Partilhar via


Localizar e eliminar mensagens de e-mail na Deteção de Dados Eletrónicos (pré-visualização)

Dica

Este artigo é para administradores. Está a tentar localizar itens na sua caixa de correio que pretende eliminar? Consulte Localizar uma mensagem ou item com a Pesquisa Instantânea.

Pode utilizar a funcionalidade de pesquisa para procurar e eliminar mensagens de e-mail de todas as caixas de correio na sua organização. Esse processo pode ajudá-lo a encontrar e remover emails potencialmente nocivos ou de alto risco, como:

  • Mensagens que contenham anexos perigosos ou vírus
  • Mensagens de phishing
  • Mensagens que contêm dados confidenciais

Dica

Se sua organização tiver uma assinatura do Defender para Office 365 Plano 2, recomendamos usar o procedimento detalhado em Remediar emails mal-intencionados entregues no Office 365 em vez de seguir o procedimento descrito neste artigo.

Antes de começar

  • O fluxo de trabalho de pesquisa e eliminação descrito neste artigo não exclui as mensagens d chat ou outro conteúdo do Microsoft Teams. Se a pesquisa que criar no Passo 2 devolver itens do Microsoft Teams, esses itens não serão eliminados quando remover itens no Passo 3. Para pesquisar e excluir mensagens de chat, consulte Pesquisar e limpar mensagens de chat no Teams.

  • Para criar e executar uma pesquisa, tem de ser membro do grupo de funções Gestor de Deteção de Dados Eletrónicos ou ser-lhe atribuída a função Pesquisa de Conformidade no portal do Microsoft Purview. Para eliminar mensagens, tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função Procurar e Remover no portal do Microsoft Purview Para obter informações sobre como adicionar utilizadores a um grupo de funções, consulte Atribuir permissões de Deteção de Dados Eletrónicos.

    Observação

    O grupo de funções Gestão da Organização existe tanto no Exchange Online como no portal do Microsoft Purview. Esses são grupos de funções separados que dão permissões diferentes. Ser membro do Gerenciamento da Organização no Exchange Online não concede as permissões necessárias para excluir mensagens de email. Se não lhe for atribuída a função Procurar e Remover no portal do Microsoft Purview (diretamente ou através de um grupo de funções, como a Gestão da Organização), receberá um erro no Passo 3 quando executar o cmdlet New-ComplianceSearchAction com a mensagem "Não é possível encontrar um parâmetro que corresponda ao nome do parâmetro "Remover".

  • Você tem que usar a Segurança e Conformidade do PowerShell para excluir mensagens. Consulte a Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell para obter instruções sobre como se conectar.

  • Só é possível remover no máximo dez itens de cada vez por caixa de correio. Como o recurso de pesquisa e remoção de mensagens tem como objetivo ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

  • Se precisar de remover itens adicionais da caixa de correio, são necessários passos adicionais.

    1. A retenção de itens únicos tem de ser desativada para as caixas de correio. Isto garante que os itens são removidos da pasta Remoção
    2. O Assistente de Pastas Geridas tem de ser executado na caixa de correio após cada ação de remoção de conformidade. Esta ação elimina permanentemente os itens e permite que sejam removidos mais 10 itens com ações de remoção adicionais.

    Observação

    Esta opção não é suportada se uma caixa de correio tiver uma suspensão de litígios. Apenas 10 itens são removidos da vista do utilizador. Estes 10 itens não são eliminados permanentemente, pelo que estes 10 itens são os únicos processados.

  • O número máximo de caixas de correio em uma pesquisa de conteúdo na qual você pode usar para excluir itens executando uma ação de pesquisa e limpeza é 50.000. Se a pesquisa (criada no Passo 2) procurar mais de 50 000 caixas de correio, a ação de remoção (que criar no Passo 3) falhará. Pesquisar mais de 50.000 caixas de correio em uma única pesquisa pode normalmente acontecer quando você configura a pesquisa para incluir todas as caixas de correio em sua organização. Essa restrição ainda se aplica mesmo quando menos de 50.000 caixas de correio contiverem itens que correspondam à consulta de pesquisa. Confira a seção Mais informações para obter orientação sobre o uso de filtros de permissões de pesquisa para procurar e limpar itens de mais de 50.000 caixas de correio.

  • O procedimento neste artigo só pode ser usado para excluir itens nas caixas de correio e pastas públicas do Exchange Online. Não pode utilizá-lo para eliminar conteúdos de sites do SharePoint ou do OneDrive.

  • Email itens num conjunto de revisão num caso de Deteção de Dados Eletrónicos não podem ser eliminados através dos procedimentos neste artigo. Isso ocorre porque os itens de um conjunto de revisão são armazenados em um local de armazenamento do Azure e não no serviço em tempo real. Isso significa que eles não serão retornados pela pesquisa de conteúdo criada na Etapa 1. Para eliminar itens num conjunto de revisão, tem de eliminar o caso de Deteção de Dados Eletrónicos que contém o conjunto de revisão.

Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell

O primeiro passo é ligar ao PowerShell de Conformidade do & de Segurança para a sua organização. Para obter instruções passo a passo, confira Conectar-se à Segurança e Conformidade do PowerShell .

Passo 2: criar uma consulta de pesquisa para localizar a mensagem a eliminar

O segundo passo consiste em criar e executar uma pesquisa para localizar a mensagem que pretende remover das caixas de correio na sua organização. Pode criar a pesquisa com o portal do Microsoft Purview ou ao executar os cmdlets New-ComplianceSearch e Start-ComplianceSearch no PowerShell de Conformidade do & de Segurança. As mensagens que correspondem à consulta para esta pesquisa serão excluídas executando o comando New-ComplianceSearchAction -Purge na Etapa 3. Para obter informações sobre como criar e configurar consultas de pesquisa, veja os seguintes artigos:

Observação

As localizações de conteúdo que são pesquisadas na consulta de pesquisa que criar neste passo não podem incluir sites do SharePoint ou do OneDrive. Só pode incluir caixas de correio e pastas públicas numa pesquisa que será utilizada para mensagens de e-mail. Se a pesquisa incluir sites, receberá um erro no Passo 3 quando executar o cmdlet New-ComplianceSearchAction .

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados da pesquisa apenas à mensagem ou mensagens que você deseja remover. Veja algumas dicas:

  • Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.
  • Se você souber a data exata (ou o intervalo de datas) da mensagem, inclua a propriedade Received na consulta de pesquisa.
  • Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.
  • Visualize os resultados da pesquisa para verificar se a pesquisa de conteúdo retornou apenas a mensagem (ou mensagens) que você deseja excluir.
  • Utilize as estatísticas de estimativa de pesquisa (apresentadas no painel de detalhes da pesquisa no portal do Microsoft Purview ou através do cmdlet Get-ComplianceSearch ) para obter uma contagem do número total de resultados.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

  • Esta consulta devolve mensagens que foram recebidas pelos utilizadores entre 13 de abril de 2024 e 14 de abril de 2024 e que contêm as palavras "ação" e "necessário" na linha do assunto.

    (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
    
  • Essa consulta retorna mensagens que foram enviadas por user@contoso.com e que contêm a frase exata "Atualizar as informações da conta" na linha de assunto.

    (From:user@contoso.com) AND (Subject:"Update your account information")
    

Veja um exemplo de como usar uma consulta para criar e iniciar uma pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch para pesquisar todas as caixas de correio na organização:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Etapa 3: Excluir a mensagem

Depois de criar e refinar uma consulta de pesquisa para devolver as mensagens que pretende remover, o passo final é executar o comando New-ComplianceSearchAction -Purge no PowerShell de Conformidade do & de Segurança para eliminar a mensagem.

Você pode excluir a mensagem temporária ou permanentemente. Uma mensagem excluída temporariamente (soft- deleted) é movida para a pasta Itens Recuperáveis de um usuário e mantida até que o período de retenção de itens excluídos expire. As mensagens eliminadas são marcadas para remoção permanente da caixa de correio e são permanentemente removidas da próxima vez que a caixa de correio for processada pelo Assistente de Pastas Geridas. Se a recuperação de itens únicos estiver ativada para a caixa de correio, os itens eliminados são permanentemente removidos após o período de retenção do item eliminado expirar. Se uma caixa de correio for colocada em espera, as mensagens excluídas serão preservadas até que a duração de retenção do item expire ou até que o período de espera seja interrompido na caixa de correio.

Observação

Conforme indicado anteriormente, os itens do Microsoft Teams que são devolvidos pela consulta de pesquisa não são eliminados quando executa o comando New-ComplianceSearchAction -Purge .

Para executar os seguintes comandos para excluir mensagens, certifique-se de que você está conectado à Segurança e Conformidade do PowerShell.

Exclusão temporária de mensagens

No exemplo seguinte, o comando elimina de forma recuperável os resultados da pesquisa devolvidos por uma consulta de pesquisa denominada "Remover Mensagem de Phishing".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Exclusão permanente de mensagens

Para excluir permanentemente os itens devolvidos pela Pesquisa de Conteúdo "Remover mensagem de phishing", execute este comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando executa os comandos anteriores para mensagens de eliminação recuperável ou dura, a pesquisa especificada pelo parâmetro SearchName é a consulta de pesquisa que criou no Passo 1.

Para obter mais informações, consulte New-ComplianceSearchAction.

Mais informações

  • Como obter o status da operação de pesquisa e exclusão?

    Execute o Get-ComplianceSearchAction para obter o status da operação de exclusão. O objeto que é criado quando executa o cmdlet New-ComplianceSearchAction tem o nome com este formato: <name of Content Search>_Purge.

  • O que acontece após a exclusão de uma mensagem?

    Uma mensagem que é eliminada com o New-ComplianceSearchAction -Purge -PurgeType HardDelete comando é movida para a pasta Remoção e não pode ser acedida pelo utilizador. Depois de a mensagem ser movida para a pasta Remoção, a mensagem é retida para o período de retenção de itens eliminados se a recuperação de itens únicos estiver ativada para a caixa de correio. (No Microsoft 365, a recuperação de itens únicos é ativada por predefinição quando é criada uma nova caixa de correio.) Após o período de retenção do item eliminado expirar, a mensagem é marcada para eliminação permanente e é removida do Microsoft 365 da próxima vez que a caixa de correio for processada pela pasta gerida assistente.

    Se você usar o comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, as mensagens serão movidas para a pasta Exclusões na pasta itens recuperáveis do usuário. Ela não é removida imediatamente do Microsoft 365. O usuário pode recuperar mensagens na pasta Itens Excluídos de acordo com o período de retenção do item excluído configurado para a caixa de correio. Após esse período de retenção (ou se o usuário remover a mensagem antes do período expirar), a mensagem será movida para a pasta Remoções e não poderá mais ser acessada pelo usuário. Uma vez na pasta Remoções, a mensagem é mantida novamente durante o período de retenção do item excluído configurado para a caixa de correio, se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de item único é habilitada por padrão quando uma nova caixa de correio é criada.) Após o período de retenção de item excluído expirar, a mensagem será marcada para exclusão permanente e será definitivamente removida do Microsoft 365 na próxima vez que a caixa de correio for processada pelo assistente de pastas gerenciadas.

  • E se você tiver que excluir uma mensagem de mais de 50.000 caixas de correio?

    Pode efetuar uma operação de pesquisa e remoção num máximo de 50 000 caixas de correio (mesmo que menos de 50 000 contenham itens que correspondam à consulta de pesquisa). Se você tiver que fazer uma operação de pesquisa e limpeza em mais de 50.000 caixas de correio, considere a criação de filtros de permissões de pesquisa temporários que reduzem o número de caixas de correio que seriam pesquisadas para menos de 50.000 caixas de correio. Por exemplo, se a sua organização contiver caixas de correio em diferentes departamentos, estados ou países/regiões, pode criar um filtro de permissões de pesquisa de caixa de correio com base numa dessas propriedades da caixa de correio para procurar num subconjunto de caixas de correio na sua organização. Depois de criar o filtro de permissões de pesquisa, você criaria a pesquisa (descrita na etapa 1) e, em seguida, excluirá a mensagem (descrita na etapa 3). Em seguida, você pode editar o filtro para pesquisar e limpar mensagens em um conjunto diferente de caixas de correio. Para obter mais informações sobre como criar filtros de permissões de pesquisa, veja Configurar a filtragem de permissões de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).

  • Os itens não indexados incluídos nos resultados da pesquisa serão excluídos?

    Não, o comando "New-ComplianceSearchAction -Purge não elimina itens não identificados.

  • O que acontece se uma mensagem for eliminada de uma caixa de correio que tenha sido colocada em Suspensão de Litígios ou atribuída a uma política de retenção do Microsoft 365?

    Quando for removida e transferida para a pasta Remoções, a mensagem será mantida até que a duração da retenção expire. Se a duração de retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da espera seja alterada.

  • Por que motivo a pesquisa e a remoção do fluxo de trabalho estão divididas entre diferentes grupos de funções do portal do Microsoft Purview?

    Uma pessoa deve ser membro do grupo de função Gerente de Descoberta Eletrônica ou ser atribuída à função de Gerenciamento de Pesquisa de Conformidade para localizar caixas de correio. Para eliminar mensagens, uma pessoa tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função de gestão Procurar e Remover . Isso possibilita o controle de quem pode pesquisar nas caixas de correio da organização e quem pode excluir mensagens.