Como bloquear domínios externos no Microsoft Teams

 

Área de tecnologia principal: Security | Identity & Access

Áreas de tecnologia adicional: M365 | Microsoft Teams

Por que bloquear domínios externos no Microsoft Teams é uma prática essencial de segurança

Com a consolidação do Microsoft Teams como principal plataforma de comunicação corporativa, muitas organizações passaram a utilizá‑lo não apenas para colaboração interna, mas também para contato com parceiros, fornecedores e clientes. Esse crescimento trouxe eficiência, porém também ampliou significativamente a superfície de ataque das empresas.

Por padrão, o Microsoft Teams permite que qualquer usuário de qualquer tenant Microsoft 365 inicie conversas com colaboradores da organização, desde que conheça o endereço de e‑mail corporativo. Embora esse comportamento facilite a colaboração espontânea, ele não é adequado para ambientes corporativos maduros, especialmente aqueles que lidam com informações sensíveis, dados regulados ou ativos estratégicos.

A falsa sensação de segurança do “ambiente Microsoft”

Um erro comum é assumir que, por se tratar de comunicação entre tenants Microsoft 365, o risco é automaticamente baixo. Na prática, isso não é verdade.

Hoje, qualquer pessoa pode criar um tenant Microsoft 365 em minutos, com um domínio customizado ou até com domínios gratuitos. Isso significa que:

• Não há garantia de legitimidade do domínio externo
• Não existe validação automática de confiança
• A identidade externa pode ser descartável ou criada apenas para ataque

Ou seja, o Teams deixa de ser apenas uma ferramenta de colaboração e passa a ser também um vetor de engenharia social tão relevante quanto o e‑mail.

Para esta configuração existem alguns Pré‑requisitos:

• Conta com permissão Teams Administrator ou Global Administrator
• Microsoft Teams já ativo no tenant
• Saber exatamente quais domínios devem ser permitidos
• Acesso ao https://admin.teams.microsoft.com

Gerencie domínios externos para esta organização

Isso ativa o controle de federação.

• Se estivesse Desligado, o comportamento seria:
• Nenhum domínio externo permitido
• Nenhuma política aplicada
• Para allow list funcionar, precisa estar ligado.
• Permitir ou bloquear domínios externos

Permitir apenas domínios externos específicos --> Essa é a opção EXATA para federação fechada (allow list).

O comportamento passa a ser:

Domínios na lista → comunicação liberada

1. Qualquer outro tenant Microsoft 365 → bloqueado automaticamente
2. Lembre-se que o controle é sempre por domínio e nunca por pessoal.

Como adicionar uma lista de domínios via PowerShell (Allow List)?

Pré‑requisitos:

1. PowerShell 7+ (recomendado)
2. Módulo MicrosoftTeams
3. Permissão: Teams Administrator ou Global Administrator

O tempo de propagação da configuração nos serviços do Microsoft Teams é de 5 a 15 minutos (onde alguns casos levou até 1 hora). Lembre-se que todos os serviços responsáveis pelos elementos abaixo, precisam atualizar a política:

• Chat
• Presença
• Chamadas
• Reuniões

Principais riscos de manter a federação aberta

Manter o Teams com federação aberta (configuração padrão) expõe a organização a diversos riscos reais:

1. Engenharia social e phishing por chat

Ataques modernos estão migrando do e‑mail para canais mais “confiáveis”, como chat corporativo. Uma mensagem no Teams tende a gerar menos desconfiança do que um e‑mail tradicional.

2. Impersonação de parceiros

Sem controle por domínio, um atacante pode registrar um domínio visualmente parecido com o de um fornecedor legítimo e iniciar conversas diretamente com usuários internos.

3. Assédio corporativo e spam

Usuários podem receber mensagens não solicitadas, abordagens comerciais agressivas ou até tentativas de coerção, sem que a empresa tenha solicitado qualquer interação externa.

4. Vazamento involuntário de informações

Conversas informais levam à troca de informações que não deveriam sair do ambiente corporativo, especialmente quando o usuário não percebe que está falando com alguém externo.

A abordagem correta: federação fechada baseada em confiança

A prática recomendada é inverter completamente o modelo padrão:

Em vez de “permitir tudo e bloquear exceções”, bloquear tudo e permitir apenas o que for explicitamente confiável.

No Microsoft Teams, isso é feito através da configuração de “Permitir apenas domínios externos específicos”, criando uma allow list controlada.

Com esse modelo:

1. Nenhum domínio externo consegue iniciar comunicação por padrão
2. Apenas parceiros previamente avaliados e aprovados conseguem interagir
3. A organização mantém total governança sobre quem fala com quem

Essa abordagem é alinhada aos princípios de Zero Trust, onde nenhuma identidade externa é considerada confiável por default.

Já criei o bloqueio, mas a pessoa continua falando comigo... não funcionou? 

Chat externo já existia antes do bloqueio? Se sim, então não será encerrado imediatamente. 

Quando você muda para “Permitir apenas domínios externos específicos”:

Novas conversas externas com domínios não permitidos → bloqueadas

Conversas externas já existentes possuem cache e levam tempo para serem desconectadas:

• Podem continuar visíveis
• Podem permanecer respondíveis por um tempo
• Nem sempre são encerradas imediatamente

A Microsoft não garante o encerramento imediato de chats federados existentes.

Isso é esperado e documentado como comportamento de propagação + cache.

Ref:

• Set-CsTenantFederationConfiguration (MicrosoftTeams) | Microsoft Learn
• Block domains and addresses in Microsoft Teams using the Tenant Allow/Block List - Microsoft Defender for Office 365 | Microsoft Learn
• Availability and use of Teams apps by different types of users from outside an organization - Microsoft Teams | Microsoft Learn