Microsoft | Expert Solutions Microsoft

Exchange Online Está Ficando Mais Seguro (e Seus Scripts Podem Quebrar)

paulo.costa — Tue, 31 Mar 2026 20:44:23 +0000

Você chega no escritório numa segunda-feira, abre o PowerShell, roda aquele script que sempre funcionou e ele falha. Sem aviso prévio, sem e-mail de alerta. Simplesmente parou. Se isso ainda não aconteceu com você, pode acontecer em breve: a Microsoft está implementando pelo menos quatro mudanças significativas no Exchange Online ao longo de 2026 que vão quebrar scripts, integrações e fluxos que funcionam há anos.

A boa notícia? Todas essas mudanças tornam o Exchange mais seguro. A má notícia? Se você não se preparar agora, vai descobrir na pior hora possível.

Neste artigo, vou detalhar cada uma dessas mudanças, explicar o impacto real na sua rotina de administrador e o mais importante mostrar exatamente o que fazer para se proteger antes dos deadlines.

1. Graph API: Seus Apps Não Vão Mais Poder Editar E-mails Recebidos

A mudança mais impactante para desenvolvedores chegou em 24 de março de 2026: a Microsoft anunciou que aplicações que usam a Graph API para modificar propriedades sensíveis de e-mails recebidos (assunto, corpo, destinatários) terão acesso bloqueado.

O que muda na prática?

Hoje, qualquer app com permissão `Mail.ReadWrite` pode alterar e-mails que já foram entregues na caixa de entrada. Isso era usado para classificações automáticas, limpeza de dados e integrações de CRM. A partir de 31 de dezembro de 2026, essas operações exigirão uma permissão específica e mais restritiva: `Mail-Advanced.ReadWrite`.

Por que a Microsoft está fazendo isso?

O conceito é imutabilidade de mensagens. E-mails recebidos são registros que muitas vezes servem como evidência legal ou compliance. Permitir que apps modifiquem esses e-mails silenciosamente cria riscos sérios de integridade de dados.

O que você precisa fazer agora

1. Audite seus apps — No [Azure AD App Registrations](https://entra.microsoft.com/), liste todos os apps com permissão `Mail.ReadWrite` e verifique se algum modifica e-mails recebidos

2. Solicite a nova permissão — Adicione `Mail-Advanced.ReadWrite` aos apps que realmente precisam editar e-mails entregues

3. Teste antes do enforcement — O período de transição vai até 31/12/2026. Não espere dezembro para descobrir que algo quebrou

Fonte: [Upcoming Breaking Changes to Modifying Sensitive Email Properties via Graph API](https://techcommunity.microsoft.com/blog/exchange/upcoming-breaking-changes-to-modifying-sensitive-email-properties-via-graph-api/4505227) — Exchange Team Blog, 24/Mar/2026

2. PowerShell: O Parâmetro -Credential Vai Deixar de Funcionar

Se você administra Exchange Online via PowerShell, provavelmente já usou algo assim:

$cred = Get-Credential

Connect-ExchangeOnline -Credential $cred

Esse padrão está com os dias contados. A Microsoft anunciou a deprecação do parâmetro -Credential no módulo Exchange Online PowerShell. A autenticação básica com credenciais armazenadas simplesmente vai parar de funcionar.

Por que isso importa tanto?

Muitos administradores têm scripts agendados (scheduled tasks, Azure Automation runbooks, pipelines CI/CD) que usam `-Credential` para se conectar automaticamente ao Exchange Online. Quando o parâmetro for removido, todos esses scripts vão falhar silenciosamente.

Como migrar

A solução é migrar para autenticação moderna usando certificados ou managed identities:

# Autenticação via certificado (recomendado para scripts)
Connect-ExchangeOnline `
  -CertificateThumbprint "SEU_THUMBPRINT" `
  -AppId "SEU_APP_ID" `
  -Organization "seudominio.onmicrosoft.com"

# Autenticação interativa (para uso manual)
Connect-ExchangeOnline -UserPrincipalName admin@seudominio.com

Checklist de migração

[ ] Liste todos os scripts que usam `Connect-ExchangeOnline -Credential`

[ ] Crie um App Registration no Entra ID com permissões de Exchange

[ ] Gere e instale um certificado para autenticação

[ ] Atualize cada script para usar `-CertificateThumbprint`

[ ] Teste em ambiente de homologação antes de substituir em produção

Fonte: [Deprecation of the -Credential Parameter in Exchange Online PowerShell](https://techcommunity.microsoft.com/blog/exchange/deprecation-of-the–credential-parameter-in-exchange-online-powershell/4494584) — Exchange Team Blog, Fev/2026

3. EWS Está Sendo Aposentado: Se Você Ainda Usa, É Hora de Correr

O Exchange Web Services (EWS) foi por anos a API principal para integrar com o Exchange. Calendários, e-mails, contatos tudo passava pelo EWS. Mas a Microsoft já vem sinalizando sua aposentadoria há algum tempo, e agora publicou um guia prático de remediação para ajudar organizações a se desligarem do EWS antes do fim.

O risco real

O problema não é seus scripts. O problema é que você pode nem saber que usa EWS. Muitas aplicações de terceiros como sistemas de helpdesk, CRM, backup e assinatura de e-mail usam EWS nos bastidores. Quando o EWS for desativado, essas integrações vão parar.

Como descobrir o que usa EWS no seu tenant

A Microsoft publicou orientações detalhadas de como encontrar e remediar o uso de EWS no seu ambiente. O processo envolve:

1. Verificar logs no Entra ID — Procure sign-ins com o resource “Office 365 Exchange Online” que usam EWS como protocolo

2. Usar o relatório de uso de apps — No Exchange Admin Center, verifique quais aplicações estão fazendo chamadas EWS

3. Contactar fornecedores — Para apps de terceiros, pergunte ao fornecedor se já migraram para a Graph API

4. Migrar código próprio — Substitua chamadas EWS pela [Microsoft Graph API](https://learn.microsoft.com/graph/api/resources/mail-api-overview), que é o sucessor oficial

Não espere o último dia

A tendência é clara: EWS não vai receber novas funcionalidades e a Microsoft está ativamente guiando todos para a Graph API. Quanto antes você fizer o inventário, menor o risco de surpresas.

Fonte: [Notes from the Field: Finding and Remediating EWS App Usage Before Retirement](https://techcommunity.microsoft.com/blog/exchange/notes-from-the-field-finding-and-remediating-ews-app-usage-before-retirement/4496469) — Exchange Team Blog, Fev/2026

4. SMTP DANE e MTA-STS: Segurança de Transporte com Controle Granular

Nem toda mudança é sobre coisas quebrando. Algumas são sobre o Exchange ficando genuinamente mais seguro. Em 10 de março de 2026, a Microsoft anunciou suporte a modos configuráveis de SMTP DANE (DNS-based Authentication of Named Entities) e MTA-STS (Mail Transfer Agent Strict Transport Security) em conectores outbound.

O que isso significa para você?

Antes, o Exchange Online usava criptografia oportunista por padrão: tentava TLS, mas se o servidor destino não suportasse, enviava em texto plano. Agora, você pode escolher entre três modos por conector:

Modo	Comportamento	Quando usar
Opportunistic (padrão)	Tenta DANE/MTA-STS, mas faz fallback se não houver suporte	Comunicação geral
Mandatory	Exige SMTP DANE. Se o destino não suportar, o e-mail não é enviado	Parceiros com SLA de segurança
None	Desabilita verificação DANE/MTA-STS	Troubleshooting ou servidores legados

Na prática

Se você tem parceiros de negócio com quem troca informações sensíveis (jurídico, financeiro, saúde), agora pode criar um conector específico para esses domínios com modo Mandatory, garantindo que os e-mails nunca sejam transmitidos sem criptografia verificada.

Para o restante do tráfego, manter Opportunistic é o caminho mais seguro sem impactar a entrega.

Fonte: [Announcing SMTP DANE & MTA-STS Connector Modes in Exchange Online](https://techcommunity.microsoft.com/blog/exchange/announcing-smtp-dane–mta-sts-connector-modes-in-exchange-online/4501005) — Exchange Team Blog, 10/Mar/2026

5. O Que Mais Está Chegando: IA e Compliance

Além das mudanças que exigem ação imediata, a Microsoft está investindo em duas áreas que vão mudar a forma como administramos o Exchange:

Troubleshooting com IA para Purview

O novo AI-Powered Troubleshooter para Microsoft Purview Data Lifecycle Management usa inteligência artificial para diagnosticar problemas de retenção e compliance automaticamente. Em vez de você vasculhar logs manualmente, a IA identifica a causa raiz e sugere ações corretivas. Isso é especialmente útil para organizações que enfrentam auditorias regulares.

Priority Cleanup V2

A Microsoft está desenvolvendo a segunda versão do Priority Cleanup ferramenta para exclusão urgente de conteúdo em mailboxes (data spillage, conteúdo sensível vazado). O V2 promete velocidade significativamente maior, workflow de aprovação melhorado e experiência de administrador simplificada. A Microsoft está ativamente pedindo feedback da comunidade para priorizar melhorias.

Seu Plano de Ação: O Que Fazer Esta Semana

[ ] Audite seus scripts PowerShell — Procure por `-Credential` no seu repositório de scripts

[ ] Verifique uso de EWS — Consulte os logs do Entra ID para saber quais apps usam EWS

Este mês

[ ] Inventarie apps com Graph API — Liste quais usam `Mail.ReadWrite` e modificam e-mails recebidos

[ ] Inicie migração do -Credential — Crie o App Registration e certificado para autenticação moderna

Até o fim do semestre

[ ] Configure SMTP DANE — Defina modo Mandatory para parceiros de alta segurança

[ ] Solicite `Mail-Advanced.ReadWrite` — Para apps que precisam continuar editando e-mails (deadline: 31/12/2026)

[ ] Elimine dependências de EWS — Migre ou substitua todas as integrações que ainda usam EWS

Conclusão

O Exchange Online em 2026 está mais seguro, mais controlado e mais alinhado com padrões modernos de autenticação e criptografia. Mas segurança vem com responsabilidade: se você não atualizar seus scripts, permissões e integrações, eles vão quebrar.

A boa notícia é que nenhuma dessas mudanças é surpresa. A Microsoft está dando prazos claros e documentação detalhada. O que falta é você bloquear algumas horas na agenda e fazer o inventário.

Comece hoje pelo mais simples: abra seu repositório de scripts e procure por `-Credential`. Se encontrar, você já tem trabalho pela frente.

Fontes

1. [Upcoming Breaking Changes to Modifying Sensitive Email Properties via Graph API](https://techcommunity.microsoft.com/blog/exchange/upcoming-breaking-changes-to-modifying-sensitive-email-properties-via-graph-api/4505227) — Exchange Team Blog, 24/Mar/2026

2. [Deprecation of the -Credential Parameter in Exchange Online PowerShell](https://techcommunity.microsoft.com/blog/exchange/deprecation-of-the–credential-parameter-in-exchange-online-powershell/4494584) — Exchange Team Blog, Fev/2026

3. [Notes from the Field: Finding and Remediating EWS App Usage Before Retirement](https://techcommunity.microsoft.com/blog/exchange/notes-from-the-field-finding-and-remediating-ews-app-usage-before-retirement/4496469) — Exchange Team Blog, Fev/2026

4. [Announcing SMTP DANE & MTA-STS Connector Modes in Exchange Online](https://techcommunity.microsoft.com/blog/exchange/announcing-smtp-dane–mta-sts-connector-modes-in-exchange-online/4501005) — Exchange Team Blog, 10/Mar/2026

5. [AI-Powered Troubleshooting for Microsoft Purview DLM](https://techcommunity.microsoft.com/blog/exchange/ai-powered-troubleshooting-for-microsoft-purview-data-lifecycle-management-now-a/4502744) — Exchange Team Blog, Mar/2026

6. [Give Us Feedback on Faster, Simpler Data Purging for Exchange Online](https://techcommunity.microsoft.com/blog/exchange/give-us-feedback-on-faster-simpler-data-purging-for-exchange-online/4503905) — Exchange Team Blog, 19/Mar/2026

Exchange Server Security Update KB5071876 – Patch de Segurança que Evita Incidente em Produção

paulo.costa — Wed, 04 Feb 2026 21:59:07 +0000

Exchange Server Security Update KB5071876 – Patch de Segurança que Evita Incidente em Produção

Fala Pessoal, tudo bem com vocês? Hoje vou falar um pouco sobre atualizações do Exchange

Quem administra Exchange Server aprende rápido uma coisa: os problemas mais caros não começam grandes.

Normalmente começam com um log estranho, um erro intermitente no OWA ou aquele alerta que aparece e some. Quando você percebe, já virou incidente, auditoria ou aquela ligação fora do horário.

A KB5071876, liberada em dezembro de 2025, entra exatamente nesse cenário. Ela não traz nada “novo”, mas fecha portas que você não quer deixar abertas.

Essa atualização corrige falhas que não quebram o Exchange imediatamente, mas deixam o ambiente vulnerável.

Estamos falando principalmente de:

Elevação de privilégio
Spoofing
Problemas em ambientes híbridos

É o tipo de coisa que fica invisível… até alguém explorar.

Elevação de privilégio: o problema que vira explicação chata

Sem esse patch, existe a possibilidade de um usuário com acesso limitado conseguir mais permissões do que deveria.

Na prática, isso vira:

Acesso indevido
Alteração que ninguém sabe quem fez
A pergunta clássica: “por que o servidor não estava atualizado?”

A KB5071876 fecha essa brecha.

Spoofing: quando os logs deixam de ajudar

Falha de spoofing é traiçoeira.

Tudo parece normal, mas:

Identidade pode ser falsificada
Logs ficam pouco confiáveis
Autenticação começa a ter comportamento estranho

Quando você realmente precisa investigar algo sério, percebe que o ambiente não está tão confiável assim.

Ambiente híbrido instável também cansa

Se você ainda tem Exchange integrado com Skype for Business, já deve ter visto:

Um dia funciona
No outro, OWA falha
Logs que não ajudam muito

Essa atualização corrige um problema específico nesses cenários híbridos dedicados. Não é nada espetacular, mas para de quebrar.

Por que aplicar agora (e não deixar pra depois)

A dor não é aplicar o patch. A dor é ter que:

Parar tudo para investigar incidente
Explicar falha em auditoria
Resolver problema sob pressão

Esse patch não melhora performance nem muda interface. Ele reduz risco — e isso já basta.

Aplicação: o básico bem feito

Nada fora do padrão do Exchange:

Backup antes (sempre)
Aplicar a atualização
Reiniciar o servidor
Validar os serviços

Se você já aplica CU, isso aqui é rotina.

Rodar o Health Checker

.\HealthChecker.ps1 -BuildHtmlReport

Não podemos esquecer do Health Checker rsrs

Checklist rápido pós-patch

Serviços do Exchange rodando
OWA abrindo normalmente
Outlook conectando
Logs sem erro estranho
Integrações híbridas funcionando

Se passou por isso, dá pra seguir tranquilo.

Fechando

A KB5071876 não é empolgante.
Mas ela cura dores clássicas de quem administra Exchange:

Incidente de segurança
Auditoria chata
Ambiente híbrido instável
Investigação que começa tarde demais

É aquele patch que você aplica hoje pra não perder tempo amanhã.

Monitore Logon e Logoff no Windows com PowerShell – Versão Melhorada

paulo.costa — Tue, 30 Sep 2025 11:39:57 +0000

Fala pessoal, tudo bem com vocês?

No post anterior eu mostrei como usar PowerShell para monitorar e automatizar serviços do Windows.

Agora eu trago uma versão melhorada e mais completa, voltada para quem precisa auditar logons e logoffs de usuários, seja em servidores ou estações de trabalho.

O que essa versão traz de novo

Com esse script você vai conseguir:

Coletar eventos de Logon (4624), Logoff (4634) e Logoff de usuário (4647).
Definir a quantidade de dias que deseja analisar.
Gerar relatórios em dois formatos:
- CSV – perfeito para Excel ou Power BI.
- HTML – visual limpo e pronto para abrir no navegador.
Obter informações importantes como:
- Data do evento
- Usuário
- Tipo de logon
- Máquina de origem

Tudo isso de forma automatizada, com mensagens claras durante a execução.

Requisitos

Antes de rodar, verifique:

PowerShell 5 ou superior (já vem no Windows 10/11 e Windows Server 2016+).
Executar como Administrador (o log de segurança exige permissão elevada).

Como usar

Copie o script abaixo e salve como, por exemplo: C:\\Scripts\\Relatorio-LogonLogoff.ps1
Abra o PowerShell como Administrador.
Execute: .\\Relatorio-LogonLogoff.ps1
Informe o número de dias de eventos que deseja coletar.
O script cria a pasta: C:\\Temp\\LogonLogoff E salva lá os relatórios:
- Relatorio-Logonlogoff.csv
- Relatorio-Logonlogoff.html

Script

Write-Host "Iniciando coleta de eventos de Logon/Logoff..." -ForegroundColor Cyan

try {
    [int]$Dias = Read-Host "Quantos dias de eventos você deseja coletar?"
}
catch {
    Write-Host "Entrada inválida. Por favor, insira um número inteiro (ex: 10)." -ForegroundColor Red
    return
}

$OutputFolder = "C:\\Temp\\LogonLogoff"
$OutputCsv = "$OutputFolder\\Relatorio-Logonlogoff.csv"
$OutputHtml = "$OutputFolder\\Relatorio-Logonlogoff.html"

$ReportDate = Get-Date -Format "dd/MM/yyyy HH:mm:ss"
$ComputerName = $env:COMPUTERNAME
$ReportCreator = $env:USERNAME

Write-Host "Verificando/Criando o diretório de saída: $OutputFolder" -ForegroundColor Blue
if (-not (Test-Path $OutputFolder)) {
    try {
        New-Item -Path $OutputFolder -ItemType Directory -Force | Out-Null
        Write-Host "Diretório '$OutputFolder' criado com sucesso!" -ForegroundColor Green
    }
    catch {
        Write-Host "Erro ao criar o diretório. Por favor, verifique suas permissões." -ForegroundColor Red
        return
    }
}

Write-Host "Buscando eventos dos últimos '$Dias' dias..." -ForegroundColor Blue
Write-Progress -Activity "Coletando eventos..." -Status "Isso pode levar alguns minutos..." -PercentComplete 10

try {
    $Events = Get-WinEvent -FilterHashtable @{
        LogName   = 'Security'
        Id        = 4624, 4634, 4647
        StartTime = (Get-Date).AddDays(-$Dias)
    } | Select-Object @{Name='Data do Evento'; Expression={$_.TimeCreated}},
        Id,
        @{Name='Usuário'; Expression={$_.Properties[5].Value}},
        @{Name='Tipo de Logon'; Expression={
            switch ($_.Properties[8].Value) {
                2 { "Interativo (Local)" }
                3 { "Rede" }
                4 { "Batch" }
                5 { "Serviço" }
                7 { "Desbloquear (Tela)" }
                10 { "RemoteInteractive (RDP/Terminal)" }
                default { "Outros" }
            }
        }},
        @{Name='Máquina de Origem'; Expression={$_.Properties[11].Value}}

    Write-Progress -Activity "Coletando eventos..." -Status "Coleta concluída. Salvando relatórios..." -PercentComplete 50

    $Events | Export-Csv -Path $OutputCsv -NoTypeInformation -Delimiter ';'
    Write-Host "Relatório CSV salvo em: $OutputCsv" -ForegroundColor Green

    $HtmlHeader = @"

    Relatório de Logon/Logoff dos últimos $Dias dias
    

"@
    $HtmlBody = @"

    
        Relatório de Logon/Logoff dos últimos $Dias dias
        Relatório Gerado em: $ReportDate
        Computador: $ComputerName
        Criado por: $ReportCreator
    
"@

    $EventsHtmlTable = $Events | ConvertTo-Html -As Table -Fragment
    $HtmlContent = "" + $HtmlHeader + $HtmlBody + $EventsHtmlTable + ""
    $HtmlContent | Out-File -FilePath $OutputHtml -Encoding UTF8

    Write-Host "Relatório HTML salvo em: $OutputHtml" -ForegroundColor Green
    Write-Progress -Activity "Coletando eventos..." -Status "Relatórios prontos!" -PercentComplete 100
    Start-Sleep -Seconds 2
}
catch {
    Write-Host "Ocorreu um erro ao coletar os eventos. Verifique se o script está rodando como Administrador e se você tem eventos de segurança disponíveis." -ForegroundColor Red
}

Resultado

O relatório em HTML final traz uma tabela bem organizada com todos os eventos coletados, pronta para:

consulta rápida,
envio em relatórios internos,
ou até integração em um processo de auditoria.

Conclusão

Esse script deixa o processo de auditoria de logon/logoff muito mais simples e visual.

Se você já faz esse tipo de análise no dia a dia, pode usar essa versão como base e adaptá-la conforme a sua necessidade.

E aí, o que vocês acharam dessa versão melhorada?

Deixem nos comentários como vocês fazem o monitoramento de logon/logoff no ambiente de vocês!

Certification Weeks Microsoft & Fast Lane: Treinamento gratuito + Certificação oficial!

paulo.costa — Fri, 29 Aug 2025 16:35:21 +0000

Certification Weeks Microsoft & Fast Lane: Treinamento gratuito + Certificação oficial!

A Microsoft, em parceria com a Fast Lane, está oferecendo a oportunidade perfeita para quem deseja elevar a carreira em TI: treinamentos intensivos, online e gratuitos, com direito a voucher oficial de exame de certificação Microsoft.

Datas e Trilhas Disponíveis

Cloud, AI & Security: 22–26 de setembro
AI Business Solutions: 29 de setembro–3 de outubro

Pré-requisitos para participar

Trabalhar em uma empresa parceira Microsoft
Usar e-mail corporativo no cadastro (ex.: @empresa.com.br)
Participar de todas as sessões ao vivo (gravações não contam para o voucher)
Concluir os labs práticos disponibilizados pela Skillable
Apenas 1 voucher por pessoa

Como funciona na prática

Inscreva-se na trilha desejada:
- Cloud & Security
- AI Business Solutions
Participe das aulas ao vivo durante a semana do evento
Conclua os laboratórios práticos (Skillable) — acesso por 30 dias
Receba o voucher gratuito por e-mail após validação
Agende seu exame oficial Microsoft e conquiste a certificação

Por que vale a pena?

Capacitação com instrutores especialistas
Conteúdo atualizado sobre Azure, AI, Segurança, Power Platform, Dynamics 365 e muito mais
Hands-on labs para fixação prática
Certificação oficial que agrega valor ao currículo