A maioria das empresas que opera com Microsoft 365 tem um problema que não sabe que tem: está pagando por recursos que não usa, com configurações de segurança abaixo do mínimo adequado, com usuários que nunca precisariam de acesso administrativo tendo permissões elevadas, e com aplicativos OAuth conectados ao tenant que ninguém se lembra de ter autorizado. Uma auditoria de Microsoft 365 — também chamada de assessment de tenant ou revisão de tenant — é o processo que coloca tudo isso na superfície: o que está configurado, o que deveria estar e o que precisa ser corrigido imediatamente. Este guia apresenta o framework completo para conduzir um diagnóstico Microsoft 365 estruturado, com as ferramentas oficiais da Microsoft que já estão disponíveis no seu ambiente, o que avaliar em cada dimensão e como priorizar as correções pelo impacto real de segurança e custo.

O que é uma auditoria Microsoft 365 e por que ela é essencial

Uma auditoria Microsoft 365 é um processo estruturado de revisão técnica do tenant de uma organização — o ambiente administrativo onde ficam todos os usuários, licenças, configurações, dados e aplicativos conectados ao Microsoft 365. O objetivo é obter uma fotografia precisa do estado atual do ambiente em cinco dimensões: identidade e acesso, segurança técnica, licenciamento, conformidade e dados, e governança de aplicativos.

Na prática, uma auditoria Microsoft 365 responde a perguntas que gestores de TI frequentemente não sabem a resposta:

  • Quantos usuários têm MFA ativo — e quantos apenas têm MFA habilitado sem estar obrigatório?
  • Quais contas têm permissão de Administrador Global permanente — e precisam mesmo disso?
  • Quais aplicativos OAuth têm acesso ao e-mail, calendário ou arquivos de usuários do tenant?
  • Algum usuário criou regras de encaminhamento de e-mail para endereços externos?
  • Quantas licenças pagas estão atribuídas a usuários inativos ou desligados?
  • O Secure Score do tenant está acima de 50% — ou abaixo da média de organizações similares?
  • Os logs de auditoria estão ativos e retendo dados pelo prazo adequado para investigações?

A maioria das empresas que sofrem incidentes de segurança no Microsoft 365 — comprometimento de contas via device code phishing, Business Email Compromise, exfiltração de dados — apresenta lacunas que uma auditoria estruturada teria identificado semanas ou meses antes. Como discutimos em detalhe no artigo sobre ataques com contas legítimas do Microsoft 365, as campanhas ativas de 2026 exploram exatamente essas lacunas de configuração — não vulnerabilidades técnicas sofisticadas.

Quando fazer uma auditoria Microsoft 365

Especialistas em segurança Microsoft recomendam uma auditoria completa do tenant ao menos uma vez por ano — e adicionalmente sempre que ocorrer qualquer um dos seguintes eventos:

  • Reajuste de preços Microsoft 365 — como o que ocorreu em julho de 2026 — é o momento ideal para auditar licenças e avaliar se o plano atual ainda é o mais adequado
  • Contratação ou desligamento em massa — usuários desligados com licenças ativas e permissões não revogadas são um vetor de ataque significativo
  • Mudança no modelo de trabalho — adoção de trabalho remoto ou híbrido amplia a superfície de ataque e exige revisão das políticas de Acesso Condicional
  • Após qualquer incidente de segurança — comprometimento de conta, suspeita de phishing bem-sucedido ou anomalia nos logs
  • Antes de habilitar novos recursos de IA — como Microsoft 365 Copilot, que acessa dados do tenant com as permissões de cada usuário. Permissões excessivas pré-existentes se tornam um risco ampliado com agentes de IA
  • Para auditoria de conformidade LGPD — a ANPD pode solicitar evidências de controles técnicos implementados. Uma auditoria M365 documenta esses controles

As 6 dimensões de um assessment Microsoft 365 completo

Dimensão 1 — Identidade e controle de acesso

A identidade é o primeiro e mais crítico pilar de qualquer auditoria Microsoft 365 — porque é por meio de identidades comprometidas que a grande maioria dos ataques bem-sucedidos ocorre em 2026. A revisão de identidade cobre:

MFA: habilitado vs. obrigatório

Um dos erros mais comuns em ambientes M365 é confundir “MFA habilitado” com “MFA obrigatório”. No modelo per-user MFA — que a própria Microsoft considera uma abordagem legada — o MFA está disponível para o usuário, mas ele pode ignorá-lo. A proteção real exige que o MFA seja enforcement: o usuário não consegue autenticar sem completar o segundo fator. O modelo recomendado pela Microsoft é via Políticas de Acesso Condicional gerenciadas pela Microsoft — disponíveis para licenças Business Premium, E3 e E5 — que aplicam MFA com base em risco, localização e conformidade de dispositivo.

Durante a auditoria, verifique:

  • Percentual de usuários com MFA registrado e enforcement ativo (no Centro de Administração Microsoft Entra → Proteção → Autenticação Multifator)
  • Se há usuários que ainda usam per-user MFA em vez de Conditional Access
  • Se protocolos de autenticação herdados (POP3, IMAP, SMTP autenticado) estão bloqueados — eles contornam o MFA completamente
  • Se os Padrões de Segurança (Security Defaults) estão ativos — para tenants sem Entra ID P1, é a proteção mínima disponível

Contas administrativas e privilégio mínimo

Microsoft recomenda não mais do que 4 contas com privilégio de Administrador Global, e que essas contas sejam usadas exclusivamente para tarefas administrativas — nunca como contas de uso diário (e-mail, Teams). Durante a auditoria, mapeie:

  • Quantas contas têm função de Global Admin — e se todas precisam desse nível
  • Se há contas de administrador sendo usadas também para e-mail e produtividade diária
  • Se o Privileged Identity Management (PIM) está ativo para elevação just-in-time de privilégios administrativos (disponível com Entra ID P2 / Microsoft 365 E5)
  • Se existem contas de usuários desligados com licenças ativas ou permissões não revogadas
  • Se há contas de serviço com permissões elevadas sem rotação de credenciais

Políticas de Acesso Condicional

framework de Zero Trust da Microsoft organiza as políticas de Acesso Condicional em três níveis de proteção: Ponto de Partida (MFA básico + bloqueio de autenticação herdada), Enterprise (conformidade de dispositivo via Intune) e Segurança Especializada (MFA obrigatório sempre para dados sensíveis). A auditoria deve verificar quais políticas existem, se há lacunas (usuários ou apps sem cobertura) e se as políticas estão em modo Ativo — não apenas em Report-only.

Dimensão 2 — Microsoft Secure Score: o termômetro da postura de segurança

Microsoft Secure Score é a ferramenta nativa mais importante para qualquer auditoria M365. Integrado ao Portal Microsoft Defender, ele avalia a postura de segurança do tenant em cinco categorias — identidade, dados, dispositivos, aplicativos e infraestrutura — e gera uma pontuação de 0 a 100, com recomendações priorizadas por impacto.

A média de Secure Score para pequenas e médias empresas fica entre 30% e 50% — o que significa que a maioria das PMEs opera com mais da metade das melhorias de segurança disponíveis sem implementar. Organizações que gerenciam ativamente as recomendações do Secure Score atingem entre 75% e 90% em poucos meses de esforço focado.

Durante a auditoria, o Secure Score deve ser verificado nos seguintes aspectos:

  • Pontuação atual e comparação com pares — o Secure Score permite comparar com organizações de tamanho similar no mesmo setor
  • Ações de alto impacto não implementadas — filtrar por “pontos máximos” para identificar as mudanças com maior retorno de segurança
  • Ações por categoria de licença — o Secure Score mostra quais recomendações exigem licenças adicionais (ex: Conditional Access exige Business Premium ou E3/E5) e quais estão disponíveis com o plano atual
  • Histórico de pontuação — identificar se a postura de segurança melhorou ou piorou nos últimos 90 dias
  • Ações aceitas como risco — verificar se há recomendações marcadas como “risco aceito” que merecem revisão

As recomendações com maior impacto típico no Secure Score incluem: exigir MFA para funções administrativas (+10 pontos), bloquear autenticação herdada (+7 pontos), habilitar Microsoft Defender para Office 365, configurar DLP para dados sensíveis e ativar logs de auditoria unificados.

Dimensão 3 — Licenças e otimização de custos

Uma auditoria de licenças Microsoft 365 frequentemente revela que entre 10% e 25% das licenças pagas de uma organização estão mal alocadas — atribuídas a usuários inativos, desligados há meses ou que receberam o plano errado para seu perfil de uso. Com o reajuste de julho de 2026 (Business Basic subindo para US$ 7/usuário e Standard para US$ 14/usuário), esse desperdício ficou ainda mais caro.

A revisão de licenças deve cobrir:

  • Licenças atribuídas vs. licenças em uso ativo — no Centro de Administração Microsoft 365 → Relatórios → Uso, verifique quantos usuários com licença Business Standard ou Premium estão ativamente usando os apps que justificam o plano
  • Contas de usuários desligados com licenças ativas — um usuário desligado que ainda tem licença paga ativa é simultaneamente um custo desnecessário e um risco de segurança
  • Correspondência entre plano e perfil de uso — usuários que só precisam de e-mail e Teams mas têm Business Premium (quando Basic bastaria), ou usuários que fazem uso intenso de Excel com macros mas têm apenas Basic (sem apps instalados)
  • Licenças add-on redundantes ou subutilizadas — Microsoft Defender para Office 365, Intune, Entra ID P2 e outros add-ons contratados mas não configurados
  • Revisão de oportunidade de upgrade — com a diferença de preço entre Standard (US$ 14) e Premium (US$ 22) reduzida a apenas US$ 8 após julho de 2026, avaliar se o Business Premium (com Defender, Intune e Entra P1 incluídos) não é mais econômico do que Standard + add-ons separados

Para uma análise completa do que cada plano Microsoft 365 inclui e qual é mais adequado para cada perfil, confira nosso guia sobre Microsoft 365 para pequenas empresas.

Dimensão 4 — Segurança de e-mail e colaboração

O e-mail continua sendo o principal vetor de ataque em 2026 — e a segurança do Exchange Online e do Microsoft 365 Copilot para e-mail vai muito além do filtro de spam padrão. A auditoria de e-mail e colaboração deve verificar:

Configurações de autenticação de e-mail

  • SPF (Sender Policy Framework) — registro DNS que autoriza quais servidores podem enviar e-mail em nome do domínio. Sem SPF correto, e-mails legítimos caem em spam e atacantes podem fazer spoofing do domínio
  • DKIM (DomainKeys Identified Mail) — assinatura criptográfica nos e-mails enviados que comprova autenticidade. Deve estar ativo para todos os domínios no tenant
  • DMARC — política que define o que fazer quando SPF ou DKIM falham (quarentena ou rejeição). Sem DMARC ativo com política de enforcement (p=quarantine ou p=reject), o domínio pode ser usado em ataques de phishing contra clientes e parceiros

Microsoft Defender para Office 365

  • Safe Links — verifica URLs em tempo real no momento do clique, não apenas na entrega. Fundamental para proteção contra phishing com links que mudam para maliciosos após passar pela filtragem inicial
  • Safe Attachments — executa anexos em sandbox antes de entregá-los ao destinatário, detectando malware que burla assinaturas de antivírus
  • Anti-phishing com IA — políticas que detectam impersonação de executivos, nomes de domínio similares e padrões de BEC

Regras de encaminhamento de e-mail (crítico)

Um dos sinais mais comuns de conta comprometida é a criação de regras de encaminhamento para endereços externos. A auditoria deve verificar, para todas as caixas de e-mail do tenant, se há regras que encaminham mensagens para domínios externos — especialmente se criadas recentemente ou sem justificativa de negócio documentada. No Centro de Administração do Exchange Online (admin.exchange.microsoft.com), acesse Fluxo de e-mail → Regras para verificar regras de transporte, e Mail Flow → Remote Domains para verificar encaminhamento habilitado.

Dimensão 5 — Governança de aplicativos OAuth e controle de acesso de terceiros

Esta é a dimensão mais frequentemente ignorada — e uma das mais perigosas. Ao longo do tempo, usuários autorizam dezenas de aplicativos de terceiros a acessar dados do Microsoft 365 via OAuth (calendário, e-mail, arquivos, contatos). Cada um desses aplicativos é um vetor de comprometimento potencial: se o aplicativo for comprometido, ou se o usuário que o autorizou for desligado sem que o acesso seja revogado, os dados do tenant continuam acessíveis.

A auditoria de aplicativos OAuth deve cobrir:

  • Inventário completo de aplicativos com consentimento de usuário — no Centro de Administração Microsoft Entra → Aplicativos → Aplicativos Empresariais, liste todos os aplicativos com consentimento ativo
  • Permissões por aplicativo — identifique aplicativos com permissões de leitura e escrita de e-mail, acesso a arquivos do OneDrive/SharePoint ou funções administrativas. Essas são as permissões mais críticas
  • Aplicativos de usuários desligados — consentimentos de aplicativos não são revogados automaticamente quando o usuário é desligado. A auditoria deve identificar e revogar esses acessos órfãos
  • Política de App Consent — verificar se usuários finais podem autorizar aplicativos de terceiros sem aprovação administrativa. A Microsoft recomenda restringir o consentimento do usuário final para permitir apenas aplicativos de editores verificados e permissões selecionadas

Dimensão 6 — Logs de auditoria, conformidade e LGPD

Os logs de auditoria do Microsoft 365 desempenham papel fundamental tanto na segurança (detecção de incidentes) quanto na conformidade (evidência de controles para LGPD e outras regulações). A auditoria deve verificar:

  • Log de Auditoria Unificado habilitado — o log de auditoria unificado do Microsoft Purview deve estar ativo para que eventos de usuários e administradores sejam registrados. Sem ele, é impossível investigar incidentes retroativamente
  • Período de retenção dos logs — planos E3 retêm logs por 90 dias; E5 e Purview Audit Premium por até 1 ano. Para conformidade com LGPD (que exige evidências por 5 anos), verificar se há exportação para armazenamento de longo prazo
  • Alertas configurados — o Microsoft Purview e o Defender permitem configurar alertas para atividades de alto risco: downloads em massa de arquivos, acessos de localizações incomuns, criação de regras de encaminhamento, mudanças em permissões administrativas
  • Microsoft Compliance Manager — disponível no portal Microsoft Purview, o Compliance Manager avalia a postura de conformidade do tenant com regulamentos específicos (incluindo LGPD) e fornece ações de melhoria com pontuação
  • Políticas de retenção de dados — verificar se há políticas de retenção e eliminação de dados configuradas no Purview, alinhadas com os requisitos de retenção do negócio e da LGPD

Para entender como a auditoria M365 se conecta às obrigações específicas da LGPD — incluindo o prazo de 3 dias úteis para comunicação de incidentes à ANPD e o que deve estar documentado antes de uma fiscalização — confira o artigo completo sobre LGPD e cibersegurança.

As ferramentas nativas Microsoft para conduzir a auditoria

A Microsoft disponibiliza um conjunto robusto de ferramentas nativas que permitem conduzir a maior parte de um assessment M365 sem necessidade de ferramentas externas. Aqui estão os portais e recursos principais:

Ferramenta O que avalia Acesso
Microsoft Secure Score Postura de segurança geral: identidade, dados, dispositivos, apps, infraestrutura Portal Microsoft Defender → Secure Score
Microsoft Entra Admin Center Identidade: usuários, MFA, Conditional Access, apps OAuth, PIM, sign-in logs entra.microsoft.com
Identity Secure Score Postura de segurança específica de identidade com recomendações detalhadas Entra Admin Center → Proteção → Identity Secure Score
Centro de Administração M365 Licenças: uso, atribuições, usuários inativos, relatórios de adoção admin.microsoft.com → Relatórios → Uso
Exchange Admin Center E-mail: SPF/DKIM/DMARC, regras de encaminhamento, políticas anti-spam admin.exchange.microsoft.com
Microsoft Purview (Compliance Portal) Logs de auditoria, DLP, retenção, Compliance Manager, classificação de dados compliance.microsoft.com
Microsoft Intune Admin Center Dispositivos: conformidade, políticas de configuração, inventário de endpoints endpoint.microsoft.com
Microsoft Defender para Cloud Apps Shadow IT, apps SaaS não sancionados, uso de dados em apps de terceiros Portal Defender → Cloud Apps

Checklist completo de auditoria Microsoft 365

Use esta lista como roteiro da revisão de tenant. Cada item marcado como “não” ou “não verificado” é um item do plano de remediação:

🔐 Identidade e autenticação

  • ☐ MFA obrigatório (enforcement) para 100% dos usuários — não apenas habilitado
  • ☐ MFA obrigatório para todas as contas administrativas
  • ☐ Autenticação herdada (POP3, IMAP, SMTP básico) bloqueada via Conditional Access
  • ☐ Número de Administradores Globais igual ou inferior a 4
  • ☐ Contas de administrador separadas das contas de uso diário (e-mail, Teams)
  • ☐ PIM ativo para elevação just-in-time de funções privilegiadas (exige Entra P2)
  • ☐ Contas de usuários desligados bloqueadas ou excluídas — sem licenças ativas
  • ☐ Políticas de Acesso Condicional ativas (não apenas em Report-only) e sem usuários sem cobertura
  • ☐ Device Code Flow bloqueado via Conditional Access (proteção contra phishing OAuth)
  • ☐ Credenciais de contas de serviço com rotação periódica documentada

📊 Microsoft Secure Score

  • ☐ Secure Score verificado e acima de 50% (média do setor como referência mínima)
  • ☐ Top 10 ações de alto impacto do Secure Score avaliadas e priorizadas
  • ☐ Comparação de pontuação com organizações similares realizada
  • ☐ Histórico de pontuação revisado — sem regressão nos últimos 90 dias
  • ☐ Ações marcadas como “risco aceito” revisadas e ainda justificadas

📧 E-mail e segurança de colaboração

  • ☐ SPF configurado corretamente para todos os domínios do tenant
  • ☐ DKIM habilitado e validado para todos os domínios
  • ☐ DMARC com política de enforcement (p=quarantine ou p=reject)
  • ☐ Microsoft Defender para Office 365 com Safe Links e Safe Attachments ativos
  • ☐ Anti-phishing com proteção contra impersonação de executivos configurado
  • ☐ Auditoria de regras de encaminhamento de e-mail para domínios externos — nenhuma não autorizada
  • ☐ Delegates de caixa de e-mail revisados — apenas os necessários e documentados

📋 Licenças e otimização

  • ☐ Relatório de uso de licenças gerado — percentual de licenças em uso ativo vs. atribuídas
  • ☐ Licenças de usuários desligados há mais de 30 dias identificadas e desalocadas
  • ☐ Plano de cada usuário adequado ao seu perfil de uso real
  • ☐ Add-ons contratados (Defender, Intune, Entra P2) com configuração ativa — não apenas licenciados
  • ☐ Custo mensal total de licenças M365 documentado e validado contra o número de usuários ativos

🔗 Aplicativos OAuth e governança de terceiros

  • ☐ Inventário completo de aplicativos com consentimento OAuth no tenant
  • ☐ Aplicativos com permissões de leitura/escrita de e-mail ou acesso a arquivos revisados
  • ☐ Consentimentos OAuth de usuários desligados revogados
  • ☐ Política de App Consent configurada para exigir aprovação administrativa
  • ☐ Aplicativos não reconhecidos ou com permissões excessivas identificados para revogação

📁 Logs, conformidade e dados

  • ☐ Log de Auditoria Unificado habilitado e ativo
  • ☐ Período de retenção dos logs adequado para requisitos de conformidade
  • ☐ Alertas configurados para atividades de alto risco (encaminhamento de e-mail, downloads em massa)
  • ☐ DLP com pelo menos uma política ativa para dados sensíveis (CPF, cartão de crédito, dados de saúde)
  • ☐ Compliance Manager verificado — pontuação e ações de melhoria revisadas
  • ☐ Políticas de retenção configuradas para os dados críticos do negócio

💻 Dispositivos (se Microsoft Intune disponível)

  • ☐ Todos os computadores corporativos registrados no Intune
  • ☐ Políticas de conformidade definidas (versão mínima de SO, criptografia de disco, antivírus ativo)
  • ☐ Conditional Access exigindo conformidade de dispositivo para acesso a dados sensíveis
  • ☐ App Protection Policies (MAM) configuradas para dispositivos móveis BYOD
  • ☐ Inventário de dispositivos revisado — dispositivos sem acesso recente identificados

As lacunas mais comuns encontradas em auditorias M365 de PMEs brasileiras

Com base no padrão de configurações encontradas em ambientes mid-market e PMEs que passam por assessment Microsoft 365, as lacunas mais recorrentes são:

  1. MFA habilitado mas não obrigatório — a confusão entre “habilitado” e “enforcement” é a lacuna mais comum e a mais perigosa. Usuários sem MFA obrigatório são alvos diretos das campanhas de device code phishing ativas em 2026
  2. Múltiplos Administradores Globais sem necessidade — em alguns tenants, mais de 10 usuários têm Global Admin permanente, muitos deles usando a mesma conta para e-mail diário. Uma credencial comprometida com esse nível de acesso é um incidente catastrófico
  3. Autenticação herdada não bloqueada — POP3 e IMAP habilitados criam uma porta de fundo que contorna completamente o MFA, mesmo quando este está ativo em Conditional Access
  4. DMARC sem enforcement — SPF e DKIM configurados mas DMARC com p=none (sem ação). O domínio da empresa pode ser usado em campanhas de phishing contra clientes e parceiros sem nenhum bloqueio
  5. Log de Auditoria Unificado desabilitado — sem logs ativos, é impossível investigar comprometimentos retroativamente. Incidentes que ocorreram semanas antes da detecção não têm evidência forense disponível
  6. Licenças de usuários desligados ativas — comum em empresas com alto turnover, representa custo direto (licença paga sem uso) e risco indireto (credencial de usuário desligado ainda válida para aplicativos OAuth)
  7. Apps OAuth sem governança — dezenas de aplicativos autorizados ao longo dos anos, muitos com permissões de leitura de e-mail, sem inventário ou revisão periódica

Como priorizar as correções após a auditoria

Uma auditoria M365 completa tipicamente revela entre 15 e 40 itens de melhoria. Priorizar sem um critério claro leva ao que mais paralisa projetos de segurança: tudo parece urgente e nada avança. O critério de priorização recomendado combina três fatores:

  1. Impacto de segurança — qualquer lacuna que seja vetor ativo de exploração em 2026 (MFA não obrigatório, device code flow aberto, autenticação herdada habilitada) tem prioridade máxima, independentemente de complexidade
  2. Custo de implementação — separar ações que são configuração de chave (1 hora de trabalho) das que exigem projeto (rollout de Intune para 200 dispositivos). Implementar as rápidas primeiro para ganho imediato
  3. Impacto operacional — mudanças que afetam como usuários se autenticam (como enforcement de MFA) precisam de comunicação e piloto antes do rollout amplo, para não gerar chamados de helpdesk em massa

A sequência recomendada para as 4 primeiras semanas após uma auditoria:

  • Semana 1 — Bloquear autenticação herdada, revogar apps OAuth não reconhecidos, desativar/excluir contas de usuários desligados, habilitar Log de Auditoria Unificado
  • Semana 2 — Configurar/revisar políticas de Conditional Access, bloquear Device Code Flow, configurar alertas de segurança no Purview
  • Semana 3 — Comunicar e pilotar enforcement de MFA com grupo pequeno, revisar funções administrativas, reduzir Global Admins
  • Semana 4 — Expandir MFA enforcement para toda a organização, configurar DMARC com enforcement, revisar políticas de DLP

Auditoria Microsoft 365 e Microsoft Security: a conexão com a postura de segurança integrada

Uma auditoria de tenant M365 é o ponto de partida — mas não o ponto de chegada — de uma postura de segurança madura. Os resultados da auditoria frequentemente revelam que as ferramentas certas já estão disponíveis no plano atual (especialmente Business Premium), mas não foram ativadas ou configuradas corretamente.

Para entender o portfólio completo de soluções de segurança Microsoft disponíveis e como cada uma se encaixa na arquitetura de segurança da organização, confira nosso artigo sobre o que é Microsoft Security. E para contexto sobre as ameaças ativas que tornam a auditoria urgente em 2026 — especialmente ataques de phishing com IA e device code phishing —, os artigos sobre phishing com inteligência artificial e vulnerabilidades críticas de cibersegurança em 2026 oferecem o contexto completo de risco.

Como a InfoB conduz o Assessment Microsoft 365

InfoB, como parceira certificada Microsoft com mais de 15 anos de atuação no mercado brasileiro, conduz assessments Microsoft 365 de forma estruturada e com entrega de relatório executivo acionável:

  • Coleta remota e segura de dados — via acesso somente leitura aos portais administrativos do tenant, sem necessidade de instalação de agentes ou acesso a dados de usuários
  • Análise das 6 dimensões — identidade, Secure Score, licenças, e-mail, aplicativos OAuth e conformidade — com verificação de mais de 40 pontos de controle
  • Relatório executivo com findings priorizados — cada lacuna identificada com nível de risco (crítico/alto/médio/baixo), custo de correção estimado e plano de ação
  • Simulação de ataque — opcionalmente, campanha de phishing realista para medir a resiliência humana do ambiente em paralelo à análise técnica
  • Plano de remediação com cronograma — roadmap de 4 a 12 semanas para implementar as correções priorizadas, com suporte técnico da InfoB em cada etapa

O assessment completo é conduzido em até 5 dias úteis, com apresentação dos resultados em reunião executiva com o gestor de TI ou equivalente.

Solicite um Assessment Microsoft 365 gratuito para sua empresa

Perguntas frequentes sobre auditoria Microsoft 365

O que é uma auditoria de Microsoft 365?

Uma auditoria de Microsoft 365 é um processo estruturado de revisão técnica do tenant de uma organização. Avalia configuração de segurança, identidade, licenças, aplicativos, dados e conformidade — identificando lacunas, configurações incorretas e recursos subutilizados que representam risco ou desperdício. O resultado é um diagnóstico do estado atual e um plano de correção priorizado com ações de curto, médio e longo prazo.

Com que frequência deve ser feita uma auditoria do Microsoft 365?

Ao menos uma vez por ano, e adicionalmente após mudanças significativas no ambiente: contratações ou desligamentos em massa, incidentes de segurança, mudança no modelo de trabalho, habilitação de novos recursos de IA (como Copilot) ou reajuste de preços de licenças. O Microsoft Secure Score pode ser monitorado continuamente para detectar derivas de configuração entre auditorias formais.

O que o Microsoft Secure Score avalia?

O Secure Score avalia a postura de segurança do tenant M365 em cinco categorias: identidade (MFA, permissões, PIM), dados (DLP, classificação), dispositivos (conformidade Intune), aplicativos (segurança de apps SaaS) e infraestrutura (configurações de serviços Microsoft). Gera uma pontuação de 0 a 100, permite comparação com organizações similares e fornece recomendações priorizadas por impacto. É atualizado diariamente e acessível no Portal Microsoft Defender.

Qual a diferença entre auditoria Microsoft 365 e revisão de tenant?

Na prática, os termos são usados como sinônimos. “Revisão de tenant” tende a ter foco mais operacional — verificar configurações, licenças e usuários. “Auditoria Microsoft 365” ou “assessment M365” são termos mais amplos que incluem análise de segurança, conformidade LGPD, logs de atividade, aplicativos OAuth e um plano de remediação. O assessement da InfoB cobre todas essas dimensões em um processo integrado de até 5 dias úteis.