Microsoft Build 2026: O Que os Sysadmins PME Precisam de Saber
Microsoft Build 2026 · Azure · Intune · Defender · Entra ID · Copilot · Windows Server | ✎ Duarte Spínola | 2026-07-07
O Microsoft Build 2026 (Junho 2026) trouxe anúncios significativos para sysadmins e gestão de infraestrutura PME. Este artigo sintetiza os anúncios mais relevantes e o que precisas de preparar, testar ou implementar. As fontes incluem o Azure Blog, Microsoft Learn e o Microsoft Tech Community. Para uma visão geral do Windows Server 2025, consulta o artigo sobre Windows Server 2025: Novidades e Migração.
Este artigo foca-se nos anúncios com impacto prático para PME portuguesas. Anúncios de features enterprise-only (Fabric, Dynamics 365) foram excluídos. Cada secção indica o que testar já e o que preparar para os próximos 6 meses.
Conteúdos
- 1. Resumo Executivo: Os 10 Anúncios Principais
- 2. Entra ID: Novidades em Identidade e Acesso
- 3. Intune: Gestão de Endpoints
- 4. Defender for Endpoint e XDR
- 5. Azure IaaS: VMs, Storage e Networking
- 6. Copilot: AI para IT Operations
- 7. Windows Server e Hyper-V
- 8. Sentinel e SIEM
- 9. Azure Monitor e Log Analytics
- 10. Azure Virtual Desktop e Windows 365
- 11. Security: Novas Recomendações
- 12. O Que Migrar nos Próximos 6 Meses
- 13. Cenário Prático PME: Plano de Acção
- 14. Checklist Pós-Build 2026
1. Resumo Executivo: Os 10 Anúncios Principais
| # | Anúncio | Impacto PME | Quando |
|---|---|---|---|
| 1 | Entra ID: Conditional Access para workload identities GA | Alto | Já disponível |
| 2 | Intune: Copilot para policy analysis | Médio | Q3 2026 |
| 3 | Defender XDR: unified investigation portal | Alto | Já disponível |
| 4 | Azure: VM sizes com NPUs integradas (Copilot+ VMs) | Baixo | Preview Q4 2026 |
| 5 | Windows Server 2025: Hotpatching para mais roles | Alto | Q3 2026 |
| 6 | Sentinel: AI-driven incident triage | Médio | Preview |
| 7 | Azure Monitor: Workbooks interactivos com KQL Copilot | Médio | Q3 2026 |
| 8 | AVD: Teams optimization para ARM64 | Baixo | Q4 2026 |
| 9 | Entra ID: Managed Device attestation GA | Alto | Já disponível |
| 10 | Intune: Android Enterprise COBO improvements | Baixo | Q4 2026 |
2. Entra ID: Novidades em Identidade e Acesso
O Entra ID recebeu várias atualizações importantes. O Conditional Access para workload identities está agora GA (Generally Available), permitindo aplicar políticas de acesso a service principals e apps — não apenas a utilizadores. Isto é crítico para Zero Trust. Para mais contexto, consulta o artigo sobre Microsoft Entra MFA e PIM para Entra ID.
# Criar Conditional Access policy para workload identities
Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"
$params = @{
DisplayName = "CA-Workload-Block-Legacy-Auth"
State = "enabled"
Conditions = @{
Applications = @{
IncludeApplications = @("All")
}
WorkloadIdentities = @{
IncludeServicePrincipals = @("All")
}
}
GrantControls = @{
Operator = "OR"
BuiltInControls = @("block")
}
}
New-MgIdentityConditionalAccessPolicy -BodyParameter $params
3. Intune: Gestão de Endpoints
O Intune anunciou Copilot para policy analysis — permite perguntar em linguagem natural “quais utilizadores têm acesso a esta app?” e o Copilot analisa as policies. Também foi anunciada a remote help integrada (ver artigo sobre Quick Assist e Remote Help).
# Verificar devices com Intune via Graph API
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice |
Select-Object DeviceName, OperatingSystem, OsVersion,
ComplianceState, LastSyncDateTime |
Format-Table -AutoSize
# Filtrar devices não conformes
Get-MgDeviceManagementManagedDevice |
Where-Object ComplianceState -ne "compliant" |
Select-Object DeviceName, UserDisplayName, LastSyncDateTime
# Criar Intune policy via Graph API para bloquear USB storage
$policy = @{
displayName = "Block USB Storage"
description = "Bloqueia dispositivos USB storage em endpoints geridos"
roleScopeTagIds = @("0")
settings = @(
@{
settingInstance = @{
odataType = "#microsoft.graph.deviceManagementConfigurationSimpleSettingInstance"
settingDefinitionId = "device_vendor_msft_policy_config_removablestorageclasses_denied"
simpleSettingValue = @{
odataType = "#microsoft.graph.deviceManagementConfigurationStringSettingValue"
value = "{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
}
}
}
)
}
Invoke-MgGraphRequest -Method POST -Uri "v1.0/deviceManagement/configurationPolicies" -Body $policy
4. Defender for Endpoint e XDR
O Defender XDR unified investigation portal está agora GA — todas as investigações (endpoints, email, identidade, cloud) num só portal. Para PME, isto significa que não precisas de saltar entre portais. Para implementação, consulta o artigo sobre Microsoft Defender para Endpoint.
# Listar incidents via Defender API
Connect-MgGraph -Scopes "ThreatIncident.Read.All"
Get-MgSecurityIncident |
Select-Object DisplayName, Severity, Status, CreatedDateTime |
Sort-Object CreatedDateTime -Descending |
Format-Table -AutoSize
# Verificar alertas ativos
Get-MgSecurityAlert |
Where-Object Status -eq "new" |
Select-Object Title, Category, Severity, CreatedDateTime
5. Azure IaaS: VMs, Storage e Networking
O Build 2026 anunciou novos VM sizes com NPUs integradas (para cargas AI), melhorias no Azure NetApp Files e novos features de networking. Para optimização de custos, consulta o artigo sobre Azure IaaS: Optimizar Custos para PME. Para detalhes sobre os novos VM sizes, ver a documentação de VM sizes e o Azure Blog.
# Listar novos VM sizes disponíveis em West Europe
az vm list-skus --location westeurope --query "[?contains(name,'Dasm')]" -o table
# Verificar quotas
az vm list-usage --location westeurope -o table | grep "DSv5"
# Criar VM com novo size
az vm create \
--name VM-APP01 \
--resource-group RG-PROD \
--image UbuntuServer2204 \
--size Standard_D4s_v5 \
--admin-username sysadmin \
--generate-ssh-keys
6. Copilot: AI para IT Operations
O Microsoft Copilot for Security foi expandido com capacidades de IT operations — pode analisar logs, sugerir KQL queries e ajudar na triagem de incidents. Para PME com Sentinel, isto reduz significativamente o tempo de análise.
# Exemplo: Copilot pode gerar KQL query a partir de pergunta
# Pergunta: "Mostrar logins falhados nas últimas 24h por IP"
# KQL gerado:
SecurityEvent
| where EventID == 4625
| where TimeGenerated > ago(24h)
| summarize FailedLogins = count() by IpAddress
| where FailedLogins > 5
| order by FailedLogins desc
| join kind=leftouter (
SecurityEvent
| where EventID == 4624
| summarize SuccessfulLogins = count() by IpAddress
) on IpAddress
| project IpAddress, FailedLogins, SuccessfulLogins
# Copilot for Security: analisar incident automaticamente
# Portal > security.microsoft.com > Copilot
# Exemplo prompt: "Analisa o incident INC-1234 e sugere MITRE techniques"
# Via API (PowerShell)
$incidentId = "INC-1234"
$body = @{
prompt = "Sumariza o incident $incidentId, identifica MITRE ATT&CK techniques e sugere resposta"
context = @{
incidentId = $incidentId
}
} | ConvertTo-Json
Invoke-MgGraphRequest -Method POST `
-Uri "beta/security/copilot/incidents/analyze" `
-Body $body
# Verificar features do Build 2026 ativas no tenant
# 1. Workload Identity CA
Get-MgIdentityConditionalAccessPolicy |
Where-Object { $_.Conditions.WorkloadIdentities -ne $null } |
Select-Object DisplayName, State
# 2. Managed Device Attestation
Get-MgIdentityConditionalAccessPolicy |
Where-Object { $_.GrantControls.BuiltInControls -contains "attestation" } |
Select-Object DisplayName, State
# 3. Defender XDR unified portal
$defenderStatus = Invoke-MgGraphRequest -Method GET `
-Uri "beta/security/defender/status"
Write-Host "Defender XDR unified: $($defenderStatus.isEnabled)"
# 4. Hotpatching status (via Azure Arc)
Get-AzConnectedMachine -ResourceGroupName RG-PROD |
Select-Object Name, @{N="Hotpatch";E={$_.Properties.EnableHotpatch}}
7. Windows Server e Hyper-V
O Windows Server 2025 recebeu hotpatching expandido para mais roles (AD DS, DNS, Hyper-V). Hotpatching permite aplicar updates de segurança sem reiniciar — crítico para DCs e hosts Hyper-V. Para mais detalhes, consulta o artigo sobre Windows Server 2025.
# Verificar se hotpatching está ativo
Get-HotPatch -ComputerName SRV-DC01
# ativar hotpatching (requer Azure Arc)
Install-Module -Name Az.ConnectedMachine
Connect-AzAccount
Set-AzConnectedMachine -ResourceGroupName RG-PROD `
-Name "SRV-DC01" -EnableHotpatch $true
# Verificar último hotpatch aplicado
Get-HotFix | Where-Object HotFixID -like "KB*hotpatch*" |
Sort-Object InstalledOn -Descending | Select-Object -First 5
8. Sentinel e SIEM
O Sentinel AI-driven incident triage está em preview — analisa incidents automaticamente e sugere prioridades, MITRE ATT&CK techniques e respostas recomendadas. Para implementação do Sentinel, consulta o artigo sobre Microsoft Sentinel para PME. Mais detalhes no Microsoft Sentinel documentation e Sentinel Blog.
9. Azure Monitor e Log Analytics
Os Workbooks interactivos com KQL Copilot permitem criar dashboards sem saber KQL — basta descrever o que queres ver. Para uma visão geral do Azure Monitor, consulta o artigo sobre Azure Monitor para PME.
10. Azure Virtual Desktop e Windows 365
O AVD anunciou Teams optimization para ARM64 — útil para PME que usam thin clients ARM. Para implementação, consulta o artigo sobre Azure Virtual Desktop e Windows 365 Cloud PC. Para detalhes do AVD no Build 2026, ver a AVD documentation e Windows 365 documentation.
11. Security: Novas Recomendações
A Microsoft publicou novas recomendações de segurança no Security documentation. As principais para PME:
# 1. ativar Managed Device Attestation no Entra ID
# Portal > Entra ID > Security > Conditional Access
# Criar policy que requer "Device attestation" para acesso a M365
# 2. Configurar Defender XDR unified portal
# security.microsoft.com > Settings > Microsoft 365 Defender
# ativar: "Allow Microsoft 365 Defender to receive incident data"
# 3. Hotpatching para DCs (via Azure Arc)
# Reduz reinícios de 12/ano para 4/ano
# 4. Workload Identity CA policies
# Aplicar a todos os service principals com permissões elevadas
# 5. Sentinel AI triage (preview)
# Portal > Sentinel > Settings > AI features > Enable
# Exemplo KQL para Sentinel: detectar brute-force pós-Build
SecurityEvent
| where EventID == 4625
| where TimeGenerated > ago(1h)
| summarize FailCount = count() by Account, IpAddress
| where FailCount > 10
| join kind=inner (
SecurityEvent
| where EventID == 4624
| summarize SuccessCount = count() by Account
) on Account
| where SuccessCount > 0
| project Account, IpAddress, FailCount, SuccessCount
# 6. Verificar conformidade com Microsoft Secure Score
Connect-MgGraph -Scopes “SecurityEvents.Read.All”
Get-MgSecuritySecureScore |
Select-Object CurrentScore, MaxScore,
@{N=”CompliancePct”;E={[math]::Round($_.CurrentScore/$_.MaxScore*100,1)}}
# 7. ativar audit log para todas as activities
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) |
Group-Object RecordType | Select-Object Name, Count |
Sort-Object Count -Descending
12. O Que Migrar nos Próximos 6 Meses
| Prioridade | Acção | Esforço | Prazo |
|---|---|---|---|
| 🔴 Alta | ativar Workload Identity CA policies | Baixo | 1 mês |
| 🔴 Alta | Migrar para Defender XDR unified portal | Baixo | 1 mês |
| 🟡 Média | ativar hotpatching em DCs (via Azure Arc) | Médio | 3 meses |
| 🟡 Média | Testar Sentinel AI triage (preview) | Baixo | 3 meses |
| 🟢 Baixa | Avaliar Copilot for Security (licenciamento) | Médio | 6 meses |
13. Cenário Prático PME: Plano de Acção
Plano de acção para uma PME com 50 colaboradores, Microsoft 365 E3 + Defender for Endpoint P2 + Sentinel:
# Mês 1: Quick wins
# 1. ativar Workload Identity CA
# Portal > Entra ID > CA > New policy > Workload identities
# 2. Migrar para security.microsoft.com (Defender XDR unified)
# 3. Documentar baseline atual
# Mês 2-3: Hotpatching + Sentinel AI
# 1. Instalar Azure Arc agent em DCs
Invoke-AzRestMethod -ResourceGroupName RG-PROD `
-ResourceProvider "Microsoft.HybridCompute" `
-ResourceType "machines" -Name "SRV-DC01" `
-ApiVersion "2025-06-01" -Method PUT `
-Payload '{"properties":{"enableHotpatch":true}}'
# 2. ativar Sentinel AI triage
# Portal > Sentinel > Settings > AI features
# Mês 4-6: Optimização
# 1. Avaliar Copilot for Security (trial)
# 2. Revisar todas as CA policies com Copilot
# 3. Optimizar custos Azure Monitor (ver artigo 58)
# Mês 6: Relatório de conformidade pós-Build 2026
# Gerar relatório com Secure Score, CA policies e Defender XDR
# 1. Secure Score
$score = Get-MgSecuritySecureScore
Write-Host "Secure Score: $($score.CurrentScore)/$($score.MaxScore)"
# 2. CA Policies ativas
Get-MgIdentityConditionalAccessPolicy |
Where-Object State -eq "enabled" |
Select-Object DisplayName, CreatedDateTime
# 3. Defender XDR incidents abertos
Get-MgSecurityIncident |
Where-Object Status -ne "resolved" |
Measure-Object | Select-Object -ExpandProperty Count
# 4. Sentinel analytics rules ativas
Invoke-AzRestMethod -ResourceGroupName RG-SENTINEL `
-ResourceProvider "Microsoft.OperationalInsights" `
-ResourceType "workspaces" -Name "sentinel-ws" `
-ApiVersion "2025-06-01" -Method GET `
-Uri "?$filter=properties/enabled eq true"
14. Checklist Pós-Build 2026
| Etapa | Quando | Estado |
|---|---|---|
| ativar Workload Identity CA | Mês 1 | ☐ |
| Migrar para Defender XDR unified | Mês 1 | ☐ |
| ativar Managed Device Attestation | Mês 2 | ☐ |
| ativar hotpatching em DCs | Mês 3 | ☐ |
| Testar Sentinel AI triage | Mês 3 | ☐ |
| Avaliar Copilot for Security | Mês 4 | ☐ |
| Revisar CA policies com Copilot | Mês 5 | ☐ |
| Optimizar custos Azure Monitor | Mês 6 | ☐ |
