Objetivo
Este guia orienta usuários a compreender e avaliar solicitações de acesso feitas por aplicativos externos no Microsoft 365, garantindo segurança e conformidade.
1. Entendendo a tela de permissões
Quando um aplicativo solicita acesso, o Microsoft 365 exibe a tela “Permissões solicitadas”. Nela, você verá:
• Nome do aplicativo • Organização desenvolvedora • Lista de permissões solicitadas
2. Permissões comuns solicitadas
Os aplicativos podem pedir diferentes tipos de acesso, como:
a) Ler e-mails do usuário Permite que o app leia sua caixa de correio. Impacto: acesso direto ao conteúdo dos e-mails. b) Manter acesso aos dados concedidos Mesmo quando você não estiver usando o app, ele poderá continuar acessando os dados autorizados. Impacto: persistência de acesso, sem novas permissões adicionais. c) Entrar e ler perfil do usuário Permite login no app e leitura de informações básicas do perfil. Impacto: acesso a dados de identidade (nome, e-mail, etc.).
3. Como avaliar se deve conceder
Antes de aceitar: • Verifique a legitimidade do aplicativo: confirme se é realmente necessário para seu trabalho. • Confirme a empresa desenvolvedora: o selo de verificação aumenta a confiabilidade. • Analise os riscos: leitura de e-mails é uma permissão sensível. • Consulte o time de TI ou segurança: em caso de dúvida, peça validação antes de conceder.
4. Passo a passo para conceder ou negar
1. Leia atentamente cada permissão. 2. Se concordar, clique em Aceitar. 3. Se não estiver seguro, clique em Cancelar e informe ao suporte interno. 4. Documente a decisão, caso seja exigência da política interna de segurança.
5. Boas práticas de segurança
• Conceda acesso apenas a aplicativos necessários. • Nunca aceite permissões sem entender o impacto. • Revise periodicamente os aplicativos conectados à sua conta. • Em caso de suspeita, entre em contato com o Suporte de TI imediatamente.
Configuração de E-mails da Microsoft no Sistema Multidados
A Multidados possui dois aplicativos de integração com a Microsoft:
Um aplicativo verificado pela Microsoft Um aplicativo não verificado
O uso do aplicativo verificado é altamente recomendado, pois garante maior confiabilidade, segurança e evita alertas de risco no momento da autenticação.
Orientação: Para utilizar o aplicativo verificado corretamente, é necessário abrir uma OC (Ocorrência) junto ao Suporte, solicitando a configuração adequada no ambiente do cliente.
O uso do aplicativo não verificado pode funcionar, porém não é recomendado para ambientes produtivos.
Este documento foi montado para explicar como são configuradas as caixas de E-mail do provedor Office 365 em nosso Sistema.
Atualmente, a comunicação com a Microsoft deve ser realizada utilizando autenticação moderna (OAuth 2.0), que é o padrão recomendado pela Microsoft por oferecer maior segurança e controle de acesso.
A autenticação básica (usuário e senha) não é mais recomendada, pois apresenta riscos elevados de segurança e pode não funcionar corretamente em ambientes mais recentes.
A primeira configuração que devemos fazer é autorizar a comunicação entre o Sistema e o provedor. Para isso, foi criada uma nova página para podermos cadastrar os dados da conta de administrador vinculada às caixas que serão cadastradas para SMTP ou IMAP.
Caso utilizem mais de um domínio e conta de administrador, será necessário cadastrar todas as contas de administrador que estão utilizando nessa tela que ilustrarei abaixo:
“CRM\Servicedesk > Parametrizações > Autorização E-mail Microsoft”
A página deve ser habilitada para o Perfil de Acesso que ficará responsável pela configuração. A opção fica disponível na aba “Permissões”:
Após salvar e ‘relogar’ no Sistema, o botão ficará disponível para clicar, redirecionando o operador à página onde são feitas as configurações de administrador.
Atenção!
Antes de autenticar a conta você deve garantir que não está ‘logado’ com nenhuma conta Office 365 no navegador que está utilizando. Depois de realizar a autenticação, conforme o 3º item abaixo, você deve ‘deslogar’ dessa conta e partir para a próxima, lembrando que sempre ao clicar nesse botão “Autenticação com Microsoft”, tanto nessa tela, quanto na tela “E-mail SMTP”, você não pode estar logado com uma conta em seu navegador. Ao acessar a página e clicar em “Adicionar” você será direcionado à tela abaixo:
Ao acessar a tela, podemos notar a presença de 3 opções:
1- O campo “Nome”: Pode ser preenchido com o nome do domínio que estão autenticando. A informação desse campo é obrigatória para concluir o cadastro; 2- O campo “ID do locatário Microsoft”: Essa nova informação requerida, permite com que haja uma comunicação do CRM com a conta Microsoft. Abaixo mostrarei como encontrar essa informação na plataforma da Azure; 3- O botão “Autenticação com Microsoft”: Após preencher o campo do ID, é necessário ‘logar’ na tela aberta ao clicar nesse botão, com a conta de Administrador vinculada as caixas cadastradas e conceder as permissões necessárias. No final, clique em salvar. Seguem abaixo instruções de como encontrar o ID do locatário na conta de administrador, dentro do portal da Azure:
Utilizar o dado informado acima para preencher o campo no CRM.
Após dar o consentimento com a conta de administrador nessa tela e salvar, a coluna “Autorizado com Sucesso” deverá ficar da seguinte maneira:
Dadas as permissões para a comunicação na tela acima, podemos prosseguir com as configurações das caixas que irão utilizar para SMTP e IMAP. Essas são realizadas na seguinte página:
“CRM\Servicedesk > Parametrizações > E-mail SMTP”
Ao acessar a página e clicar em “Adicionar” você será direcionado à tela abaixo:
Nessa tela temos algumas opções:
1. Flag “Envio de emails habilitado para esse SMTP”: Essa flag é muito importante. Se ela estiver desabilitada o Sistema entende que esse é um cadastro de IMAP e se estiver habilitada é entendida como um cadastro de SMTP. Caso utilizem a mesma caixa tanto para IMAP quanto para SMTP, é necessário realizar dois cadastros dessa caixa, um com a flag habilitada e o outro com a flag desabilitada;
2. Flag “SMTP Padrão para envio”: Essa flag deve ser marcada caso deseje que essa caixa seja utilizada como padrão para o envio de SMTPs. Só é possível ter uma caixa com essa flag habilitada e caso não tenha nenhuma o Sistema entenderá o primeiro cadastro como o padrão para realizar os envios;
3. Flags “Utiliza SMTP”, “Precisa de Autenticação” e “Conteúdo HTML”: Essas flags geralmente habilitamos por padrão;
4. Campo “Endereço SMTP”: Nesse campo deve ser colocado o nome do ‘host’ que fará a comunicação. Ex: smtp.office365.com / outlook.office365.com;
5. Campos “Usuário” e “Endereço de envio (FROM): Nesses campos inserimos o usuário usado para fazer o ‘login’ nessa caixa;
6. Campo “Senha para autenticação”: Nesse campo é inserido a senha utilizada para fazer ‘login’ nessa caixa;
7. Campos “Porta” e “Prefixo de Segurança”: Configurar a porta e o prefixo conforme orientações de seu provedor. Deixo abaixo as configurações padrão disponibilizadas pela própria Microsoft;
8. O botão “Autenticação com Microsoft”: Ao clicar no botão é necessário ‘logar’ com a caixa que está cadastrando nessa tela para conceder as permissões. Lembre-se de sempre clicar no botão sem nenhuma conta ‘logada’ no navegador e também de ‘deslogar’ dessa conta para configurar a próxima caixa.
Como vemos acima, para contas Office 365, por padrão, o envio de SMTPs é realizado pela porta 587 utilizando o prefixo TLS e o recebimento de IMAP é feito pela porta 993 com o prefixo SSL.
Após conceder as permissões com a conta de administrador, e também com as caixas que utilizarão para SMTP e IMAP, a comunicação entre o Sistema e o Provedor de E-mail deverá ocorrer normalmente.
Se for observada alguma anormalidade durante a configuração ou após ter configurado conforme os passos acima, orientamos que abram uma Ocorrência encaminhando o máximo de informações e evidências para que o Suporte possa analisar a situação.
