Identificar tipos de suspensão de caixas de correio do Exchange na Deteção de Dados Eletrónicos (pré-visualização)
O Microsoft Purview oferece várias formas de a sua organização impedir que os conteúdos da caixa de correio sejam eliminados permanentemente. Isto permite que a sua organização retenha conteúdo para cumprir as normas de conformidade ou durante investigações legais e de outros tipos.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Tipos de suspensão
Eis uma lista das funcionalidades de retenção (também denominadas suspensões) no Microsoft Purview e no Microsoft 365:
Suspensão de Litígios: retenções aplicadas a caixas de correio de utilizador no Exchange Online.
Suspensão da Deteção de Dados Eletrónicos: retenções associadas a um caso de Deteção de Dados Eletrónicos (pré-visualização) no portal do Microsoft Purview. Pode colocar uma suspensão nas caixas de correio do Exchange e nas contas do OneDrive das pessoas que está a investigar no caso. Também pode colocar uma suspensão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e Viva Engage Grupos.
Políticas de retenção do Microsoft Purview: pode ser configurado para reter (ou reter e, em seguida, eliminar) conteúdo em caixas de correio de utilizador no Exchange Online e na caixa de correio correspondente para Grupos do Microsoft 365 e Microsoft Teams. Também pode criar uma política de retenção para manter Skype for Business Conversações, que são armazenadas em caixas de correio de utilizador.
Existem dois tipos de políticas de retenção do Microsoft Purview que podem ser atribuídas a caixas de correio.
- Políticas de retenção de localização específicas: estas são políticas atribuídas às localizações de conteúdo de utilizadores específicos. Utilize o cmdlet Get-Mailbox no Exchange Online PowerShell para obter informações sobre políticas de retenção atribuídas a caixas de correio específicas. Para obter mais informações sobre este tipo de política de retenção, veja a secção Uma política com inclusãos ou exclusões específicas da documentação da política de retenção.
- Políticas de retenção ao nível da organização: estas são políticas atribuídas a todas as localizações de conteúdo na sua organização. Utilize o cmdlet Get-OrganizationConfig no Exchange Online PowerShell para obter informações sobre as políticas de retenção em toda a organização. Para obter mais informações sobre este tipo de política de retenção, veja a secção Uma política que se aplica a localizações inteiras a partir da documentação da política de retenção.
Etiquetas de retenção do Microsoft Purview: se um utilizador aplicar uma etiqueta de retenção do Microsoft Purview (configurada para reter conteúdo ou reter e, em seguida, eliminar conteúdo) a qualquer pasta ou item na respetiva caixa de correio, é colocada uma suspensão na caixa de correio como se a caixa de correio tivesse sido colocada em Suspensão de Litígios ou atribuída a uma política de retenção do Microsoft Purview. Para obter mais informações, consulte a secção Identificar caixas de correio em espera porque foi aplicada uma etiqueta de retenção a uma pasta ou item neste artigo.
Para gerir caixas de correio em espera, poderá ter de identificar o tipo de suspensão colocado numa caixa de correio para que possa realizar tarefas como alterar a duração da suspensão, remover temporariamente ou permanentemente a suspensão ou excluir uma caixa de correio de uma política de retenção do Microsoft Purview. Nestes casos, o primeiro passo é identificar o tipo de suspensão colocado na caixa de correio. E como podem ser colocadas várias suspensões (e diferentes tipos de suspensões) numa única caixa de correio, tem de identificar todas as suspensões colocadas numa caixa de correio se pretender remover ou alterar uma suspensão.
Passo 1: Obter o GUID para suspensões colocadas numa caixa de correio
Pode executar os dois cmdlets seguintes no Exchange Online PowerShell para obter o GUID das suspensões que são colocadas numa caixa de correio. Depois de obter um GUID, utilize-o para identificar a suspensão específica no Passo 2. Uma Suspensão de Litígios não é identificada por um GUID. As Suspensões de Litígios estão ativadas ou desativadas para uma caixa de correio.
- Get-Mailbox: utilize este cmdlet para determinar se a Suspensão de Litígios está ativada para uma caixa de correio e para obter os GUIDs para retenções de Deteção de Dados Eletrónicos e políticas de retenção do Microsoft Purview atribuídas a uma caixa de correio. O resultado deste cmdlet também indicará se uma caixa de correio foi explicitamente excluída de uma política de retenção em toda a organização.
- Get-OrganizationConfig: utilize este cmdlet para obter os GUIDs para políticas de retenção em toda a organização.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
Get-Mailbox
Execute o seguinte comando para obter informações sobre as suspensões e as políticas de retenção do Microsoft Purview aplicadas a uma caixa de correio.
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
Dica
Se existirem demasiados valores na propriedade InPlaceHolds e nem todos forem apresentados, pode executar o Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds comando para apresentar cada GUID numa linha separada.
A tabela seguinte descreve como identificar diferentes tipos de suspensões com base nos valores na propriedade InPlaceHolds quando executa o cmdlet Get-Mailbox .
| Tipo de suspensão | Valor de exemplo | Como identificar a suspensão |
|---|---|---|
| Retenção de litígio | True |
A Suspensão de Litígios é ativada para uma caixa de correio quando a propriedade LitigationHoldEnabled está definida como True. |
| Retenção de Descoberta Eletrônica | UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
A propriedade InPlaceHolds contém o GUID de qualquer retenção associada a um caso de Deteção de Dados Eletrónicos no portal do Microsoft Purview. Pode ver que se trata de uma suspensão de Deteção de Dados Eletrónicos porque o GUID começa com o UniH prefixo (que indica uma Suspensão Unificada). |
| Política de retenção do Microsoft Purview aplicada à caixa de correio | mbxcdbbb86ce60342489bff371876e7f224:1 ou skp127d7cf1076947929bf136b7a2a8c36f:3 |
A propriedade InPlaceHolds contém GUIDs de qualquer política de retenção de localização específica aplicada à caixa de correio. Pode identificar políticas de retenção porque o GUID começa com o mbx prefixo ou skp . O skp prefixo indica que a política de retenção é aplicada a Skype for Business conversações na caixa de correio do utilizador. |
| Excluído de uma política de retenção do Microsoft Purview para toda a organização | -mbxe9b52bf7ab3b46a286308ecb29624696 |
Se uma caixa de correio for excluída de uma política de retenção do Microsoft Purview para toda a organização, o GUID da política de retenção da qual a caixa de correio está excluída é apresentado na propriedade InPlaceHolds e é identificado pelo -mbx prefixo. |
Get-OrganizationConfig
Se a propriedade InPlaceHolds estiver vazia quando executar o cmdlet Get-Mailbox , ainda poderá haver uma ou mais políticas de retenção do Microsoft Purview em toda a organização aplicadas à caixa de correio. Execute o seguinte comando no Exchange Online PowerShell para obter uma lista de GUIDs para políticas de retenção do Microsoft Purview em toda a organização.
Get-OrganizationConfig | FL InPlaceHolds
Dica
Se existirem demasiados valores na propriedade InPlaceHolds e nem todos forem apresentados, pode executar o Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds comando para apresentar cada GUID numa linha separada.
A tabela seguinte descreve os diferentes tipos de suspensões em toda a organização e como identificar cada tipo com base nos GUIDs contidos na propriedade InPlaceHolds quando executa o cmdlet Get-OrganizationConfig .
| Tipo de suspensão | Valor de exemplo | Descrição |
|---|---|---|
| Políticas de retenção do Microsoft Purview aplicadas a caixas de correio do Exchange, pastas públicas do Exchange e chats do Teams | mbx7cfb30345d454ac0a989ab3041051209:2 |
As políticas de retenção em toda a organização aplicadas a caixas de correio do Exchange, pastas públicas do Exchange e chats 1xN no Microsoft Teams são identificadas por GUIDs que começam com o mbx prefixo. Tenha em atenção que as conversas 1xN são armazenadas na caixa de correio dos participantes individuais do chat. |
| Política de retenção do Microsoft Purview aplicada às mensagens do canal Grupos do Microsoft 365 e do Teams | grp1a0a132ee8944501a4bb6a452ec31171:3 |
As políticas de retenção em toda a organização aplicadas a grupos do Microsoft 365 e mensagens de canal no Microsoft Teams são identificadas por GUIDs que começam com o grp prefixo. As mensagens do canal de notas são armazenadas na caixa de correio de grupo que está associada a uma Equipa da Microsoft. |
Para obter mais informações sobre as políticas de retenção aplicadas ao Microsoft Teams, consulte Saiba mais sobre as políticas de retenção do Microsoft Teams.
Compreender o formato do valor InPlaceHolds para políticas de retenção
Além do prefixo (mbx, skp ou grp) que identifica um item na propriedade InPlaceHolds como uma política de retenção do Microsoft Purview, o valor também contém um sufixo que identifica o tipo de ação de retenção configurado para a política. Por exemplo, o sufixo de ação está realçado a negrito nos seguintes exemplos:
skp127d7cf1076947929bf136b7a2a8c36f
:1
mbx7cfb30345d454ac0a989ab3041051209
:2
grp1a0a132ee8944501a4bb6a452ec31171
:3
A tabela seguinte define as três ações de retenção possíveis:
| Valor | Descrição |
|---|---|
| 1 | Indica que a política de retenção está configurada para eliminar itens. A política não retém itens. |
| 2 | Indica que a política de retenção está configurada para armazenar itens. A política não elimina itens após o período de retenção expirar. |
| 3 | Indica que a política de retenção está configurada para reter itens e, em seguida, eliminá-los após o período de retenção expirar. |
Observação
Uma vez que as políticas de etiquetas de retenção publicam ou aplicam automaticamente etiquetas que aplicam ações ao nível do item, mostrarão sempre um valor de ação de 1 na propriedade InPlaceHolds da caixa de correio.
Para identificar se foi aplicada uma suspensão a uma pasta ou item na caixa de correio, consulte Identificar caixas de correio em espera porque foi aplicada uma etiqueta de retenção a uma pasta ou item.
Para obter mais informações sobre as ações de retenção, veja a secção Reter conteúdo para um período de tempo específico .
Passo 2: Utilizar o GUID para identificar a suspensão
Depois de obter o GUID para uma suspensão aplicada a uma caixa de correio, o passo seguinte é utilizar esse GUID para identificar a suspensão. As secções seguintes mostram como identificar o nome da suspensão (e outras informações) com o GUID de suspensão.
Bloqueios de Descoberta Eletrônica
Execute os seguintes comandos no PowerShell de Conformidade do & de Segurança para identificar uma suspensão de Deteção de Dados Eletrónicos aplicada à caixa de correio. Utilize o GUID (sem incluir o prefixo UniH) para a suspensão de Deteção de Dados Eletrónicos que identificou no Passo 1.
Para ligar ao PowerShell de Conformidade & de Segurança, veja Ligar ao PowerShell de Conformidade do & de Segurança.
O primeiro comando cria uma variável que contém informações sobre a suspensão. Esta variável é utilizada nos outros comandos. O segundo comando apresenta o nome da caixa de Deteção de Dados Eletrónicos a que a suspensão está associada. O terceiro comando apresenta o nome da suspensão e uma lista das caixas de correio a que a suspensão se aplica.
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation
Políticas de retenção do Microsoft Purview
Ligue-se ao PowerShell de Conformidade do & de Segurança e execute o seguinte comando para identificar a política de retenção do Microsoft Purview (localização específica ou em toda a organização) aplicada à caixa de correio. Utilize o GUID (sem incluir o prefixo mbx, skp ou grp ou o sufixo de ação) que identificou no Passo 1.
Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail | FL Name,*Location
Identificar caixas de correio em espera porque foi aplicada uma etiqueta de retenção a uma pasta ou item
Sempre que um utilizador aplica uma etiqueta de retenção configurada para reter ou reter e, em seguida, eliminar conteúdo para qualquer pasta ou item na respetiva caixa de correio, a propriedade da caixa de correio ComplianceTagHoldApplied é definida como Verdadeiro. Quando isto acontece, a caixa de correio é tratada da mesma forma que se tiver sido colocada em espera, como quando atribuída a uma política de retenção do Microsoft Purview ou colocada em Suspensão de Litígios, no entanto, com algumas ressalvas. Quando a propriedade ComplianceTagHoldApplied está definida como Verdadeiro, ocorrem os seguintes itens:
- Se a caixa de correio ou a conta do Microsoft 365 do utilizador forem eliminadas, a caixa de correio torna-se uma caixa de correio inativa.
- Não é possível desativar a caixa de correio (a caixa de correio principal ou a caixa de correio de arquivo, se estiver ativada).
- Os itens que foram eliminados da caixa de correio seguem um de dois caminhos, consoante estejam etiquetados ou não:
- Os itens não etiquetados seguem o mesmo caminho que os itens eliminados quando não se aplicam retenções à caixa de correio. O tempo que estes itens demoram a ser eliminados permanentemente é determinado pela configuração de retenção de itens eliminados e se a recuperação de itens únicos está ou não ativada para a caixa de correio.
- Os itens etiquetados são mantidos na pasta de itens recuperáveis da mesma forma que seriam se fosse aplicada uma política de retenção do Microsoft Purview, mas ao nível do item individual. Se vários itens tiverem etiquetas diferentes configuradas para reter ou reter e, em seguida, eliminar conteúdo em intervalos diferentes, cada item é mantido com base na configuração da etiqueta aplicada.
- Outras suspensões, como políticas de retenção do Microsoft Purview, suspensões de Deteção de Dados Eletrónicos ou suspensão de litígios, podem prolongar o período de retenção dos itens etiquetados com base nos princípios de retenção.
Para ver o valor da propriedade ComplianceTagHoldApplied de uma única caixa de correio, execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox <username> | FL ComplianceTagHoldApplied
Para obter mais informações sobre etiquetas de retenção, veja Etiquetas de retenção.
Gerir caixas de correio em suspensão de atraso
Depois de qualquer tipo de suspensão ser removido de uma caixa de correio, é aplicada uma suspensão de atraso . Isto significa que a remoção real da suspensão é adiada por 30 dias para impedir que os dados sejam eliminados permanentemente (removidos) da caixa de correio. Isto dá aos administradores a oportunidade de procurar ou recuperar itens de caixa de correio que são removidos após a remoção de uma suspensão. É colocada uma suspensão de atraso numa caixa de correio da próxima vez que o Assistente de Pastas Geridas processar a caixa de correio e detetar que foi removida uma suspensão. Especificamente, uma retenção de atraso é aplicada a uma caixa de correio quando o Assistente de Pasta Gerenciada define uma das seguintes propriedades de caixa de correio como True:
- DelayHoldApplied: esta propriedade aplica-se a conteúdos relacionados com o e-mail (gerados por pessoas que utilizam o Outlook e Outlook na Web) armazenados na caixa de correio de um utilizador.
- DelayReleaseHoldApplied: esta propriedade aplica-se a conteúdos baseados na nuvem (gerados por aplicações que não sejam do Outlook, como o Microsoft Teams, Microsoft Forms e Microsoft Viva Engage) armazenados na caixa de correio de um utilizador. Os dados de nuvem gerados por um aplicativo da Microsoft geralmente são armazenados em uma pasta oculta na caixa de correio de um usuário.
Quando uma retenção de atraso é colocada na caixa de correio (quando qualquer uma das propriedades anteriores é definida como True), a caixa de correio ainda é considerada em espera por uma duração ilimitada, como se a caixa de correio estivesse em Retenção de Litígio. Após 30 dias, a suspensão do atraso expira e o Microsoft 365 tentará remover automaticamente a suspensão de atraso (ao definir a propriedade DelayHoldApplied ou DelayReleaseHoldApplied como Falso) para que a suspensão seja removida. Depois de uma destas propriedades ser definida como Falso, os itens correspondentes marcados para remoção são removidos da próxima vez que a caixa de correio for processada pelo Assistente de Pastas Geridas.
Observação
Se a conta de utilizador da caixa de correio estiver desativada, a caixa de correio não é processada pelo Assistente de Pastas Geridas e o atraso permanece após os 30 dias expirarem. Para obter mais informações, veja Considerações sobre atrasos.
Para ver os valores das propriedades DelayHoldApplied e DelayReleaseHoldApplied de uma caixa de correio, execute o seguinte comando no Exchange Online PowerShell.
Get-Mailbox <username> | FL *HoldApplied*
Para remover a suspensão de atraso antes de expirar, pode executar um (ou ambos) os seguintes comandos no Exchange Online PowerShell, consoante a propriedade que pretende alterar:
Set-Mailbox <username> -RemoveDelayHoldApplied
Ou
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
Tem de lhe ser atribuída a função Detenção Legal no Exchange Online para utilizar os parâmetros RemoveDelayHoldApplied ou RemoveDelayReleaseHoldApplied.
Para remover a suspensão de atraso numa caixa de correio inativa, execute um dos seguintes comandos no Exchange Online PowerShell:
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied
Ou
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied
Dica
A melhor forma de especificar uma caixa de correio inativa no comando anterior é utilizar o respetivo Nome Único ou o valor GUID do Exchange. A utilização de um destes valores ajuda a evitar especificar acidentalmente a caixa de correio errada.
Para obter mais informações sobre como utilizar estes parâmetros para gerir retenções de atraso, consulte Set-Mailbox.
Considerações sobre atrasos
Tenha em atenção os seguintes aspetos ao gerir uma caixa de correio em suspensão de atraso:
- Se a propriedade DelayHoldApplied ou DelayReleaseHoldApplied estiver definida como Verdadeiro e uma caixa de correio (ou a conta de utilizador correspondente) for eliminada, a caixa de correio torna-se uma caixa de correio inativa. Isto deve-se ao facto de uma caixa de correio ser considerada como estando em espera se uma das propriedades estiver definida como Verdadeiro e a eliminação de uma caixa de correio em suspensão resultar numa caixa de correio inativa. Para eliminar uma caixa de correio e não torná-la numa caixa de correio inativa, tem de definir ambas as propriedades como Falso.
- Considera-se que uma caixa de correio está em espera durante uma duração de suspensão ilimitada se a propriedade DelayHoldApplied ou DelayReleaseHoldApplied estiver definida como Verdadeiro. No entanto, isso não significa que todos os conteúdos na caixa de correio são preservados. Depende do valor definido para cada propriedade. Por exemplo, digamos que ambas as propriedades estão definidas como Verdadeiro porque as suspensões são removidas da caixa de correio. Em seguida, remove apenas a suspensão de atraso que é aplicada a dados na nuvem não outlook (utilizando o parâmetro RemoveDelayReleaseHoldApplied ). Da próxima vez que o Assistente de Pastas Geridas processar a caixa de correio, os itens que não sejam do Outlook marcados para remoção são removidos. Os itens do Outlook marcados para remoção não serão removidos porque a propriedade DelayHoldApplied ainda está definida como Verdadeiro. O contrário também seria verdadeiro: se DelayHoldApplied estiver definido como Falso e DelayReleaseHoldApplied estiver definido como Verdadeiro, apenas os itens do Outlook marcados para remoção serão removidos.
Como confirmar que uma política de retenção em toda a organização é aplicada a uma caixa de correio
Quando uma política de retenção em toda a organização é aplicada ou removida para uma caixa de correio, exportar a caixa de correio diagnóstico registos pode ajudá-lo a ter a certeza de que Exchange Online aplicou ou removeu a política de retenção para a caixa de correio. Para ver estas informações, primeiro tem de validar algumas coisas com o Exchange Online PowerShell.
Obter os GUIDs para quaisquer políticas de retenção aplicadas explicitamente a uma caixa de correio
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
Obter os GUIDs para quaisquer políticas de retenção ao nível da organização aplicadas às caixas de correio
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
Obter o Diagnóstico da Caixa de Correio para HoldTracking
Os registos de Diagnóstico da Caixa de Correio de Controlo de Suspensão mantêm um histórico das suspensões aplicadas a uma caixa de correio de utilizador.
$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json
Rever os resultados dos registos de Diagnóstico da Caixa de Correio
Se recolher dados do passo anterior, os dados resultantes poderão ter um aspeto semelhante ao seguinte:
ed
: 0001-01-01T00:00:00.0000000oculto: mbx7cfb30345d454ac0a989ab3041051209:1ht: 4lsd: 2020-03-23T18:24:37.1884606Zosd: 2020-03-23T18:24:37.1884606Z
Utilize a tabela seguinte para o ajudar a compreender cada um dos valores anteriores listados no registo de diagnóstico.
| Valor | Descrição |
|---|---|
| ed | Indica a Data de fim, que é a data em que a política de retenção foi desativada. MinValue significa que a política ainda está atribuída à caixa de correio. |
| oculto | Indica o GUID da política de retenção. Este valor coocula aos GUIDs que recolheu para as políticas de retenção explícitas ou ao nível da organização atribuídas à caixa de correio. |
| ht | Indica o tipo de suspensão. Os valores são 0 para LitigationHold, 1 para InPlaceHold, 2 para ComplianceTagHold, 3 para DelayReleaseHold, 4 para OrganizationRetention, 5 para CompliancePolicy, 6 para SubstrateAppPolicy e 7 para SharepointPolicy. |
| lsd | Indica a Última data de início, que é a data em que a política de retenção foi atribuída à caixa de correio. |
| osd | Indica a data de início Original, que é a data em que o Exchange registou primeiro informações sobre a política de retenção. |
Quando uma política de retenção já não é aplicada a uma caixa de correio, colocaremos uma suspensão temporária de atraso no utilizador para impedir a remoção de conteúdos. Uma suspensão de atraso pode ser desativada ao executar o Set-Mailbox -RemoveDelayHoldApplied comando .
Próximas etapas
Depois de identificar as retenções aplicadas a uma caixa de correio, pode efetuar tarefas como alterar a duração da suspensão, remover temporariamente ou permanentemente a suspensão ou excluir uma caixa de correio inativa de uma política de retenção do Microsoft Purview. Para obter mais informações sobre a execução de tarefas relacionadas com suspensões, consulte um dos seguintes artigos:
- Execute o comando Set-RetentionCompliancePolicy -Identity Policy Name -AddExchangeLocationException user mailbox> (Caixa de correio de utilizador Set-RetentionCompliancePolicy -Identity <Policy Name> -AddExchangeLocationException<) no PowerShell de Conformidade do & de Segurança para excluir uma caixa de correio de uma política de retenção do Microsoft Purview em toda a organização. Este comando só pode ser utilizado para políticas de retenção em que o valor da propriedade ExchangeLocation seja igual
Alla . - Alterar a duração de retenção de uma caixa de correio inativa
- Excluir uma caixa de correio inativa
- Excluir itens na pasta de Itens recuperáveis de caixas de correio baseadas em nuvem em retenção