Resumo: Toda PME com Microsoft 365 deveria ter MFA obrigatório, Defender for Office 365 ativo, dispositivos gerenciados pelo Intune e Conditional Access configurado. O pacote mínimo recomendado é o Microsoft 365 Business Premium, que inclui essas proteções. Sem isso, a empresa fica exposta a phishing, ransomware e fraude — o Brasil aparece em 6º lugar mundial em proporção de usuários atacados segundo o relatório Kaspersky 2025.
Por que segurança Microsoft 365 importa para PMEs
Empresas pequenas e médias representam o alvo preferencial do crime cibernético em 2026 porque combinam dois fatores: têm dados e dinheiro suficientes para serem lucrativas e raramente têm um time de segurança dedicado. O resultado é previsível.
O relatório anual Kaspersky sobre spam e phishing em 2025 registrou 554 milhões de tentativas de phishing bloqueadas globalmente e coloca o Brasil em 6º lugar mundial em proporção de usuários atacados — 15,48% da base nacional.
O Microsoft 365 oferece um arsenal completo de proteções, mas elas não vêm ativas por padrão em todos os planos. Ativar o que está disponível na licença que a empresa já paga é o caminho mais rápido (e mais barato) de reduzir o risco.
1Identificar qual licença Microsoft 365 a empresa tem
O primeiro passo é descobrir qual plano Microsoft 365 a empresa contratou, porque isso define quais recursos de segurança já vêm incluídos. Para PMEs até 300 usuários, os três planos comuns são:
| Recurso de segurança | Business Basic | Business Standard | Business Premium |
|---|---|---|---|
| Security Defaults (MFA básico) | Sim | Sim | Sim |
| Entra ID P1 + Conditional Access | Não | Não | Sim |
| Defender for Office 365 Plan 1 (Safe Links, Safe Attachments, anti-impersonation) | Não | Não | Sim |
| Defender for Business (endpoint) | Não | Não | Sim |
| Intune Plan 1 (gerenciamento dispositivos) | Limitado | Limitado | Sim |
| Anti-malware/anti-spam padrão de email | Sim | Sim | Sim |
Fonte: Microsoft Learn — Microsoft 365 for business security overview (atualização 2025-12-19).
Recomendação AKADNYX: para qualquer PME que processa dados financeiros, dados pessoais sensíveis (LGPD) ou tem mais de 10 colaboradores, o pacote mínimo é o Business Premium. A diferença de custo para Business Standard é pequena comparada ao que se ganha em proteção.
Para verificar o plano atual da sua empresa:
- Acesse admin.microsoft.com com a conta de administrador.
- Menu lateral → Billing → Your products.
- Localize as subscrições ativas. O nome do plano aparece exatamente como na tabela acima.
Não sabe qual licença a sua empresa tem?
O diagnóstico Microsoft 365 da AKADNYX descobre isso em até 48 horas e mapeia onde estão as licenças ociosas — sem você precisar dar acesso de administrador.
2Confirmar se Security Defaults está ativo
O Security Defaults é o baseline de segurança que a Microsoft ativa por padrão em todos os tenants Microsoft 365 criados a partir de 22 de outubro de 2019. A partir de 2022, a Microsoft estendeu o Security Defaults também a tenants antigos que nunca tinham mexido em configurações de segurança. Ele garante:
- MFA obrigatório para administradores
- MFA exigido para todos os usuários quando o sistema detecta sinal de risco
- Bloqueio de protocolos legacy de autenticação (que não suportam MFA)
- Proteção elevada para operações privilegiadas
Para confirmar se está ativo:
- Acesse entra.microsoft.com
- Menu → Identity → Overview → Properties
- Procure por Security defaults e verifique se está "Enabled"
Atenção: Security Defaults e Conditional Access são mutuamente exclusivos. Se a empresa tem Business Premium e vai configurar Conditional Access (passo 4), Security Defaults precisa ser desativado primeiro — mas só desative quando Conditional Access estiver pronto para entrar no lugar. Senão a empresa fica sem proteção no intervalo.
3Ativar MFA obrigatório para todos
MFA (Multi-Factor Authentication, também chamado 2FA) é a medida única de segurança com maior retorno por esforço investido. Microsoft publica que contas com MFA habilitado têm mais de 99% menos probabilidade de comprometimento por ataques automatizados.
Se a empresa está em Security Defaults, o MFA já está ativo automaticamente para todos. Se está em Conditional Access, precisa criar a política. Recomendamos:
- App authenticator (Microsoft Authenticator) como método primário — não SMS, que é vulnerável a SIM swap
- FIDO2 / chave de segurança física (Yubikey) para administradores e cargos sensíveis (financeiro, RH)
- Número de celular como método secundário apenas para recuperação, não como primário
Dica AKADNYX para PMEs: registre o método MFA de cada colaborador no momento do onboarding, não depois. Pessoa nova chega → admin já configura Authenticator no celular dela junto com a entrega da senha inicial. Reduz drasticamente o ticket "perdi acesso ao MFA" depois.
4Avaliar migração para Conditional Access
Conditional Access (disponível com Entra ID P1, incluso no Business Premium) é a versão profissional do controle de acesso. Ele permite políticas baseadas em:
- Localização — bloquear ou exigir MFA extra para logins fora do Brasil, por exemplo
- Dispositivo gerenciado (Intune) — só permitir acesso completo a notebooks corporativos
- Risco de sign-in — exigir MFA extra ou bloquear quando Microsoft detecta padrão suspeito (impossível travel, IP malicioso, sessão de tor)
- Aplicação específica — Outlook web sempre exige MFA, aplicativos legacy bloqueados
- Grupo de usuários — financeiro tem políticas mais restritivas que marketing
Microsoft disponibiliza templates de políticas Conditional Access recomendadas como ponto de partida para novas implantações. Para a maioria das PMEs, partir dos templates e ajustar é mais rápido (e mais seguro) que criar do zero. Veja a documentação oficial Microsoft sobre políticas recomendadas.
Quando Conditional Access vale a pena?
Faz sentido migrar de Security Defaults para Conditional Access quando a empresa tem pelo menos uma destas características:
- Mais de 25 colaboradores
- Cargos sensíveis (financeiro, RH, jurídico) que precisam de proteção extra
- Colaboradores em viagem internacional ou home office permanente
- Aplicações sensíveis (ERP, sistema bancário) acessadas pelo Microsoft 365
- Necessidade LGPD de rastrear sign-ins suspeitos
Migrar para Conditional Access sem quebrar produtividade exige plano.
A AKADNYX faz esse plano e a transição — sem janela de manutenção, sem usuários travados. Parte do diagnóstico Microsoft 365.
5Configurar Defender for Office 365 (anti-phishing)
Defender for Office 365 Plan 1 (incluso no Business Premium) adiciona três camadas de proteção que não vêm nos planos Basic ou Standard:
Safe Links
Reescreve todos os links recebidos em emails (e em mensagens do Teams, SharePoint, OneDrive) para passar por uma verificação Microsoft em tempo real. Se o link aponta para um site malicioso, é bloqueado no momento do clique. Isso significa que mesmo um email aprovado pelo filtro inicial fica protegido se o site for comprometido depois.
Safe Attachments
Abre os anexos recebidos em uma "sandbox" (ambiente isolado) antes de entregar ao destinatário. Se o anexo contém malware, é bloqueado antes de chegar à caixa de entrada. Funciona para emails, SharePoint, OneDrive e Teams.
Anti-phishing com impersonation protection
Detecta tentativas de impersonação de pessoas específicas (CEO, financeiro) e de domínios parecidos com o seu (typosquatting). Bloqueia ou marca como suspeito.
Configuração rápida: em vez de criar políticas do zero, ative a Preset Security Policy Standard. Ela aplica as recomendações Microsoft para a maioria das organizações em um clique. Para empresas com mais risco, use a Strict (mais restritiva, gera mais quarentena). Caminho: security.microsoft.com → Policies & rules → Threat policies → Preset security policies.
6Implantar Defender for Business e Intune nos dispositivos
Email seguro é metade da batalha. A outra metade é proteger os dispositivos onde os colaboradores acessam o Microsoft 365.
Defender for Business (endpoint)
Antivírus de próxima geração + EDR (Endpoint Detection and Response) otimizado para PMEs. Detecta ransomware, malware e atividade suspeita em Windows, macOS, iOS e Android. Suporta investigação e remediação automatizadas para incidentes comuns.
Intune (gerenciamento de dispositivos)
Permite aplicar políticas de segurança nos dispositivos da empresa:
- Exigir disco criptografado (BitLocker em Windows, FileVault em Mac)
- Exigir senha forte ou biometria
- Limpeza remota se dispositivo for perdido ou roubado
- Separação entre dados corporativos e pessoais (BYOD)
- Bloqueio de aplicações não autorizadas
Para PMEs, a combinação Defender for Business + Intune permite que o gestor saiba quais dispositivos estão protegidos, qual nível de risco apresentam, e tome ação remota sem depender da TI presencial.
Implantar Intune sem irritar o usuário é arte.
A AKADNYX faz onboarding de dispositivos, política BYOD e separação dados-corporativos × pessoais — em ritmo que a sua equipe consegue acompanhar.
7Revisar e ajustar trimestralmente
Segurança não é projeto, é processo. Recomendamos revisão a cada 3 meses cobrindo:
- Microsoft Secure Score — pontuação consolidada da Microsoft sobre a maturidade da sua configuração. Disponível em security.microsoft.com. Meta: estar acima da média do setor.
- Relatórios de sign-in arriscados — investigar contas com login bloqueado pelo Conditional Access, padrão de impossible travel, ou múltiplas falhas.
- Inventário de dispositivos Intune — confirmar que dispositivos novos foram enrollados, dispositivos antigos foram retirados.
- Lista de usuários e licenças — desativar contas de pessoas que saíram. Cada conta esquecida é uma porta aberta.
- Política de senhas e MFA — confirmar que não há exceções "temporárias" virando permanentes.
Você já paga pelo Microsoft 365. A AKADNYX garante que está funcionando.
O diagnóstico Microsoft 365 da AKADNYX cobre 140 controles CIS em 9 domínios de segurança, identifica licenças ociosas e entrega um relatório executivo em PDF em até 48 horas. Sem jargão técnico, sem vínculo com a Microsoft, sem você precisar dar senha.
→ Solicitar diagnóstico Microsoft 365: microsoft365.akadnyx.com.br
→ WhatsApp corporativo: +55 19 99610-9961
Perguntas frequentes sobre segurança Microsoft 365
Qual é a licença Microsoft 365 mínima recomendada para uma PME que se preocupa com segurança?
Microsoft 365 Business Premium é o pacote mínimo recomendado para PMEs até 300 usuários. Ele inclui Entra ID P1 (Conditional Access), Defender for Office 365 Plan 1 (Safe Links, Safe Attachments, proteção contra impersonation), Defender for Business (endpoint) e Intune Plan 1. Business Basic e Standard não incluem essas proteções avançadas.
Security Defaults é suficiente ou preciso de Conditional Access?
Security Defaults oferece uma proteção mínima razoável (MFA obrigatório para admins e usuários, bloqueio de protocolos legacy). É adequado se a empresa não tem licença Entra ID P1. Para PMEs com Business Premium, Conditional Access é mais flexível: permite políticas baseadas em localização, dispositivo gerenciado, risco de sign-in e exceções controladas.
MFA realmente bloqueia ataques?
Sim. Segundo dados publicados pela Microsoft, contas com MFA habilitado têm mais de 99% menos probabilidade de comprometimento. MFA não é infalível (ataques de fadiga MFA e adversary-in-the-middle existem), mas continua sendo a única medida de segurança com maior retorno de proteção pelo esforço investido.
Quanto custa um incidente de phishing para uma PME brasileira?
Não há número único que sirva para todas as empresas — depende do porte, do dado vazado, do tempo até a detecção e da resposta. O relatório Kaspersky 2025 coloca o Brasil em 6º lugar mundial em proporção de usuários atacados (15,48%), e os impactos típicos para uma PME incluem fraude financeira direta (alteração de PIX, boleto falso), ransomware com paralisação de operação, vazamento de dados de clientes (com risco LGPD) e custos de remediação técnica. Em qualquer cenário, o custo de evitar é muito menor que o custo de remediar.
Posso terceirizar a segurança Microsoft 365 para um MSP?
Sim, e é o caminho mais eficiente para a maioria das PMEs. Um provedor de TI gerenciada (MSP) configura, monitora e responde a incidentes com SLA contratado a um custo muito menor do que manter equipe interna dedicada. A AKADNYX, por exemplo, oferece este modelo para PMEs brasileiras com atendimento em horário comercial (segunda a sexta, 8h às 18h).
Este conteúdo tem caráter educativo e não constitui parecer técnico ou jurídico vinculante. Para avaliação específica do ambiente Microsoft 365 da sua empresa, consulte um profissional qualificado. AKADNYX é membro do Microsoft AI Cloud Partner Program (Partner ID 1290730) e atua como Cloud Solution Provider (CSP) com acesso administrativo delegado (GDAP) aos tenants de clientes contratantes. Este artigo não é endossado pela Microsoft Corporation. Microsoft, Microsoft 365, Entra, Defender e Intune são marcas registradas da Microsoft Corporation.