Cercare ed eliminare messaggi di posta elettronica

  • 6 minuti

Un'organizzazione può usare la funzionalità Ricerca contenuto per cercare ed eliminare messaggi di posta elettronica da tutte le cassette postali nella distribuzione di Exchange. Questo processo consente di trovare e rimuovere messaggi potenzialmente dannosi o ad alto rischio, ad esempio:

  • Messaggi contenenti virus o allegati pericolosi.
  • Messaggi di phishing.
  • Messaggi contenenti dati sensibili.

Avviso

Se un'organizzazione ha un abbonamento a Defender per Office 365 Piano 2, è consigliabile usare la procedura descritta in Correggere i messaggi di posta elettronica dannosi recapitati in Office 365anziché seguire la procedura descritta in questa unità.

Prerequisiti per l'eliminazione dei messaggi di posta elettronica

  • Il flusso di lavoro di ricerca ed eliminazione descritto in questa unità non elimina i messaggi di chat o altri contenuti da Microsoft Teams. Se la ricerca contenuto creata nel passaggio 2 (riportato di seguito) restituisce elementi da Microsoft Teams, tali elementi non verranno eliminati nel passaggio 3. Per cercare ed eliminare i messaggi di chat, vedere Cercare ed eliminare i messaggi di chat in Teams.

  • Per creare ed eseguire una ricerca contenuto è necessario essere membro del gruppo di ruoli Manager di eDiscovery o disporre del ruolo Ricerca di conformità nel portale di conformità Microsoft Purview.

    Per eliminare i messaggi, è necessario essere membro del gruppo di ruoli Gestione dell'organizzazione o disporre del ruolo Ricerca ed eliminazione nel portale di conformità Microsoft Purview. Per informazioni su come aggiungere gli utenti a un gruppo di ruoli, vedere Assegnare le autorizzazioni di eDiscovery.

    Nota

    Il gruppo di ruoli Gestione organizzazione si trova sia in Exchange Online che nel portale di conformità Microsoft Purview. Il gruppo di ruoli Gestione organizzazione è diverso dal ruolo Ricerca ed eliminazione. Essere un membro di Gestione organizzazione in Exchange Online non concede le autorizzazioni necessarie per eliminare i messaggi di posta elettronica. Se non si dispone del ruolo Ricerca ed eliminazione nel portale di conformità Microsoft Purview, direttamente o tramite un gruppo di ruoli come Gestione organizzazione, si riceverà un errore nel passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction. Il messaggio sarà: Non è possibile trovare un parametro corrispondente al nome 'Purge'.

  • È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e di rimuovere i messaggi è uno strumento di intervento, questo limite garantisce che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.

  • Il numero massimo di cassette postali supportato dalla ricerca di contenuto da usare per eliminare gli elementi con un'operazione di ricerca ed eliminazione è 50.000. Se la ricerca creata nel Passaggio 2 include più di 50.000 cassette postali, l'azione di rimozione, creata nel Passaggio 3, non riuscirà. La ricerca in più di 50.000 cassette postali in un'unica operazione può in genere verificarsi quando si configura la ricerca in modo da includere tutte le cassette postali di un'organizzazione. Questa restrizione si applica inoltre quando meno di 50.000 cassette postali contengono elementi che corrispondono alla query di ricerca. Vedere la sezione finale di questa unità per indicazioni sull'uso dei filtri di autorizzazioni per la ricerca per cercare ed eliminare elementi da più di 50.000 cassette postali.

  • La procedura descritta in questa unità può essere usata solo per eliminare elementi nelle cassette postali e cartelle pubbliche di Exchange Online. Non è possibile usarla per eliminare il contenuto dai siti di SharePoint o OneDrive for Business.

  • Gli elementi di posta elettronica in un insieme da rivedere in un caso di eDiscovery (Premium) non possono essere eliminati usando le procedure descritte in questa unità. Perché? Perché gli elementi in un insieme da rivedere vengono archiviati in una posizione di archiviazione di Azure e non nel servizio Live. Di conseguenza, non verranno restituiti dalla ricerca di contenuto creata nel Passaggio 1. Per eliminare gli elementi in un insieme da rivedere, è necessario eliminare il caso di eDiscovery (Premium) che contiene l'insieme da rivedere. Per altre informazioni, vedere Chiudere o eliminare un caso di eDiscovery (Premium).

Passaggio 1: Connettersi al modulo PowerShell Sicurezza e conformità

Le organizzazioni devono usare il modulo PowerShell Sicurezza e conformità per eliminare i messaggi. Pertanto, il primo passaggio per un'organizzazione consiste nel connettersi al modulo PowerShell Sicurezza e conformità. Per altre informazioni sulla connessione a questo modulo, vedere Connect to Security & Compliance PowerShell.For more information on connecting to this module, see Connect to Security & Compliance PowerShell.

Passaggio 2: Creare una ricerca contenuto per trovare il messaggio da eliminare

Il secondo passaggio consiste nel creare ed eseguire una ricerca contenuto per trovare il messaggio da rimuovere dalle cassette postali dell'organizzazione. È possibile creare la ricerca tramite il portale di conformità Microsoft Purview o eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch nel modulo PowerShell Sicurezza e conformità.

I messaggi che soddisfano la query per la ricerca verranno eliminati eseguendo il comando New-ComplianceSearchAction -Purge nel Passaggio 3.

Nota

I percorsi di contenuto all'interno dei quali viene eseguita la ricerca contenuto creata in questo passaggio non possono includere siti di SharePoint o OneDrive for Business. In una ricerca contenuto che verrà usata per inviare messaggi di posta elettronica è possibile includere solo cassette postali e cartelle pubbliche. Se la ricerca contenuto include siti, si riceverà un messaggio di errore al Passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction.

Suggerimenti per cercare i messaggi da rimuovere

L'obiettivo della query di ricerca è limitare i risultati della ricerca solo al messaggio o ai messaggi da rimuovere. Di seguito sono riportati alcuni suggerimenti:

  • Se si conosce la frase o il testo esatto della riga dell'oggetto del messaggio, utilizzare la proprietà Subject nella query di ricerca.
  • Se si conosce la data esatta (o l'intervallo di date) del messaggio, includere la proprietà Received nella query di ricerca.
  • Se si conosce il mittente del messaggio, includere la proprietà From nella query di ricerca.
  • Visualizzare in anteprima i risultati della ricerca per verificare che la ricerca di contenuto restituisca solo il messaggio (o i messaggi) da eliminare.
  • Usare le statistiche di stima della ricerca (visualizzate nel riquadro dei dettagli della ricerca nel portale di conformità o usando il cmdlet Get-ComplianceSearch) per ottenere un conteggio del numero totale di risultati.

Ecco due esempi di query per trovare messaggi di posta elettronica sospetti.

  • Questa query restituisce i messaggi che sono stati ricevuti dagli utenti tra il 13 aprile 2017 e il 14 aprile 2017 e che contengono le parole "action" e "required" nella riga dell'oggetto.

    (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')

  • Questa query restituisce i messaggi che sono stati inviati da chatsuwloginsset12345@outlook.com e che contengono la frase esatta "Update your account information" nella riga dell'oggetto.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Ecco un esempio dell'utilizzo di una query per creare e avviare una ricerca eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch per cercare tutte le cassette postali nell'organizzazione:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Passaggio 3: Eliminare il messaggio

Fino a questo punto, è stata creata e perfezionata una ricerca contenuto per restituire i messaggi che si desidera rimuovere. Ora si è pronti per eliminare i messaggi selezionati. In questo passaggio si eseguirà il comando New-ComplianceSearchAction -Purge nel modulo PowerShell Sicurezza e conformità per eliminare il messaggio.

È possibile eliminare il messaggio in maniera temporanea o definitiva.

  • Messaggio eliminato temporaneamente. Questo messaggio viene spostato nella cartella Elementi ripristinabili di un utente. Viene conservato fino alla scadenza del periodo di conservazione degli elementi eliminati.
  • Messaggio eliminato definitivamente. Questo messaggio è contrassegnato per la rimozione permanente dalla cassetta postale. Verrà rimosso definitivamente la prossima volta che la cassetta postale verrà elaborata dall'Assistente cartelle gestite. Tenere presente le situazioni seguenti:
    • Il ripristino di un singolo elemento è abilitato per la cassetta postale. In questo caso, gli elementi eliminati definitivamente verranno rimossi in modo permanente dopo la scadenza del periodo di conservazione.
    • Una cassetta postale viene messa in attesa. In questo caso, i messaggi eliminati vengono conservati finché la durata del periodo di conservazione dell'elemento non scade o finché il blocco non viene rimosso.

Nota

Come indicato in precedenza, gli elementi di Microsoft Teams restituiti dalla ricerca contenuto non vengono eliminati quando si esegue il comando New-ComplianceSearchAction -Purge.

Per eseguire i comandi seguenti per eliminare i messaggi, assicurarsi di essere connessi al modulo PowerShell Sicurezza e conformità.

Eliminare temporaneamente messaggi

Nell'esempio seguente il comando elimina temporaneamente i risultati restituiti da una ricerca contenuto denominata "Remove Phishing Message".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminare definitivamente messaggi

Per eliminare definitivamente gli elementi restituiti dalla ricerca contenuto "Remove Phishing Message", eseguire questo comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando si esegue il comando precedente per eliminare i messaggi temporaneamente o definitivamente, la ricerca specificata dal parametro SearchName è la ricerca contenuto creata nel Passaggio 1.

  • Come si vede lo stato dell'operazione di ricerca e rimozione?

    Eseguire il comando Get-ComplianceSearchAction per vedere lo stato dell'operazione di eliminazione. All'oggetto creato quando si esegue il cmdlet New-ComplianceSearchAction viene assegnato un nome in questo formato: <Nome ricerca contenuto>_Purge.

  • Cosa succede dopo l'eliminazione definitiva di un messaggio?

    Un messaggio eliminato definitivamente con il comando New-ComplianceSearchAction -Purge -PurgeType HardDelete viene spostato nella cartella Ripuliture. L'utente non può accedere al messaggio.

    Una volta spostato nella cartella Ripuliture, il messaggio viene conservato durante il periodo di conservazione degli elementi eliminati se il ripristino di un singolo elemento è abilitato per la cassetta postale. In Microsoft 365, il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente. Verrà eliminato da Microsoft 365 la volta successiva che la cassetta postale verrà elaborata dall'Assistente cartelle gestite.

  • Cosa succede dopo l'eliminazione temporanea di un messaggio?

    Un messaggio eliminato temporaneamente con il comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete viene spostato nella cartella Eliminazioni della cartella Elementi ripristinabili dell'utente. Non viene rimosso immediatamente da Microsoft 365.

    L'utente può recuperare i messaggi nella cartella Elementi eliminati durante il periodo di conservazione degli elementi eliminati configurato per la cassetta postale. Dopo la scadenza di questo periodo di conservazione (o se l'utente elimina il messaggio prima della scadenza), il messaggio viene spostato nella cartella Ripuliture. A questo punto, l'utente non potrà più accedervi. Una volta spostato nella cartella Ripuliture, il messaggio viene mantenuto durante il periodo di conservazione degli elementi eliminati configurato per la cassetta postale, se il ripristino di un singolo elemento è abilitato. In Microsoft 365, il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente. Verrà eliminato da Microsoft 365 la volta successiva che la cassetta postale verrà elaborata dall'Assistente cartelle gestite.

  • Come si fa a eliminare un messaggio da più di 50.000 cassette postali?

    Come indicato in precedenza, è possibile eseguire un'operazione di ricerca ed eliminazione su un massimo di 50.000 cassette postali, anche se meno di 50.000 cassette contengono elementi che corrispondono alla query di ricerca. Se è necessario eseguire un'operazione di ricerca e rimozione su più di 50.000 cassette postali, è consigliabile creare dei filtri delle autorizzazioni di ricerca temporanei per ridurre il numero di cassette postali in cui eseguire la ricerca a meno di 50.000.

    Ad esempio, se l'organizzazione contiene cassette postali in reparti, stati o paesi/aree geografiche diversi, è possibile creare un filtro delle autorizzazioni di ricerca delle cassette postali basato su una di queste proprietà delle cassette postali per cercare un subset di cassette postali nell'organizzazione. Dopo aver creato il filtro delle autorizzazioni di ricerca, è necessario creare la ricerca e quindi eliminare il messaggio. È quindi possibile modificare il filtro in modo da cercare e rimuovere i messaggi in un insieme di cassette postali diverso. Per altre informazioni sulla creazione di filtri delle autorizzazioni di ricerca, vedere Configurare i filtri delle autorizzazioni per la Ricerca contenuto.

  • Gli elementi non indicizzati inclusi nei risultati della ricerca verranno eliminati?

    No, il comando New-ComplianceSearchAction -Purge non elimina gli elementi non indicizzati.

  • Cosa succede se un messaggio viene eliminato da una cassetta postale soggetta a blocco sul posto o a blocco per controversia legale o che è stata assegnata a un criterio di conservazione di Microsoft 365?

    Dopo che il messaggio è stato eliminato e spostato nella cartella Ripuliture, il messaggio viene conservato fino alla scadenza del periodo di conservazione. Se la durata di conservazione è illimitata, gli elementi vengono mantenuti fino a quando non viene rimosso il blocco o viene modificata la durata di conservazione.

  • Perché il flusso di lavoro di ricerca e rimozione è diviso tra diversi gruppi di ruoli del portale di sicurezza e conformità?

    Per eseguire ricerche nelle cassette postali, è necessario essere membri del gruppo di ruoli Manager di eDiscovery o disporre del ruolo di gestione Ricerca di conformità. Per eliminare i messaggi, è necessario essere membri del gruppo di ruoli Gestione dell'organizzazione o disporre del ruolo di gestione Ricerca ed eliminazione. In questo modo è possibile controllare chi può eseguire ricerche nelle cassette postali dell'organizzazione e chi può eliminare i messaggi.