Segurança, Compliance e Microsoft Purview no Microsoft 365 em 2026: Como Administrar Tudo numa PME?
✎ Duarte Spínola | 2026-07-14
Este artigo — Dia 6 de uma série de 6 que began com centro de administração, funções e licenças — fecha a formação do administrador M365 de uma PME com o tema mais transversal de todos: segurança e compliance. O Microsoft Purview é hoje o guarda-chuva que unifica governação de dados, prevenção de perda de dados (DLP), retenção, eDiscovery, auditoria, classificação de sensibilidade e gestão de risco interno (Microsoft Learn — Purview). A par do Microsoft Defender (Office 365, Endpoint e Cloud) e do Entra ID, um administrador M365 responsável por 25–50 utilizadores precisa de saber configurar políticas DLP, aplicar retention labels, activar sensitivity labels, rever o Secure Score e estabelecer uma baseline de Conditional Access com MFA — tudo sem depender de consultores externos.
A premissa é simples: licenças Microsoft 365 Business Premium (que incluem Defender for Office 365 Plan 1 e Microsoft Purview) ou E5 (que adiciona Defender Plan 2, eDiscovery Premium e Insider Risk Management) fornecem as ferramentas necessárias, mas o valor real só aparece quando o administrador configura políticas, monitoriza alertas e adapta retenção/classificação ao contexto da organização (Microsoft Learn — Microsoft 365 Security). Este guia percorre o portal Purview, DLP, retenção, eDiscovery, auditoria, sensitivity labels, information barriers, insider risk, communication compliance, privileged access, Defender for Office 365, Defender for Endpoint, Secure Score, MFA e Conditional Access — com comandos PowerShell em cada secção.
1. Microsoft Purview — Visão Geral e Portal de Conformidade
O Microsoft Purview é a plataforma unificada de governação de dados, risk management e compliance que substituiu o antigo Microsoft 365 Compliance Center. O portal está disponível em https://purview.microsoft.com (ou compliance.microsoft.com para o portal clássico ainda activo em 2026) e organiza-se em quatro grandes áreas: governação de dados (data lifecycle management, retention, data map), prevenção de perda de dados (DLP, sensitive info types), risk and compliance (eDiscovery, audit, information barriers, insider risk, communication compliance, privileged access) e classificação de dados (sensitivity labels, trainable classifiers) (Microsoft Learn — Data Lifecycle Management).
Para um administrador PME, o primeiro contacto com o Purview deve seguir esta ordem: (1) abrir o portal e verificar que o tenant tem auditoria activa — sem audit logs, a maioria das funcionalidades de compliance não funciona; (2) confirmar que as licenças atribuídas incluem as funcionalidades pretendidas (Business Premium para DLP básico, E5 para insider risk e eDiscovery Premium); (3) percorrer o Compliance Manager, que dá um score de conformidade e recomendações accionáveis alinhadas com RGPD, ISO 27001 e NIS2 (Microsoft Learn — Compliance Manager).
O Compliance Manager não é apenas informativo — cada recomendação tem um link directo para a política ou configuração correspondente no portal. Para uma PME portuguesa sujeita ao RGPD, o score inicial tipicamente situa-se entre 40–60% e as primeiras quick wins são: activar MFA para todos os administradores, configurar retention labels para email e SharePoint, e criar uma política DLP para números de cartão de crédito e BI português.
A conexão PowerShell ao Purview é feita através do módulo Exchange Online (que inclui o endpoint IPPSSession — Information Protection and Compliance):
Install-Module -Name ExchangeOnlineManagement -Force
# Conectar ao endpoint de Information Protection e Compliance
Connect-IPPSSession
# Verificar conectividade listando políticas DLP existentes
Get-DlpPolicy
O cmdlet Connect-IPPSSession estabelece sessão no endpoint ps.compliance.protection.outlook.com e dá acesso a todos os cmdlets de compliance: Get-DlpPolicy, Get-RetentionCompliancePolicy, Get-LabelPolicy, Get-UnifiedAuditLog, Get-eDiscoveryCaseRole, entre outros (Microsoft Learn — Connect to Security and Compliance PowerShell). Esta sessão é distinta da sessão regular do Exchange Online (Connect-ExchangeOnline) e deve ser usada para todas as operações de Purview.
2. Prevenção de Perda de Dados (DLP) — Políticas, Sensitive Info Types e Exact Data Match
Data Loss Prevention (DLP) é a funcionalidade que detecta e bloqueia a partilha de informação sensível em Exchange Online, SharePoint Online, OneDrive for Business e Teams. Uma política DLP define três elementos: (1) o que procurar (sensitive info types), (2) onde procurar (localizações: Exchange, SharePoint, OneDrive, Teams), e (3) o que fazer quando encontra (bloquear, notificar, permitir com justificação) (Microsoft Learn — DLP Learn About).
O Purview inclui mais de 200 sensitive info types (SIT) pré-definidos: números de cartão de crédito, IBAN, NIF português, números de passaporte, moradas, etc. Para cenários onde os SIT pré-definidos não são suficientes (por exemplo, listas de clientes internas), o administrador pode criar SITs personalizados com expressões regulares ou usar Exact Data Match (EDM) — que compara dados em trânsito contra uma base de dados de referência carregada pelo administrador (Microsoft Learn — Sensitive Information Types, Microsoft Learn — Exact Data Match).
Configuração típica para uma PME com Business Premium — política DLP para cartões de crédito e IBAN em Exchange e SharePoint:
Get-DlpPolicy | Format-Table Name, Mode, Workloads
# Criar uma nova política DLP que bloqueia cartões de crédito em email
New-DlpPolicy -Name “DLP-Cartoes-Credito-Email” `
-Mode Enable `
-ExchangeLocation All `
-ContentContainsSensitiveInformation @{Name=”Credit Card Number”; minCount=”1″} `
-BlockAccess $true `
-NotifyUser SiteAdmin,LastModifier
Para SITs personalizados, a criação é feita no portal (Purview > Data classification > Classifiers > Sensitive info types) ou via PowerShell, mas o cmdlet New-DlpSensitiveInformationType requer a criação prévia de um rule package XML (Microsoft Learn — Create Custom SIT):
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -eq “Microsoft”} | Select-Object Name, Description
# Criar um SIT personalizado para BI português (exemplo simplificado)
# O XML do rule package deve ser criado à parte e importado
# Ver documentação: https://learn.microsoft.com/en-us/purview/create-a-custom-sensitive-information-type
Para Exact Data Match, o fluxo envolve: (1) criar o schema EDM no portal, (2) carregar um ficheiro CSV com os dados de referência (hasheados), (3) criar um SIT baseado em EDM, (4) usar esse SIT numa política DLP. O EDM é particularmente útil para proteger listas de clientes, números de funcionários internos ou identificadores de projectos confidenciais.
| Elemento DLP | Onde se configura | Cmdlet PowerShell |
|---|---|---|
| Política DLP | Purview > Data loss prevention > Policies | New-DlpPolicy, Get-DlpPolicy, Set-DlpPolicy |
| SIT pré-definido | Purview > Data classification > Sensitive info types | Get-DlpSensitiveInformationType |
| SIT personalizado | Purview > Data classification > Classifiers | New-DlpSensitiveInformationType (via XML) |
| Exact Data Match | Purview > Data classification > EDM | Portal (sem cmdlet directo) |
| Notificações | Política > Actions | Set-DlpPolicy -NotifyUser |
3. Políticas de Retenção — Exchange, SharePoint, Teams e OneDrive
As políticas de retenção determinam durante quanto tempo o conteúdo é guardado e quando é eliminado automaticamente. No Purview, a retenção gere-se através de duas abordagens complementares: retention policies (aplicadas a nível de workload — toda a mailbox, todo o site) e retention labels (aplicadas a nível de item — uma mensagem, um documento) (Microsoft Learn — Retention, Microsoft Learn — Retention Settings).
Para uma PME portuguesa sujeita ao RGPD e à legislação fiscal portuguesa (que exige conservação de documentos contabilísticos por 10 anos), a configuração típica é:
- Exchange Online: reter email durante 7 anos, eliminar após (política aplicada a todas as mailboxes).
- SharePoint Online e OneDrive: reter documentos durante 10 anos (para cumprimento fiscal).
- Teams: reter mensagens de canal e chat durante 3 anos (ou mais, se a organização tiver requisitos de compliance específicos).
Get-RetentionCompliancePolicy | Format-Table Name, Workload, Enabled
# Criar política de retenção para Exchange (7 anos)
New-RetentionCompliancePolicy -Name “Retencao-Exchange-7Anos” -ExchangeLocation All
New-RetentionComplianceRule -Policy “Retencao-Exchange-7Anos” -RetentionDuration 2555 -RetentionComplianceAction Keep -RetentionComplianceDuration Years
# Criar política de retenção para SharePoint (10 anos)
New-RetentionCompliancePolicy -Name “Retencao-SharePoint-10Anos” -SharePointLocation All -ModernGroupLocation All
New-RetentionComplianceRule -Policy “Retencao-SharePoint-10Anos” -RetentionDuration 3650 -RetentionComplianceAction Keep -RetentionComplianceDuration Years
As retention labels oferecem granularidade adicional: o administrador cria labels como “Confidencial — 5 anos” ou “Contrato — 10 anos” e os utilizadores (ou regras automáticas baseadas em palavras-chave ou classifiers) aplicam-nas a documentos individuais. Isto é particularmente útil quando diferentes documentos no mesmo site têm requisitos de retenção diferentes (Microsoft Learn — Data Lifecycle Management).
New-ComplianceTag -Name “Contrato-10-Anos” -RetentionDuration 3650 -RetentionComplianceAction Keep -FilePlanProperty “Contract”
# Criar uma label policy que publica a label para utilizadores do SharePoint
New-LabelPolicy -Name “Policy-Contratos” -Labels “Contrato-10-Anos” -ExchangeLocation All -SharePointLocation All
| Workload | Retenção mínima recomendada | Razão | Cmdlet |
|---|---|---|---|
| Exchange | 7 anos | RGPD + obrigação contabilística | New-RetentionCompliancePolicy |
| SharePoint | 10 anos | Conservação de documentos fiscais | New-RetentionCompliancePolicy |
| OneDrive | 10 anos | Documentos individuais do colaborador | New-RetentionCompliancePolicy |
| Teams (chat) | 3 anos | Compliance de comunicações internas | New-RetentionCompliancePolicy |
| Teams (canal) | 3 anos | Compliance de comunicações de equipa | New-RetentionCompliancePolicy |
4. eDiscovery — Content Search, Legal Hold e Exportação
O eDiscovery é o processo de identificação, preservação, recolha e exportação de conteúdo relevante para investigações legais, auditorias ou pedidos RGPD de acesso a dados. O Purview oferece dois níveis: eDiscovery Standard (disponível em todas as licenças M365 com Exchange Online) e eDiscovery Premium (requer E5 ou Compliance add-on) (Microsoft Learn — eDiscovery).
O fluxo típico de eDiscovery para uma PME é:
- Content Search — procurar conteúdo em todo o tenant (Exchange, SharePoint, OneDrive, Teams) com base em palavras-chave, remetentes, intervalos de datas ou sensitive info types.
- Legal Hold — colocar uma mailbox, site ou conta do Teams em retenção para impedir que conteúdo seja eliminado (mesmo que o utilizador apague mensagens ou ficheiros).
- Export — exportar os resultados da pesquisa para um ficheiro PST ou para um Azure Storage Account.
# Criar uma pesquisa de conteúdo para uma mailbox específica
New-ComplianceSearch -Name “Pesquisa-Joao-Silva” -ExchangeLocation [email protected] -ContentMatchQuery “subject:confidencial AND date:2025-01-01..2026-12-31”
# Iniciar a pesquisa
Start-ComplianceSearch -Name “Pesquisa-Joao-Silva”
# Verificar estado da pesquisa
Get-ComplianceSearch -Name “Pesquisa-Joao-Silva” | Format-List Name, Status, Items, Size, JobProgress
Para colocar uma mailbox em legal hold (preservação para litígio ou investigação):
Set-Mailbox -Identity [email protected] -LitigationHoldEnabled $true -LitigationHoldDuration 2555
# Verificar o estado do hold
Get-Mailbox -Identity [email protected] | Format-List LitigationHoldEnabled, LitigationHoldDuration
O eDiscovery Standard permite criar casos, associar pesquisas a um caso e exportar resultados. O eDiscovery Premium adiciona custódia (identificação de custodiantes — utilizadores com dados relevantes), análise avançada (threading de email, detecção de duplicados, identificação de temas) e revisão em conjunto (Microsoft Learn — Content Search).
New-eDiscoveryCase -Name “Caso-Auditoria-Fiscal-2026”
# Adicionar uma pesquisa ao caso
New-eDiscoverySearch -Case “Caso-Auditoria-Fiscal-2026” -Name “Search-Financeiro” -SharePointLocation All -ContentMatchQuery ” Keywords:orçamento OR fatura OR faturas”
# Exportar resultados da pesquisa (requer permissão de Export no Purview)
New-eDiscoveryExportJob -Case “Caso-Auditoria-Fiscal-2026” -SearchName “Search-Financeiro”
5. Audit Logs — Unified Audit Log e Microsoft Purview Audit
O Unified Audit Log (UAL) regista actividades de utilizadores e administradores em Exchange, SharePoint, OneDrive, Teams, Entra ID, Defender e dezenas de outros serviços. A auditoria está activa por defeito em tenants criados após Janeiro de 2019, mas administradores de tenants mais antigos podem necessitar de a activar manualmente (Microsoft Learn — Audit Solutions Overview, Microsoft Learn — Audit Log Search).
Para verificar se a auditoria está activa e pesquisar eventos:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
# Se estiver desactivada, activar (requer permissões de Organization Management)
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
# Pesquisar eventos de login de um utilizador específico nos últimos 30 dias
Search-UnifiedAuditLog -RecordType AzureActiveDirectory -FreeText “[email protected]” -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) | Select-Object CreationDate, RecordType, Operations, AuditData | Format-Table
# Pesquisar todas as operações de eliminação em SharePoint nos últimos 7 dias
Search-UnifiedAuditLog -RecordType SharePointFileOperation -Operations FileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Select-Object CreationDate, UserKey, Operations, ObjectId | Format-Table
O Get-UnifiedAuditLog (ou Search-UnifiedAuditLog) é o cmdlet principal para consultar o log. O parâmetro -RecordType filtra por tipo de serviço (Exchange, SharePoint, Teams, AzureActiveDirectory, etc.) e o parâmetro -Operations filtra por operação específica (Microsoft Learn — Audit Log Search).
Para PMEs, os cenários mais comuns de uso do audit log são:
- Investigação de segurança: quem acedeu um ficheiro confidencial e quando (
SharePointFileAccessed). - Investigação de insider: quem eliminou grandes volumes de email ou documentos (
MailItemsAccessed,FileDeleted). - Compliance: quem alterou políticas DLP ou de retenção (
DLPPolicyModified,ComplianceSettingModified). - Troubleshooting: rastrear alterações de configuração no Teams ou Exchange.
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 | Export-Csv -Path “C:\temp\audit-logs-90dias.csv” -NoTypeInformation -Encoding UTF8
⚠ **Atenção
** O Search-UnifiedAuditLog tem um limite de 50.000 resultados por pesquisa. Para janelas temporais longas (mais de 90 dias) ou tenants grandes, usar o eDiscovery ou o Microsoft Purview Audit Premium (que retém logs durante 1 ano ou 10 anos consoante a licença).
6. Sensitivity Labels — Classificação, Encriptação e Marcação
Sensitivity labels permitem classificar documentos e emails conforme o nível de confidencialidade (Público, Interno, Confidencial, Restrito) e aplicar automaticamente protecções: encriptação, marca de água, cabeçalho/rodapé e restrições de partilha. Ao contrário das retention labels (que controlam o tempo de vida do conteúdo), as sensitivity labels controlam quem pode aceder e o que pode fazer com o conteúdo (Microsoft Learn — Sensitivity Labels).
A configuração de sensitivity labels segue três passos: (1) criar as labels no Purview, (2) publicar as labels através de uma label policy para utilizadores/grupos específicos, (3) opcionalmente configurar auto-labelling com base em sensitive info types ou trainable classifiers.
# Criar uma sensitivity label “Confidencial”
New-Label -Name “Confidencial” -DisplayName “Confidencial” -ContentType File, Email -IsDefault $false
# Criar uma label policy que publica a label para todos os utilizadores
New-LabelPolicy -Name “Policy-Confidencial” -Labels “Confidencial” -ExchangeLocation All -SharePointLocation All -ModernGroupLocation All
# Verificar labels existentes
Get-Label | Format-Table Name, ContentType, IsDefault
Para uma PME, a taxonomia mínima recomendada é:
| Label | Aplicação | Protecção | Quem recebe |
|---|---|---|---|
| Público | Documentos publicáveis externamente | Sem encriptação, sem marcação | Todos os utilizadores |
| Interno | Documentos para uso interno | Sem encriptação, rodapé “Interno” | Todos os utilizadores |
| Confidencial | Documentos sensíveis (financeiros, RH) | Encriptação, rodapé “Confidencial” | Todos os utilizadores |
| Restrito | Documentos altamente sensíveis (estratégia, M&A) | Encriptação + não reenviável, marca de água | Grupo restrito |
O auto-labelling é a funcionalidade que aplica labels automaticamente quando um documento corresponde a critérios definidos (por exemplo, se contém um número de cartão de crédito, aplica a label “Confidencial”). Para PMEs, a combinação de DLP (bloqueia partilha) + sensitivity labels (classifica e encripta) + auto-labelling (automatiza classificação) forma o núcleo de uma estratégia de protecção de dados sem necessidade de intervenção manual dos utilizadores.
7. Information Barriers, Insider Risk e Communication Compliance
Information Barriers
Information Barriers (IB) são políticas que restringem a comunicação entre grupos de utilizadores dentro da organização. O caso de uso clássico é a separação entre departamentos com conflito de interesses (por exemplo, banca de investimento e análise financeira, ou RH e contabilidade). Quando uma política IB está activa, os utilizadores de grupos diferentes não podem enviar email, iniciar chats no Teams ou partilhar documentos SharePoint entre si (Microsoft Learn — Information Barriers).
Para uma PME, IB é tipicamente desnecessária excepto em sectores regulados (financeiro, jurídico). A configuração é feita no portal Purview > Information barriers e requer a definição de atributos no Entra ID para segregar os utilizadores (por exemplo, Departamento = “Financeiro” vs Departamento = “Consultoria”).
Insider Risk Management
Insider Risk Management (IRM) detecta actividades potencialmente arriscadas por parte de colaboradores internos: download massivo de ficheiros antes de deixar a empresa, partilha de documentos confidenciais com contas pessoais, acesso a ficheiros fora do horário normal, etc. O IRM usa indicadores de risco (anomalias de comportamento) e não de conteúdo — não analisa o que está nos ficheiros, mas sim padrões de acesso (Microsoft Learn — Insider Risk Management).
O IRM requer licença E5 ou Insider Risk Management add-on. As políticas pré-definidas incluem “Data theft by departing users” (útil para detectar exfiltração de dados por colaboradores em pré-aviso), “Data leaks” (detecta partilha anómala de informação sensível) e “Security policy violations” (detecta tentativas de contornar controlos de segurança).
Communication Compliance
Communication Compliance monitoriza comunicações (Teams chat, Exchange email, Yammer) em busca de conteúdo inadequado: linguagem ofensiva, assédio, ameaças, partilha de informação confidencial ou conflito de interesses. Ao contrário do IRM (que analisa padrões de comportamento), o Communication Compliance analisa o conteúdo das mensagens usando classificadores treinados e SITs (Microsoft Learn — Communication Compliance).
Get-InsiderRiskPolicy | Format-Table Name, Mode, RuleName
# Verificar políticas de Communication Compliance
Get-CompliancePolicy | Where-Object {$_.PolicyType -eq “SupervisoryReview”} | Format-Table Name, Mode
⚠ **Atenção
** Insider Risk Management e Communication Compliance processam dados pessoais e estão sujeitos ao RGPD. Antes de activar estas funcionalidades, o administrador deve garantir que a política de privacidade da organização e o consentimento dos colaboradores cobrem a monitorização de comunicações. Em Portugal, a CNPD exige base legal para tratamento de dados de monitorização.
Privileged Access Management
Privileged Access Management (PAM) no Purview controla o acesso a tarefas administrativas sensíveis em Exchange Online (por exemplo, criação de regras de transporte, exportação de mailboxes, alteração de permissões). Em vez de um administrador ter acesso permanente a todas as operações privilegiadas, o PAM requer aprovação pontual para cada tarefa sensível (Microsoft Learn — Privileged Access Management).
Para uma PME, o PAM é geralmente excesso de configurabilidade — a separação de funções (RBAC) e o MFA para contas de administrador são controlos mais proporcionais. O PAM justifica-se em organizações com equipas de administração grandes (5+ administradores) ou em sectores regulados onde a segregação de funções é obrigatória.
8. Microsoft Defender for Office 365 e Defender for Endpoint
Defender for Office 365 — Safe Links, Safe Attachments e Anti-Phishing
O Microsoft Defender for Office 365 é a camada de protecção contra ameaças em email, links e anexos. Está incluído no Business Premium (Plan 1) e no E5 (Plan 2, que adiciona automação, threat analytics e investigation capabilities) (Microsoft Learn — Defender for Office 365).
As três políticas centrais são:
- Safe Links: reescreve e analisa todos os links em email e aplicações do Office, bloqueando URLs maliciosas. Configura-se no portal Defender > Email and collaboration > Policies > Safe links (Microsoft Learn — Safe Links).
- Safe Attachments: analisa anexos numa sandbox virtual antes de os entregar na mailbox, bloqueando ficheiros maliciosos (zero-day malware, macros maliciosas) (Microsoft Learn — Safe Attachments).
- Anti-Phishing: detecta tentativas de spoofing e impersonation, com políticas configuráveis para acções (mover para Junk, quarentena, entregar com marcação) (Microsoft Learn — Anti-Phishing).
Connect-ExchangeOnline
# Verificar políticas Safe Links
Get-SafeLinksPolicy | Format-Table Name, EnableSafeLinksForEmail, EnableSafeLinksForTeams, ScanUrls
# Verificar políticas Safe Attachments
Get-SafeAttachmentPolicy | Format-Table Name, Action, QuarantineTag
# Verificar políticas Anti-Phishing
Get-AntiPhishPolicy | Format-Table Name, EnableSpoofIntelligence, EnableMailboxIntelligence, EnableOrganizationDomainsProtection
Configuração recomendada para PME:
| Política | Setting recomendado | Razão |
|---|---|---|
| Safe Links | ScanUrls $true, EnableSafeLinksForTeams $true |
Analisar URLs em tempo real, incluindo Teams |
| Safe Attachments | Action Quarantine |
Bloquear anexos maliciosos em quarentena |
| Anti-Phishing | EnableSpoofIntelligence $true, EnableMailboxIntelligence $true |
Detectar spoofing e impersonation |
| Anti-Spam | HighQuarantineActionType Quarantine |
Mover spam de alta confiança para quarentena |
Para uma integração mais profunda com a protecção de email — incluindo diagnóstico de problemas de entrega, headers de spam e quarentena — ver o guia de diagnóstico Exchange Online helpdesk e a configuração e protecção do Exchange Online em 2026.
Defender for Endpoint — EDR e ASR Rules
O Microsoft Defender for Endpoint (MDE) é a plataforma de endpoint detection and response (EDR) que protege dispositivos Windows, macOS, Linux e Android contra malware, ransomware e ataques avançados. No contexto M365, o MDE está incluído no Business Premium (e no E5) e gere-se através do portal Microsoft Defender (formerly Defender Security Center) (Microsoft Learn — Defender for Endpoint).
As duas funcionalidades mais relevantes para um administrador PME são:
- EDR (Endpoint Detection and Response): sensores em cada dispositivo enviam telemetry para a cloud, onde algoritmos de machine learning e threat intelligence detectam comportamentos anómalos. Alertas aparecem no portal Defender e podem ser investigados com timeline de eventos, process tree e automated remediation.
- ASR Rules (Attack Surface Reduction): regras que bloqueiam comportamentos de risco comuns usados por malware (execução de macros em documentos do Office, criação de processos filhos por aplicações do Office, execução de conteúdo transferido da Internet, etc.) (Microsoft Learn — ASR Rules Reference).
Get-MpComputerStatus | Select-Object AMRunningMode, AntivirusEnabled, RealTimeProtectionEnabled, BehaviorMonitorEnabled, AMEngineVersion
# Verificar ASR rules activas (valores: 0=Disabled, 1=Block, 2=Audit, 6=Warn)
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions
# Configurar uma ASR rule em modo Audit (recomendado antes de Block)
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions 2
# A rule ID acima bloqueia a execução de conteúdo executável transferido da Internet
# Lista completa: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference
A abordagem recomendada para PMEs é: (1) implementar ASR rules em modo Audit durante 2–4 semanas para identificar falsos positivos, (2) analisar os eventos no portal Defender, (3) mudar para Block as rules sem impacto negativo, mantendo em Audit as que causam problemas com aplicações legadas.
A protecção contra ransomware é uma das prioridades máximas do MDE. Para uma estratégia completa de protecção e recuperação contra ransomware — incluindo backup imutável com a regra 3-2-1-2 — ver o artigo Ransomware 2026: Backup Imutável e Regra 3-2-1-2.
9. Secure Score, MFA, Conditional Access e Security Defaults
Microsoft Secure Score
O Microsoft Secure Score é uma métrica (0–100) que mede a postura de segurança do tenant face às recomendações da Microsoft. Cada recomendação tem um valor em pontos e o score indica quantos pontos a organização obteve vs o máximo possível. O Secure Score não é uma certificação — é uma ferramenta de gestão que ajuda o administrador a priorizar acções (Microsoft Learn — Secure Score).
As quick wins típicas para subir o Secure Score numa PME:
- Activar MFA para todos os administradores (+50 pontos).
- Activar MFA para todos os utilizadores (+25 pontos).
- Bloquear autenticação legacy (SMTP, IMAP, POP sem MFA) (+20 pontos).
- Activar Safe Links e Safe Attachments (+15 pontos).
- Configurar retention labels (+5 pontos).
- Desactivar partilha anónima em SharePoint (+10 pontos).
MFA e Entra ID
O Multi-Factor Authentication (MFA) no Entra ID é o controlo de segurança de maior impacto e menor custo. Para PMEs com Business Premium, o MFA pode ser imposto através de Conditional Access (requer licença Entra ID P1, incluída no Business Premium) ou Security Defaults (gratuito, sem licença adicional) (Microsoft Learn — MFA How It Works).
Connect-MgGraph -Scopes “Policy.Read.All”, “User.Read.All”
# Verificar utilizadores sem MFA registado
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object DisplayName, UserPrincipalName
Security Defaults vs Conditional Access
| Aspecto | Security Defaults | Conditional Access |
|---|---|---|
| Custo | Gratuito (todas as licenças) | Requer Entra ID P1 (incluído em Business Premium/E5) |
| MFA para administradores | Sempre exigida | Configurável por política |
| MFA para utilizadores | Exigida no primeiro login | Configurável (risk-based, por grupo, por app) |
| Bloqueio de auth legacy | Sim (SMTP, IMAP, POP) | Configurável |
| Granularidade | All-or-nothing | Por grupo, por aplicação, por localização |
| Adequado para | PMEs < 25 utilizadores sem necessidades complexas | PMEs 25+ utilizadores ou com requisitos de acesso diferenciados |
Security Defaults é a opção mais simples: activa MFA para todos, bloqueia autenticação legacy e exige MFA em gestão privilegiada. No entanto, não permite excepções, não suporta trusted locations nem trusted devices (Microsoft Learn — Conditional Access Overview).
Conditional Access oferece granularidade total: o administrador cria políticas que exigem MFA apenas em condições específicas (acesso fora do escritório, acesso a aplicações sensíveis, risco de login elevado). A baseline recomendada pela Microsoft para PMEs é:
- Exigir MFA para todos os administradores (Global Admin, Exchange Admin, SharePoint Admin, Teams Admin).
- Exigir MFA para todos os utilizadores (com excepção de contas de serviço e break-glass).
- Bloquear autenticação legacy (protocolos que não suportam MFA).
- Exigir MFA para acesso ao portal Azure e ao Purview.
Get-MgIdentityConditionalAccessPolicy | Format-Table DisplayName, State, Conditions
# Exemplo: criar uma política CA que exige MFA para todos os administradores
# (Simplificado — a criação completa via Graph API requer JSON detalhado)
# Ver: https://learn.microsoft.com/en-us/entra/identity/conditional-access/plan-conditional-access
⚠ **Atenção
** Security Defaults e Conditional Access são mutuamente exclusivos. Não é possível ter ambos activos em simultâneo. Para migrar de Security Defaults para Conditional Access, desactivar primeiro os Security Defaults no portal Entra ID > Properties > Security defaults > Disable, depois criar as políticas de Conditional Access.
Conta Break-Glass
Independentemente da estratégia (Security Defaults ou Conditional Access), o administrador deve criar pelo menos uma conta break-glass (conta de emergência) excluída das políticas de MFA. Esta conta é usada apenas em cenários de lockout (todos os administradores sem acesso ao MFA, por exemplo, se o telemóvel do administrador for perdido). A conta break-glass deve ter uma senha forte (25+ caracteres), MFA registado mas não exigido por política, e o acesso deve ser monitorizado com alertas no portal Defender.
Checklist Pré-Produção
Antes de considerar a configuração de segurança e compliance completa para produção, verificar:
- Auditoria activa — Confirmar com
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledque o valor éTrue. Sem auditoria, DLP, eDiscovery e Insider Risk não funcionam. - MFA para todos os administradores — No mínimo, todos os administradores globais, Exchange, SharePoint e Teams têm de ter MFA registada e exigida. Verificar com
Get-MgUserque nenhum administrador temStrongAuthenticationMethodsvazio. - Política DLP activa — Pelo menos uma política DLP para cartões de crédito e IBAN em Exchange e SharePoint. Verificar com
Get-DlpPolicy | Format-Table Name, Modeque o Mode éEnable. - Retention policies configuradas — Pelo menos uma política de retenção para Exchange (7 anos) e SharePoint (10 anos). Verificar com
Get-RetentionCompliancePolicy | Format-Table Name, Workload. - Sensitivity labels publicadas — Pelo menos as labels “Interno” e “Confidencial” publicadas para todos os utilizadores. Verificar com
Get-LabelPolicy. - Safe Links e Safe Attachments activos — No portal Defender ou via
Get-SafeLinksPolicyeGet-SafeAttachmentPolicy, confirmar que as políticas estão activas comActiondefinido (não vazio). - ASR Rules em Audit — Antes de Block, correr pelo menos 2 semanas em Audit e analisar falsos positivos no portal Defender. Verificar com
Get-MpPreference | Select AttackSurfaceReductionRules_*. - Secure Score acima de 60 — Aceder ao Secure Score no portal Defender e confirmar que o score está acima de 60 pontos. As quick wins (MFA, bloquear auth legacy, activar Safe Links) devem estar concluídas.
- Conta break-glass criada — Pelo menos uma conta de emergência excluída de MFA, com senha forte guardada em cofre seguro.
- Compliance Manager revisto — Abrir o Compliance Manager no Purview e rever as recomendações para RGPD. O score deve estar acima de 50% após as quick wins iniciais.
Artigos Relacionados
- Dia 1 — Microsoft 365: Centro de Administração, Funções e Licenças em 2026 — Primeiro artigo da série, cobre o centro de administração M365, funções administrativas (Global Admin, Exchange Admin, etc.), e licenciamento (Business Premium vs E5).
- Dia 3 — Exchange Online: Configuração e Protecção em 2026 — Configuração de mailboxes, conectores, anti-spam, anti-malware e protecção de email no Exchange Online, complementando as políticas Defender for Office 365 deste artigo.
- Diagnóstico Exchange Online: Guia Completo Helpdesk — Guia de diagnóstico de problemas de entrega de email, análise de headers, quarentena e trace de mensagens — essencial para o helpdesk lidar com alertas de segurança de email.
- Ransomware 2026: Backup Imutável e Regra 3-2-1-2 — Estratégia completa de protecção e recuperação contra ransomware, incluindo backup imutável, que complementa as ASR rules e EDR do Defender for Endpoint.
- Mailbox Não Faz Arquivo Automático — Diagnóstico e resolução quando uma mailbox do Exchange Online não arquiva automaticamente, relacionado com as políticas de retenção e data lifecycle management.
