Montar SquadSolicitar Orçamento

Blog

Nossas últimas novidades
Tempo de Leitura
12
min

Como configurar Meta Business e WhatsApp Embedded Signup

Guia prático para preparar Meta Business, Business Portfolio, app, Facebook Login for Business, WhatsApp Business Platform, permissões, webhook e Embedded Signup com segurança.
01 de julho de 2026

Configurar a WhatsApp Business Platform com Embedded Signup parece uma sequência de telas, mas, na prática, envolve governança de conta, permissões, verificação da empresa, criação de app, OAuth, webhook, token e testes finais.

Este guia serve para o cliente preparar o ambiente Meta antes da integração técnica. A ideia é evitar o cenário mais comum: a empresa entrega senha pessoal, código de 2FA, token ou print sensível por WhatsApp e depois não consegue rastrear quem tem acesso ao canal oficial de atendimento.

A conta Meta, o Business Portfolio, a WhatsApp Business Account e os tokens precisam ficar sob controle da empresa. O desenvolvedor deve receber acesso técnico por convite, papel, app e permissões, não por compartilhamento de senha.

As telas, nomes de menus, exigências de verificação, permissões e fluxos da Meta podem mudar. Use este artigo como roteiro operacional e confirme etapas sensíveis nos links oficiais indicados abaixo.

Acesso rápido oficial:

O que você vai resolver neste guia

Ao seguir este passo a passo, sua empresa conseguirá:

  • preparar ou revisar o Business Portfolio da Meta;
  • confirmar se a empresa tem Página do Facebook, e-mail corporativo e administradores corretos;
  • habilitar autenticação em dois fatores para reduzir risco de tomada de conta;
  • iniciar ou revisar a Business Verification, quando a Meta disponibilizar ou exigir;
  • criar o app no Meta for Developers para uso com WhatsApp;
  • configurar Facebook Login for Business para Embedded Signup;
  • salvar o Configuration ID necessário para a integração;
  • preparar a WhatsApp Business Account ou WABA;
  • conectar número, webhook e token sem expor credenciais;
  • entender quais permissões entram no fluxo;
  • liberar acesso para a X-Apps ou para o desenvolvedor com segurança.

Antes de começar: separe estes dados

Antes de abrir a Meta, reúna:

  • conta pessoal do Facebook de um responsável autorizado pela empresa;
  • acesso administrativo ao Business Portfolio da empresa;
  • Página do Facebook vinculada à empresa, quando aplicável;
  • e-mail corporativo para comunicações e verificações;
  • dados oficiais da empresa para verificação, como razão social, CNPJ, endereço e documentos;
  • domínio ou URL do sistema que receberá o Embedded Signup;
  • número de telefone que será usado no WhatsApp Business Platform;
  • pessoa responsável por aprovar 2FA, verificação, permissões e mudanças sensíveis;
  • endpoint técnico para webhook, quando a integração já estiver em desenvolvimento;
  • local seguro para guardar token, segredo do app, Configuration ID e variáveis de ambiente.

Evite iniciar o fluxo usando conta pessoal de funcionário sem governança. A conta pessoal do Facebook pode ser necessária para acessar o Business Portfolio, mas a propriedade dos ativos deve ficar no portfólio empresarial da empresa.

Entenda os nomes antes de configurar

A Meta usa muitos nomes parecidos. Antes do passo a passo, vale separar os conceitos.

ItemPara que servePonto crítico
Business PortfolioEscopo administrativo dos ativos da empresa dentro da Meta.Deve pertencer à empresa, com administradores corretos e 2FA.
Página do FacebookAtivo público da empresa no Facebook.Pode ser exigida ou útil para validar presença e ativos do negócio.
Meta AppAplicativo criado no Meta for Developers para integrar produtos da Meta.Precisa estar associado ao Business Portfolio correto.
Facebook Login for BusinessConfiguração de login/OAuth usada para autorizar acesso a ativos empresariais.É onde o Embedded Signup usa o Configuration ID.
Configuration IDIdentificador da configuração de login usada no Embedded Signup.Deve ser guardado e usado pela equipe técnica no fluxo de onboarding.
WABAWhatsApp Business Account, conta empresarial do WhatsApp dentro da plataforma.É o ativo que agrupa número, templates, permissões e uso da API.
WebhookURL do sistema que recebe eventos da plataforma, como mensagens e status.Precisa estar em ambiente seguro, validado e monitorado.
Access TokenCredencial usada para chamadas na Graph API/WhatsApp Business Platform.Deve ser tratado como segredo e nunca enviado por canal inseguro.

O que é Embedded Signup

Embedded Signup é o fluxo incorporado que permite conectar uma empresa à WhatsApp Business Platform a partir de uma aplicação ou portal. Em vez de fazer todo o onboarding manualmente, o fluxo orienta o cliente a autorizar o app, selecionar ou criar ativos de WhatsApp e retornar dados que a integração técnica precisa capturar.

Para a empresa, isso reduz atrito. Para o time técnico, isso exige preparação: o app precisa estar configurado, a experiência de login precisa estar correta, permissões precisam fazer sentido, e o sistema precisa saber receber o retorno do fluxo.

Quando a Meta disponibiliza recursos de coexistência, o fluxo pode considerar cenários em que a empresa já usa WhatsApp Business App e precisa conectar uma estrutura existente ao ambiente de plataforma. Mesmo nesses casos, a regra de segurança continua a mesma: nada de senha, token ou código de verificação em conversa solta.

Passo a passo para preparar Meta Business e WhatsApp Embedded Signup

1. Acesse o Business Settings correto

Entre em business.facebook.com/settings com a conta de uma pessoa autorizada pela empresa.

Confirme se você está no Business Portfolio certo. Empresas com mais de uma operação, agência antiga, filial, conta de anúncios ou Página duplicada podem ter vários portfólios. Escolher o portfólio errado pode prender a WABA, o app ou o número em um escopo que não deveria controlar o projeto.

Verifique:

  • nome do portfólio;
  • administradores atuais;
  • ativos vinculados;
  • Página da empresa;
  • restrições ou alertas;
  • autenticação em dois fatores;
  • permissões da pessoa que fará a configuração.

2. Organize administradores e 2FA

Antes de criar app ou conectar número, ajuste a governança básica.

O ideal é que a empresa tenha mais de um administrador confiável no Business Portfolio. Um único administrador cria risco operacional: perda de celular, saída de funcionário, bloqueio de conta pessoal ou falta de acesso em uma etapa crítica.

Habilite autenticação em dois fatores para administradores e pessoas com acesso sensível. A Meta pode exigir 2FA em determinadas ações, e a ausência desse controle pode travar verificações, permissões ou publicações.

3. Vincule a Página da empresa

Se a empresa já tem Página do Facebook, confirme se ela está vinculada ao Business Portfolio correto.

Se a Página estiver em outro portfólio ou sob controle de uma conta antiga, resolva essa titularidade antes de avançar. O mesmo vale para ativos herdados de agências, freelancers ou contas pessoais antigas.

4. Revise a saúde do Business Portfolio

Antes da integração, confira se há restrições, pendências de segurança, problemas de pagamento, alertas de política ou verificação incompleta.

Nem toda conta precisa passar por todas as etapas no mesmo momento, mas um portfólio com restrição pode impedir:

  • criação de app;
  • associação de ativos;
  • solicitação de permissões;
  • uso de recursos avançados;
  • publicação do app em modo live;
  • uso estável do número de WhatsApp.

5. Inicie a Business Verification quando disponível

Acesse a Central de Segurança do Business Portfolio e veja se a verificação da empresa está disponível ou exigida.

Quando a Meta pedir verificação, use dados oficiais e consistentes:

  • razão social;
  • CNPJ;
  • endereço;
  • telefone;
  • site ou domínio;
  • documentos oficiais da empresa.

Evite improvisar dados diferentes dos documentos. Divergência entre nome, endereço, domínio e documento costuma gerar retrabalho.

6. Crie o app no Meta for Developers

Acesse Meta for Developers e crie um app para o projeto.

Durante a criação, selecione uma opção relacionada a conectar-se com clientes pelo WhatsApp ou ao produto WhatsApp, conforme a interface atual mostrar.

Associe o app ao Business Portfolio correto. Essa associação é importante porque permissões, ativos, verificação e publicação dependem do escopo empresarial.

Use nomes claros, por exemplo:

  • xapps-whatsapp-cliente-producao;
  • app-atendimento-whatsapp;
  • portal-cliente-whatsapp-signup;
  • whatsapp-integracao-crm.

Evite nomes genéricos como teste, app novo ou whatsapp 2, principalmente se houver auditoria, revisão de permissões ou troca de equipe.

7. Configure Facebook Login for Business

No app, acesse a área de Facebook Login for Business e crie uma configuração para o fluxo de Embedded Signup.

Essa etapa é importante porque o Embedded Signup usa uma configuração de login para controlar o que o cliente autoriza e quais permissões entram no fluxo.

Ao criar a configuração:

  • selecione WhatsApp Embedded Signup quando a opção aparecer;
  • defina os domínios permitidos;
  • configure URLs de OAuth conforme a aplicação;
  • revise os dados solicitados ao usuário;
  • salve o Configuration ID.

O Configuration ID não é uma senha, mas é um identificador técnico sensível para a integração. Guarde no repositório de configuração, ticket seguro ou documentação interna do projeto. Não deixe perdido em print de tela.

8. Prepare a WhatsApp Business Account

Depois, prepare a WhatsApp Business Account no escopo correto. Ela pode ser criada durante o fluxo ou selecionada se já existir, dependendo do estado da conta e da interface da Meta.

Confirme:

  • nome da WABA;
  • Business Portfolio associado;
  • número de telefone;
  • display name;
  • status de verificação do número;
  • usuários ou pessoas com acesso;
  • permissões do app;
  • templates e limites, quando aplicável.

Se o número já é usado no WhatsApp Business App, avalie com cuidado o fluxo de coexistência ou migração disponível no momento. Não desconecte um número usado em operação real sem plano de transição, teste e janela acordada.

9. Configure o número de telefone

O número de telefone é um ativo crítico. Antes de conectar, confirme:

  • se a empresa controla o chip, linha ou número;
  • se o número pode receber SMS ou ligação, quando a Meta solicitar verificação;
  • se o número já está em uso em outro produto, app, BSP ou WABA;
  • quem aprova a verificação em tempo real;
  • qual será o nome exibido para o cliente final.

Não envie código de verificação por WhatsApp, e-mail ou chat público. Se o código for necessário, faça a etapa em uma sessão acompanhada e pontual.

10. Configure webhook

O webhook é a URL que receberá eventos da WhatsApp Business Platform, como mensagens recebidas, status de envio e mudanças relevantes.

Para o desenvolvedor, o webhook precisa ter:

  • endpoint público com HTTPS;
  • verificação do token de webhook;
  • tratamento de eventos esperados;
  • logs seguros;
  • idempotência para evitar duplicidade;
  • monitoramento de falhas;
  • cuidado para não registrar mensagens, tokens ou dados pessoais além do necessário.

Para o cliente, a decisão principal é garantir que a equipe técnica tenha domínio para configurar e testar o endpoint sem pedir credenciais pessoais da conta Meta.

11. Gere e guarde o access token com segurança

Em algum momento da configuração, a integração precisará de token para chamar APIs da Meta/WhatsApp.

Trate esse token como senha de sistema:

  • não envie token por WhatsApp;
  • não cole token em e-mail;
  • não coloque token em planilha;
  • não tire print com token visível;
  • não coloque token no código-fonte;
  • não faça commit de .env com token real;
  • não exponha token em front-end, app mobile ou extensão de navegador;
  • guarde em secret manager, cofre corporativo ou variável de ambiente segura;
  • rotacione quando houver vazamento, troca de fornecedor ou mudança de escopo.

Se a equipe técnica precisar do token, use um canal seguro de segredo ou configure diretamente no ambiente com acompanhamento.

12. Revise permissões

As permissões mais comuns nesse contexto são:

  • whatsapp_business_management;
  • whatsapp_business_messaging;
  • business_management, quando aplicável.

A Meta documenta essas permissões nos fluxos de WhatsApp Business Platform e Facebook Login for Business. O conjunto exato pode variar conforme app, tipo de integração, revisão, produto usado e modo de operação.

Use o menor conjunto que permita a integração funcionar. Permissão ampla demais aumenta risco e pode dificultar revisão.

13. Solicite Advanced Access ou App Review quando necessário

Durante desenvolvimento, algumas permissões podem funcionar apenas para pessoas com papel no app, ativos de teste ou modo limitado.

Para produção com clientes reais, a Meta pode exigir:

  • App Review;
  • Advanced Access;
  • justificativa de uso;
  • screencast ou explicação do fluxo;
  • app em modo Live;
  • domínio e política de privacidade configurados;
  • testes com contas reais.

Não deixe essa etapa para o dia da publicação. Revisões de plataforma podem exigir ajustes de tela, texto, permissões ou fluxo de consentimento.

14. Coloque o app em Live apenas quando estiver pronto

O modo Live não deve ser tratado como botão final sem validação.

Antes de colocar em Live:

  • confirme app, Business Portfolio e WABA corretos;
  • revise domínios e OAuth;
  • valide webhook;
  • confirme token e permissões;
  • faça teste com número real autorizado;
  • confira logs;
  • confirme fallback de atendimento humano;
  • documente quem mantém a conta e quem mantém a integração.

O que não enviar por WhatsApp ou e-mail

Para liberar acesso à X-Apps ou a qualquer desenvolvedor, não envie:

  • senha da conta pessoal do Facebook;
  • código de autenticação em dois fatores;
  • código de verificação do número;
  • access token;
  • app secret;
  • print com token, chave, telefone parcial e documento sensível;
  • documento societário em conversa aberta;
  • cartão, dados de pagamento ou informações fiscais sem canal apropriado;
  • convite administrativo para pessoa errada;
  • acesso permanente quando uma sessão acompanhada resolve.

O caminho seguro é convite por papel, configuração acompanhada, cofre de segredos e registro claro do que foi concedido.

Checklist final para o cliente

Antes de considerar o ambiente pronto, confirme:

  • Business Portfolio correto selecionado.
  • Administradores revisados.
  • 2FA habilitado para pessoas com acesso sensível.
  • Página da empresa vinculada, quando aplicável.
  • Business Verification iniciada ou concluída quando exigida.
  • App criado no Meta for Developers.
  • App associado ao Business Portfolio correto.
  • Facebook Login for Business configurado.
  • Configuration ID salvo.
  • Domínios e OAuth revisados.
  • WABA criada ou selecionada.
  • Número de telefone controlado pela empresa.
  • Webhook configurado e testado.
  • Access token guardado em local seguro.
  • Permissões revisadas.
  • Advanced Access ou App Review encaminhado quando necessário.
  • App colocado em Live apenas depois dos testes.
  • X-Apps ou desenvolvedor com acesso técnico adequado, sem senha compartilhada.

Quando chamar a equipe técnica

Chame a equipe técnica quando aparecer qualquer uma destas etapas:

  • configuração de OAuth;
  • domínio permitido;
  • webhook;
  • token;
  • permissões;
  • App Review;
  • retorno do Embedded Signup;
  • teste de envio e recebimento;
  • integração com CRM, ERP, helpdesk, chatbot, agente de IA ou painel interno.

Nessas etapas, a decisão técnica afeta segurança, manutenção e funcionamento da operação. Para um projeto de atendimento, vendas ou automação no WhatsApp, a configuração da Meta é só a base. O valor aparece quando a plataforma é conectada aos sistemas certos, com governança, logs, fallback humano e monitoramento.

Se o objetivo é usar WhatsApp como canal de atendimento inteligente, veja também o guia de chatbot com IA e RAG empresarial e o material sobre integração entre ERP e CRM.

Precisa conectar WhatsApp Business Platform ao seu sistema?

Solicite um orçamento para estruturar Meta Business, Embedded Signup, webhook, integrações e governança técnica com segurança.


Fontes oficiais consultadas

Post anterior
Como criar conta na OpenAI Platform e liberar acesso para o desenvolvedor
    Compartilhar

Inscreva-se em nossa newsletter

Posts semelhantes

Tempo de Leitura
4
min
Como transformar sua empresa em uma organização exponencial

Acelere a sua empresa com a X-Apps

Alocar profissionaisSolicitar Orçamento
A X-Apps é um provedor de TI parceiro e aconselhada pelo
Gartner
Receba nossos e-mails
Siga nossas redes sociais
O seu time de TI. Desenvolvimento de software sob demanda e alocação de profissionais.
Vamos conversar?
comercial@x-apps.com.br11 5083-0122

Rua Rodrigo Vieira, 126

Jardim Vila Mariana. São Paulo, SP.

CEP: 04115-060

Mapa do site
Termos de serviçoTermos de privacidade
Available in English