O Microsoft 365 garante a disponibilidade da plataforma, mas não protege seus dados. A responsabilidade de recuperar arquivos deletados, e-mails excluídos e conteúdo criptografado por ransomware é da sua empresa. Em 2026, backup de terceiros deixou de ser opcional e tornou-se requisito para continuidade de negócio e conformidade com a LGPD.

Se sua empresa depende de Exchange Online, SharePoint, OneDrive e Teams para operar e acredita que a Microsoft cuida de tudo, este guia foi escrito para você. Depois de mais de duas décadas ajudando empresas brasileiras a estruturar backup e disaster recovery, percebemos que a maior vulnerabilidade não é técnica — é conceitual. Continue lendo para entender por quê.

Por que o Microsoft 365 não faz backup dos seus dados?

A Microsoft opera sob o chamado modelo de responsabilidade compartilhada. Traduzindo para o dia a dia: a Microsoft garante que a plataforma estará no ar (com SLA de 99,9% de uptime), que os datacenters não vão pegar fogo e que existe redundância suficiente para suportar falhas de infraestrutura. O que está em seus dados — e o que acontece com eles — é responsabilidade sua.

Isso inclui cenários que acontecem semanalmente em empresas brasileiras:

  • Um colaborador exclui uma pasta inteira do SharePoint por engano e ninguém percebe até 94 dias depois.
  • Um funcionário desligado tem sua conta removida, e com ela somem OneDrive, histórico de Teams e caixa de e-mail após o prazo nativo de retenção.
  • Um ataque de ransomware criptografa milhares de arquivos sincronizados entre OneDrive local e nuvem.
  • Uma política de retenção do Purview é alterada por configuração equivocada e apaga mensagens do Exchange antes do prazo legal exigido pela auditoria fiscal.

O consultor e Microsoft MVP Ben Stegink, em webcast recente da Redmond Magazine dedicado a reformular as estratégias de backup do Microsoft 365 para 2026, foi direto: muitas organizações confundem retenção com backup. Políticas de retenção foram desenhadas para compliance e e-discovery, não para restauração operacional Redmondmag.com.

O que a retenção nativa do Microsoft 365 realmente cobre?

Essa é a fonte de 90% das surpresas desagradáveis em projetos de recuperação. Os prazos nativos são curtos e, passados eles, o dado desaparece em definitivo:

  • Exchange Online: 14 dias para itens deletados (configurável até 30), 30 dias para caixas de usuários removidos.
  • OneDrive e SharePoint: 93 dias de lixeira em dois estágios.
  • Versionamento do SharePoint: mantém até 500 versões por padrão, mas pode ser sobrescrito ou limpo.
  • Teams: mensagens vivem dentro de caixas do Exchange; arquivos, no SharePoint e OneDrive — portanto seguem as mesmas limitações.

Depois disso, segundo a própria documentação da Microsoft, existe uma janela adicional de 14 dias em que a Microsoft ainda pode recuperar o dado Microsoft Learn — depois, eliminação permanente. Não há ponto de restauração por data, não há rollback de tenant inteiro, não há proteção contra ransomware que sobrescreva versões.

Quais são os principais riscos de não ter backup de Microsoft 365 em 2026?

O cenário mudou em três frentes que, combinadas, elevam muito o custo do risco.

Ransomware cada vez mais sofisticado. O Brasil figura entre os dez países mais atacados do mundo, e ataques direcionados a tenants do Microsoft 365 cresceram em complexidade porque agora incluem exfiltração de dados antes da criptografia — o que transforma qualquer incidente em potencial vazamento LGPD.

LGPD com dentes. A ANPD já passou da fase pedagógica. As multas podem chegar a 2% do faturamento anual do grupo econômico no Brasil, limitadas a R$ 50 milhões por infração, e podem ser aplicadas cumulativamente por infração diária. Em 2026, com o fortalecimento regulatório, perder dados pessoais por ausência de backup adequado pode configurar falha na obrigação de segurança prevista no Art. 46 da Lei.

Complexidade do próprio M365. O ambiente deixou de ser apenas e-mail. Hoje inclui Power Platform, conversas do Teams, configurações de Conditional Access, políticas de compliance, rótulos de sensibilidade, agentes do Copilot — e boa parte disso não é coberta nem pelo Microsoft 365 Backup nativo.

O que é o Microsoft 365 Backup e ele substitui uma solução de terceiros?

Lançado em GA em 2024, o Microsoft 365 Backup é um serviço nativo que faz backup rápido de Exchange Online, SharePoint e OneDrive dentro do próprio perímetro da Microsoft, com RPO de até 10 minutos em janelas de curto prazo.

É uma evolução relevante, mas tem limitações que precisam estar claras:

  • Não cobre Teams, Power Platform, configurações de tenant, grupos do Entra ID ou Planner.
  • Os dados permanecem dentro do mesmo provedor que você está tentando se proteger. Em cenários de compromisso de credenciais administrativas ou erro de configuração em escala, essa dependência vira problema.
  • A velocidade de restauração é uma restrição prática: estima-se 1 a 3 TB por hora. Conforme alerta o mesmo Stegink na apresentação citada pela Virtualization Review, um ambiente de 300 TB pode levar mais de 100 horas para ser totalmente recuperado — tempo inaceitável para grande parte das operações.
  • Cobra por volume protegido, o que pode gerar custo relevante em tenants maduros.

A recomendação consultiva: Microsoft 365 Backup é uma boa camada de recuperação rápida complementar, não substitui uma estratégia de backup independente, com cópia lógica separada do tenant, imutabilidade WORM e retenção de longo prazo.

Qual é a diferença entre backup nativo e backup de terceiros?

Critério Nativo (lixeira, versioning, retention) Microsoft 365 Backup Terceiros (Veeam, Acronis, AvePoint, Druva)
Proteção contra exclusão acidental após prazo Limitada Sim, no prazo contratado Sim, retenção customizável
Isolamento lógico do tenant Não Não Sim
Proteção contra ransomware em escala Parcial Boa Alta (com imutabilidade)
Cobertura de Teams, Power Platform, config Parcial Não Varia por fornecedor
Retenção multi-ano para fins legais Não Limitada Sim
Restore granular (item, pasta, usuário) Limitado Em evolução Maduro
Custos previsíveis em escala N/A Por TB protegido Por licença/usuário

Como aplicar a regra 3-2-1 no Microsoft 365?

A regra 3-2-1 continua sendo o norte para qualquer estratégia de backup séria: três cópias dos dados, em duas mídias diferentes, sendo uma cópia off-site. Traduzindo para a realidade de um tenant Microsoft 365:

  1. Cópia primária: os dados vivos no próprio M365 (Exchange, SharePoint, OneDrive, Teams).
  2. Cópia secundária: backup gerenciado por solução de terceiros, em storage separado logicamente do tenant — idealmente em nuvem distinta (AWS, outro tenant Azure gerenciado pelo parceiro, ou on-premises).
  3. Cópia terciária imutável: armazenamento WORM (Write Once, Read Many) ou object lock, que garante que nem um administrador comprometido consiga apagar o backup antes do prazo legal.

Essa arquitetura é o que permite cumprir prazos regulatórios (contábil, fiscal, trabalhista) e sustentar uma investigação de incidente sem depender exclusivamente da Microsoft.

Como definir RPO e RTO para Microsoft 365?

RPO (Recovery Point Objective) é quanto de dado sua empresa tolera perder em caso de incidente. RTO (Recovery Time Objective) é quanto tempo sua operação pode ficar parada até retomar.

Na prática, sugerimos a seguinte calibração para ambientes corporativos em 2026:

  • Áreas críticas (diretoria, financeiro, jurídico): RPO de 1 a 4 horas, RTO de 4 a 8 horas.
  • Áreas operacionais padrão: RPO de 8 a 24 horas, RTO de 24 horas.
  • Áreas de arquivo/consulta: RPO de 24 horas, RTO de 48 a 72 horas.

Essa matriz precisa ser validada com os decisores de negócio, não decidida isoladamente pela TI. O CFO tem outra tolerância a downtime do que o gerente de suporte — e é essa conversa que define o investimento necessário.

Como o backup se conecta à LGPD e ao compliance corporativo?

O Art. 46 da LGPD obriga o controlador a adotar medidas técnicas aptas a proteger os dados pessoais de destruição acidental ou ilícita. Na prática, isso significa que ausência de backup pode, sim, configurar falha de compliance — especialmente se o incidente resultar em perda irreversível de dados pessoais ou impossibilidade de atender a um pedido de titular (acesso, correção, portabilidade).

Além disso, áreas como contábil e fiscal têm obrigações próprias de retenção plurianual (5 anos para matéria tributária, por exemplo) que o retention nativo do Microsoft 365 não foi desenhado para cumprir com a granularidade e a auditabilidade exigidas em processos de eDiscovery e resposta a requisições judiciais.

Um caso ilustrativo: a Cyrela foi a primeira empresa brasileira condenada judicialmente sob a LGPD, com indenização de R$ 10 mil por uso indevido de dados de cliente. Valor individual baixo, mas o precedente jurídico multiplicou os processos análogos contra grandes empresas. Em ambiente corporativo, o risco real não é o caso isolado — é o efeito cumulativo.

Quais são as melhores ferramentas de backup para Microsoft 365 em 2026?

Depois de implementar projetos em clientes de diversos portes, nossa visão consultiva é que não existe “melhor ferramenta” absoluta — existe a melhor ferramenta para o seu contexto de volume, regulação e maturidade de TI. Entre as soluções consolidadas no mercado em 2026:

  • Veeam Backup for Microsoft 365: forte cobertura, modelo de licenciamento previsível por usuário, ampla base instalada no Brasil.
  • Acronis Cyber Protect: boa para ambientes menores e cenários com necessidade de antiransomware integrado.
  • AvePoint Cloud Backup: atenção à granularidade em SharePoint complexo e governança de permissões.
  • Druva: arquitetura cloud-native, interessante para empresas que buscam SaaS puro sem gerenciar storage próprio.
  • Hornetsecurity 365 Total Backup: alternativa competitiva para MSPs e PMEs.

Os critérios que realmente importam na escolha: cobertura dos workloads (Teams, Power Platform, Entra ID), modelo de imutabilidade, velocidade real de restauração testada, suporte em português com SLA claro, conformidade com ISO 27001 e ANPD, e transparência no modelo de custo à medida que o tenant cresce.

Como testar se o backup do Microsoft 365 realmente funciona?

Backup que nunca foi testado não é backup — é esperança. Um erro comum que encontramos em auditorias: empresa paga pela licença há três anos, nunca fez uma restauração real e descobre, no dia do incidente, que o job falhava silenciosamente desde 2024.

Rotina mínima recomendada:

  • Teste trimestral de restore granular: recuperar um e-mail específico, um arquivo específico, um site do SharePoint inteiro.
  • Teste semestral de restore em escala: simular a perda de um departamento inteiro e medir tempo real até retomada.
  • Teste anual de cenário de ransomware: simulação com cópia imutável, validando se o restore consegue partir de um ponto anterior ao comprometimento.
  • Dossiê de evidências: registrar cada teste com logs, horários e responsáveis — documentação que vira prova em auditoria.

O que fazer em caso de ransomware no Microsoft 365?

A sequência importa mais do que as ferramentas. Com base em atendimentos reais em clientes brasileiros:

  1. Isolamento imediato: desabilitar sessões ativas no Entra ID, revogar tokens, suspender sincronização do OneDrive nos endpoints afetados.
  2. Diagnóstico de escopo: identificar quais contas foram comprometidas, a janela temporal do ataque e quais workloads foram atingidos (e-mail, SharePoint, OneDrive).
  3. Comunicação: acionar DPO/encarregado LGPD, jurídico e, se necessário, ANPD no prazo regulatório.
  4. Restauração a partir do backup imutável: identificar o express restore point anterior ao ataque e executar a restauração em massa pelas ferramentas de terceiros.
  5. Postmortem técnico: revisão de políticas de Conditional Access, MFA, privilégios administrativos e análise de causa raiz — não adianta restaurar o ambiente para a mesma configuração que foi comprometida.

Checklist final: sua empresa está preparada?

Existe uma solução de backup do Microsoft 365 independente do tenant?

O backup inclui Teams, Exchange, SharePoint, OneDrive e (idealmente) Power Platform?

Há pelo menos uma cópia imutável em storage com WORM ou object lock?

RPO e RTO foram formalmente acordados com as áreas de negócio?

Testes de restauração são executados e documentados ao menos trimestralmente?

O prazo de retenção atende às obrigações fiscais, trabalhistas e LGPD?

Existe runbook documentado para cenário de ransomware?

O DPO participa da governança do backup?

Se você marcou menos de seis itens, há lacunas relevantes a tratar antes do próximo ciclo de auditoria.

Perguntas frequentes (FAQ)

A Microsoft faz backup dos dados do Microsoft 365? Não. A Microsoft garante disponibilidade da plataforma e redundância de infraestrutura, mas a responsabilidade pela recuperação de dados em casos de exclusão acidental, ransomware ou exigência legal é do cliente.

Qual é o prazo de retenção nativo do Microsoft 365? O Exchange Online mantém itens deletados por 14 dias (configurável até 30). O SharePoint e o OneDrive mantêm por 93 dias em lixeira de dois estágios. Após esse período, os dados podem ser eliminados permanentemente.

O Microsoft 365 Backup nativo substitui backup de terceiros? Não substitui. É uma camada útil de recuperação rápida dentro do perímetro Microsoft, mas não cobre Teams, Power Platform nem configurações de tenant, e não oferece isolamento lógico em relação ao próprio provedor.

Backup do Microsoft 365 é obrigatório pela LGPD? A LGPD não exige backup pelo nome, mas o Art. 46 obriga o controlador a adotar medidas técnicas de segurança adequadas. Em incidentes que resultem em perda irreversível de dados pessoais, a ausência de backup pode configurar falha de conformidade.

Qual é o RPO ideal para o Microsoft 365? Para áreas críticas, recomenda-se RPO de 1 a 4 horas. Para operações padrão, 8 a 24 horas. O número correto depende do impacto financeiro e regulatório de cada hora de dado perdido.

É possível fazer backup do Microsoft Teams? Sim, mas com ressalvas. Mensagens do Teams ficam no Exchange; arquivos, no SharePoint e OneDrive. Poucas ferramentas fazem backup completo da estrutura de canais, configurações e aplicativos — verifique a cobertura real com o fornecedor.

Quanto tempo leva para restaurar um tenant grande? O Microsoft 365 Backup opera na faixa de 1 a 3 TB por hora. Soluções de terceiros variam, mas a velocidade real de restore em cenários de desastre deve ser testada, não assumida.

Qual é a melhor ferramenta de backup para Microsoft 365? Não existe resposta única. Veeam, Acronis, AvePoint, Druva e Hornetsecurity são as opções mais consolidadas em 2026. A escolha correta depende do volume de dados, das obrigações regulatórias do setor e da maturidade da operação de TI.