搜索和删除电子邮件

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

提示

本文适用于管理员。 是否尝试在邮箱中查找要删除的项目? 请参阅 使用即时搜索查找邮件或项目

可以使用内容搜索功能从组织中的所有邮箱中搜索和删除电子邮件。 这可以帮助你查找并删除可能有害或高风险的电子邮件,例如:

  • 包含危险附件或病毒的邮件
  • 网络仿冒邮件
  • 包含敏感数据的邮件

提示

如果你的组织有 Defender for Office 365 计划 2 订阅,建议使用修正 Office 365 中传递的恶意电子邮件中详细介绍的过程,而不是按照本文中介绍的过程进行操作。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

准备工作

  • 本文中所述的搜索和清除工作流不会从 Microsoft Teams 中删除聊天消息或其他内容。 如果在步骤 2 中创建的内容搜索返回 Microsoft Teams 中的项目,则在清除步骤 3 中的项目时不会删除这些项目。 若要搜索和删除聊天消息,请参阅搜索和清除 Teams 中的聊天消息

  • 若要创建和运行内容搜索,你必须是电子数据展示管理员角色组的成员,或者必须在Microsoft Purview 合规门户中分配符合性搜索角色。 若要删除邮件,你必须是 组织管理 角色组的成员,或者在合规性门户中分配“ 搜索和清除” 角色 有关将用户添加到角色组的信息,请参阅 分配电子数据展示权限

    注意

    组织管理”角色组存在于 Exchange Online 和合规性门户中。 这些角色组都是独立的角色组,授予不同的权限。 作为 Exchange Online 中组织管理的成员,并没有授予删除邮件的必要权限。 如果未在合规性门户中直接或通过角色组(如组织管理) ) (分配“搜索和清除”角色,则运行 New-ComplianceSearchAction cmdlet 时,会在步骤 3 中收到错误,并显示消息“找不到与参数名称'Purge'匹配的参数”。

  • 你必须使用安全与合规 PowerShell 删除邮件。 有关如何连接的说明,请参阅步骤 1:连接到安全与合规 PowerShell

  • 一次最多可以删除每个邮箱的 10 封邮件。 因为搜索和删除邮件的功能是用作事件响应工具,所以此限制可帮助确保从邮箱中快速删除邮件。 此功能并不用于清理用户邮箱。

  • 如果需要从邮箱中删除其他项目,则需要执行其他步骤。

    1. 必须为 邮箱禁用单个项目保留。 这可确保从“清除”文件夹中删除项目
    2. 每次执行符合性清除操作后,都必须针对邮箱运行 托管文件夹助理 。 此操作将永久删除项目,并允许使用其他清除操作删除另外 10 个项目。

    注意

    如果邮箱具有诉讼保留或就地保留,则不支持此选项。 仅从用户视图中删除 10 个项目。 这 10 个项目不会永久删除,因此仅处理这 10 个项目。

  • 在内容搜索中,可通过搜索和清除操作删除其项目的最大邮箱数为 50,000。 如果搜索(在 步骤 2 中创建)到超过 50,000 个邮箱,则清除操作(在步骤 3 中创建)将失败。 如果将搜索配置为包括组织内的所有邮箱,则单次搜索中一般有可能搜索到超过 50,000 个邮箱。 即使包含匹配搜索查询项目的邮箱数量少于 50,000 个,这一限制仍然适用。 请参阅 详细信息 部分,以获取关于使用搜索权限筛选器在超过 50,000 个邮箱中搜索和清除项目的指南。

  • 本文中所述的步骤只能用于删除 Exchange Online 邮箱和公用文件夹中的项目。 无法将其用于删除 SharePoint 或 OneDrive for Business 网站中的内容。

  • 使用本文中的程序,无法删除电子数据展示(高级版)案例中的审阅集中的电子邮件项目。 这是因为审阅集中的项目存储在 Azure 存储位置,而不是实时服务中。 这意味着,这些内容无法通过在步骤 1 中创建的内容搜索返回。 若要删除某个审阅集中的项目,必须删除包含该审阅集的电子数据展示(高级版)案例。 有关详细信息,请参阅关闭或删除电子数据展示(高级版)案例

步骤 1:连接到安全与合规 PowerShell

第一步是连接到组织 的安全 & 合规性 PowerShell 。 有关分步说明,请参阅连接到安全与合规 PowerShell

步骤 2:创建内容搜索以查找要删除的邮件

第二步是创建和运行内容搜索以查找要从组织的邮箱中删除的邮件。 可以使用 Microsoft Purview 合规门户或运行 Security & Compliance PowerShell 中的 New-ComplianceSearchStart-ComplianceSearch cmdlet 来创建搜索。 与此搜索的查询匹配的邮件将通过在步骤 3 中运行 New-ComplianceSearchAction -Purge 命令来删除。 有关创建内容搜索和配置搜索查询的信息,请参阅以下文章:

注意

在此步骤中创建的内容搜索中搜索的内容位置不能包含 SharePoint 或 OneDrive for Business 网站。 只能在内容搜索中包含将用于电子邮件的邮箱和公用文件夹。 如果内容搜索包含网站,则在运行 New-ComplianceSearchAction cmdlet 时,你将在步骤 3 中收到错误消息。

查找要删除的邮件的提示

搜索查询的目标是将搜索结果的范围缩小到仅包含您想要删除的邮件。 以下是一些提示:

  • 如果你知道邮件的主题行中使用的确切文本或短语,请在搜索查询中使用主题属性。
  • 如果你知道邮件的确切日期(或日期范围),请搜索查询中包括接收日期属性。
  • 如果你知道邮件的发件人,请在搜索查询中包括收件人属性。
  • 预览搜索结果以验证搜索是否仅返回你想要删除的邮件。
  • 使用搜索估计统计信息(显示在合规性门户的搜索详细信息窗格中,或使用 Get-ComplianceSearch cmdlet)以获得结果总数。

以下是查找可疑电子邮件的两个查询示例。

  • 此查询返回用户在 2016 年 4 月 13 日至 2016 年 4 月 14 日之间收到的邮件,而且包含主题行中的单词“操作”和“必需”。

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • 此查询返回由 user@contoso.com 发送的邮件,而且包含主题行中的完全匹配的短语“更新你的帐户信息”。

    (From:user@contoso.com) AND (Subject:"Update your account information")
    

下面是使用查询创建和开始搜索的示例,方法是运行 New-ComplianceSearchStart-ComplianceSearch cmdlet 来搜索组织中的所有邮箱:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步骤 3:删除邮件

创建并优化内容搜索以返回要删除的邮件后,最后一步是运行安全与合规中心 PowerShell 内的 New-ComplianceSearchAction -Purge 命令来删除邮件。

可对邮件进行软删除或硬删除。 软删除的邮件将移至用户的“可恢复的项目”文件夹并保留,直到已删除项目的保留期到期。 硬删除的邮件被标记为从邮箱中永久删除,并在托管文件夹助理下次处理邮箱时永久删除。 如果为邮箱启用了单个项目恢复,则在已删除项目的保留期到期后,将永久删除硬删除的项目。 如果邮箱处于保留状态,则会保留已删除的邮件,直到该项目的保留期到期或从邮箱中删除保留为止。

注意

如前所述,运行 New-ComplianceSearchAction -Purge 命令时,不会删除内容搜索返回的 Microsoft Teams 中的项。

若要运行以下命令来删除邮件,请确保你已连接到安全与合规 PowerShell

软删除邮件

在以下示例中,该命令软删除名为“删除网络钓鱼邮件”由内容搜索返回的搜索结果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

硬删除邮件

要硬删除由“删除网络钓鱼邮件”内容搜索返回的项目,需要运行以下命令:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

运行上述命令以软删除或硬删除邮件时, SearchName 参数指定的搜索是在步骤 1 中创建的内容搜索。

有关详细信息,请参阅 New-ComplianceSearchAction

详细信息

  • 如何获取有关搜索和删除操作的状态?

    运行 Get-ComplianceSearchAction 以获取有关删除操作的状态。 运行 New-ComplianceSearchAction cmdlet 时创建的对象使用以下格式命名: <name of Content Search>_Purge

  • 删除邮件后会发生什么情况?

    使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令删除的邮件将移动到 Purges 文件夹,用户无法访问。 将邮件移至“清除”文件夹后,如果为邮箱启用了单个项目恢复,则会在已删除的邮件保留期内保留邮件。 (在 Microsoft 365 中,创建新邮箱时将默认启用单个项目恢复。)已删除项目的保留期到期后,邮件将标记为永久删除,并在托管文件夹助手下次处理邮箱时从 Microsoft 365 中清除。

    如果使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令,邮件将移至用户的“可恢复的项目”文件夹内的“删除”文件夹中。 它不会立即从 Microsoft 365 中清除。 在基于为邮箱配置的已删除邮件保留期的持续时间内,用户可以恢复“已删除邮件”文件夹中的邮件。 此保留期过期(或如果用户在过期之前清除邮件)后,邮件将移动到“清除”文件夹,用户将无法再访问。 进入“清除”文件夹后,如果启用了邮箱的单个邮件恢复,则邮件将保留一段时间,该时间取决于为邮箱配置的已删除邮件保留期。 (在 Microsoft 365 中,创建新邮箱时将默认启用单个项目恢复。)已删除项目的保留期到期后,邮件将标记为永久删除,并在托管文件夹助手下次处理邮箱时从 Microsoft 365 中清除。

  • 如果必须删除超过 50,000 个邮箱中的邮件,该怎么办?

    如前文所述,可以对最多 50,000 个邮箱执行搜索和清除操作(即使包含匹配搜索查询项目的邮箱数量少于 50,000)。 如果必须对超过 50,000 个邮箱执行搜索和清除操作,请考虑创建临时搜索权限筛选器,这会将要搜索的邮箱数减少到不超过 50,000 个。 例如,如果组织在不同部门、州或国家/地区包含邮箱,则可以基于其中一个邮箱属性创建邮箱搜索权限筛选器,以搜索组织中的邮箱子集。 创建搜索权限筛选器后,将创建搜索(如步骤 1 中所述),然后删除邮件(如步骤 3 中所述)。 然后,你可以编辑筛选器以搜索和清除不同邮箱集中的邮件。 有关创建搜索权限筛选器的详细信息,请参阅配置内容搜索的权限筛选

  • 是否会删除搜索结果中包含的未编制索引的项目?

    否,“New-ComplianceSearchAction -Purge”命令不会删除未编制索引的项目。

  • 如果从处于就地保留或诉讼保留状态的邮箱中删除邮件或为邮件分配 Microsoft 365 保留策略,会发生什么情况?

    清除邮件并将其移至“清除”文件夹后,将保留邮件,直到保留期到期为止。 如果为无限期的保留期,则这些项目会一直保留到你删除保留设置或更改保留期。

  • 为什么搜索和删除工作流分为不同的Microsoft Purview 合规门户角色组?

    如前所述,必须是电子数据展示管理员角色组的成员或者分配有合规性搜索管理角色的用户才能搜索邮箱。 若要删除邮件,必须是组织管理角色组的成员,或分配有“搜索并清除”管理角色。 这就使得可以控制哪些人可以搜索组织中的邮箱以及哪些人可以删除邮件。