Freigeben über


Suchen nach und Löschen von E-Mail-Nachrichten

Tipp

eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).

Tipp

Dieser Artikel richtet sich an Administratoren. Versuchen Sie, elemente in Ihrem Postfach zu finden, die Sie löschen möchten? Weitere Informationen finden Sie unter Suchen einer Nachricht oder eines Elements mit der Sofortsuche.

Sie können die Inhaltssuche verwenden, um E-Mail-Nachrichten in allen Postfächern in Ihrem organization zu suchen und zu löschen. Die Funktion ist hilfreich beim Suchen und Entfernen potenziell schädlicher oder riskanter E-Mails, beispielsweise:

  • Nachrichten, die gefährliche Anhänge oder Viren enthalten.
  • Phishing-Nachrichten
  • Nachrichten, die vertrauliche Daten enthalten.

Tipp

Wenn Ihre Organisation über ein Defender for Office 365 Plan 2-Abonnement verfügt, empfehlen wir die Verwendung des unter Beheben bösartiger E-Mails, die in Office 365 übermittelt wurden beschriebenen Verfahren verwenden, anstatt das in diesem Artikel beschriebene Verfahren zu befolgen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

  • Der in diesem Artikel beschriebene Such- und Löschworkflow löscht keine Chatnachrichten oder anderen Inhalte aus Microsoft Teams. Wenn die Inhaltssuche, die Sie in Schritt 2 erstellen, Elemente aus Microsoft Teams zurückgibt, werden diese Elemente nicht gelöscht, wenn Sie Elemente in Schritt 3 bereinigen. Informationen zum Suchen und Löschen von Chatnachrichten finden Sie unter Suchen und Bereinigen von Chatnachrichten in Teams.

  • Um eine Inhaltssuche zu erstellen und auszuführen, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager sein oder der Rolle Kompatibilitätssuche im Microsoft Purview-Complianceportal zugewiesen sein. Zum Löschen von Nachrichten müssen Sie Mitglied der Rollengruppe Organisationsverwaltung sein oder der Rolle Suchen und Löschen im Complianceportal zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

    Hinweis

    Die Rollengruppe Organisationsverwaltung ist sowohl in Exchange Online als auch im Complianceportal vorhanden. Hierbei handelt es sich um separate Rollengruppen, die unterschiedliche Berechtigungen umfassen. Wenn Sie Mitglied der Organisationsverwaltung in Exchange Online sind, erhalten Sie nicht die erforderlichen Berechtigungen zum Löschen von E-Mail-Nachrichten. Wenn Ihnen die Rolle Suchen und Löschen im Complianceportal (entweder direkt oder über eine Rollengruppe wie Organisationsverwaltung) nicht zugewiesen ist, erhalten Sie in Schritt 3 eine Fehlermeldung, wenn Sie das Cmdlet New-ComplianceSearchAction mit der Meldung "Ein Parameter wurde nicht gefunden, der mit dem Parameternamen 'Purge' übereinstimmt".

  • Sie müssen Security & Compliance Center PowerShell verwenden, um Nachrichten zu löschen. Anweisungen zum Herstellen einer Verbindung finden Sie unter Schritt 1: Herstellen einer Verbindung mit Security & Compliance PowerShell.

  • Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Nachrichten ein Tool zur Reaktion auf Vorfälle sein soll, stellt dieser Höchstwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden können. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

  • Wenn zusätzliche Elemente aus dem Postfach entfernt werden müssen, sind zusätzliche Schritte erforderlich.

    1. Die Aufbewahrung einzelner Elemente muss für die Postfächer deaktiviert werden. Dadurch wird sichergestellt, dass Elemente aus dem Ordner "Löschvorgänge" entfernt werden.
    2. Der Assistent für verwaltete Ordner muss nach jeder Konformitätslöschaktion für das Postfach ausgeführt werden. Diese Aktion löscht Elemente endgültig und ermöglicht das Entfernen weiterer 10 Elemente mit zusätzlichen Bereinigungsaktionen.

    Hinweis

    Diese Option wird nicht unterstützt, wenn ein Postfach über einen Beweissicherungs- oder In-Situ-Aufbewahrungsspeicher verfügt. Nur 10 Elemente werden aus der Ansicht des Benutzers entfernt. Diese 10 Elemente werden nicht endgültig gelöscht, sodass nur diese 10 Elemente verarbeitet werden.

  • Die maximale Anzahl von Postfächern in einer Inhaltssuche, die Sie verwenden können, um Elemente zu löschen, indem Sie eine „Suchen und löschen“-Aktion ausführen, beträgt 50.000. Wenn die Suche (die Sie in Schritt 2 erstellen) mehr als 50.000 Postfächer durchsucht, schlägt die Bereinigungsaktion (die Sie in Schritt 3 erstellen) fehl. Zum Durchsuchen von mehr als 50.000 Postfächern in einer einzigen Suche kann es typischerweise kommen, wenn Sie die Suche so konfigurieren, dass alle Postfächer in Ihrer Organisation durchsucht werden. Diese Einschränkung gilt auch dann, wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen. Im Abschnitt Weitere Informationen finden Sie eine Anleitung zur Verwendung von Filtern für Suchberechtigungen zum Suchen und Bereinigen von Elementen in mehr als 50.000 Postfächern.

  • Das in diesem Artikel beschriebene Verfahren kann nur zum Löschen von Elementen aus Exchange Online-Postfächern und öffentlichen Ordnern verwendet werden. Sie können es nicht verwenden, um Inhalte von SharePoint- oder OneDrive for Business-Websites zu löschen.

  • E-Mail-Elemente in einem Prüfdateisatz in einem eDiscovery (Premium)-Fall können nicht mithilfe der in diesem Artikel beschriebenen Verfahren gelöscht werden. Der Grund dafür ist, dass Elemente in einer Überprüfungsgruppe in einem Azure-Speicherort und nicht im Live Dienst gespeichert sind. Dies bedeutet, dass Sie nicht von der Inhaltssuche zurückgegeben werden, die Sie in Schritt 1 erstellt haben. Wenn Sie Elemente in einem Prüfdateisatz löschen möchten, müssen Sie den eDiscovery (Premium)-Fall löschen, der den Prüfdateisatz enthält. Weitere Informationen finden Sie unter Schließen oder Löschen eines eDiscovery (Premium)-Falls.

Schritt 1: Herstellen einer Verbindung mit Security & Compliance Center PowerShell

Der erste Schritt besteht darin, eine Verbindung mit Security & Compliance PowerShell für Ihre organization herzustellen. Schrittweise Anleitungen erhalten Sie unter Herstellen einer Verbindung mit Security & Compliance PowerShell.

Schritt 2: Erstellen Sie eine Inhaltssuche, um die zu löschende Nachricht zu suchen

Im zweiten Schritt wird eine Inhaltssuche erstellt und ausgeführt, um die Nachricht zu suchen, die Sie aus den Postfächern Ihrer Organisation entfernen möchten. Sie können die Suche mithilfe der Microsoft Purview-Complianceportal erstellen oder die Cmdlets New-ComplianceSearch und Start-ComplianceSearch in Security & Compliance PowerShell ausführen. Nachrichten, die der Abfrage dieser Suche entsprechen, werden gelöscht, indem Sie den Befehl New-ComplianceSearchAction -Purge in Schritt 3 ausführen. Informationen zum Erstellen einer Inhaltssuche und zum Konfigurieren von Suchabfragen finden Sie in den folgenden Artikeln:

Hinweis

Die Speicherorte für Inhalte, die im Rahmen der in diesem Schritt erstellten Inhaltssuche durchsucht werden, dürfen keine SharePoint- oder OneDrive for Business-Websites enthalten. Sie können nur Postfächer und öffentliche Ordner in eine Inhaltssuche einbeziehen, die zum Suchen von E-Mail-Nachrichten verwendet wird. Wenn die Inhaltssuche Websites umfasst, wird in Schritt 3 beim Ausführen des Cmdlets New-ComplianceSearchAction eine Fehlermeldung angezeigt.

Tipps zum Suchen nach zu löschenden Nachrichten

Das Ziel der Suchabfrage ist es, die Ergebnisse der Suche auf die Nachricht oder Nachrichten einzuschränken, die Sie entfernen möchten. Hier finden Sie einige Tipps:

  • Wenn Sie den genauen Text oder einen Ausdruck kennen, der in der Betreffzeile der Nachricht aufgeführt ist, verwenden Sie die Betreff-Eigenschaft in der Suchabfrage.
  • Wenn Sie das genaue Datum (oder den Datumsbereich) der Nachricht kennen, nehmen Sie die Eigenschaft Empfangen in die Suchabfrage auf.
  • Wenn Sie wissen, wer die Nachricht gesendet hat, nehmen Sie die Eigenschaft Von in die Suchabfrage auf.
  • Zeigen Sie eine Vorschau der Suchergebnisse an, um sicherzustellen, dass die Suche nur die Nachricht(en) zurückgegeben hat, die Sie löschen möchten.
  • Verwenden Sie die Schätzungsstatistik für die Suche (angezeigt im Detailbereich der Suche im Complianceportal oder mithilfe des Cmdlets Get-ComplianceSearch), um die Gesamtzahl der Ergebnisse zu ermitteln.

Nachfolgend finden Sie zwei Beispiele für Abfragen, um verdächtige E-Mail-Nachrichten zu suchen.

  • Diese Abfrage gibt Nachrichten zurück, die von Benutzern zwischen dem 13. April 2016 und dem 14. April 2016 empfangen wurden und die Wörter „action“ und „required“ in der Betreffzeile enthalten.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • Diese Abfrage gibt Nachrichten zurück, die von user@contoso.com gesendet wurden und die den exakten Ausdruck „Update your account information“ in der Betreffzeile enthalten.

    (From:user@contoso.com) AND (Subject:"Update your account information")
    

Nachfolgend finden Sie ein Beispiel für die Verwendung einer Abfrage zum Erstellen und Starten einer Suche, indem Sie die Cmdlets New-ComplianceSearch und Start-ComplianceSearch ausführen, um alle Postfächer in der Organisation zu durchsuchen:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Schritt 3: Löschen der Nachricht

Nachdem Sie eine Inhaltssuche zum Zurückgeben der Nachrichten, die Sie löschen möchten, erstellt und verfeinert haben, führen Sie als letzten Schritt den Befehl New-ComplianceSearchAction -Purge in Security & Compliance PowerShell aus, um die Nachricht zu löschen.

Sie können die Nachricht vorläufig oder endgültig löschen. Eine vorläufig gelöschte Nachricht wird in den Benutzerordner „Wiederherstellbare Elemente“ verschoben und bis zum Ablauf des Aufbewahrungszeitraums für gelöschte Elemente gespeichert. Endgültig gelöschte Nachrichten werden für die dauerhafte Entfernung aus dem Postfach markiert und dauerhaft entfernt, wenn das Postfach das nächste Mal vom Assistenten für verwaltete Ordner abgearbeitet wird. Wenn die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist, werden endgültig gelöschte Elemente nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente dauerhaft entfernt. Wenn ein Postfach gesperrt wird, bleiben gelöschte Nachrichten erhalten, bis die Aufbewahrungsdauer für das Element abläuft oder bis die Sperre des Postfachs aufgehoben wird.

Hinweis

Wie bereits erwähnt, werden Elemente aus Microsoft Teams, die von der Inhaltssuche zurückgegeben werden, nicht gelöscht, wenn Sie den Befehl New-ComplianceSearchAction -Purge ausführen.

Um die folgenden Befehle zum Löschen von Nachrichten auszuführen, stellen Sie sicher, dass Sie mit Security & Compliance PowerShell verbunden sind.

Vorläufiges Löschen von Nachrichten

Im folgenden Beispiel löscht der Befehl die Suchergebnisse, die von einer Inhaltssuche des Begriffs „Phishingnachricht entfernen“ zurückgegeben wurden, vorläufig.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Endgültiges Löschen von Nachrichten

Um die Elemente, die von der Inhaltssuche „Phishing-Nachricht entfernen“ zurückgegeben werden, endgültig zu löschen, führen Sie folgenden Befehl aus:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Wenn Sie die vorherigen Befehle ausführen, um Nachrichten vorläufig oder endgültig zu löschen, ist die durch den SearchName-Parameter angegebene Suche die Inhaltssuche, die Sie in Schritt 1 erstellt haben.

Weitere Informationen finden Sie unter New-ComplianceSearchAction.

Weitere Informationen

  • Wie wird der Status des Such- und Löschvorgangs abgerufen?

    Führen Sie die Get-ComplianceSearchAction aus, um den Status des Löschvorgangs abzurufen. Das Objekt, das beim Ausführen des Cmdlets New-ComplianceSearchAction erstellt wird, wird im folgenden Format benannt: <name of Content Search>_Purge.

  • Was geschieht nach dem Löschen einer Nachricht?

    Eine Nachricht, die mit dem New-ComplianceSearchAction -Purge -PurgeType HardDelete Befehl gelöscht wird, wird in den Ordner Löschvorgänge verschoben und kann vom Benutzer nicht aufgerufen werden. Nachdem die Nachricht in den Ordner „Endgültige Löschvorgänge“ verschoben wurde, wird die Nachricht für die Dauer des Aufbewahrungszeitraums für gelöschte Elemente gespeichert, sofern die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht für die dauerhafte Löschung gekennzeichnet und aus Microsoft 365 gelöscht, sobald das Postfach das nächste Mal vom Assistenten für verwaltete Ordner abgearbeitet wird.

    Mit dem Befehl New-ComplianceSearchAction -Purge -PurgeType SoftDelete werden Nachrichten in den Ordner „Löschvorgänge“ innerhalb des Benutzerordners „Wiederherstellbare Elemente“ verschoben. Sie wird nicht sofort endgültig aus Microsoft 365 gelöscht. Der Benutzer kann Nachrichten im Ordner "Gelöschte Elemente" so lange wiederherstellen, wie der für das Postfach konfigurierte Aufbewahrungszeitraum für gelöschte Elemente dauert. Nach Ablauf dieses Aufbewahrungszeitraums (oder wenn der Benutzer die Nachricht vor dem Ablauf löscht) wird die Nachricht in den Ordner "Löschungen" verschoben, und der Benutzer kann nicht mehr darauf zugreifen. Sobald sich die Nachricht im Ordner „Endgültige Löschvorgänge“ befindet, wird die Nachricht für die Dauer des Aufbewahrungszeitraums für gelöschte Elemente gespeichert, der für das Postfach konfiguriert wurde, sofern die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht für die dauerhafte Löschung gekennzeichnet und aus Microsoft 365 gelöscht, sobald das Postfach das nächste Mal vom Assistenten für verwaltete Ordner abgearbeitet wird.

  • Was ist zu tun, wenn Sie eine Nachricht aus mehr als 50.000 Postfächern löschen müssen?

    Wie bereits erwähnt, können Sie einen Such- und Löschvorgang über höchstens 50.000 Postfächer ausführen (selbst wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen). Wenn Sie einen Such- und Löschvorgang für mehr als 50.000 Postfächer durchführen müssen, erwägen Sie, temporäre Suchberechtigungsfilter zu erstellen, die die Anzahl der zu durchsuchenden Postfächer auf unter 50.000 verringern. Wenn Ihr organization beispielsweise Postfächer in verschiedenen Abteilungen, Bundesstaaten oder Ländern/Regionen enthält, können Sie basierend auf einer dieser Postfacheigenschaften einen Filter für Postfachsuchberechtigungen erstellen, um eine Teilmenge von Postfächern in Ihrem organization zu durchsuchen. Nachdem Sie den Filter für Suchberechtigungen eingerichet haben, erstellen Sie die Suche (in Schritt 1 beschrieben), und anschließend löschen Sie die Nachricht (in Schritt 3 beschrieben). Dann können Sie den Filter bearbeiten, um Nachrichten in einer anderen Gruppe von Postfächern zu suchen und zu löschen. Weitere Informationen zur Erstellung von Suchberechtigungsfiltern finden Sie unter Konfigurieren von Berechtigungsfiltern für die Inhaltssuche.

  • Werden in den Suchergebnissen enthaltene, nicht indizierte Elemente gelöscht?

    Nein, der Befehl "New-ComplianceSearchAction -Purge" löscht nicht indizierte Elemente nicht.

  • Was geschieht, wenn eine Nachricht aus einem Postfach gelöscht wird, das durch In-Situ-Aufbewahrung oder die Aufbewahrung für juristische Zwecke gesperrt oder einer Microsoft 365-Aufbewahrungsrichtlinie zugewiesen wurde?

    Nach dem Löschen und Verschieben der Nachricht in den Ordner „Endgültige Löschvorgänge“ wird sie gespeichert, bis die Aufbewahrungsdauer abläuft. Wenn die Aufbewahrungsdauer unbegrenzt ist, werden die Elemente gespeichert, bis die Sperre aufgehoben oder die Aufbewahrungsdauer geändert wird.

  • Warum wird der Such- und Entfernungsworkflow auf verschiedene Microsoft Purview-Complianceportal Rollengruppen aufgeteilt?

    Wie bereits erläutert, muss ein Benutzer der Rollengruppe "eDiscovery-Manager" angehören oder über die Verwaltungsrolle "Compliancesuche" verfügen, um Postfächer zu durchsuchen. Zum Löschen von Nachrichten muss ein Benutzer der Rollengruppe "Organisationsverwaltung" angehören oder über die Verwaltungsrolle "Suchen und Löschen" verfügen. Dadurch kann gesteuert werden, wer Postfächer in der Organisation durchsuchen und wer Nachrichten löschen darf.