Поиск и удаление сообщений электронной почты в eDiscovery (предварительная версия)

Совет

Эта статья предназначена для администраторов. Вы пытаетесь найти элементы в почтовом ящике, которые хотите удалить? См . раздел Поиск сообщения или элемента с помощью мгновенного поиска.

Функцию поиска можно использовать для поиска и удаления сообщений электронной почты из всех почтовых ящиков в организации. Этот процесс поможет вам найти и удалить потенциально опасные сообщения электронной почты или сообщения с высоким риском, например:

• сообщения, содержащие опасные вложения или вирусы;
• фишинговые сообщения;
• сообщения, содержащие конфиденциальные данные.

Совет

Если организация имеет подписку Defender для Office 365 (план 2), рекомендуется использовать процедуру, подробно описанную в статье Устранение вредоносных сообщений, доставленных в Office 365, вместо процедуры, приведенной в этой статье.

Подготовка

• Рабочий процесс поиска и очистки, описанный в этой статье, не применим к удалению сообщений чата или другого контента из Microsoft Teams. Если поиск, создаваемый на шаге 2, возвращает элементы из Microsoft Teams, эти элементы не удаляются при очистке элементов на шаге 3. Сведения о поиске и удалении сообщений чата см. в разделе Поиск и очистка сообщений чата в Teams.

• Чтобы создать и запустить поиск, необходимо быть членом группы ролей диспетчера обнаружения электронных данных или назначить ему роль "Поиск соответствия требованиям" на портале Microsoft Purview. Чтобы удалить сообщения, необходимо быть членом группы ролей Управление организацией или назначить роль поиска и очистки на портале Microsoft Purview Сведения о добавлении пользователей в группу ролей см. в статье Назначение разрешений на обнаружение электронных данных.

  Примечание.

  Группа ролей "Управление организацией" существует как в Exchange Online, так и на портале Microsoft Purview. Это две разные группы ролей, которые дают различные разрешения. Участие в группе Управление организацией в Exchange Online не предоставляет разрешений, нужных для удаления сообщений электронной почты. Если вам не назначена роль поиска и очистки на портале Microsoft Purview (напрямую или через группу ролей, например управление организацией), вы получите сообщение об ошибке в шаге 3 при выполнении командлета New-ComplianceSearchAction с сообщением "Не удается найти параметр, соответствующий имени параметра Purge".

• Для удаления сообщений используется PowerShell. Инструкции по подключению см. в разделе Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям.

• За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков. Эта возможность не предназначена для очистки почтовых ящиков пользователей.

• Если из почтового ящика необходимо удалить дополнительные элементы, необходимо выполнить дополнительные действия.

  1. Хранение одного элемента должно быть отключено для почтовых ящиков. Это гарантирует, что элементы будут удалены из папки "Очистка".
  2. Помощник по управляемым папкам должен запускаться в почтовом ящике после каждого действия очистки соответствия. Это действие окончательно удаляет элементы и позволяет удалить дополнительные 10 элементов с дополнительными действиями очистки.

  Примечание.

  Этот параметр не поддерживается, если почтовый ящик содержит удержание в судебном порядке. Из представления пользователя удаляются только 10 элементов. Эти 10 элементов не удаляются окончательно, поэтому эти 10 элементов являются единственными обработанными.

• Максимальное количество почтовых ящиков в поиске контента, в которых можно удалять элементы с помощью поиска и очистки, — 50 000. Если поиск (который вы создали на шаге 2) ищет более 50 000 почтовых ящиков, действие очистки (которое вы создали на шаге 3) завершится ошибкой. Поиск более 50 000 почтовых ящиков за один раз обычно может выполняться при настройке поиска для всех почтовых ящиков в вашей организации. Это ограничение применяется, даже если менее 50 000 почтовых ящиков содержат элементы, соответствующие поисковому запросу. Сведения о том, как использовать фильтры разрешений поиска для поиска и очистки элементов из более чем 50 000 почтовых ящиков см. в разделе Дополнительные сведения.

• Инструкции, приведенные в этой статье, можно использовать только для удаления элементов из общедоступных папок и почтовых ящиков Exchange Online. Его нельзя использовать для удаления содержимого с сайтов SharePoint или OneDrive.

• Email элементы в наборе для проверки в случае обнаружения электронных данных нельзя удалить с помощью процедур, описанных в этой статье. Причина заключается в том, что элементы в наборе для проверки хранятся в расположении хранилища Azure, а не в действующей службе. Это означает, что такие элементы не будут возвращены поиском содержимого, созданном на шаге 1. Чтобы удалить элементы из набора для проверки, необходимо удалить дело обнаружения электронных данных, содержащее набор для проверки.

Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям

Первым шагом является подключение к PowerShell для обеспечения безопасности & соответствия требованиям для вашей организации. Пошаговые инструкции см. в статье Подключение к PowerShell в Центре безопасности и соответствия требованиям.

Шаг 2. Создание поискового запроса для поиска удаляемого сообщения

Второй шаг — создать и запустить поиск, чтобы найти сообщение, которое нужно удалить из почтовых ящиков в организации. Поиск можно создать с помощью портала Microsoft Purview или командлетов New-ComplianceSearch и Start-ComplianceSearch в PowerShell & соответствия требованиям безопасности. Сообщения, соответствующие запросу для этого поиска, удаляются с помощью команды New-ComplianceSearchAction -Purge на шаге 3. Сведения о создании и настройке поисковых запросов см. в следующих статьях:

• Создание поискового запроса
• Использование построителя условий
• New-ComplianceSearch
• Start-ComplianceSearch

Примечание.

Расположения контента, в которых выполняется поиск в поисковом запросе, который вы создаете на этом шаге, не могут включать сайты SharePoint или OneDrive. В поиск, используемый для сообщений электронной почты, можно включать только почтовые ящики и общедоступные папки. Если поиск включает сайты, вы получите сообщение об ошибке на шаге 3 при выполнении командлета New-ComplianceSearchAction .

Советы по поиску сообщений для удаления

Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Ниже приведено несколько советов.

• Если вы знаете точный текст или фразу, используемую в строке темы сообщения, укажите в поисковом запросе свойство Subject.
• Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.
• Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.
• Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.
• Используйте статистику оценки поиска (отображаемую в области сведений поиска на портале Microsoft Purview или с помощью командлета Get-ComplianceSearch ), чтобы получить общее количество результатов.

Ниже приведены два примера поиска подозрительных сообщений электронной почты.

• Этот запрос возвращает сообщения, полученные пользователями в период с 13 апреля 2024 г. по 14 апреля 2024 г. и содержащие слова "действие" и "требуется" в строке темы.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Этот запрос возвращает сообщения, отправленные user@contoso.com и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Вот пример использования запроса для создания и запуска поиска с помощью командлетов New-ComplianceSearch и Start-ComplianceSearch для поиска во всех почтовых ящиках в организации:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Шаг 3. Удаление сообщения

После создания и уточнения поискового запроса для возврата сообщений, которые требуется удалить, последним шагом является выполнение команды New-ComplianceSearchAction -Purge в PowerShell по соответствию безопасности & соответствия требованиям, чтобы удалить сообщение.

Сообщение можно удалить с возможностью восстановления или без возможности восстановления. Сообщение, удаленное с возможностью восстановления, перемещается в папку пользователя "Элементы для восстановления" и сохраняется до истечения срока хранения удаленных элементов. Жестко удаленные сообщения помечаются как необратимое удаление из почтового ящика и окончательно удаляются при следующей обработке почтового ящика помощником по управляемым папкам. Если для почтового ящика включено восстановление одного элемента, жестко удаленные элементы удаляются без возможности восстановления после истечения срока хранения удаленных элементов. Если почтовый ящик помещен на удержание, удаленные сообщения сохраняются до истечения срока удержания элемента или до отключения удержания для почтового ящика.

Примечание.

Как упоминалось ранее, элементы из Microsoft Teams, возвращаемые поисковым запросом, не удаляются при выполнении команды New-ComplianceSearchAction -Purge .

Чтобы удалить сообщения с помощью приведенных ниже команд, убедитесь, что вы подключены к PowerShell Центра безопасности и соответствия требованиям.

Обратимое удаление сообщений

В следующем примере команда обратимо удаляет результаты поиска, возвращенные поисковым запросом с именем "Удалить фишинговое сообщение".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Необратимое удаление сообщений

Чтобы окончательно удалить элементы, возвращенные при поиске контента по запросу "Удаление фишингового сообщения", выполните эту команду:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

При выполнении предыдущих команд для сообщений обратимого или жесткого удаления поиск, указанный параметром SearchName , является поисковым запросом, созданным на шаге 1.

Дополнительные сведения см. в статье New-ComplianceSearchAction.

Дополнительные сведения

• Как узнать состояние операции поиска и удаления?

  Запустите командлет Get-ComplianceSearchAction, чтобы получить сведения о состоянии операции удаления. Объект, который создается при выполнении командлета New-ComplianceSearchAction , называется в следующем формате: <name of Content Search>_Purge.

• Что происходит после удаления сообщения?

  Сообщение, удаленное с New-ComplianceSearchAction -Purge -PurgeType HardDelete помощью команды , перемещается в папку Purges и не может быть доступно пользователю. После перемещения сообщения в папку Очистка сообщение сохраняется в течение периода хранения удаленных элементов, если для почтового ящика включено восстановление одного элемента. (В Microsoft 365 восстановление одного элемента включено по умолчанию при создании нового почтового ящика.) По истечении срока хранения удаленных элементов сообщение помечается как окончательное удаление и очищается из Microsoft 365 при следующей обработке почтового ящика помощник управляемой папки.

  Если используется команда New-ComplianceSearchAction -Purge -PurgeType SoftDelete, сообщения перемещаются в папку "Удаления" в папке пользователя "Элементы для восстановления". Оно не удаляется сразу из Microsoft 365. Пользователь может восстановить сообщения в папке "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. В папке "Очистка" сообщение хранится в течение срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Microsoft 365 восстановление одного элемента включено по умолчанию при создании нового почтового ящика.) По истечении срока хранения удаленных элементов сообщение помечается как окончательное удаление и очищается из Microsoft 365 при следующей обработке почтового ящика помощник управляемой папки.

• Что делать, если нужно удалить сообщение из более чем 50 000 почтовых ящиков?

  Вы можете выполнить операцию поиска и очистки не более 50 000 почтовых ящиков (даже если менее 50 000 содержат элементы, соответствующие поисковому запросу). Если вам нужно выполнить операцию поиска и очистки для более чем 50 000 почтовых ящиков, рекомендуется создать временные фильтры разрешений для поиска, чтобы количество почтовых ящиков, участвующих в поиске, составляло меньше 50 000. Например, если ваша организация содержит почтовые ящики в разных отделах, штатах или странах или регионах, вы можете создать фильтр разрешений для поиска почтовых ящиков на основе одного из этих свойств почтового ящика для поиска подмножества почтовых ящиков в вашей организации. После создания фильтра разрешений поиска можно создать поиск (описано в шаге 1), а затем удалить сообщение (описано в шаге 3). Затем вы можете изменить фильтр для поиска и очистки сообщений в другом наборе почтовых ящиков. Дополнительные сведения о создании фильтров разрешений на поиск см. в разделе Настройка фильтрации разрешений поиска в eDiscovery (предварительная версия).

• Удаляются ли неиндексированные элементы, включенные в результаты поиска?

  Нет, команда New-ComplianceSearchAction -Purge не удаляет неиндексированные элементы.

• Что произойдет, если сообщение удалено из почтового ящика, помещенного в удержание для судебного разбирательства, или назначено политике хранения Microsoft 365?

  После того как сообщение будет очищено и перемещено в папку "Очистка", оно будет храниться, пока не истечет срок удержания. Если период удержания не ограничен, элементы сохраняются до прекращения удержания или изменения периода удержания.

• Почему рабочий процесс поиска и удаления разделен между разными группами ролей портала Microsoft Purview?

  Пользователь должен быть членом группы ролей eDiscovery Manager или ему должна быть назначена роль управления поиском по соответствию для поисковых почтовых ящиков. Чтобы удалить сообщения, пользователь должен быть членом группы ролей Управление организацией или ему назначена роль управления Поиск и очистка . Это позволяет управлять тем, кто может выполнять поиск в почтовых ящиках организации или удалять сообщения.