Não, o Microsoft 365 não tem backup no sentido tradicional. A Microsoft oferece redundância geográfica, lixeiras e políticas de retenção, mas não garante recuperação total dos seus dados em caso de exclusão definitiva, ransomware ou erro humano. A responsabilidade pela proteção é do cliente, conforme o modelo de responsabilidade compartilhada.

Guia completo sobre backup do Microsoft 365

Essa é a pergunta que chega com mais frequência em reuniões com clientes, e a resposta costuma surpreender diretores, CIOs e responsáveis pelo jurídico. Em mais de duas décadas implementando projetos de backup para empresas brasileiras, já vimos casos de empresas que descobriram a verdade sobre o backup do M365 apenas depois de perder dados críticos. Se você chegou até aqui, ainda dá tempo de evitar esse cenário.

Por que tantos gestores acham que o Microsoft 365 faz backup?

A confusão é compreensível — e alimentada por três fatores:

O discurso de “nuvem” é interpretado como garantia total. Quando algo está na nuvem da Microsoft, presume-se que esteja protegido contra qualquer eventualidade. Os colaboradores não se preocupam com HD queimado, servidor roubado ou fita magnética danificada. A conclusão equivocada é que, se não existe mais o risco físico, não existe mais o risco de perda.

Redundância geográfica é confundida com backup. A Microsoft replica os dados em múltiplos datacenters para garantir alta disponibilidade. Se um datacenter falha, outro assume. Mas se um colaborador exclui uma pasta por engano, essa exclusão é replicada para todas as cópias de alta disponibilidade. Redundância protege contra falha de infraestrutura. Backup protege contra erros, ataques e exclusões.

As lixeiras dão uma falsa sensação de segurança. SharePoint e OneDrive mantêm lixeiras em dois estágios, e o Exchange tem retenção de itens deletados. O problema é que, segundo dados do setor, o tempo médio entre o comprometimento de dados e sua descoberta passa de 140 dias — muito além do prazo nativo das lixeiras.

O que o Microsoft 365 realmente oferece em termos de proteção?

Vamos separar o que existe do que não existe. A Microsoft disponibiliza:

  • Redundância geográfica com SLA de 99,9% de uptime da plataforma.
  • Lixeira em dois estágios no SharePoint e OneDrive, com retenção padrão de 93 dias.
  • Retenção de itens deletados no Exchange Online (14 dias, configurável até 30).
  • Versionamento de arquivos no SharePoint, que mantém até 500 versões por padrão.
  • Políticas de retenção do Microsoft Purview para atender requisitos de compliance e eDiscovery.
  • Microsoft 365 Backup nativo (lançado em 2024), pago por consumo a US$ 0,15 por GB/mês, cobrindo Exchange, SharePoint e OneDrive.

O que a plataforma não oferece nativamente:

  • Backup independente do tenant, isolado logicamente do próprio provedor.
  • Recuperação de dados após o período de retenção nativo.
  • Proteção contra ransomware que criptografe versões anteriores em escala.
  • Backup completo de Microsoft Teams (apenas arquivos dos canais armazenados no SharePoint são cobertos pelo M365 Backup).
  • Backup de configurações de tenant, políticas de Conditional Access, rótulos de sensibilidade e Entra ID.
  • Backup do Power Platform (Power Apps, Power Automate, Dataverse).
  • Retenção multi-ano com imutabilidade WORM para atender auditorias fiscais e trabalhistas.

Qual é o modelo de responsabilidade compartilhada da Microsoft?

Este é o conceito-chave que todo CIO, CISO e DPO precisa dominar. A Microsoft define com clareza o que é dela e o que é do cliente:

Responsabilidade da Microsoft: segurança física dos datacenters, infraestrutura de rede, disponibilidade da plataforma, criptografia em repouso e em trânsito, patches de sistema operacional dos servidores e proteção contra falhas de hardware.

Responsabilidade do cliente (sua empresa): proteção dos dados, gestão de identidades e acessos, prevenção contra erros de usuários, proteção contra ransomware em escala, configurações de segurança do tenant, conformidade com LGPD, ANPD, auditorias setoriais e backup para recuperação após qualquer cenário de perda.

Traduzindo para o dia a dia: se um colaborador exclui uma pasta do SharePoint com contratos de cinco anos atrás, ou se um ataque de ransomware criptografa o OneDrive de toda a diretoria, quem precisa ter uma cópia recuperável não é a Microsoft — é você.

Quais são os cenários em que o Microsoft 365 não consegue recuperar seus dados?

A experiência de campo é o melhor tutor aqui. Os cenários mais comuns que geram perda definitiva de dados:

Exclusão após prazo de retenção. Um colaborador deleta pastas do SharePoint por engano. Seis meses depois, o financeiro precisa desses arquivos para uma auditoria. As lixeiras de 93 dias já esvaziaram. Os dados foram embora.

Desligamento de funcionário. A conta é removida do Entra ID. Após 30 dias, o OneDrive, o histórico do Teams e a caixa de e-mail são eliminados permanentemente. O novo colaborador que assumiu a vaga não tem acesso ao histórico de contratos, propostas e negociações.

Ransomware com criptografia em massa. O atacante compromete credenciais administrativas e criptografa arquivos no OneDrive sincronizados com endpoints. O versionamento é sobrescrito em escala. Sem backup externo, a empresa tem duas opções: pagar o resgate ou começar do zero.

Configuração equivocada de políticas de retenção. Um administrador altera uma política do Purview e apaga mensagens do Exchange antes do prazo exigido pela Receita Federal. O incidente só é descoberto em uma fiscalização, um ano depois.

Exclusão maliciosa por colaborador. Um funcionário descontente, antes de pedir demissão, apaga deliberadamente documentos estratégicos do SharePoint. Como tem permissão administrativa, também limpa a lixeira. Sem backup, a recuperação é impossível.

Por que a LGPD torna o backup do Microsoft 365 obrigatório na prática?

A Lei Geral de Proteção de Dados não usa a palavra “backup” explicitamente, mas o Art. 46 exige que controladores adotem medidas técnicas aptas a proteger dados pessoais de destruição acidental ou ilícita. Em uma fiscalização da ANPD, a ausência de uma estratégia de backup que permita recuperar dados pessoais após incidente pode ser caracterizada como falha de segurança.

Os números do risco em 2026:

  • Multas administrativas podem chegar a 2% do faturamento anual do grupo econômico, limitadas a R$ 50 milhões por infração.
  • As multas podem ser aplicadas cumulativamente por infração e incluir penalidades diárias.
  • Além da sanção financeira, há risco de publicidade da infração, indenizações por danos morais coletivos e ações individuais.
  • Empresas que não conseguem atender pedidos de titulares (acesso, correção, eliminação, portabilidade) por terem perdido os dados ficam em situação de descumprimento objetivo.

O caso da Cyrela foi a primeira condenação civil sob LGPD no Brasil, com indenização modesta de R$ 10 mil — mas o precedente multiplicou processos similares contra grandes empresas. Em ambiente corporativo com milhares de titulares, o efeito cumulativo é onde mora o risco real.

O Microsoft 365 Backup resolve o problema?

Lançado em disponibilidade geral em 2024, o Microsoft 365 Backup nativo é uma evolução importante, mas tem limitações que precisam estar claras antes de qualquer decisão de compra.

O que ele faz bem:

  • Cobre Exchange Online, SharePoint e OneDrive com RPO de 10 minutos em janelas curtas.
  • Usa armazenamento append-only (só acréscimo), impedindo que um atacante sobrescreva backups existentes.
  • Oferece pontos de restauração expressos para recuperação rápida em cenários de ransomware.
  • Opera dentro do perímetro de segurança da Microsoft, o que simplifica questões de residência geográfica dos dados.
  • Preço transparente de US$ 0,15 por GB/mês sob modelo pay-as-you-go.

O que ele não faz:

  • Não cobre Teams (mensagens), Power Platform, configurações de tenant, Entra ID ou Planner.
  • Mantém os dados dentro do mesmo provedor que você está tentando se proteger — o que não atende à regra 3-2-1 de backup.
  • Tem velocidade de restauração limitada a aproximadamente 1 a 3 TB por hora, o que vira gargalo em tenants grandes.
  • Não oferece isolamento lógico real: se credenciais administrativas forem comprometidas, tanto os dados quanto os backups ficam vulneráveis ao mesmo incidente.
  • O modelo de cobrança por GB pode gerar custos imprevisíveis em tenants com alta taxa de exclusão e versionamento.

A recomendação consultiva da Infob é clara: Microsoft 365 Backup é uma camada útil para recuperação rápida dentro do ecossistema Microsoft, mas não substitui uma solução de backup independente. Idealmente, ele compõe a primeira camada de uma estratégia em três níveis.

Qual a diferença entre Microsoft 365 Backup e soluções de terceiros como Veeam ou Acronis?

Para o gestor que precisa decidir, essa é a comparação mais importante:

Aspecto Microsoft 365 Backup Soluções de terceiros (Veeam, Acronis, AvePoint, Druva)
Local de armazenamento Dentro da infraestrutura Microsoft Externa, sob controle do cliente ou parceiro
Cobertura do Teams Apenas arquivos do canal Mensagens, canais, chats, arquivos
Backup do Entra ID Não Sim (varia por fornecedor)
Velocidade de restore 1-3 TB/hora Até 3-5 TB/hora em soluções otimizadas
Imutabilidade WORM Append-only interno WORM real em storage separado
Modelo de preço Por GB consumido Por usuário ou por GB
Retenção multi-ano Limitada Customizável até compliance legal
eDiscovery dedicado Básico Avançado, com busca granular
Independência do tenant Nenhuma Total

A escolha correta raramente é “ou um ou outro”. Para empresas com obrigações regulatórias pesadas (saúde, financeiro, jurídico, educação), a arquitetura ideal combina: Microsoft 365 Backup para recuperação rápida cotidiana + solução de terceiros com cópia imutável externa para resiliência contra ransomware e compliance de longo prazo.

Quanto custa ter backup do Microsoft 365 em 2026?

Ordens de grandeza reais, considerando o mercado brasileiro no primeiro semestre de 2026:

  • Microsoft 365 Backup nativo: US$ 0,15/GB/mês de conteúdo protegido. Para um tenant com 2 TB ativos, isso equivale a cerca de US$ 300/mês.
  • Soluções de terceiros por usuário: faixa de R$ 15 a R$ 50 por usuário/mês, incluindo storage. Uma empresa com 200 colaboradores investe entre R$ 36 mil e R$ 120 mil por ano.
  • Soluções self-managed (como Veeam on-premises): custo inicial maior de licenciamento + infraestrutura, mas custo marginal por usuário cai conforme o volume.

Contextualizando o investimento: um único dia de operação parada por ransomware em uma empresa de médio porte costuma custar mais do que o valor anual completo de qualquer dessas soluções. Uma multa administrativa mínima da ANPD supera em múltiplas ordens de grandeza o investimento em backup.

Como começar a proteger seu Microsoft 365 hoje?

Para quem está começando do zero, a ordem de prioridades recomendada:

  1. Inventário honesto: mapear quais dados estão no M365, quem tem acesso, quais são críticos para operação e para compliance.
  2. Definir RPO e RTO por área de negócio junto com os decisores, não apenas com a TI.
  3. Avaliar o M365 Backup nativo como primeira camada e calcular o custo real com base no volume do tenant.
  4. Selecionar uma solução de terceiros com base em cobertura, imutabilidade, velocidade de restore e suporte local.
  5. Implementar com cópia imutável off-tenant (WORM ou object lock).
  6. Estabelecer rotina de testes de restore trimestrais, documentados.
  7. Incluir o backup no plano de resposta a incidentes e no programa de governança LGPD.
  8. Revisar anualmente à medida que o tenant cresce e novos workloads são adicionados.

Perguntas frequentes (FAQ)

O Microsoft 365 tem backup incluído na licença? Não. A licença do Microsoft 365 inclui lixeiras, versionamento e retenção, mas não inclui backup. O Microsoft 365 Backup nativo é um serviço separado, cobrado por consumo.

Por quanto tempo o Microsoft 365 guarda os dados deletados? Exchange Online mantém por 14 dias (configurável até 30). SharePoint e OneDrive mantêm por 93 dias em lixeira de dois estágios. Contas de usuários excluídos têm dados removidos após 30 dias.

A Microsoft garante recuperação dos meus dados? Não. A Microsoft garante disponibilidade da plataforma (SLA de 99,9%), mas não garante recuperação de dados perdidos por exclusão, ransomware ou erro humano. Isso está explícito no modelo de responsabilidade compartilhada.

Preciso de backup mesmo usando OneDrive e SharePoint? Sim. OneDrive e SharePoint oferecem sincronização e versionamento, mas não backup independente. Arquivos excluídos após o prazo de retenção ou criptografados por ransomware podem ser perdidos de forma definitiva.

O Microsoft 365 Backup protege contra ransomware? Parcialmente. O Microsoft 365 Backup usa armazenamento append-only, que impede sobrescrita maliciosa. Mas como os dados ficam dentro da infraestrutura Microsoft, uma solução externa adicional aumenta significativamente a resiliência.

Posso fazer backup do Microsoft Teams? Sim, com ressalvas. O Microsoft 365 Backup cobre apenas arquivos armazenados em sites SharePoint associados a canais. Mensagens, chats privados e configurações de canal exigem soluções de terceiros para cobertura completa.

Backup do Microsoft 365 atende à LGPD? Backup é parte da conformidade, não a conformidade completa. Atender à LGPD exige backup + políticas de acesso + criptografia + governança + resposta a incidentes. Sem backup, a empresa fica vulnerável em vários artigos da lei.

Qual a diferença entre retenção e backup no Microsoft 365? Retenção guarda cópias para fins de compliance e eDiscovery, geralmente sem permitir restauração operacional simples. Backup guarda cópias dedicadas à recuperação rápida de dados perdidos, com pontos de restauração no tempo.