Esaminare e sbloccare i moduli o gli utenti individuati e bloccati per potenziale phishing

In Microsoft Forms vengono abilitate le revisioni automatiche dei computer per rilevare in modo proattivo la raccolta dannosa di dati sensibili nei moduli e bloccare temporaneamente tali moduli per evitare la raccolta di risposte. Ulteriori informazioni su Microsoft Forms e la prevenzione proattiva del phishing.

Nota

I passaggi descritti in questo documento si applicano anche a Dynamics 365 Customer Voice (in precedenza noto come Forms Pro). Si noti che è necessario disporre di una licenza di Dynamics 365 Customer Voice per sbloccare i sondaggi di Dynamics 365 Customer Voice.  Altre informazioni.

Esaminare gli avvisi nel portale di Microsoft Defender

Gli amministratori globali o di sicurezza riceveranno avvisi nel portale di Microsoft Defender XDR sui potenziali moduli di phishing per i quali è possibile intervenire.

Nota

Se un amministratore globale ha assegnato un ruolo "Lettore privacy del Centro messaggi", si riceveranno messaggi sulla privacy dei dati per l'organizzazione, incluse le notifiche giornaliere di qualsiasi modulo creato all'interno del tenant rilevato e bloccato per potenziali phishing. Queste notifiche verranno visualizzate nel Centro messaggi cercando le notifiche di phishing di Microsoft Forms. (Se non si visualizza questa notifica nella scheda/visualizzazione Tutti i messaggi attivi è possibile trovarla nella scheda/visualizzazione Messaggi ignorati). Per ciascuna notifica, selezionare il collegamento o i collegamenti URL di revisione dell'amministratore di moduli per esaminare i moduli bloccati.

Per consentire agli amministratori della sicurezza di ricevere notifiche anche su potenziali moduli di phishing, gli amministratori globali dovranno assegnare loro il ruolo con autorizzazioni di lettura della privacy per il Centro messaggi. Per ulteriori informazioni sul Centro messaggi, vedere le domande frequenti. Vedere anche come impostare le preferenze di posta elettronica per i messaggi di privacy dei dati.

  1. Accedere al portale di Microsoft Defender XDR.

  2. Selezionare Eventi imprevisti & avvisi>Avvisi. È possibile che vengano visualizzati uno o tutti i seguenti avvisi per Forms:

    • L'utente non può condividere moduli e raccogliere risposte

    • Modulo contrassegnato e confermato come phishing

    • Modulo bloccato a causa di un potenziale tentativo di phishing

  3. Selezionare un avviso per esaminarlo. Per esaminare il modulo contrassegnato, toccare o fare clic sui tre puntini nell'angolo in basso a destra accanto al pulsante Gestisci avviso, quindi selezionare Rivedi modulo.

    Opzione Rivedi modulo

    Consiglio

    Altre informazioni su criteri di avviso in Microsoft 365.

Sbloccare un modulo o confermare il tentativo di phishing

Per ogni modulo esaminato, è possibile scegliere se sbloccarlo o confermare il phishing.

Sblocca

Selezionare Sblocca se si ritiene che il modulo non abbia finalità dannose.

Nota

Se qualcuno nel tenant richiede di sbloccare un modulo, consigliamo di richiedere informazioni specifiche sul modulo (ad esempio, data e ora del blocco, titolo), in modo tale da identificare efficacemente la notifica nell'interfaccia di amministrazione. Dato che le notifiche vengono inviate su base giornaliera, includendo tutti i moduli rilevati nelle ultime 24 ore, le informazioni d'identificazione del modulo saranno di grande utilità.

Conferma phishing

Selezionare Conferma phishing se si ritiene che il modulo abbia finalità dannose. Il modulo verrà bloccato definitivamente e il proprietario non sarà più in grado di modificarlo o di eliminarlo.

Dopo aver selezionato Conferma phishing,toccare o fare clic su Elimina modulo per eliminare definitivamente il modulo dal tenant. È consigliabile reimpostare immediatamente la password dell’account del tenant che si ritiene compromesso.

Consiglio

La selezione di Conferma phishing consente a Microsoft Forms di migliorare l'accuratezza di dei rilevamenti. 

Domande frequenti

Quando si passa alla revisione di un modulo bloccato, per quale motivo non sono disponibili le opzioni di sblocco o conferma del phishing?

Dopo la revisione, potrebbe riscontrarsi che il blocco di un modulo fosse già stato rimosso. In questo caso, il proprietario del modulo ha rimosso le parole chiave contrassegnate per potenziali tentativi di phishing, nel lasso di tempo in cui il modulo bloccato veniva esaminato. In tale scenario non sono richieste ulteriori azioni da parte dell'utente.

Se un modulo è stato bloccato perché confermato come phishing, è possibile rimuoverlo?

Se il modulo è già stato bloccato perché confermato come phishing, selezionare Elimina modulo per rimuoverlo dal tenant.

Cosa succede se non si esegue alcuna azione su un modulo bloccato?

Se si sceglie di non eseguire alcuna azione (sbloccare un modulo o confermarne l'intento di phishing), il modulo resterà bloccato. Il proprietario del modulo può comunque modificarlo e rimuovere le parole chiave contrassegnate per il potenziale tentativo di phishing.

E se si volesse modificare o eliminare il contenuto bloccato nel modulo?

Se si preferisce modificare e/o eliminare il contenuto bloccato, è possibile generare una pagina di creazione condivisa e gestire il modulo come coautori. A tale scopo, fare clic sul collegamento apri una pagina di creazione condivisa che si trova nella messaggistica sopra il modulo che si sta esaminando.

Rimuovere le restrizioni per gli utenti di Microsoft Forms bloccati

Microsoft Forms blocca gli utenti che hanno tentato ripetutamente di raccogliere informazioni personali o riservate dalla distribuzione dei moduli e dalla raccolta di risposte. I lettori della privacy del Centro messaggi riceveranno una notifica di questi utenti bloccati tramite il Centro messaggi. Se si ritiene che l’utente bloccato non abbia intenti dannoso e il suo account sia sicuro, si potrà eseguire la seguente procedura per sbloccarlo.

Nota

Gli amministratori della sicurezza potranno anche ricevere delle notifiche sui potenziali moduli di phishing, una volta che l’amministratore globale gli avrà assegnato il ruolo di lettore della privacy per il Centro messaggi.

  1. Passare al Centro messaggi e cercare la notifica Impedisci/Correggi: Microsoft Forms ha rilevato potenziali phishing.

    Nota

    Se non si visualizza la notifica nella scheda/visualizzazione Tutti i messaggi attivi sarà possibile trovarla nella scheda/visualizzazione Messaggi ignorati.

    Questa notifica contiene l’elenco degli utenti nel tenant a cui viene impedito di condividere moduli e raccogliere risposte.

  2. Fare clic sul collegamento fornito nella notifica per esaminare gli utenti bloccati.

  3. Per ogni utente che si ritiene non abbia intenti dannosi, è possibile scegliere di fare clic sul collegamento Sblocca nella colonna Azioni associata all’utente.

    Nota

    Se si ritiene che l’utente abbia intenti dannosi, non sono richieste ulteriori azioni da parte dell'utente.

    Nota

    La rimozione delle restrizioni potrebbe richiedere almeno 30 minuti.