在电子数据展示 (预览) 中查找和删除电子邮件

提示

本文适用于管理员。 是否尝试在邮箱中查找要删除的项目？ 请参阅 使用即时搜索查找邮件或项目。

可以使用搜索功能从组织中的所有邮箱中搜索和删除电子邮件。 此过程可以帮助你查找并删除可能有害或高风险的电子邮件，例如：

• 包含危险附件或病毒的邮件
• 网络仿冒邮件
• 包含敏感数据的邮件

提示

如果你的组织有 Defender for Office 365 计划 2 订阅，建议使用修正 Office 365 中传递的恶意电子邮件中详细介绍的过程，而不是按照本文中介绍的过程进行操作。

准备工作

• 本文中所述的搜索和清除工作流不会从 Microsoft Teams 中删除聊天消息或其他内容。 如果在步骤 2 中创建的搜索从 Microsoft Teams 返回项目，则不会在步骤 3 中清除项目时删除这些项目。 若要搜索和删除聊天消息，请参阅搜索和清除 Teams 中的聊天消息。

• 若要创建和运行搜索，你必须是 电子数据展示管理器 角色组的成员，或者在 Microsoft Purview 门户中分配 合规性搜索 角色。 若要删除邮件，你必须是 组织管理 角色组的成员，或者在 Microsoft Purview 门户中分配“ 搜索和清除 ”角色 有关将用户添加到角色组的信息，请参阅 分配电子数据展示权限。

  注意

  组织管理角色组存在于 Exchange Online 和 Microsoft Purview 门户中。 这些角色组都是独立的角色组，授予不同的权限。 作为 Exchange Online 中组织管理的成员，并没有授予删除邮件的必要权限。 如果未在 Microsoft Purview 门户中直接或通过组织管理) 等角色组 (分配“搜索和清除”角色，则运行 New-ComplianceSearchAction cmdlet 时，会在步骤 3 中收到错误，并显示消息“找不到与参数名称'Purge'匹配的参数”。

• 你必须使用安全与合规 PowerShell 删除邮件。 有关如何连接的说明，请参阅步骤 1：连接到安全与合规 PowerShell。

• 一次最多可以删除每个邮箱的 10 封邮件。 因为搜索和删除邮件的功能是用作事件响应工具，所以此限制可帮助确保从邮箱中快速删除邮件。 此功能并不用于清理用户邮箱。

• 如果需要从邮箱中删除其他项目，则需要执行其他步骤。

  1. 必须为 邮箱禁用单个项目保留。 这可确保从“清除”文件夹中删除项目
  2. 每次执行符合性清除操作后，都必须针对邮箱运行 托管文件夹助理 。 此操作将永久删除项目，并允许使用其他清除操作删除另外 10 个项目。

  注意

  如果邮箱具有 诉讼保留，则不支持此选项。 仅从用户视图中删除 10 个项目。 这 10 个项目不会永久删除，因此仅处理这 10 个项目。

• 在内容搜索中，可通过搜索和清除操作删除其项目的最大邮箱数为 50,000。 如果在 步骤 2 中创建的搜索 () 搜索超过 50,000 个邮箱，则你在步骤 3) 中创建的清除操作 (将失败。 如果将搜索配置为包括组织内的所有邮箱，则单次搜索中一般有可能搜索到超过 50,000 个邮箱。 即使包含匹配搜索查询项目的邮箱数量少于 50,000 个，这一限制仍然适用。 请参阅 详细信息 部分，以获取关于使用搜索权限筛选器在超过 50,000 个邮箱中搜索和清除项目的指南。

• 本文中所述的步骤只能用于删除 Exchange Online 邮箱和公用文件夹中的项目。 不能使用它从 SharePoint 或 OneDrive 网站中删除内容。

• 无法使用本文中的过程删除电子数据展示案例中的审阅集中Email项。 这是因为审阅集中的项目存储在 Azure 存储位置，而不是实时服务中。 这意味着，这些内容无法通过在步骤 1 中创建的内容搜索返回。 若要删除审阅集中的项目，必须删除包含审阅集的电子数据展示事例。

步骤 1：连接到安全与合规 PowerShell

第一步是连接到组织 的安全 & 合规性 PowerShell 。 有关分步说明，请参阅连接到安全与合规 PowerShell。

步骤 2：创建搜索查询以查找要删除的邮件

第二步是创建并运行搜索，以查找要从组织中的邮箱中删除的邮件。 可以使用 Microsoft Purview 门户 或运行 Security & Compliance PowerShell 中的 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 来创建搜索。 通过运行步骤 3 中的 New-ComplianceSearchAction -Purge 命令，将删除与此搜索的查询匹配的消息。 有关创建和配置搜索查询的信息，请参阅以下文章：

• 创建搜索查询
• 使用条件生成器
• New-ComplianceSearch
• Start-ComplianceSearch

注意

在此步骤中创建的搜索查询中搜索的内容位置不能包含 SharePoint 或 OneDrive 网站。 只能在用于电子邮件的搜索中包含邮箱和公用文件夹。 如果搜索包含网站，则运行 New-ComplianceSearchAction cmdlet 时，会在步骤 3 中收到错误。

查找要删除的邮件的提示

搜索查询的目标是将搜索结果的范围缩小到仅包含您想要删除的邮件。 以下是一些提示：

• 如果你知道邮件的主题行中使用的确切文本或短语，请在搜索查询中使用主题属性。
• 如果你知道邮件的确切日期（或日期范围），请搜索查询中包括接收日期属性。
• 如果你知道邮件的发件人，请在搜索查询中包括收件人属性。
• 预览搜索结果以验证搜索是否仅返回你想要删除的邮件。
• 使用 Microsoft Purview 门户中搜索详细信息窗格中显示的搜索估计统计信息 (，或使用 Get-ComplianceSearch cmdlet) 获取结果总数的计数。

以下是查找可疑电子邮件的两个查询示例。

• 此查询返回用户在 2024 年 4 月 13 日至 2024 年 4 月 14 日之间收到的消息，并在主题行中包含单词“action”和“required”。

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• 此查询返回由 user@contoso.com 发送的邮件，而且包含主题行中的完全匹配的短语“更新你的帐户信息”。

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

下面是使用查询创建和开始搜索的示例，方法是运行 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 来搜索组织中的所有邮箱：

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步骤 3：删除邮件

创建并优化搜索查询以返回要删除的邮件后，最后一步是在安全性 & Compliance PowerShell 中运行 New-ComplianceSearchAction -Purge 命令以删除该消息。

可对邮件进行软删除或硬删除。 软删除的邮件将移至用户的“可恢复的项目”文件夹并保留，直到已删除项目的保留期到期。 硬删除的邮件标记为从邮箱中永久删除，并在下次由托管文件夹助理处理邮箱时永久删除。 如果为邮箱启用了单个项目恢复，则会在已删除邮件保留期到期后永久删除硬删除的项目。 如果邮箱处于保留状态，则会保留已删除的邮件，直到该项目的保留期到期或从邮箱中删除保留为止。

注意

如前所述，运行 New-ComplianceSearchAction -Purge 命令时，不会删除搜索查询返回的 Microsoft Teams 中的项目。

若要运行以下命令来删除邮件，请确保你已连接到安全与合规 PowerShell。

软删除邮件

在以下示例中，命令软删除由名为“删除钓鱼邮件”的搜索查询返回的搜索结果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

硬删除邮件

要硬删除由“删除网络钓鱼邮件”内容搜索返回的项目，需要运行以下命令：

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

运行上述命令以软删除或硬删除邮件时， SearchName 参数指定的搜索是在步骤 1 中创建的搜索查询。

有关详细信息，请参阅 New-ComplianceSearchAction。

详细信息

• 如何获取有关搜索和删除操作的状态？

  运行 Get-ComplianceSearchAction 以获取有关删除操作的状态。 运行 New-ComplianceSearchAction cmdlet 时创建的对象使用以下格式命名： <name of Content Search>_Purge。

• 删除邮件后会发生什么情况？

  使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令删除的邮件将移动到 Purges 文件夹，用户无法访问。 将邮件移动到“清除”文件夹后，如果为邮箱启用了单个项目恢复，邮件将保留已删除邮件的保留期。 (在 Microsoft 365 中，在创建新邮箱时，默认启用单个项目恢复。) 删除的项目保留期到期后，邮件将标记为永久删除，并在托管文件夹助手下次处理邮箱时从 Microsoft 365 中清除。

  如果使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令，邮件将移至用户的“可恢复的项目”文件夹内的“删除”文件夹中。 它不会立即从 Microsoft 365 中清除。 在基于为邮箱配置的已删除邮件保留期的持续时间内，用户可以恢复“已删除邮件”文件夹中的邮件。 此保留期过期（或如果用户在过期之前清除邮件）后，邮件将移动到“清除”文件夹，用户将无法再访问。 进入“清除”文件夹后，如果启用了邮箱的单个邮件恢复，则邮件将保留一段时间，该时间取决于为邮箱配置的已删除邮件保留期。 (在 Microsoft 365 中，在创建新邮箱时默认启用单个项目恢复。) 删除的项目保留期到期后，邮件将标记为永久删除，并在托管文件夹助手下次处理邮箱时从 Microsoft 365 中清除。

• 如果必须删除超过 50,000 个邮箱中的邮件，该怎么办？

  您可以对最多 50,000 个邮箱执行搜索和清除操作， (即使少于 50,000 个邮箱包含与搜索查询) 匹配的项目也是如此。 如果必须对超过 50,000 个邮箱执行搜索和清除操作，请考虑创建临时搜索权限筛选器，这会将要搜索的邮箱数减少到不超过 50,000 个。 例如，如果组织在不同部门、州或国家/地区包含邮箱，则可以基于其中一个邮箱属性创建邮箱搜索权限筛选器，以搜索组织中的邮箱子集。 创建搜索权限筛选器后，将创建搜索（如步骤 1 中所述），然后删除邮件（如步骤 3 中所述）。 然后，你可以编辑筛选器以搜索和清除不同邮箱集中的邮件。 有关创建搜索权限筛选器的详细信息，请参阅 在电子数据展示 (预览版中配置搜索权限筛选) 。

• 是否会删除搜索结果中包含的未编制索引的项目？

  否，“New-ComplianceSearchAction -Purge”命令不会删除未编制索引的项目。

• 如果邮件从已置于诉讼保留状态或分配给Microsoft 365 保留策略的邮箱中删除，会发生什么情况？

  清除邮件并将其移至“清除”文件夹后，将保留邮件，直到保留期到期为止。 如果为无限期的保留期，则这些项目会一直保留到你删除保留设置或更改保留期。

• 为什么搜索和删除工作流划分为不同的 Microsoft Purview 门户角色组？

  必须是电子数据展示管理员角色组的成员或者分配有合规性搜索管理角色的用户才能搜索邮箱。 若要删除邮件，用户必须是 “组织管理 ”角色组的成员或分配有 “搜索和清除”管理 角色。 这就使得可以控制哪些人可以搜索组织中的邮箱以及哪些人可以删除邮件。