搜索和删除电子邮件

  • 6 分钟

组织可以使用内容搜索功能在其 Exchange 部署中的所有邮箱中搜索和删除电子邮件。 此过程可以帮助你查找并删除可能有害或高风险的电子邮件,例如:

  • 包含危险附件或病毒的邮件。
  • 网络仿冒邮件。
  • 包含敏感数据的邮件。

警告

如果组织有 Defender for Office 365 计划 2 订阅,应使用修正 Office 365 中传递的恶意电子邮件中详细介绍的过程,而不是按照本单元中介绍的过程进行操作。

删除电子邮件的先决条件

  • 本单元中所述的搜索和清除工作流不会删除 Microsoft Teams 中的聊天消息或其他内容。 如果在步骤 2(如下所示)中创建的内容搜索返回 Microsoft Teams 中的项目,则在清除步骤 3 中的项目时不会删除这些项目。 若要搜索和删除聊天消息,请参阅搜索和清除 Teams 中的聊天消息

  • 若要创建并运行内容搜索,你必须是电子数据展示管理员角色组的成员,或者分配有 Microsoft Purview 合规门户中的合规性搜索角色。

    若要删除邮件,你必须是组织管理角色组的成员,或者分配有 Microsoft Purview 合规门户中的搜索和清除角色。 有关将用户添加到角色组的信息,请参阅分配电子数据展示权限

    注意

    Exchange Online 和 Microsoft Purview 合规门户中都存在组织管理角色组。 组织管理角色组不同于搜索和清除角色。 作为 Exchange Online 中组织管理的成员,无法授予删除电子邮件的必要权限。 如果未向你分配 Microsoft Purview 合规门户中的搜索和清除角色(直接分配或通过组织管理等角色组分配),则当你运行 New-ComplianceSearchAction cmdlet 时,将在步骤 3 中收到错误。 消息将显示:找不到与参数名称“清除”相匹配的参数

  • 一次最多可以删除每个邮箱的 10 封邮件。 因为搜索和删除邮件的功能是用作事件响应工具,所以此限制可帮助确保从邮箱中快速删除邮件。 此功能并不用于清理用户邮箱。

  • 在内容搜索中,可通过搜索和清除操作删除其项目的最大邮箱数为 50,000。 如果搜索(在 步骤 2 中创建)到超过 50,000 个邮箱,则清除操作(在步骤 3 中创建)将失败。 如果将搜索配置为包括组织内的所有邮箱,则单次搜索中一般有可能搜索到超过 50,000 个邮箱。 即使包含匹配搜索查询项目的邮箱数量少于 50,000 个,这一限制仍然适用。 请参阅本单元的最后部分,以获取关于使用搜索权限筛选器在超过 50,000 个邮箱中搜索和清除项目的指南。

  • 本单元中所述的过程只能用于删除 Exchange Online 邮箱和公用文件夹中的项目。 无法将其用于删除 SharePoint 或 OneDrive for Business 网站中的内容。

  • 使用本单元中的程序,无法删除电子数据展示(高级版)案例中的审阅集中的电子邮件项目。 为什么? 因为审阅集中的项目存储在 Azure 存储位置,而不是实时服务中。 因此,这些项目无法通过在步骤 1 中创建的内容搜索返回。 若要删除某个审阅集中的项目,必须删除包含该审阅集的电子数据展示(高级版)案例。 有关详细信息,请参阅关闭或删除电子数据展示(高级版)案例

步骤 1:连接到安全性与合规性 PowerShell 模块

组织必须使用 安全性与合规性 PowerShell 模块来删除邮件。 因此,组织的第一步是连接到安全性与合规性 PowerShell 模块。 有关连接到此模块的详细信息,请参阅 连接到安全性 & 合规性 PowerShell

步骤 2:创建内容搜索以查找要删除的邮件

第二步是创建和运行内容搜索以查找要从组织的邮箱中删除的邮件。 可以通过使用 Microsoft Purview 合规门户或在安全性与合规性 PowerShell 模块中运行 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 来创建搜索。

与此搜索的查询匹配的邮件将通过在步骤 3 中运行 New-ComplianceSearchAction -Purge 命令来删除。

注意

在此步骤中创建的内容搜索中搜索的内容位置不能包含 SharePoint 或 OneDrive for Business 网站。 只能在内容搜索中包含将用于电子邮件的邮箱和公用文件夹。 如果内容搜索包含网站,则在运行 New-ComplianceSearchAction cmdlet 时,你将在步骤 3 中收到错误消息。

查找要删除的邮件的提示

搜索查询的目标是将搜索结果的范围缩小到仅包含您想要删除的邮件。 以下是一些提示:

  • 如果你知道邮件的主题行中使用的确切文本或短语,请在搜索查询中使用主题属性。
  • 如果你知道邮件的确切日期(或日期范围),请搜索查询中包括接收日期属性。
  • 如果你知道邮件的发件人,请在搜索查询中包括收件人属性。
  • 预览搜索结果以验证搜索是否仅返回你想要删除的邮件。
  • 使用搜索估计统计信息(显示在合规性门户的搜索详细信息窗格中,或使用 Get-ComplianceSearch cmdlet)以获得结果总数。

以下是查找可疑电子邮件的两个查询示例。

  • 此查询返回用户在 2017 年 4 月 13 日至 2017 年 4 月 14 日之间收到的邮件,而且包含主题行中的单词“操作”和“必需”。

    (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')

  • 此查询返回由 chatsuwloginsset12345@outlook.com 发送的邮件,而且包含主题行中的完全匹配的短语“更新你的帐户信息”。

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

下面是使用查询创建和开始搜索的示例,方法是运行 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 来搜索组织中的所有邮箱:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步骤 3:删除邮件

至此,你已创建并优化内容搜索以返回要删除的邮件。 现在可以删除所选邮件了。 在此步骤中,你将在安全性与合规性 PowerShell 模块中运行 New-ComplianceSearchAction -Purge 命令以删除邮件。

可对邮件进行软删除或硬删除。

  • 已软删除的邮件。 此邮件将移动到用户的“可恢复项目”文件夹。 它一直保留在那里,直到已删除项目的保留期到期。
  • 已硬删除的邮件。 此邮件标记为从邮箱中永久删除。 下一次通过托管文件夹助理处理邮箱时,将永久删除此邮件。 请记住以下情况:
    • 为邮箱启用了单个项目恢复。 在这种情况下,则在已删除项目的保留期到期后,将永久删除硬删除的项目。
    • 邮箱处于保留状态。 在这种情况下,则会保留已删除的邮件,直到该项目的保留期到期,或从邮箱中删除保留为止。

注意

如前所述,运行 New-ComplianceSearchAction -Purge 命令时,不会删除内容搜索返回的 Microsoft Teams 中的项目。

若要运行以下命令来删除邮件,请确保已连接到安全性与合规性 PowerShell 模块。

软删除邮件

在以下示例中,该命令软删除名为“删除网络钓鱼邮件”由内容搜索返回的搜索结果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

硬删除邮件

要硬删除由“删除网络钓鱼邮件”内容搜索返回的项目,需要运行以下命令:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

当运行之前的命令以软删除或硬删除邮件时,由 SearchName 参数指定的搜索就是在步骤 1 中创建的内容搜索。

  • 如何确定搜索和删除操作的状态?

    运行 Get-ComplianceSearchAction 命令以获取有关删除操作的状态。 运行 New-ComplianceSearchAction cmdlet 时创建的对象使用以下格式命名:<name of Content Search>_Purge。

  • 硬删除邮件后会发生什么情况?

    使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令硬删除的邮件将移至清除文件夹。 用户无法访问该邮件。

    将邮件移至“清除”文件夹后,如果为邮箱启用了单个项目恢复,则会在已删除项目的保留期内保留邮件。 (在 Microsoft 365 中,创建新邮箱时将默认启用单个项目恢复。)已删除项目的保留期到期后,邮件将标记为永久删除。 下一次通过托管文件夹助理处理邮箱时,将从 Microsoft 365 中清除此邮件。

  • 软删除邮件后会发生什么情况?

    使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令软删除的邮件将移动到用户的“可恢复项目”文件夹中的删除文件夹。 它不会立即从 Microsoft 365 中清除。

    在为邮箱配置的已删除项目的保留期内,用户可以恢复“已删除项目”文件夹中的邮件。 此保留期过期后(或如果用户在过期之前清除邮件),邮件将移动到“清除”文件夹。 用户无法再从该处访问此邮件。 进入“清除”文件夹后,如果为邮箱启用了单个邮件恢复,则将在为邮箱配置的已删除项目保留期内保留邮件。 (在 Microsoft 365 中,创建新邮箱时将默认启用单个项目恢复。)已删除项目的保留期到期后,邮件将标记为永久删除。 下一次通过托管文件夹助理处理邮箱时,将从 Microsoft 365 中清除此邮件。

  • 如果必须删除超过 50,000 个邮箱中的邮件,该怎么办?

    如前文所述,可以对最多 50,000 个邮箱执行搜索和清除操作(即使包含匹配搜索查询项目的邮箱数量少于 50,000)。 如果必须对超过 50,000 个邮箱执行搜索和清除操作,请考虑创建临时搜索权限筛选器,这会将要搜索的邮箱数减少到不超过 50,000 个。

    例如,如果组织在不同部门、州或国家/地区包含邮箱,则可以基于其中一个邮箱属性创建邮箱搜索权限筛选器,以搜索组织中的邮箱子集。 创建搜索权限筛选器后,将创建搜索,然后删除邮件。 然后,你可以编辑筛选器以搜索和清除不同邮箱集中的邮件。 有关创建搜索权限筛选器的详细信息,请参阅配置内容搜索的权限筛选

  • 是否会删除搜索结果中包含的未编制索引的项目?

    不会,New-ComplianceSearchAction -Purge 命令不会删除未编制索引的项目。

  • 如果从处于就地保留或诉讼保留状态或分配有 Microsoft 365 保留策略的邮箱中删除邮件,会发生什么情况?

    清除邮件并将其移至“清除”文件夹后,将保留邮件,直到保留期到期为止。 如果为无限期的保留期,则这些项目会一直保留到你删除保留设置或更改保留期。

  • 为什么在不同的安全与合规门户角色组之间划分搜索和删除工作流?

    必须是电子数据展示管理员角色组的成员或者分配有合规性搜索管理角色的用户才能搜索邮箱。 若要删除邮件,用户必须是组织管理角色组的成员,或分配有搜索和清除管理角色。 此设计使得可以控制哪些人可以搜索组织中的邮箱以及哪些人可以删除邮件。