A Microsoft está adicionando uma camada de proteção mais inteligente às reuniões do Microsoft Teams, voltada para um problema que cresceu de forma silenciosa dentro das organizações: a entrada não supervisionada de bots de inteligência artificial de terceiros em reuniões corporativas.
A Microsoft Teams ganha nova Política Contra Bots, chamada “Gerenciar bots externos e seu acesso às reuniões”, chegou à disponibilidade geral global em junho de 2026 e está sendo implementada nos ambientes Teams de todas as organizações.
A mudança é mais significativa do que um simples botão de configuração, ela representa o reconhecimento da Microsoft de que esses bots se tornaram uma categoria própria de participante de reunião, com riscos específicos que as configurações existentes de sala de espera não conseguiam cobrir adequadamente.
O Problema Que Essa Política Resolve
Para entender o que muda, é preciso entender o cenário atual dentro de qualquer empresa que usa o Teams amplamente. Ferramentas de assistência de reunião de terceiros, como Read.ai, Otter.ai e produtos similares, funcionam através de bots que entram nas chamadas para transcrever o áudio, gerar resumos, identificar falantes e extrair pontos de ação.
Esse tipo de bot não é necessariamente malicioso, mas o dado gerado por ele vai para a infraestrutura da empresa desenvolvedora da ferramenta, fora do ambiente Microsoft 365 da organização, e sujeito às políticas de privacidade de um terceiro.
O que deixava os administradores de TI sem controle era justamente a invisibilidade desse processo. Qualquer participante podia adicionar um bot à reunião, independente do nível de sensibilidade da conversa, e não havia como o organizador ou o administrador saber o que estava escutando.
Reuniões com discussões contratuais, dados de recursos humanos, estratégia executiva ou processos jurídicos podiam ser capturadas por bots cujo destino dos dados estava completamente fora do controle corporativo.
Como Funciona o Novo Recurso

Quando a política está ativada, o Teams detecta automaticamente quando um bot externo tenta entrar em uma reunião. Em vez de ser admitido diretamente, o bot é colocado na sala de espera e identificado com clareza para o organizador, que precisa aprovar explicitamente a entrada antes que o participante automatizado passe a ouvir qualquer coisa.
O detalhe mais relevante para a segurança prática está em uma exceção que a Microsoft tratou explicitamente. Mesmo em reuniões onde os organizadores configuraram a opção de sala de espera para permitir que participantes entrem diretamente, bots identificados por essa política ainda precisarão de aprovação antes de serem admitidos. Ou seja, o bypass de lobby que vale para participantes humanos não vale para bots detectados.
Na prática, quando um bot tenta entrar, o organizador o vê separado dos participantes humanos em uma seção identificada como ameaças suspeitas, com um indicador de confiança não verificada. A decisão de admitir, negar ou remover o bot fica exclusivamente com o organizador ou co-organizador.
A Aposentadoria do Sistema CAPTCHA
Uma mudança que acompanha esse lançamento é a aposentadoria da política anterior chamada “Exigir verificação por participantes”, que funcionava por meio de CAPTCHA para filtrar entradas suspeitas em reuniões. Esse sistema está sendo descontinuado e será removido completamente do centro de administração do Teams até o fim de agosto de 2026.
O CAPTCHA, sigla do inglês “Completely Automated Public Turing test to tell Computers and Humans Apart”, é um mecanismo de verificação que solicita ao usuário completar um desafio, como identificar imagens ou digitar texto distorcido, para provar que não é um robô.
Essa abordagem, embora funcional em sites, era inadequada para o ambiente de reuniões corporativas, onde a dinâmica é diferente e onde o problema não é distinguir humanos de bots genéricos, mas sim gerenciar bots específicos com propósitos definidos.
O Que os Administradores Podem Configurar
A política fica disponível no Centro de Administração do Teams em Reuniões > Políticas de reunião. Ela pode ser atribuída a usuários individuais ou a grupos específicos dentro da organização, dando flexibilidade para aplicar controles mais rígidos em departamentos sensíveis enquanto mantém configurações mais abertas em outros contextos.
A Microsoft recomenda como boa prática que a configuração de sala de espera “Quem pode admitir do lobby” seja definida para organizadores e co-organizadores apenas, impedindo que qualquer participante inadvertidamente libere a entrada de um bot sem a ciência do responsável pela reunião.
Próximos Controles Administrativos Planejados
A Microsoft sinalizou que essa é a primeira camada de uma estrutura mais ampla de governança para bots em reuniões. Entre os controles adicionais planejados estão listas de permissão para bots aprovados pela organização, políticas para bloquear completamente bots externos, relatórios administrativos, registros de auditoria sobre detecção e presença de bots e controles mais granulares alinhados a diferentes perfis de segurança.
- Ofertas na Amazon
O Contexto de Segurança Mais Amplo no Teams
Esse recurso não chega de forma isolada. Nos últimos meses, a Microsoft adicionou uma série de proteções ao Teams em resposta ao uso crescente da plataforma como vetor de ataques de engenharia social.
Em dezembro passado, a empresa liberou para administradores a capacidade de bloquear usuários externos do Teams pelo portal Defender, visando impedir que grupos criminosos, incluindo operadores de ransomware, abusem da plataforma para se aproximar de funcionários se passando por suporte de TI.
Em janeiro, o Teams recebeu alertas de falsificação de identidade de marca em chamadas, notificando usuários quando alguém externo tenta se passar por uma organização confiável. No mesmo período, a Microsoft anunciou um recurso de denúncia de chamadas, que permite sinalizar ligações suspeitas como possíveis tentativas de phishing.
Mais recentemente, em abril, a Microsoft emitiu um alerta específico sobre o uso crescente da colaboração externa do Teams por invasores que se passam por funcionários de suporte técnico. A tática consiste em contatar funcionários por chats entre organizações, convencê-los a conceder acesso remoto ao computador e, a partir daí, roubar credenciais e dados.
O denominador comum de todas essas medidas é o mesmo: o Teams cresceu tanto como canal de comunicação corporativa que se tornou alvo primário para quem busca comprometer organizações. Tratar cada conversa como potencialmente monitorada e cada participante desconhecido como potencialmente malicioso deixou de ser paranoia e passou a ser política de segurança básica.
Por Que Isso Importa Para Além da Cibersegurança
Além do risco de ataques maliciosos, o novo recurso aborda um problema de conformidade regulatória que muitas organizações ainda não resolveram.
Empresas em setores como saúde, serviços financeiros e direito estão sujeitas a regras específicas sobre onde dados de conversas podem ser armazenados e quem pode acessá-los. Um bot de transcrição de terceiro que envia o áudio de uma reunião médica para um servidor fora do ambiente corporativo pode representar uma violação de conformidade independente de qualquer intenção maliciosa envolvida.
Ao dar ao administrador de TI visibilidade e controle sobre quais bots estão entrando em reuniões, a Microsoft está endereçando tanto o risco de segurança quanto o risco de conformidade em uma única política.
Entendendo os Termos Técnicos Mencionados
Bot de reunião: programa automatizado que entra em uma videoconferência como se fosse um participante para executar funções específicas, como transcrição, gravação ou geração de resumos. Diferente de um participante humano, opera de forma autônoma e pode processar o áudio da reunião em servidores externos.
Sala de espera (Lobby): área virtual onde participantes aguardam antes de entrar em uma reunião, permitindo que o organizador revise e aprove cada entrada antes de liberar o acesso ao conteúdo da chamada.
Engenharia social: técnica de ataque que explora comportamento humano em vez de vulnerabilidades técnicas, convencendo vítimas a tomar ações prejudiciais como revelar senhas ou conceder acesso a sistemas.
Ransomware: tipo de software malicioso que criptografa dados da vítima e exige pagamento em troca da chave de descriptografia.
GCC (Government Community Cloud): ambiente de nuvem da Microsoft destinado a órgãos governamentais e seus parceiros, com requisitos de conformidade e segurança mais rigorosos do que o ambiente comercial padrão.
Considerações Finais
A nova política de detecção de bots no Teams é uma resposta prática a um problema que cresceu junto com a popularização dos assistentes de reunião baseados em inteligência artificial.
O fato de qualquer participante poder adicionar um bot capaz de transcrever toda a conversa para um servidor externo, sem que o organizador ou o administrador soubessem, criou um ponto cego relevante em organizações que investem significativamente em outras camadas de segurança da informação.
A solução adotada pela Microsoft equilibra controle com praticidade, já que bots legítimos aprovados pela organização podem ser incluídos em listas de permissão, evitando que a proteção se torne um obstáculo para ferramentas genuinamente úteis.
A aposentadoria simultânea do sistema CAPTCHA reforça que a empresa está substituindo um mecanismo genérico por uma abordagem específica para o tipo de ameaça que o ambiente corporativo de videochamadas enfrenta hoje.
Fontes Consultadas
BleepingComputer, Microsoft adds smarter bot protection to Teams meetings











