Segurança, Compliance e Microsoft Purview no Microsoft 365 em 2026: Como Administrar Tudo numa PME?

Duarte Spínola  |  2026-07-14

Este artigo — Dia 6 de uma série de 6 que began com centro de administração, funções e licenças — fecha a formação do administrador M365 de uma PME com o tema mais transversal de todos: segurança e compliance. O Microsoft Purview é hoje o guarda-chuva que unifica governação de dados, prevenção de perda de dados (DLP), retenção, eDiscovery, auditoria, classificação de sensibilidade e gestão de risco interno (Microsoft Learn — Purview). A par do Microsoft Defender (Office 365, Endpoint e Cloud) e do Entra ID, um administrador M365 responsável por 25–50 utilizadores precisa de saber configurar políticas DLP, aplicar retention labels, activar sensitivity labels, rever o Secure Score e estabelecer uma baseline de Conditional Access com MFA — tudo sem depender de consultores externos.

A premissa é simples: licenças Microsoft 365 Business Premium (que incluem Defender for Office 365 Plan 1 e Microsoft Purview) ou E5 (que adiciona Defender Plan 2, eDiscovery Premium e Insider Risk Management) fornecem as ferramentas necessárias, mas o valor real só aparece quando o administrador configura políticas, monitoriza alertas e adapta retenção/classificação ao contexto da organização (Microsoft Learn — Microsoft 365 Security). Este guia percorre o portal Purview, DLP, retenção, eDiscovery, auditoria, sensitivity labels, information barriers, insider risk, communication compliance, privileged access, Defender for Office 365, Defender for Endpoint, Secure Score, MFA e Conditional Access — com comandos PowerShell em cada secção.

1. Microsoft Purview — Visão Geral e Portal de Conformidade

O Microsoft Purview é a plataforma unificada de governação de dados, risk management e compliance que substituiu o antigo Microsoft 365 Compliance Center. O portal está disponível em https://purview.microsoft.com (ou compliance.microsoft.com para o portal clássico ainda activo em 2026) e organiza-se em quatro grandes áreas: governação de dados (data lifecycle management, retention, data map), prevenção de perda de dados (DLP, sensitive info types), risk and compliance (eDiscovery, audit, information barriers, insider risk, communication compliance, privileged access) e classificação de dados (sensitivity labels, trainable classifiers) (Microsoft Learn — Data Lifecycle Management).

Para um administrador PME, o primeiro contacto com o Purview deve seguir esta ordem: (1) abrir o portal e verificar que o tenant tem auditoria activa — sem audit logs, a maioria das funcionalidades de compliance não funciona; (2) confirmar que as licenças atribuídas incluem as funcionalidades pretendidas (Business Premium para DLP básico, E5 para insider risk e eDiscovery Premium); (3) percorrer o Compliance Manager, que dá um score de conformidade e recomendações accionáveis alinhadas com RGPD, ISO 27001 e NIS2 (Microsoft Learn — Compliance Manager).

O Compliance Manager não é apenas informativo — cada recomendação tem um link directo para a política ou configuração correspondente no portal. Para uma PME portuguesa sujeita ao RGPD, o score inicial tipicamente situa-se entre 40–60% e as primeiras quick wins são: activar MFA para todos os administradores, configurar retention labels para email e SharePoint, e criar uma política DLP para números de cartão de crédito e BI português.

A conexão PowerShell ao Purview é feita através do módulo Exchange Online (que inclui o endpoint IPPSSession — Information Protection and Compliance):

# Instalar o módulo se necessário
Install-Module -Name ExchangeOnlineManagement -Force

# Conectar ao endpoint de Information Protection e Compliance
Connect-IPPSSession

# Verificar conectividade listando políticas DLP existentes
Get-DlpPolicy

O cmdlet Connect-IPPSSession estabelece sessão no endpoint ps.compliance.protection.outlook.com e dá acesso a todos os cmdlets de compliance: Get-DlpPolicy, Get-RetentionCompliancePolicy, Get-LabelPolicy, Get-UnifiedAuditLog, Get-eDiscoveryCaseRole, entre outros (Microsoft Learn — Connect to Security and Compliance PowerShell). Esta sessão é distinta da sessão regular do Exchange Online (Connect-ExchangeOnline) e deve ser usada para todas as operações de Purview.

2. Prevenção de Perda de Dados (DLP) — Políticas, Sensitive Info Types e Exact Data Match

Data Loss Prevention (DLP) é a funcionalidade que detecta e bloqueia a partilha de informação sensível em Exchange Online, SharePoint Online, OneDrive for Business e Teams. Uma política DLP define três elementos: (1) o que procurar (sensitive info types), (2) onde procurar (localizações: Exchange, SharePoint, OneDrive, Teams), e (3) o que fazer quando encontra (bloquear, notificar, permitir com justificação) (Microsoft Learn — DLP Learn About).

O Purview inclui mais de 200 sensitive info types (SIT) pré-definidos: números de cartão de crédito, IBAN, NIF português, números de passaporte, moradas, etc. Para cenários onde os SIT pré-definidos não são suficientes (por exemplo, listas de clientes internas), o administrador pode criar SITs personalizados com expressões regulares ou usar Exact Data Match (EDM) — que compara dados em trânsito contra uma base de dados de referência carregada pelo administrador (Microsoft Learn — Sensitive Information Types, Microsoft Learn — Exact Data Match).

Configuração típica para uma PME com Business Premium — política DLP para cartões de crédito e IBAN em Exchange e SharePoint:

# Listar políticas DLP existentes
Get-DlpPolicy | Format-Table Name, Mode, Workloads

# Criar uma nova política DLP que bloqueia cartões de crédito em email
New-DlpPolicy -Name “DLP-Cartoes-Credito-Email” `
-Mode Enable `
-ExchangeLocation All `
-ContentContainsSensitiveInformation @{Name=”Credit Card Number”; minCount=”1″} `
-BlockAccess $true `
-NotifyUser SiteAdmin,LastModifier

Para SITs personalizados, a criação é feita no portal (Purview > Data classification > Classifiers > Sensitive info types) ou via PowerShell, mas o cmdlet New-DlpSensitiveInformationType requer a criação prévia de um rule package XML (Microsoft Learn — Create Custom SIT):

# Verificar SITs disponíveis no tenant
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -eq “Microsoft”} | Select-Object Name, Description

# Criar um SIT personalizado para BI português (exemplo simplificado)
# O XML do rule package deve ser criado à parte e importado
# Ver documentação: https://learn.microsoft.com/en-us/purview/create-a-custom-sensitive-information-type

Para Exact Data Match, o fluxo envolve: (1) criar o schema EDM no portal, (2) carregar um ficheiro CSV com os dados de referência (hasheados), (3) criar um SIT baseado em EDM, (4) usar esse SIT numa política DLP. O EDM é particularmente útil para proteger listas de clientes, números de funcionários internos ou identificadores de projectos confidenciais.

Elemento DLP Onde se configura Cmdlet PowerShell
Política DLP Purview > Data loss prevention > Policies New-DlpPolicy, Get-DlpPolicy, Set-DlpPolicy
SIT pré-definido Purview > Data classification > Sensitive info types Get-DlpSensitiveInformationType
SIT personalizado Purview > Data classification > Classifiers New-DlpSensitiveInformationType (via XML)
Exact Data Match Purview > Data classification > EDM Portal (sem cmdlet directo)
Notificações Política > Actions Set-DlpPolicy -NotifyUser

3. Políticas de Retenção — Exchange, SharePoint, Teams e OneDrive

As políticas de retenção determinam durante quanto tempo o conteúdo é guardado e quando é eliminado automaticamente. No Purview, a retenção gere-se através de duas abordagens complementares: retention policies (aplicadas a nível de workload — toda a mailbox, todo o site) e retention labels (aplicadas a nível de item — uma mensagem, um documento) (Microsoft Learn — Retention, Microsoft Learn — Retention Settings).

Para uma PME portuguesa sujeita ao RGPD e à legislação fiscal portuguesa (que exige conservação de documentos contabilísticos por 10 anos), a configuração típica é:

  • Exchange Online: reter email durante 7 anos, eliminar após (política aplicada a todas as mailboxes).
  • SharePoint Online e OneDrive: reter documentos durante 10 anos (para cumprimento fiscal).
  • Teams: reter mensagens de canal e chat durante 3 anos (ou mais, se a organização tiver requisitos de compliance específicos).
# Ver políticas de retenção existentes
Get-RetentionCompliancePolicy | Format-Table Name, Workload, Enabled

# Criar política de retenção para Exchange (7 anos)
New-RetentionCompliancePolicy -Name “Retencao-Exchange-7Anos” -ExchangeLocation All
New-RetentionComplianceRule -Policy “Retencao-Exchange-7Anos” -RetentionDuration 2555 -RetentionComplianceAction Keep -RetentionComplianceDuration Years

# Criar política de retenção para SharePoint (10 anos)
New-RetentionCompliancePolicy -Name “Retencao-SharePoint-10Anos” -SharePointLocation All -ModernGroupLocation All
New-RetentionComplianceRule -Policy “Retencao-SharePoint-10Anos” -RetentionDuration 3650 -RetentionComplianceAction Keep -RetentionComplianceDuration Years

As retention labels oferecem granularidade adicional: o administrador cria labels como “Confidencial — 5 anos” ou “Contrato — 10 anos” e os utilizadores (ou regras automáticas baseadas em palavras-chave ou classifiers) aplicam-nas a documentos individuais. Isto é particularmente útil quando diferentes documentos no mesmo site têm requisitos de retenção diferentes (Microsoft Learn — Data Lifecycle Management).

# Criar uma retention label
New-ComplianceTag -Name “Contrato-10-Anos” -RetentionDuration 3650 -RetentionComplianceAction Keep -FilePlanProperty “Contract”

# Criar uma label policy que publica a label para utilizadores do SharePoint
New-LabelPolicy -Name “Policy-Contratos” -Labels “Contrato-10-Anos” -ExchangeLocation All -SharePointLocation All

Workload Retenção mínima recomendada Razão Cmdlet
Exchange 7 anos RGPD + obrigação contabilística New-RetentionCompliancePolicy
SharePoint 10 anos Conservação de documentos fiscais New-RetentionCompliancePolicy
OneDrive 10 anos Documentos individuais do colaborador New-RetentionCompliancePolicy
Teams (chat) 3 anos Compliance de comunicações internas New-RetentionCompliancePolicy
Teams (canal) 3 anos Compliance de comunicações de equipa New-RetentionCompliancePolicy

O eDiscovery é o processo de identificação, preservação, recolha e exportação de conteúdo relevante para investigações legais, auditorias ou pedidos RGPD de acesso a dados. O Purview oferece dois níveis: eDiscovery Standard (disponível em todas as licenças M365 com Exchange Online) e eDiscovery Premium (requer E5 ou Compliance add-on) (Microsoft Learn — eDiscovery).

O fluxo típico de eDiscovery para uma PME é:

  1. Content Search — procurar conteúdo em todo o tenant (Exchange, SharePoint, OneDrive, Teams) com base em palavras-chave, remetentes, intervalos de datas ou sensitive info types.
  2. Legal Hold — colocar uma mailbox, site ou conta do Teams em retenção para impedir que conteúdo seja eliminado (mesmo que o utilizador apague mensagens ou ficheiros).
  3. Export — exportar os resultados da pesquisa para um ficheiro PST ou para um Azure Storage Account.
# Conectar ao endpoint de compliance (já feito com Connect-IPPSSession)

# Criar uma pesquisa de conteúdo para uma mailbox específica
New-ComplianceSearch -Name “Pesquisa-Joao-Silva” -ExchangeLocation [email protected] -ContentMatchQuery “subject:confidencial AND date:2025-01-01..2026-12-31”

# Iniciar a pesquisa
Start-ComplianceSearch -Name “Pesquisa-Joao-Silva”

# Verificar estado da pesquisa
Get-ComplianceSearch -Name “Pesquisa-Joao-Silva” | Format-List Name, Status, Items, Size, JobProgress

Para colocar uma mailbox em legal hold (preservação para litígio ou investigação):

# Colocar uma mailbox em Litigation Hold (requer licença Exchange Online Plan 2 ou E5)
Set-Mailbox -Identity [email protected] -LitigationHoldEnabled $true -LitigationHoldDuration 2555

# Verificar o estado do hold
Get-Mailbox -Identity [email protected] | Format-List LitigationHoldEnabled, LitigationHoldDuration

O eDiscovery Standard permite criar casos, associar pesquisas a um caso e exportar resultados. O eDiscovery Premium adiciona custódia (identificação de custodiantes — utilizadores com dados relevantes), análise avançada (threading de email, detecção de duplicados, identificação de temas) e revisão em conjunto (Microsoft Learn — Content Search).

# Criar um caso de eDiscovery
New-eDiscoveryCase -Name “Caso-Auditoria-Fiscal-2026”

# Adicionar uma pesquisa ao caso
New-eDiscoverySearch -Case “Caso-Auditoria-Fiscal-2026” -Name “Search-Financeiro” -SharePointLocation All -ContentMatchQuery ” Keywords:orçamento OR fatura OR faturas”

# Exportar resultados da pesquisa (requer permissão de Export no Purview)
New-eDiscoveryExportJob -Case “Caso-Auditoria-Fiscal-2026” -SearchName “Search-Financeiro”

5. Audit Logs — Unified Audit Log e Microsoft Purview Audit

O Unified Audit Log (UAL) regista actividades de utilizadores e administradores em Exchange, SharePoint, OneDrive, Teams, Entra ID, Defender e dezenas de outros serviços. A auditoria está activa por defeito em tenants criados após Janeiro de 2019, mas administradores de tenants mais antigos podem necessitar de a activar manualmente (Microsoft Learn — Audit Solutions Overview, Microsoft Learn — Audit Log Search).

Para verificar se a auditoria está activa e pesquisar eventos:

# Verificar se a auditoria está activa no tenant
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

# Se estiver desactivada, activar (requer permissões de Organization Management)
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

# Pesquisar eventos de login de um utilizador específico nos últimos 30 dias
Search-UnifiedAuditLog -RecordType AzureActiveDirectory -FreeText “[email protected]” -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) | Select-Object CreationDate, RecordType, Operations, AuditData | Format-Table

# Pesquisar todas as operações de eliminação em SharePoint nos últimos 7 dias
Search-UnifiedAuditLog -RecordType SharePointFileOperation -Operations FileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Select-Object CreationDate, UserKey, Operations, ObjectId | Format-Table

O Get-UnifiedAuditLog (ou Search-UnifiedAuditLog) é o cmdlet principal para consultar o log. O parâmetro -RecordType filtra por tipo de serviço (Exchange, SharePoint, Teams, AzureActiveDirectory, etc.) e o parâmetro -Operations filtra por operação específica (Microsoft Learn — Audit Log Search).

Para PMEs, os cenários mais comuns de uso do audit log são:

  • Investigação de segurança: quem acedeu um ficheiro confidencial e quando (SharePointFileAccessed).
  • Investigação de insider: quem eliminou grandes volumes de email ou documentos (MailItemsAccessed, FileDeleted).
  • Compliance: quem alterou políticas DLP ou de retenção (DLPPolicyModified, ComplianceSettingModified).
  • Troubleshooting: rastrear alterações de configuração no Teams ou Exchange.
# Exportar audit logs para CSV para análise offline
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 | Export-Csv -Path “C:\temp\audit-logs-90dias.csv” -NoTypeInformation -Encoding UTF8

⚠ **Atenção

** O Search-UnifiedAuditLog tem um limite de 50.000 resultados por pesquisa. Para janelas temporais longas (mais de 90 dias) ou tenants grandes, usar o eDiscovery ou o Microsoft Purview Audit Premium (que retém logs durante 1 ano ou 10 anos consoante a licença).

6. Sensitivity Labels — Classificação, Encriptação e Marcação

Sensitivity labels permitem classificar documentos e emails conforme o nível de confidencialidade (Público, Interno, Confidencial, Restrito) e aplicar automaticamente protecções: encriptação, marca de água, cabeçalho/rodapé e restrições de partilha. Ao contrário das retention labels (que controlam o tempo de vida do conteúdo), as sensitivity labels controlam quem pode aceder e o que pode fazer com o conteúdo (Microsoft Learn — Sensitivity Labels).

A configuração de sensitivity labels segue três passos: (1) criar as labels no Purview, (2) publicar as labels através de uma label policy para utilizadores/grupos específicos, (3) opcionalmente configurar auto-labelling com base em sensitive info types ou trainable classifiers.

# Conectar ao endpoint de compliance (Connect-IPPSSession)

# Criar uma sensitivity label “Confidencial”
New-Label -Name “Confidencial” -DisplayName “Confidencial” -ContentType File, Email -IsDefault $false

# Criar uma label policy que publica a label para todos os utilizadores
New-LabelPolicy -Name “Policy-Confidencial” -Labels “Confidencial” -ExchangeLocation All -SharePointLocation All -ModernGroupLocation All

# Verificar labels existentes
Get-Label | Format-Table Name, ContentType, IsDefault

Para uma PME, a taxonomia mínima recomendada é:

Label Aplicação Protecção Quem recebe
Público Documentos publicáveis externamente Sem encriptação, sem marcação Todos os utilizadores
Interno Documentos para uso interno Sem encriptação, rodapé “Interno” Todos os utilizadores
Confidencial Documentos sensíveis (financeiros, RH) Encriptação, rodapé “Confidencial” Todos os utilizadores
Restrito Documentos altamente sensíveis (estratégia, M&A) Encriptação + não reenviável, marca de água Grupo restrito

O auto-labelling é a funcionalidade que aplica labels automaticamente quando um documento corresponde a critérios definidos (por exemplo, se contém um número de cartão de crédito, aplica a label “Confidencial”). Para PMEs, a combinação de DLP (bloqueia partilha) + sensitivity labels (classifica e encripta) + auto-labelling (automatiza classificação) forma o núcleo de uma estratégia de protecção de dados sem necessidade de intervenção manual dos utilizadores.

7. Information Barriers, Insider Risk e Communication Compliance

Information Barriers

Information Barriers (IB) são políticas que restringem a comunicação entre grupos de utilizadores dentro da organização. O caso de uso clássico é a separação entre departamentos com conflito de interesses (por exemplo, banca de investimento e análise financeira, ou RH e contabilidade). Quando uma política IB está activa, os utilizadores de grupos diferentes não podem enviar email, iniciar chats no Teams ou partilhar documentos SharePoint entre si (Microsoft Learn — Information Barriers).

Para uma PME, IB é tipicamente desnecessária excepto em sectores regulados (financeiro, jurídico). A configuração é feita no portal Purview > Information barriers e requer a definição de atributos no Entra ID para segregar os utilizadores (por exemplo, Departamento = “Financeiro” vs Departamento = “Consultoria”).

Insider Risk Management

Insider Risk Management (IRM) detecta actividades potencialmente arriscadas por parte de colaboradores internos: download massivo de ficheiros antes de deixar a empresa, partilha de documentos confidenciais com contas pessoais, acesso a ficheiros fora do horário normal, etc. O IRM usa indicadores de risco (anomalias de comportamento) e não de conteúdo — não analisa o que está nos ficheiros, mas sim padrões de acesso (Microsoft Learn — Insider Risk Management).

O IRM requer licença E5 ou Insider Risk Management add-on. As políticas pré-definidas incluem “Data theft by departing users” (útil para detectar exfiltração de dados por colaboradores em pré-aviso), “Data leaks” (detecta partilha anómala de informação sensível) e “Security policy violations” (detecta tentativas de contornar controlos de segurança).

Communication Compliance

Communication Compliance monitoriza comunicações (Teams chat, Exchange email, Yammer) em busca de conteúdo inadequado: linguagem ofensiva, assédio, ameaças, partilha de informação confidencial ou conflito de interesses. Ao contrário do IRM (que analisa padrões de comportamento), o Communication Compliance analisa o conteúdo das mensagens usando classificadores treinados e SITs (Microsoft Learn — Communication Compliance).

# Verificar políticas de Insider Risk existentes (requer E5)
Get-InsiderRiskPolicy | Format-Table Name, Mode, RuleName

# Verificar políticas de Communication Compliance
Get-CompliancePolicy | Where-Object {$_.PolicyType -eq “SupervisoryReview”} | Format-Table Name, Mode

⚠ **Atenção

** Insider Risk Management e Communication Compliance processam dados pessoais e estão sujeitos ao RGPD. Antes de activar estas funcionalidades, o administrador deve garantir que a política de privacidade da organização e o consentimento dos colaboradores cobrem a monitorização de comunicações. Em Portugal, a CNPD exige base legal para tratamento de dados de monitorização.

Privileged Access Management

Privileged Access Management (PAM) no Purview controla o acesso a tarefas administrativas sensíveis em Exchange Online (por exemplo, criação de regras de transporte, exportação de mailboxes, alteração de permissões). Em vez de um administrador ter acesso permanente a todas as operações privilegiadas, o PAM requer aprovação pontual para cada tarefa sensível (Microsoft Learn — Privileged Access Management).

Para uma PME, o PAM é geralmente excesso de configurabilidade — a separação de funções (RBAC) e o MFA para contas de administrador são controlos mais proporcionais. O PAM justifica-se em organizações com equipas de administração grandes (5+ administradores) ou em sectores regulados onde a segregação de funções é obrigatória.

8. Microsoft Defender for Office 365 e Defender for Endpoint

Defender for Office 365 — Safe Links, Safe Attachments e Anti-Phishing

O Microsoft Defender for Office 365 é a camada de protecção contra ameaças em email, links e anexos. Está incluído no Business Premium (Plan 1) e no E5 (Plan 2, que adiciona automação, threat analytics e investigation capabilities) (Microsoft Learn — Defender for Office 365).

As três políticas centrais são:

  • Safe Links: reescreve e analisa todos os links em email e aplicações do Office, bloqueando URLs maliciosas. Configura-se no portal Defender > Email and collaboration > Policies > Safe links (Microsoft Learn — Safe Links).
  • Safe Attachments: analisa anexos numa sandbox virtual antes de os entregar na mailbox, bloqueando ficheiros maliciosos (zero-day malware, macros maliciosas) (Microsoft Learn — Safe Attachments).
  • Anti-Phishing: detecta tentativas de spoofing e impersonation, com políticas configuráveis para acções (mover para Junk, quarentena, entregar com marcação) (Microsoft Learn — Anti-Phishing).
# Conectar ao Exchange Online (não IPPSSession para estas políticas)
Connect-ExchangeOnline

# Verificar políticas Safe Links
Get-SafeLinksPolicy | Format-Table Name, EnableSafeLinksForEmail, EnableSafeLinksForTeams, ScanUrls

# Verificar políticas Safe Attachments
Get-SafeAttachmentPolicy | Format-Table Name, Action, QuarantineTag

# Verificar políticas Anti-Phishing
Get-AntiPhishPolicy | Format-Table Name, EnableSpoofIntelligence, EnableMailboxIntelligence, EnableOrganizationDomainsProtection

Configuração recomendada para PME:

Política Setting recomendado Razão
Safe Links ScanUrls $true, EnableSafeLinksForTeams $true Analisar URLs em tempo real, incluindo Teams
Safe Attachments Action Quarantine Bloquear anexos maliciosos em quarentena
Anti-Phishing EnableSpoofIntelligence $true, EnableMailboxIntelligence $true Detectar spoofing e impersonation
Anti-Spam HighQuarantineActionType Quarantine Mover spam de alta confiança para quarentena

Para uma integração mais profunda com a protecção de email — incluindo diagnóstico de problemas de entrega, headers de spam e quarentena — ver o guia de diagnóstico Exchange Online helpdesk e a configuração e protecção do Exchange Online em 2026.

Defender for Endpoint — EDR e ASR Rules

O Microsoft Defender for Endpoint (MDE) é a plataforma de endpoint detection and response (EDR) que protege dispositivos Windows, macOS, Linux e Android contra malware, ransomware e ataques avançados. No contexto M365, o MDE está incluído no Business Premium (e no E5) e gere-se através do portal Microsoft Defender (formerly Defender Security Center) (Microsoft Learn — Defender for Endpoint).

As duas funcionalidades mais relevantes para um administrador PME são:

  • EDR (Endpoint Detection and Response): sensores em cada dispositivo enviam telemetry para a cloud, onde algoritmos de machine learning e threat intelligence detectam comportamentos anómalos. Alertas aparecem no portal Defender e podem ser investigados com timeline de eventos, process tree e automated remediation.
  • ASR Rules (Attack Surface Reduction): regras que bloqueiam comportamentos de risco comuns usados por malware (execução de macros em documentos do Office, criação de processos filhos por aplicações do Office, execução de conteúdo transferido da Internet, etc.) (Microsoft Learn — ASR Rules Reference).
# Verificar estado do Defender for Endpoint num dispositivo Windows
Get-MpComputerStatus | Select-Object AMRunningMode, AntivirusEnabled, RealTimeProtectionEnabled, BehaviorMonitorEnabled, AMEngineVersion

# Verificar ASR rules activas (valores: 0=Disabled, 1=Block, 2=Audit, 6=Warn)
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

# Configurar uma ASR rule em modo Audit (recomendado antes de Block)
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions 2

# A rule ID acima bloqueia a execução de conteúdo executável transferido da Internet
# Lista completa: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference

A abordagem recomendada para PMEs é: (1) implementar ASR rules em modo Audit durante 2–4 semanas para identificar falsos positivos, (2) analisar os eventos no portal Defender, (3) mudar para Block as rules sem impacto negativo, mantendo em Audit as que causam problemas com aplicações legadas.

A protecção contra ransomware é uma das prioridades máximas do MDE. Para uma estratégia completa de protecção e recuperação contra ransomware — incluindo backup imutável com a regra 3-2-1-2 — ver o artigo Ransomware 2026: Backup Imutável e Regra 3-2-1-2.

9. Secure Score, MFA, Conditional Access e Security Defaults

Microsoft Secure Score

O Microsoft Secure Score é uma métrica (0–100) que mede a postura de segurança do tenant face às recomendações da Microsoft. Cada recomendação tem um valor em pontos e o score indica quantos pontos a organização obteve vs o máximo possível. O Secure Score não é uma certificação — é uma ferramenta de gestão que ajuda o administrador a priorizar acções (Microsoft Learn — Secure Score).

As quick wins típicas para subir o Secure Score numa PME:

  • Activar MFA para todos os administradores (+50 pontos).
  • Activar MFA para todos os utilizadores (+25 pontos).
  • Bloquear autenticação legacy (SMTP, IMAP, POP sem MFA) (+20 pontos).
  • Activar Safe Links e Safe Attachments (+15 pontos).
  • Configurar retention labels (+5 pontos).
  • Desactivar partilha anónima em SharePoint (+10 pontos).

MFA e Entra ID

O Multi-Factor Authentication (MFA) no Entra ID é o controlo de segurança de maior impacto e menor custo. Para PMEs com Business Premium, o MFA pode ser imposto através de Conditional Access (requer licença Entra ID P1, incluída no Business Premium) ou Security Defaults (gratuito, sem licença adicional) (Microsoft Learn — MFA How It Works).

# Conectar ao Microsoft Graph (módulo Microsoft.Graph)
Connect-MgGraph -Scopes “Policy.Read.All”, “User.Read.All”

# Verificar utilizadores sem MFA registado
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object DisplayName, UserPrincipalName

Security Defaults vs Conditional Access

Aspecto Security Defaults Conditional Access
Custo Gratuito (todas as licenças) Requer Entra ID P1 (incluído em Business Premium/E5)
MFA para administradores Sempre exigida Configurável por política
MFA para utilizadores Exigida no primeiro login Configurável (risk-based, por grupo, por app)
Bloqueio de auth legacy Sim (SMTP, IMAP, POP) Configurável
Granularidade All-or-nothing Por grupo, por aplicação, por localização
Adequado para PMEs < 25 utilizadores sem necessidades complexas PMEs 25+ utilizadores ou com requisitos de acesso diferenciados

Security Defaults é a opção mais simples: activa MFA para todos, bloqueia autenticação legacy e exige MFA em gestão privilegiada. No entanto, não permite excepções, não suporta trusted locations nem trusted devices (Microsoft Learn — Conditional Access Overview).

Conditional Access oferece granularidade total: o administrador cria políticas que exigem MFA apenas em condições específicas (acesso fora do escritório, acesso a aplicações sensíveis, risco de login elevado). A baseline recomendada pela Microsoft para PMEs é:

  1. Exigir MFA para todos os administradores (Global Admin, Exchange Admin, SharePoint Admin, Teams Admin).
  2. Exigir MFA para todos os utilizadores (com excepção de contas de serviço e break-glass).
  3. Bloquear autenticação legacy (protocolos que não suportam MFA).
  4. Exigir MFA para acesso ao portal Azure e ao Purview.
# Verificar políticas de Conditional Access existentes
Get-MgIdentityConditionalAccessPolicy | Format-Table DisplayName, State, Conditions

# Exemplo: criar uma política CA que exige MFA para todos os administradores
# (Simplificado — a criação completa via Graph API requer JSON detalhado)
# Ver: https://learn.microsoft.com/en-us/entra/identity/conditional-access/plan-conditional-access

⚠ **Atenção

** Security Defaults e Conditional Access são mutuamente exclusivos. Não é possível ter ambos activos em simultâneo. Para migrar de Security Defaults para Conditional Access, desactivar primeiro os Security Defaults no portal Entra ID > Properties > Security defaults > Disable, depois criar as políticas de Conditional Access.

Conta Break-Glass

Independentemente da estratégia (Security Defaults ou Conditional Access), o administrador deve criar pelo menos uma conta break-glass (conta de emergência) excluída das políticas de MFA. Esta conta é usada apenas em cenários de lockout (todos os administradores sem acesso ao MFA, por exemplo, se o telemóvel do administrador for perdido). A conta break-glass deve ter uma senha forte (25+ caracteres), MFA registado mas não exigido por política, e o acesso deve ser monitorizado com alertas no portal Defender.

Checklist Pré-Produção

Antes de considerar a configuração de segurança e compliance completa para produção, verificar:

  1. Auditoria activa — Confirmar com Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled que o valor é True. Sem auditoria, DLP, eDiscovery e Insider Risk não funcionam.
  2. MFA para todos os administradores — No mínimo, todos os administradores globais, Exchange, SharePoint e Teams têm de ter MFA registada e exigida. Verificar com Get-MgUser que nenhum administrador tem StrongAuthenticationMethods vazio.
  3. Política DLP activa — Pelo menos uma política DLP para cartões de crédito e IBAN em Exchange e SharePoint. Verificar com Get-DlpPolicy | Format-Table Name, Mode que o Mode é Enable.
  4. Retention policies configuradas — Pelo menos uma política de retenção para Exchange (7 anos) e SharePoint (10 anos). Verificar com Get-RetentionCompliancePolicy | Format-Table Name, Workload.
  5. Sensitivity labels publicadas — Pelo menos as labels “Interno” e “Confidencial” publicadas para todos os utilizadores. Verificar com Get-LabelPolicy.
  6. Safe Links e Safe Attachments activos — No portal Defender ou via Get-SafeLinksPolicy e Get-SafeAttachmentPolicy, confirmar que as políticas estão activas com Action definido (não vazio).
  7. ASR Rules em Audit — Antes de Block, correr pelo menos 2 semanas em Audit e analisar falsos positivos no portal Defender. Verificar com Get-MpPreference | Select AttackSurfaceReductionRules_*.
  8. Secure Score acima de 60 — Aceder ao Secure Score no portal Defender e confirmar que o score está acima de 60 pontos. As quick wins (MFA, bloquear auth legacy, activar Safe Links) devem estar concluídas.
  9. Conta break-glass criada — Pelo menos uma conta de emergência excluída de MFA, com senha forte guardada em cofre seguro.
  10. Compliance Manager revisto — Abrir o Compliance Manager no Purview e rever as recomendações para RGPD. O score deve estar acima de 50% após as quick wins iniciais.

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário