Suchen und Löschen von E-Mail-Nachrichten in eDiscovery (Vorschau)

Tipp

Dieser Artikel richtet sich an Administratoren. Versuchen Sie, elemente in Ihrem Postfach zu finden, die Sie löschen möchten? Weitere Informationen finden Sie unter Suchen einer Nachricht oder eines Elements mit der Sofortsuche.

Sie können das Suchfeature verwenden, um E-Mail-Nachrichten in allen Postfächern in Ihrem organization zu suchen und zu löschen. Dieser Prozess ist hilfreich beim Suchen und Entfernen potenziell schädlicher oder riskanter E-Mails, beispielsweise:

• Nachrichten, die gefährliche Anhänge oder Viren enthalten.
• Phishing-Nachrichten
• Nachrichten, die vertrauliche Daten enthalten.

Tipp

Wenn Ihre Organisation über ein Defender for Office 365 Plan 2-Abonnement verfügt, empfehlen wir die Verwendung des unter Beheben bösartiger E-Mails, die in Office 365 übermittelt wurden beschriebenen Verfahren verwenden, anstatt das in diesem Artikel beschriebene Verfahren zu befolgen.

Bevor Sie beginnen

• Der in diesem Artikel beschriebene Such- und Löschworkflow löscht keine Chatnachrichten oder anderen Inhalte aus Microsoft Teams. Wenn die Suche, die Sie in Schritt 2 erstellen, Elemente aus Microsoft Teams zurückgibt, werden diese Elemente nicht gelöscht, wenn Sie Elemente in Schritt 3 löschen. Informationen zum Suchen und Löschen von Chatnachrichten finden Sie unter Suchen und Bereinigen von Chatnachrichten in Teams.

• Um eine Suche zu erstellen und auszuführen, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager sein oder der Rolle "Compliancesuche " im Microsoft Purview-Portal zugewiesen sein. Zum Löschen von Nachrichten müssen Sie Mitglied der Rollengruppe Organisationsverwaltung sein oder der Rolle Suchen und Löschen im Microsoft Purview-Portal zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

  Hinweis

  Die Rollengruppe Organisationsverwaltung ist sowohl in Exchange Online als auch im Microsoft Purview-Portal vorhanden. Hierbei handelt es sich um separate Rollengruppen, die unterschiedliche Berechtigungen umfassen. Wenn Sie Mitglied der Organisationsverwaltung in Exchange Online sind, erhalten Sie nicht die erforderlichen Berechtigungen zum Löschen von E-Mail-Nachrichten. Wenn Ihnen die Rolle Suchen und Löschen im Microsoft Purview-Portal (entweder direkt oder über eine Rollengruppe wie Organisationsverwaltung) nicht zugewiesen ist, erhalten Sie in Schritt 3 eine Fehlermeldung, wenn Sie das Cmdlet New-ComplianceSearchAction mit der Meldung "Ein Parameter wurde nicht gefunden, der mit dem Parameternamen 'Purge' übereinstimmt".

• Sie müssen Security & Compliance Center PowerShell verwenden, um Nachrichten zu löschen. Anweisungen zum Herstellen einer Verbindung finden Sie unter Schritt 1: Herstellen einer Verbindung mit Security & Compliance PowerShell.

• Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Nachrichten ein Tool zur Reaktion auf Vorfälle sein soll, stellt dieser Höchstwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden können. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

• Wenn zusätzliche Elemente aus dem Postfach entfernt werden müssen, sind zusätzliche Schritte erforderlich.

  1. Die Aufbewahrung einzelner Elemente muss für die Postfächer deaktiviert werden. Dadurch wird sichergestellt, dass Elemente aus dem Ordner "Löschvorgänge" entfernt werden.
  2. Der Assistent für verwaltete Ordner muss nach jeder Konformitätslöschaktion für das Postfach ausgeführt werden. Diese Aktion löscht Elemente endgültig und ermöglicht das Entfernen weiterer 10 Elemente mit zusätzlichen Bereinigungsaktionen.

  Hinweis

  Diese Option wird nicht unterstützt, wenn ein Postfach über einen Beweissicherungsspeicher verfügt. Nur 10 Elemente werden aus der Ansicht des Benutzers entfernt. Diese 10 Elemente werden nicht endgültig gelöscht, sodass nur diese 10 Elemente verarbeitet werden.

• Die maximale Anzahl von Postfächern in einer Inhaltssuche, die Sie verwenden können, um Elemente zu löschen, indem Sie eine „Suchen und löschen“-Aktion ausführen, beträgt 50.000. Wenn die Suche (die Sie in Schritt 2 erstellen) mehr als 50.000 Postfächer durchsucht, schlägt die Bereinigungsaktion (die Sie in Schritt 3 erstellen) fehl. Zum Durchsuchen von mehr als 50.000 Postfächern in einer einzigen Suche kann es typischerweise kommen, wenn Sie die Suche so konfigurieren, dass alle Postfächer in Ihrer Organisation durchsucht werden. Diese Einschränkung gilt auch dann, wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen. Im Abschnitt Weitere Informationen finden Sie eine Anleitung zur Verwendung von Filtern für Suchberechtigungen zum Suchen und Bereinigen von Elementen in mehr als 50.000 Postfächern.

• Das in diesem Artikel beschriebene Verfahren kann nur zum Löschen von Elementen aus Exchange Online-Postfächern und öffentlichen Ordnern verwendet werden. Sie können es nicht zum Löschen von Inhalten von SharePoint- oder OneDrive-Websites verwenden.

• Email Elemente in einem Überprüfungssatz in einem eDiscovery-Fall können nicht mithilfe der verfahren in diesem Artikel gelöscht werden. Der Grund dafür ist, dass Elemente in einer Überprüfungsgruppe in einem Azure-Speicherort und nicht im Live Dienst gespeichert sind. Dies bedeutet, dass Sie nicht von der Inhaltssuche zurückgegeben werden, die Sie in Schritt 1 erstellt haben. Um Elemente in einem Überprüfungssatz zu löschen, müssen Sie den eDiscovery-Fall löschen, der den Überprüfungssatz enthält.

Schritt 1: Herstellen einer Verbindung mit Security & Compliance Center PowerShell

Der erste Schritt besteht darin, eine Verbindung mit Security & Compliance PowerShell für Ihre organization herzustellen. Schrittweise Anleitungen erhalten Sie unter Herstellen einer Verbindung mit Security & Compliance PowerShell.

Schritt 2: Erstellen einer Suchabfrage zum Suchen der zu löschenden Nachricht

Der zweite Schritt besteht darin, eine Suche zu erstellen und auszuführen, um die Nachricht zu finden, die Sie aus Postfächern in Ihrem organization entfernen möchten. Sie können die Suche über das Microsoft Purview-Portal oder durch Ausführen der Cmdlets New-ComplianceSearch und Start-ComplianceSearch in Security & Compliance PowerShell erstellen. Die Meldungen, die mit der Abfrage für diese Suche übereinstimmen, werden gelöscht, indem Sie den Befehl New-ComplianceSearchAction -Purge in Schritt 3 ausführen. Informationen zum Erstellen und Konfigurieren von Suchabfragen finden Sie in den folgenden Artikeln:

• Erstellen einer Suchabfrage
• Verwenden des Bedingungs-Generators
• New-ComplianceSearch
• Start-ComplianceSearch

Hinweis

Die Inhaltsspeicherorte, die in der Suchabfrage durchsucht werden, die Sie in diesem Schritt erstellen, dürfen keine SharePoint- oder OneDrive-Websites enthalten. Sie können nur Postfächer und öffentliche Ordner in eine Suche einschließen, die für E-Mail-Nachrichten verwendet wird. Wenn die Suche Websites umfasst, erhalten Sie eine Fehlermeldung in Schritt 3, wenn Sie das Cmdlet New-ComplianceSearchAction ausführen.

Tipps zum Suchen nach zu löschenden Nachrichten

Das Ziel der Suchabfrage ist es, die Ergebnisse der Suche auf die Nachricht oder Nachrichten einzuschränken, die Sie entfernen möchten. Hier finden Sie einige Tipps:

• Wenn Sie den genauen Text oder einen Ausdruck kennen, der in der Betreffzeile der Nachricht aufgeführt ist, verwenden Sie die Betreff-Eigenschaft in der Suchabfrage.
• Wenn Sie das genaue Datum (oder den Datumsbereich) der Nachricht kennen, nehmen Sie die Eigenschaft Empfangen in die Suchabfrage auf.
• Wenn Sie wissen, wer die Nachricht gesendet hat, nehmen Sie die Eigenschaft Von in die Suchabfrage auf.
• Zeigen Sie eine Vorschau der Suchergebnisse an, um sicherzustellen, dass die Suche nur die Nachricht(en) zurückgegeben hat, die Sie löschen möchten.
• Verwenden Sie die Statistiken zur Suchschätzung (angezeigt im Detailbereich der Suche im Microsoft Purview-Portal oder mithilfe des Cmdlets Get-ComplianceSearch ), um die Gesamtzahl der Ergebnisse abzurufen.

Nachfolgend finden Sie zwei Beispiele für Abfragen, um verdächtige E-Mail-Nachrichten zu suchen.

• Diese Abfrage gibt Nachrichten zurück, die zwischen dem 13. April 2024 und dem 14. April 2024 von Benutzern empfangen wurden und die die Wörter "action" und "required" in der Betreffzeile enthalten.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Diese Abfrage gibt Nachrichten zurück, die von user@contoso.com gesendet wurden und die den exakten Ausdruck „Update your account information“ in der Betreffzeile enthalten.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Nachfolgend finden Sie ein Beispiel für die Verwendung einer Abfrage zum Erstellen und Starten einer Suche, indem Sie die Cmdlets New-ComplianceSearch und Start-ComplianceSearch ausführen, um alle Postfächer in der Organisation zu durchsuchen:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Schritt 3: Löschen der Nachricht

Nachdem Sie eine Suchabfrage erstellt und optimiert haben, um die Nachrichten zurückzugeben, die Sie entfernen möchten, besteht der letzte Schritt darin, den Befehl New-ComplianceSearchAction -Purge in Security & Compliance PowerShell auszuführen, um die Nachricht zu löschen.

Sie können die Nachricht vorläufig oder endgültig löschen. Eine vorläufig gelöschte Nachricht wird in den Benutzerordner „Wiederherstellbare Elemente“ verschoben und bis zum Ablauf des Aufbewahrungszeitraums für gelöschte Elemente gespeichert. Endgültig gelöschte Nachrichten werden für die dauerhafte Entfernung aus dem Postfach markiert und endgültig entfernt, wenn das Postfach das nächste Mal vom Assistenten für verwaltete Ordner verarbeitet wird. Wenn die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist, werden endgültig gelöschte Elemente nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente endgültig entfernt. Wenn ein Postfach gesperrt wird, bleiben gelöschte Nachrichten erhalten, bis die Aufbewahrungsdauer für das Element abläuft oder bis die Sperre des Postfachs aufgehoben wird.

Hinweis

Wie bereits erwähnt, werden elemente aus Microsoft Teams, die von der Suchabfrage zurückgegeben werden, nicht gelöscht, wenn Sie den Befehl New-ComplianceSearchAction -Purge ausführen.

Um die folgenden Befehle zum Löschen von Nachrichten auszuführen, stellen Sie sicher, dass Sie mit Security & Compliance PowerShell verbunden sind.

Vorläufiges Löschen von Nachrichten

Im folgenden Beispiel löscht der Befehl vorläufig die Suchergebnisse, die von einer Suchabfrage mit dem Namen "Remove Phishing Message" zurückgegeben werden.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Endgültiges Löschen von Nachrichten

Um die Elemente, die von der Inhaltssuche „Phishing-Nachricht entfernen“ zurückgegeben werden, endgültig zu löschen, führen Sie folgenden Befehl aus:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Wenn Sie die vorherigen Befehle ausführen, um Nachrichten vorläufig oder endgültig zu löschen, ist die durch den SearchName-Parameter angegebene Suche die Suchabfrage, die Sie in Schritt 1 erstellt haben.

Weitere Informationen finden Sie unter New-ComplianceSearchAction.

Weitere Informationen

• Wie wird der Status des Such- und Löschvorgangs abgerufen?

  Führen Sie die Get-ComplianceSearchAction aus, um den Status des Löschvorgangs abzurufen. Das Objekt, das beim Ausführen des Cmdlets New-ComplianceSearchAction erstellt wird, wird im folgenden Format benannt: <name of Content Search>_Purge.

• Was geschieht nach dem Löschen einer Nachricht?

  Eine Nachricht, die mit dem New-ComplianceSearchAction -Purge -PurgeType HardDelete Befehl gelöscht wird, wird in den Ordner Löschvorgänge verschoben und kann vom Benutzer nicht aufgerufen werden. Nachdem die Nachricht in den Ordner Löschvorgänge verschoben wurde, wird die Nachricht für den Aufbewahrungszeitraum für gelöschte Elemente beibehalten, wenn die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht zum endgültigen Löschen markiert und aus Microsoft 365 gelöscht, wenn das Postfach das nächste Mal vom verwalteten Ordner Assistent verarbeitet wird.

  Mit dem Befehl New-ComplianceSearchAction -Purge -PurgeType SoftDelete werden Nachrichten in den Ordner „Löschvorgänge“ innerhalb des Benutzerordners „Wiederherstellbare Elemente“ verschoben. Sie wird nicht sofort endgültig aus Microsoft 365 gelöscht. Der Benutzer kann Nachrichten im Ordner "Gelöschte Elemente" so lange wiederherstellen, wie der für das Postfach konfigurierte Aufbewahrungszeitraum für gelöschte Elemente dauert. Nach Ablauf dieses Aufbewahrungszeitraums (oder wenn der Benutzer die Nachricht vor dem Ablauf löscht) wird die Nachricht in den Ordner "Löschungen" verschoben, und der Benutzer kann nicht mehr darauf zugreifen. Sobald sich die Nachricht im Ordner „Endgültige Löschvorgänge“ befindet, wird die Nachricht für die Dauer des Aufbewahrungszeitraums für gelöschte Elemente gespeichert, der für das Postfach konfiguriert wurde, sofern die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht zum endgültigen Löschen markiert und aus Microsoft 365 gelöscht, wenn das Postfach das nächste Mal vom Assistent Verwalteter Ordner verarbeitet wird.

• Was ist zu tun, wenn Sie eine Nachricht aus mehr als 50.000 Postfächern löschen müssen?

  Sie können einen Such- und Bereinigungsvorgang für maximal 50.000 Postfächer ausführen (auch wenn weniger als 50.000 Elemente enthalten, die der Suchabfrage entsprechen). Wenn Sie einen Such- und Löschvorgang für mehr als 50.000 Postfächer durchführen müssen, erwägen Sie, temporäre Suchberechtigungsfilter zu erstellen, die die Anzahl der zu durchsuchenden Postfächer auf unter 50.000 verringern. Wenn Ihr organization beispielsweise Postfächer in verschiedenen Abteilungen, Bundesstaaten oder Ländern/Regionen enthält, können Sie basierend auf einer dieser Postfacheigenschaften einen Filter für Postfachsuchberechtigungen erstellen, um eine Teilmenge von Postfächern in Ihrem organization zu durchsuchen. Nachdem Sie den Filter für Suchberechtigungen eingerichet haben, erstellen Sie die Suche (in Schritt 1 beschrieben), und anschließend löschen Sie die Nachricht (in Schritt 3 beschrieben). Dann können Sie den Filter bearbeiten, um Nachrichten in einer anderen Gruppe von Postfächern zu suchen und zu löschen. Weitere Informationen zum Erstellen von Suchberechtigungsfiltern finden Sie unter Konfigurieren der Filterung von Suchberechtigungen in eDiscovery (Vorschau).

• Werden in den Suchergebnissen enthaltene, nicht indizierte Elemente gelöscht?

  Nein, der Befehl "New-ComplianceSearchAction -Purge" löscht nicht indizierte Elemente nicht.

• Was geschieht, wenn eine Nachricht aus einem Postfach gelöscht wird, das im Beweissicherungsverfahren abgelegt wurde oder einer Microsoft 365-Aufbewahrungsrichtlinie zugewiesen ist?

  Nach dem Löschen und Verschieben der Nachricht in den Ordner „Endgültige Löschvorgänge“ wird sie gespeichert, bis die Aufbewahrungsdauer abläuft. Wenn die Aufbewahrungsdauer unbegrenzt ist, werden die Elemente gespeichert, bis die Sperre aufgehoben oder die Aufbewahrungsdauer geändert wird.

• Warum wird der Such- und Entfernungsworkflow auf verschiedene Rollengruppen des Microsoft Purview-Portals aufgeteilt?

  Eine Person muss Mitglied der Rollengruppe eDiscovery-Manager sein oder der Rolle Compliancesuchverwaltung zugewiesen sein, um Postfächer zu durchsuchen. Zum Löschen von Nachrichten muss eine Person Mitglied der Rollengruppe Organisationsverwaltung sein oder der Verwaltungsrolle Suchen und Löschen zugewiesen sein. Dadurch kann gesteuert werden, wer Postfächer in der Organisation durchsuchen und wer Nachrichten löschen darf.