O Microsoft Secure Score é o painel centralizado de postura de segurança do Microsoft 365. Disponível em security.microsoft.com, apresenta uma pontuação numérica que reflecte o grau de alinhamento do tenant com as boas práticas de segurança da Microsoft — e fornece uma lista priorizada de acções concretas para melhorar essa pontuação.
Para o contexto da NIS2 / DL 125/2025, o Secure Score é particularmente útil: permite fazer o gap assessment de segurança exigido pela directiva, documentar a postura actual e acompanhar a evolução das melhorias ao longo do tempo — tudo dentro da plataforma que já utilizas.
ℹ Onde aceder
security.microsoft.com → Secure Score (menu lateral esquerdo)
Requer pelo menos a função Security Reader para visualizar. Para actualizar o estado das acções, é necessária a função Security Administrator ou superior.
Neste artigo
1. Como funciona a pontuação
A pontuação é calculada diariamente pelo Microsoft Defender XDR, que analisa a configuração do tenant e compara com um conjunto de acções recomendadas. Cada acção tem um valor em pontos; a pontuação total é a soma dos pontos obtidos dividida pelos pontos máximos possíveis, expressa em percentagem.
| Conceito | Detalhe |
|---|---|
| Pontuação actual | Soma dos pontos obtidos pelas acções já implementadas |
| Pontuação máxima | Total de pontos possíveis com as licenças actuais do tenant |
| Actualização | A cada 24 horas (algumas acções reflectem em tempo real; Entra ID e Teams atualizam semanalmente) |
| Pontuação binária vs. percentual | Algumas acções valem pontos completos ou zero (ex: activar DKIM). Outras são proporcionais (ex: % de utilizadores com MFA activo) |
| Latência após alteração | Após implementar uma acção, a pontuação pode demorar 24 a 48 horas a reflectir a melhoria |
ℹ Licenças e pontuação máxima: O Secure Score mostra todas as acções recomendadas possíveis, mesmo as que requerem licenças que não tens. A pontuação máxima reflecte apenas as acções disponíveis com as tuas licenças actuais — não te penaliza por não teres funcionalidades de planos superiores.
2. As quatro áreas de avaliação
O Secure Score agrega recomendações de múltiplos produtos Microsoft em quatro categorias principais, cada uma com peso diferente consoante o plano de licenciamento:
| Categoria | O que avalia | Exemplos de acções |
|---|---|---|
| 👤 Identidade | Entra ID, contas, MFA, Conditional Access, privileged identity | MFA para todos os utilizadores, bloquear autenticação legada, banir passwords fracas |
| 📺 Dispositivos | Endpoints geridos via Intune e Defender for Endpoint | Bitlocker activado, antivírus actualizado, dispositivos inscritos no Intune |
| 📄 Aplicações | Exchange Online, SharePoint, Teams, OneDrive, Defender for Office 365 | DKIM activado, anti-phishing, audit log activado, partilha externa limitada |
| ☕ Dados | Microsoft Purview, classificação de dados, DLP, retenção | Políticas de DLP activas, etiquetas de sensibilidade configuradas, auditoria de caixas de correio |
3. Como interpretar o dashboard
O dashboard do Secure Score tem três separadores principais. É importante saber o que cada um mostra para tirar o máximo partido da ferramenta:
| Separador | O que mostra | Quando usar |
|---|---|---|
| Overview | Pontuação actual, evolução histórica, pontuação máxima, pontuação comparativa com sector | Revisão de estado geral, relatórios para gestão |
| Recommended actions | Lista completa de acções, pontos de cada uma, estado, categoria, produto, dificuldade e impacto | Trabalho diário de melhoria — identificar próximas acções |
| History | Evolução da pontuação por data, acções concluídas, alterações de estado | Auditoria, comprovar evolução para relatórios NIS2, reuniões com gestão |
Como filtrar e ordenar as acções recomendadas
No separador Recommended actions, os filtros mais úteis para um sysadmin são:
- Status: To address — mostra apenas as acções ainda não implementadas
- Category: Identity — foca nas acções de Entra ID e controlo de acesso (maior impacto imediato)
- Score impact: Descendente — ordena pelas acções que dão mais pontos primeiro
- User impact: Low — filtra acções que não afectam os utilizadores finais (mais fáceis de implementar)
Ao clicar em qualquer acção, abres um painel lateral com a descrição completa, o impacto esperado, os passos de implementação, e a ligação directa para o portal de configuração correspondente.
4. Estados das acções recomendadas
Cada acção pode ser marcada com um estado diferente. Isto é fundamental para gerir a lista de forma realista — não todas as recomendações se aplicam ao teu ambiente.
| Estado | Significado | Conta para pontuação? |
|---|---|---|
| Completed | A acção foi implementada e detectada automaticamente pelo sistema | Sim — pontos completos |
| To address | Acção ainda não implementada — estado padrão de novas acções | Não |
| Planned | Reconheces a necessidade e planeias implementar no futuro | Não |
| Risk accepted | A recomendação não se aplica ao ambiente ou o risco foi conscientemente aceite | Não |
| Resolved through third party | A acção está implementada com solução de terceiros (ex: MFA via Duo Security, SIEM externo) | Sim — pontos completos |
| Resolved through alternate mitigation | Implementado por ferramenta interna ou alternativa equivalente | Sim — pontos completos |
⚠ Importante: Os estados Resolved through third party e Resolved through alternate mitigation atribuem pontos completos mas a Microsoft não verifica se a implementação é real. Esta marcação é baseada na honestidade do administrador — e é registada no histórico de auditoria do Secure Score.
5. Quick wins — acções de maior impacto e menor esforço
As acções abaixo têm consistentemente alto valor de pontuação e baixo impacto nos utilizadores. São o ponto de partida recomendado para qualquer tenant que esteja a trabalhar o Secure Score pela primeira vez.
| Acção recomendada | Pontos | Esforço | Onde configurar |
|---|---|---|---|
| Exigir MFA para todos os utilizadores | ~9 pts | Médio | Conditional Access |
| Exigir MFA para funções de administrador | ~10 pts | Baixo | Conditional Access |
| Bloquear autenticação legada (Basic Auth) | ~7 pts | Baixo | Conditional Access |
| Activar registo de auditoria do Microsoft 365 | ~3 pts | Muito baixo | Purview > Audit |
| Activar DKIM para domínios de email | ~5 pts | Baixo | security.microsoft.com > Email |
| Activar auditoria de caixas de correio para todos os utilizadores | ~3 pts | Muito baixo | Exchange Admin Center |
| Usar lista personalizada de passwords banidas | ~3 pts | Muito baixo | Entra ID > Password protection |
| Limitar reencaminhamento de email automático para domínios externos | ~4 pts | Baixo | Exchange Admin Center > Anti-spam |
| Activar MFA resistente a phishing para administradores | ~8 pts | Médio | Conditional Access |
| Restringir instalação de suplementos do Outlook por utilizadores | ~2 pts | Muito baixo | Microsoft 365 Admin Center |
✓ Estratégia de arranque: Implementa primeiro as acções de esforço Muito baixo (audit log, DKIM, passwords banidas, auditoria de caixas de correio) — são configurações únicas que não têm impacto em utilizadores e dão pontos imediatos. De seguida, avança para as acções de MFA e Conditional Access, que têm maior impacto mas requerem comunicação prévia com os utilizadores.
6. Usar o Secure Score como ferramenta NIS2
O Decreto-Lei n.º 125/2025 exige que as entidades abrangidas realizem um gap assessment da postura de segurança e implementem medidas proporcionais ao perfil de risco. O Secure Score cobre directamente este requisito para o Microsoft 365 — é a evidência documental mais directa que um tenant Microsoft pode apresentar.
| Exigência NIS2 | Como o Secure Score suporta |
|---|---|
| Gap assessment de segurança | A lista de acções To address é o gap assessment — exporta para CSV e anexa ao plano de implementação |
| Avaliação periódica documentada | O separador History regista a evolução da pontuação — tira screenshot mensal para o dossier de conformidade |
| Controlo de acesso com MFA | Acções de MFA no Secure Score mapeiam directamente para o requisito de autenticação forte da NIS2 |
| Auditoria e logging | As acções de audit log no Secure Score garantem a retenção mínima de eventos exigida |
| Protecção do email | Acções de SPF, DKIM, DMARC e anti-phishing cobrem a exigência de segurança nas comunicações |
Exportar o Secure Score para relatório
- Aceder a security.microsoft.com → Secure Score → Recommended actions
- Aplicar filtro Status: To address
- Clicar em Export (canto superior direito) → descarrega ficheiro CSV
- O CSV inclui: nome da acção, pontos, categoria, produto, estado, dificuldade e impacto
- Usar como base para o plano de implementação e dossier de conformidade NIS2
7. Fluxo de trabalho mensal recomendado
A gestão do Secure Score não deve ser um evento único — é um processo contínuo. Este fluxo de trabalho mensal garante que a postura de segurança se mantém actualizada e documentada:
| Quando | Tarefa | Duração estimada |
|---|---|---|
| Semana 1 | Rever novas acções adicionadas pela Microsoft no último mês (verificar em What’s new); avaliar se aplicáveis | 15 minutos |
| Semana 2 | Seleccionar 2–3 acções To address de baixo esforço; implementar e marcar como Completed | 1–2 horas |
| Semana 3 | Rever acções marcadas como Planned; verificar se já é possível implementar; ajustar prioridades | 30 minutos |
| Semana 4 | Exportar CSV com estado actual; registar pontuação do mês; preparar sumário para relatório de conformidade NIS2 ou para a gestão | 20 minutos |
ℹ Definir um objectivo de pontuação realista
Para um tenant Microsoft 365 Business Premium numa PME portuguesa, uma pontuação de 60–70% é considerada boa. Acima de 70% é excelente e demonstra uma postura de segurança madura. Não é necessário — nem aconselhável — tentar atingir 100%: algumas recomendações não se aplicam a todos os ambientes e marcá-las como Risk accepted com justificação documentada é a abordagem correcta.
8. Comparação com organizações semelhantes
No separador Overview do Secure Score, a secção Comparison mostra a pontuação da tua organização em relação a outras do mesmo sector e com número de licenças semelhante. Este benchmark é útil para:
- Contextualizar a pontuação actual — uma PME portuguesa a 55% pode estar acima da média do sector
- Justificar investimento em segurança perante a gestão (“estamos abaixo da média do sector em X pontos”)
- Identificar áreas onde o sector tem melhor desempenho e onde pode haver gap crítico
- Usar como evidência no relatório de conformidade NIS2 — demonstra esforço relativo ao mercado
Artigos relacionados no kbase.pt
- NIS2 em Portugal: Checklist Técnica para Sysadmins (Decreto-Lei n.º 125/2025)
- Conditional Access no Entra ID: Configuração Passo a Passo
- Políticas de Password no Microsoft 365: SSPR e Password Protection
- Defender for Business vs Defender for Endpoint: qual escolher para PME?
- SPF, DKIM e DMARC: implementação completa em domínio PT
