificação (Sensitivity Labels), prevenção de vazamento (DLP) e proteção contra ameaças embarcadas em e-mails e documentos (Defender for Office 365). A grande vantagem do Microsoft 365 é que esses três pilares conversam entre si via Microsoft Purview, permitindo políticas unificadas que atravessam Exchange, SharePoint, OneDrive, Teams e até endpoints via Microsoft Purview Endpoint DLP.

Nossa recomendação prática é começar com uma taxonomia simples de três rótulos: Público, Interno e Confidencial. O rótulo Confidencial aplica criptografia Azure Rights Management e restringe ações como imprimir, encaminhar e copiar conteúdo. Isso significa que, mesmo se um atacante exfiltrar o arquivo, ele permanecerá criptografado fora do contexto autorizado. Depois dessa base, evolua para classificações setoriais (Jurídico, RH, Financeiro) com políticas específicas.

O DLP deve ser implementado inicialmente em modo "audit only" por duas a quatro semanas para mapear o comportamento real da empresa. Nesse período, você verá quantos e-mails com CPF são enviados legitimamente entre financeiro e contabilidade terceirizada, quais departamentos compartilham planilhas com dados sensíveis via link público no OneDrive, etc. Só após essa leitura ativa-se o modo "block with override" ou "hard block" com a granularidade adequada — caso contrário, o TI é soterrado por falsos positivos e os usuários aprendem a contornar a política.

Monitoramento contínuo: Secure Score, logs e resposta a incidentes

Configurar é apenas a metade do trabalho. Ambientes Microsoft 365 evoluem constantemente: novos usuários entram, permissões são concedidas em projetos pontuais e esquecidas, aplicativos de terceiros são consentidos, políticas são desabilitadas para "resolver rapidinho" um problema de suporte. Sem monitoramento contínuo, a postura de segurança que levou semanas para ser construída se deteriora em meses.

O Microsoft Secure Score é o ponto de partida. Acesse-o em security.microsoft.com e revise semanalmente. Ele quantifica sua postura em porcentagem e sugere ações concretas com impacto estimado. Uma empresa Business Premium madura tende a alcançar 70-80%; tenants E5 bem configurados chegam a 85%+ com Defender for Cloud Apps e Defender for Identity no mix. Acompanhe também o histórico — uma queda súbita indica que alguém desativou algo crítico.

Configure alertas no Microsoft Defender XDR para eventos de alta severidade: login suspeito, regra de caixa de entrada criada pelo atacante (técnica clássica de BEC para ocultar respostas), download massivo de SharePoint, elevação de privilégio inesperada. Integre com SIEM se houver — Sentinel é a opção nativa. Se não houver equipe 24/7, considere um MSSP ou serviço gerenciado para operar essa camada fora do horário comercial, que é justamente quando atacantes preferem agir.

• Revisões trimestrais: auditar contas privilegiadas, revisar consentimentos OAuth, checar exceções de Conditional Access.
• Revisões mensais: acompanhar Secure Score, revisar usuários inativos, conferir relatórios de DLP e phishing simulado.
• Revisões semanais: analisar alertas críticos, logins anômalos, e tentar responder "quem acessou o quê" em atividades fora do padrão.
• Diariamente (automatizado): encaminhamento de alertas de severidade alta para o canal de resposta do TI.

Como a Duk implementa e gerencia segurança Microsoft 365 para empresas

Implementar corretamente os 10 controles listados exige mais do que acesso ao admin center — exige leitura de impacto operacional, comunicação com áreas de negócio para evitar quebras, e disciplina de operação contínua. A Duk Informática & Cloud, com mais de 18 anos de mercado, 550+ empresas atendidas e certificação Microsoft Gold Partner, conduz projetos de hardening Microsoft 365 que vão do diagnóstico de Secure Score ao desenho completo de políticas Conditional Access, DLP e Defender for Office 365.

Nossos projetos típicos seguem três fases: assessment de duas semanas com relatório executivo do estado atual, implementação faseada com comunicação assistida aos usuários e operação gerenciada 24/7 com SLA médio de resposta de 3,7 minutos para incidentes críticos. Para empresas que preferem autonomia, também oferecemos consultoria pontual e transferência de conhecimento para a equipe interna.

Se sua empresa já usa Microsoft 365 e você não tem certeza de onde está no Secure Score, ou se está prestes a migrar e quer começar com o ambiente já endurecido desde o dia zero, fale com nosso time. Um diagnóstico inicial é gratuito e entrega uma visão objetiva de gaps e prioridades.

Fale agora com um especialista Duk no WhatsApp: wa.me/5511957024493 — respondemos em minutos, em horário comercial, e agendamos o diagnóstico sem compromisso.