Muitas organizações operam sob a premissa de que o Microsoft 365 protege integralmente seus e-mails, arquivos, sites e conversas do Teams. A realidade contratual é distinta, e está documentada de forma explícita nos próprios termos do serviço.
Dados do relatório The Evolution of Data Protection Cloud Strategies, do Enterprise Strategy Group (ESG), com 381 profissionais de TI responsáveis por decisões de proteção de dados.
Considere três cenários recorrentes no ambiente corporativo. No primeiro, um colaborador exclui acidentalmente um conjunto de contratos armazenados em uma biblioteca do SharePoint. No segundo, um ex-funcionário remove de forma deliberada arquivos do OneDrive e mensagens do Exchange antes de seu desligamento. No terceiro, um ataque de ransomware criptografa arquivos sincronizados pelo OneDrive de uma equipe inteira.
Em todas essas situações, a expectativa natural da organização é acionar o suporte da Microsoft para solicitar a restauração dos dados. É nesse momento que muitas empresas descobrem, frequentemente a um custo elevado, que o provedor não tem condições de recuperar a informação — e que essa responsabilidade nunca lhe coube.
O que a Microsoft garante — e o que não garante
O Microsoft 365 oferece um SLA (Acordo de Nível de Serviço) de 99,9% de disponibilidade mensal, financeiramente respaldado. Trata-se de um compromisso com a disponibilidade do serviço: a garantia de que a plataforma estará acessível e operante. É nesse aspecto que a Microsoft concentra sua infraestrutura global, por meio de redundância e replicação geográfica de servidores.
Disponibilidade, contudo, não se confunde com backup. São conceitos tecnicamente distintos. As condições contratuais do serviço — consolidadas no Contrato de Cliente Microsoft (Microsoft Customer Agreement) e nos Termos de Produtos Microsoft — tornam essa distinção evidente em suas cláusulas de isenção e limitação de responsabilidade:
À exceção das garantias limitadas previstas no contrato e no que for permitido pela legislação aplicável, a Microsoft não oferece nenhuma outra garantia e se isenta de quaisquer garantias expressas, implícitas ou legais, incluindo garantias de qualidade, titularidade, não violação de direitos, comerciabilidade e adequação a uma finalidade específica.
Nenhuma das partes responderá, no limite permitido pela legislação, por danos indiretos, consequenciais, especiais, incidentais ou punitivos, tampouco por perda de receita, lucros cessantes ou interrupção de negócios decorrentes do contrato.
Para produtos licenciados por assinatura, a responsabilidade total e agregada da Microsoft fica limitada ao valor das taxas de assinatura pagas pelo cliente nos doze meses anteriores ao incidente que originou a reclamação. Para serviços fornecidos gratuitamente, esse limite é de US$ 5.000.
As disposições acima integram o Contrato de Cliente Microsoft e o respectivo Acordo de Nível de Serviço (SLA), disponíveis publicamente no site oficial da Microsoft.
Não se trata de interpretação ou de cláusulas de difícil acesso. São disposições expressas, mantidas pela própria Microsoft em seus termos de serviço. A leitura conjunta dessas seções conduz a uma conclusão inequívoca: o contrato não assegura a recuperação de dados perdidos. A responsabilidade por sua proteção é do cliente, e não do provedor.
À Microsoft compete a infraestrutura e a disponibilidade da plataforma. A proteção dos dados — contra exclusão, ataque ou erro humano — é responsabilidade integral da organização contratante.
O modelo de responsabilidade compartilhada
A Microsoft adota, à semelhança dos demais grandes provedores de nuvem, o modelo de responsabilidade compartilhada (shared responsibility model). Nesse modelo, a divisão de atribuições é clara e inegociável:
Tal divisão tem fundamento técnico. A Microsoft não dispõe de meios para distinguir uma exclusão intencional de uma acidental, tampouco para diferenciar um administrador legítimo de um agente que utiliza credenciais comprometidas. Da mesma forma, não há como o provedor preservar dados que o próprio cliente, consciente ou inadvertidamente, determinou que fossem removidos.
É fundamental compreender que replicação não é backup. A redundância geográfica do Microsoft 365 garante a disponibilidade da plataforma, mas um dado excluído ou corrompido é replicado entre os data centers em seu estado excluído ou corrompido.
O que ocorre após a exclusão de um dado
O Microsoft 365 dispõe de janelas nativas de recuperação. Tais janelas, no entanto, são limitadas e, em geral, insuficientes para as exigências de um ambiente corporativo:
| Dado | Janela de recuperação nativa | Após o prazo |
|---|---|---|
| E-mails e itens do Exchange (Outlook) | 14 dias por padrão, configurável até 30 dias | Irrecuperável pela Microsoft |
| Arquivos do SharePoint e OneDrive | 93 dias (lixeiras de 1º e 2º estágio) | Irrecuperável pela Microsoft |
| Caixa de correio de usuário excluído | 30 dias após a remoção da conta | Irrecuperável pela Microsoft |
| OneDrive de usuário excluído | 7 dias (gestor) + 93 dias na lixeira do site collection | Irrecuperável pela Microsoft |
| Microsoft Purview / Litigation Hold (com licença) | Conforme política configurada | Arquivamento legal — não constitui backup operacional |
| Backup independente (terceiros) | Conforme política definida | Restaurável em qualquer ponto no tempo |
A própria documentação da Microsoft é explícita: no SharePoint e no OneDrive, os itens permanecem nas lixeiras por 93 dias contados a partir da exclusão original. No Exchange Online, os itens excluídos da pasta Itens Recuperáveis têm retenção padrão de 14 dias, configurável pelo administrador até o máximo de 30 dias. Decorridos esses prazos, a recuperação não é viável nem mesmo por meio do suporte técnico.
Existe ainda uma janela adicional de 14 dias após o término dos 93 dias do SharePoint/OneDrive, na qual o cliente pode acionar o suporte da Microsoft. Trata-se, porém, de um recurso de disaster recovery: a restauração só pode ser feita no nível de site collection inteiro — jamais de um arquivo, lista ou biblioteca específica —, não há SLA associado e a recuperação não é garantida.
Ao excluir um usuário do Microsoft 365, a caixa de correio associada ingressa em uma janela de apenas 30 dias, e o OneDrive em 7 dias de acesso ao gestor seguidos de 93 dias na lixeira do site collection. Na ausência de transferência prévia de propriedade ou de backup, e-mails e arquivos são permanentemente perdidos após esses períodos.
Principais causas de perda de dados no Microsoft 365
As ameaças à integridade dos dados extrapolam, de forma significativa, as eventuais falhas técnicas do provedor. Segundo o relatório do ESG, a exclusão é a principal causa de perda de dados em ambientes SaaS, distribuída entre exclusão acidental, exclusão maliciosa externa e exclusão maliciosa interna:
Distribuição por causa conforme o relatório do ESG The Evolution of Data Protection Cloud Strategies; os percentuais referem-se às causas de perda de dados em aplicações SaaS.
A Microsoft assegura a disponibilidade do serviço. Não assegura, porém, que os seus dados estarão disponíveis no momento em que forem necessários.
Modelo de Responsabilidade Compartilhada — MicrosoftRansomware no Microsoft 365: como o ataque acontece na prática
Um ponto frequentemente mal compreendido é que o ransomware, em regra, não precisa invadir os servidores da Microsoft para causar impacto no Microsoft 365. O cenário mais comum começa no dispositivo do usuário: um notebook ou desktop comprometido executa o malware localmente, criptografa arquivos armazenados em uma pasta sincronizada pelo cliente do OneDrive e, em seguida, essas alterações são replicadas para a nuvem.
Na prática, o OneDrive pode interpretar a criptografia como uma modificação legítima do arquivo. Assim, um contrato em PDF, uma planilha XLSX, uma apresentação PPTX ou um documento DOCX pode ser substituído por uma versão criptografada, corrompida ou inacessível. Quando esses arquivos estão em bibliotecas do SharePoint ou em pastas do Teams, o impacto deixa de ser individual e passa a afetar equipes inteiras.
Um colaborador tem o OneDrive sincronizado em seu notebook. Após abrir um anexo malicioso, o ransomware criptografa milhares de arquivos locais. Como a sincronização permanece ativa, as versões criptografadas são enviadas à nuvem e passam a substituir os arquivos válidos no SharePoint e no OneDrive.
Esse tipo de incidente pode afetar especialmente arquivos sincronizados com o OneDrive e o SharePoint, como PDF, DOCX, XLSX, PPTX, imagens, arquivos compactados e documentos de engenharia. Embora o histórico de versões e o recurso Restauração de Arquivos ajudem em cenários recentes, eles dependem de configuração adequada, de versionamento ativo e de que o ataque seja detectado dentro das janelas nativas.
| Etapa do ataque | O que ocorre | Impacto para a empresa |
|---|---|---|
| Comprometimento do endpoint | O usuário executa um arquivo malicioso ou tem suas credenciais exploradas. | A estação passa a ser o ponto inicial do incidente. |
| Criptografia local | O ransomware altera arquivos sincronizados pelo OneDrive. | Arquivos válidos são convertidos em versões criptografadas ou corrompidas. |
| Sincronização automática | O OneDrive replica as alterações para a nuvem. | A versão comprometida pode substituir a versão íntegra. |
| Propagação no SharePoint e Teams | Outros usuários acessam os arquivos já criptografados. | O incidente deixa de ser local e passa a afetar áreas inteiras. |
| Extorsão | O invasor exige pagamento ou ameaça divulgar dados previamente copiados. | Além da indisponibilidade, há risco reputacional e regulatório. |
O problema central é a integridade do dado do cliente: se uma alteração maliciosa é sincronizada como se fosse legítima, a organização precisa ter meios de identificar o ponto anterior ao incidente e restaurar os arquivos afetados com consistência.
Ransomware no Microsoft 365 deve ser tratado como um incidente de integridade de dados, e não apenas como um problema de disponibilidade. A plataforma pode permanecer online, o login pode funcionar normalmente e, ainda assim, os arquivos críticos estarem criptografados, corrompidos ou substituídos.
Há ainda uma segunda modalidade de ataque: o comprometimento de contas. Nesse caso, o invasor não depende necessariamente de malware no endpoint. Ele pode usar credenciais roubadas, tokens OAuth ou uma aplicação maliciosa com permissões excessivas no Microsoft Graph para excluir arquivos, exportar dados, alterar compartilhamentos ou remover conteúdos de bibliotecas. Em ataques modernos, esse cenário pode ser combinado com extorsão: primeiro ocorre a cópia dos dados, depois a ameaça de vazamento.
O Litigation Hold e o Purview não constituem solução de backup
Equívoco comum no mercado consiste em tratar a Retenção, o Litigation Hold e os recursos do Microsoft Purview como ferramentas de backup. Não é o caso. São soluções de arquivamento e conformidade, concebidas para retenção de dados associada a compliance, e-discovery e investigações internas. Suas limitações como recurso de proteção operacional são as seguintes:
- Não viabilizam a restauração granular e simples de e-mails ou arquivos individuais ao seu estado original, com a agilidade exigida por um incidente.
- Dependem de licenciamento específico (planos como o Microsoft 365 E3/E5 ou complementos de conformidade).
- Requerem a configuração prévia de políticas de retenção e holds; sem essa configuração anterior ao incidente, a ferramenta não cumpre a finalidade.
- A lixeira não é indexada e, portanto, conteúdos nela não podem ser localizados por um hold de e-discovery.
- Não oferecem proteção contra ransomware que corrompe arquivos sem efetivamente excluí-los.
- Mostram-se adequados para compliance, e-discovery e ao atendimento de obrigações legais de retenção.
Requisitos de uma proteção efetiva do Microsoft 365
Uma estratégia de backup adequada não se limita à confiança nas janelas nativas da Microsoft. Os critérios essenciais a serem observados são os seguintes:
Backup automatizado e diário de Exchange Online, SharePoint, OneDrive e Teams · Armazenamento independente e isolado do tenant Microsoft 365 · Política de retenção configurável, de 30 dias a múltiplos anos · Recuperação granular por e-mail, arquivo, site ou conta · Proteção contra ransomware com imutabilidade das cópias (WORM) · Cobertura de contas desativadas durante o processo de desligamento.
A questão a ser respondida por toda organização
Diante da exclusão acidental de uma conta de usuário-chave, da criptografia de arquivos por ransomware ou da remoção deliberada de bibliotecas compartilhadas por um ex-colaborador, em quanto tempo a organização seria capaz de restaurar tais dados? Com qual nível de granularidade? Com qual garantia de integridade?
Caso a resposta seja incerta ou dependente exclusivamente da Microsoft, há um risco operacional concreto, que deve ser endereçado de forma prioritária.
Fontes e referências
- Contrato de Cliente Microsoft (Microsoft Customer Agreement) — cláusulas de Isenção de Garantias e Limitação de Responsabilidade.
- Acordo de Nível de Serviço dos Serviços Online da Microsoft (SLA) (99,9% de disponibilidade).
- Microsoft Learn — Retenção para SharePoint e OneDrive (93 dias nas lixeiras de 1º e 2º estágio).
- Microsoft Learn — Retenção e exclusão no OneDrive (caixa de correio de 30 dias; OneDrive de usuário excluído de 7 + 93 dias).
- Microsoft Support — Restaurar itens da lixeira do site collection (janela adicional de 14 dias, somente site collection, sem garantia de SLA).
- Microsoft Purview / Litigation Hold e políticas de retenção — recursos de arquivamento e e-discovery, não de backup operacional.
- Enterprise Strategy Group (ESG), The Evolution of Data Protection Cloud Strategies — pesquisa com 381 profissionais de TI responsáveis por decisões de proteção de dados. Dados sobre perda de dados em SaaS, recuperação no Microsoft 365 e causas de perda.