Rechercher et supprimer des messages électroniques

Vous pouvez utiliser la fonctionnalité de recherche de contenu pour rechercher et supprimer des messages électroniques de toutes les boîtes aux lettres de votre organization. Cela peut vous aider à rechercher et supprimer les messages potentiellement nuisibles ou à haut risque, tels que :

• Messages contenant des virus ou des pièces jointes dangereuses
• Messages de hameçonnage
• Messages qui contiennent des données sensibles

Avant de commencer

• Le flux de travail de recherche et de vidage décrit dans cet article ne supprime pas les messages de conversation ou d’autres contenus de Microsoft Teams. Si la recherche de contenu que vous créez à l’étape 2 retourne des éléments de Microsoft Teams, ces éléments ne seront pas supprimés lorsque vous purgez des éléments à l’étape 3. Pour rechercher et supprimer des messages de conversation, consultez Rechercher et vider les messages de conversation dans Teams.

• Pour créer et exécuter une recherche de contenu, vous devez être membre du groupe de rôles Gestionnaire eDiscovery ou avoir le rôle Recherche de conformité dans le portail de conformité Microsoft Purview. Pour supprimer des messages, vous devez être membre du groupe de rôles Gestion de l’organisation ou attribuer le rôle Rechercher et vider dans le portail de conformité Pour plus d’informations sur l’ajout d’utilisateurs à un groupe de rôles, consultez Attribuer des autorisations eDiscovery.

  Remarque

  Le groupe de rôles Gestion de l’organisation existe à la fois dans Exchange Online et dans le Centre de conformité. Ces groupes de rôles distincts donnent des autorisations différentes. Être membre de la Gestion des organisations dans Exchange Online n'octroie pas les autorisations requises pour supprimer des messages électroniques. Si le rôle Rechercher et vider ne vous est pas attribué dans le portail de conformité (directement ou par le biais d’un groupe de rôles tel que Gestion de l’organisation), une erreur s’affiche à l’étape 3 lorsque vous exécutez l’applet de commande New-ComplianceSearchAction avec le message « Impossible de trouver un paramètre qui correspond au nom du paramètre « Purge ».

• Pour supprimer des messages, vous devez utiliser Security & Compliance PowerShell. Pour obtenir des instructions sur la façon de se connecter, consultez Étape 1 : Se connecter à Security & Compliance PowerShell.

• Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Sachant que la fonction de recherche et de suppression de messages est censée être un outil de réponse aux incidents, cette limite permet de s’assurer que les messages sont rapidement supprimés des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres des utilisateurs.

• Le nombre maximal de boîtes aux lettres dans une recherche de contenus servant à supprimer des éléments à l’aide d’une action de recherche et de purge est de 50 000. Si la recherche de contenu (que vous créez à l’Étape 2) contient plus de 50 000 boîtes aux lettres, l’action de purge (que vous créez à l’Étape 3) échoue. Une recherche de plus de 50 000 boîtes aux lettres au cours d’une même recherche est probable, généralement lorsque la configuration de la recherche prend en compte toutes les boîtes aux lettres de votre organisation. Cette restriction s’applique même si moins de 50 000 boîtes aux lettres contiennent des éléments qui correspondent à la requête de recherche. Pour obtenir des instructions sur l’utilisation des filtres d’autorisation de recherche pour rechercher et vider des éléments de plus de 50 000 boîtes aux lettres, consultez la section informations supplémentaires.

• La procédure décrite dans cet article ne peut être utilisée que pour supprimer des éléments dans les boîtes aux lettres et dossiers publics Exchange Online. Vous ne pouvez pas l’utiliser pour supprimer du contenu de SharePoint ou de sites OneDrive Entreprise.

• Les éléments de courrier dans un jeu à réviser dans un cas eDiscovery (Premium) ne peuvent pas être supprimés à l’aide des procédures décrites dans cet article. Cela est dû au fait que les éléments d’un groupe de révision sont stockés dans un emplacement de stockage Azure, et non dans le service actif. Cela signifie qu’elles ne sont pas renvoyées par la recherche de contenu que vous créez à l’étape 1. Pour supprimer des éléments d’un jeu à réviser, vous devez supprimer le cas eDiscovery (Premium) qui contient le jeu à réviser. Pour plus d’informations, consultez Fermer ou supprimer un cas eDiscovery (Premium).

Étape 1 : Connectez-vous à Security & Compliance PowerShell

La première étape consiste à vous connecter à Security & Compliance PowerShell pour votre organization. Pour consulter des instructions détaillées, consultez Se connecter à Security & Compliance PowerShell.

Étape 2 : créer une Recherche de contenu pour rechercher les messages à supprimer

La seconde étape consiste à créer et exécuter une Recherche de contenu pour rechercher le message à supprimer des boîtes aux lettres de votre organisation. Vous pouvez créer la recherche à l’aide de la portail de conformité Microsoft Purview ou en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch dans Security & Compliance PowerShell. Les messages qui correspondent à la requête pour cette recherche sont supprimés par l’exécution de la commande New-ComplianceSearchAction -Purge à l’étape 3. Pour plus d’informations sur la création d’une recherche de contenu et la configuration des requêtes de recherche, consultez les articles suivants :

• Recherche de contenu dans Office 365
• Requêtes par Mots clés pour la Recherche de contenu
• New-ComplianceSearch
• Start-ComplianceSearch

Conseils pour la recherche des messages à supprimer

L’objectif de la requête de recherche est de concentrer les résultats de la recherche sur les messages que vous voulez supprimer. Voici quelques conseils :

• Si vous connaissez l’expression ou le texte exact utilisé dans l’objet du message, utilisez la propriété Subject dans la requête de recherche.
• Si vous connaissez la date (ou la plage de dates) exacte du message, incluez la propriété Reçu dans la requête de recherche.
• Si vous savez qui a envoyé le message, incluez la propriété From dans la requête de recherche.
• Prévisualisez les résultats de recherche pour vérifier que la recherche renvoie uniquement les messages que vous voulez supprimer.
• Utilisez les statistiques d’estimation de recherche (affichées dans le volet d’informations de la recherche dans le portail de conformité ou à l’aide de l’applet de commande Get-ComplianceSearch ) pour obtenir le nombre total de résultats.

Voici deux exemples de requêtes pour rechercher des messages électroniques suspects.

• Cette requête renvoie les messages qui ont été reçus par les utilisateurs entre le 13 et le 14 avril 2016, et qui contiennent les mots « action » et « obligatoire » dans l’objet.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Cette requête retourne les messages qui ont été envoyés par user@contoso.com et qui contiennent l’expression exacte « Mettre à jour les informations de votre compte » dans la ligne d’objet.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Voici un exemple d’utilisation d’une requête pour créer et démarrer une recherche en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch pour effectuer une recherche dans toutes les boîtes aux lettres de l’organisation :

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Étape 3 : supprimer le message

Une fois que vous avez créé et affiné une recherche de contenu pour renvoyer les messages à supprimer, la dernière étape consiste à exécuter la commande New-ComplianceSearchAction -Purge dans Security & Compliance PowerShell pour supprimer le message.

Vous pouvez supprimer le message de manière temporaire ou définitive. Un message supprimé de manière temporaire est déplacé vers le dossier éléments récupérables d’un utilisateur et conservé jusqu’à l’expiration de la période de rétention des éléments supprimés. Les messages supprimés définitivement sont marqués pour suppression définitive de la boîte aux lettres et sont supprimés définitivement la prochaine fois que la boîte aux lettres est traitée par l’Assistant Dossier géré. Si la récupération d’élément unique est activée pour la boîte aux lettres, les éléments supprimés définitivement seront supprimés définitivement après l’expiration de la période de rétention des éléments supprimés. Si une boîte aux lettres est suspendue, les messages supprimés sont conservés jusqu’à ce que la durée de conservation de l’élément arrive à expiration ou jusqu’à ce que la suspension de la boîte aux lettres soit supprimée.

Pour exécuter les commandes suivantes et supprimer des messages, assurez-vous que vous êtes connecté à Security & Compliance PowerShell.

Supprimer les messages de manière réversible

Dans l’exemple suivant, la commande supprime temporairement les résultats de recherche renvoyés par une Recherche de contenu nommée « Supprimer le message d’hameçonnage ».

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Supprimer définitivement les messages

Pour supprimer définitivement les éléments renvoyés par la recherche de contenu « Supprimer le message d’hameçonnage », exécutez la commande suivante :

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Lorsque vous exécutez les commandes précédentes pour supprimer des messages de manière réversible ou définitive, la recherche spécifiée par le paramètre SearchName est la recherche de contenu que vous avez créée à l’étape 1.

Pour plus d’informations, voir New-ComplianceSearchAction.

Plus d’informations

• Comment obtenir l’état de l’opération de recherche et de suppression ?

  Exécutez la commande Get-ComplianceSearchAction pour obtenir l’état de l’opération de suppression. L’objet créé lorsque vous exécutez l’applet de commande New-ComplianceSearchAction est nommé au format suivant : <name of Content Search>_Purge.

• Que se passe-t-il lorsque vous avez supprimé un message ?

  Un message supprimé à l’aide de la New-ComplianceSearchAction -Purge -PurgeType HardDelete commande est déplacé vers le dossier Purges et est inaccessible à l’utilisateur. Une fois le message déplacé dans le dossier Purges, il est conservé pour une durée basée sur la période de rétention des éléments supprimés si la récupération d’élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une nouvelle boîte aux lettres.) Une fois la période de rétention des éléments supprimés expirée, le message est marqué pour suppression définitive et sera purgé de Microsoft 365 la prochaine fois que l’Assistant Dossier géré le traitera.

  Si vous utilisez la commande New-ComplianceSearchAction -Purge -PurgeType SoftDelete, les messages sont déplacés vers le dossier Suppressions dans le dossier Eléments récupérables de l’utilisateur. Il n’est pas immédiatement purgé de Microsoft 365. L’utilisateur peut récupérer les messages dans le dossier Éléments supprimés pendant une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres. Après expiration de cette période de rétention (ou si l’utilisateur purge le message avant son expiration), le message est déplacé vers le dossier Purges et n’est plus accessible par l’utilisateur. Une fois dans le dossier Purges, le message est conservé pour une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres si la récupération d’élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une nouvelle boîte aux lettres.) Une fois la période de rétention des éléments supprimés expirée, le message est marqué pour suppression définitive et sera purgé de Microsoft 365 la prochaine fois que l’Assistant Dossier géré le traitera.

• Comment faire pour supprimer un message de plus de 50 000 boîtes aux lettres ?

  Comme indiqué précédemment, vous pouvez effectuer une opération de recherche et de purge sur un maximum de 50 000 boîtes aux lettres (même si moins de 50 000 boîtes au lettres contiennent des éléments qui correspondent à la requête de recherche). Si vous devez effectuer une opération de recherche et de purge sur plus de 50 000 boîtes aux lettres, envisagez de créer des filtres d’autorisations de recherche temporaires pour réduire le nombre de boîtes aux lettres recherchées à moins de 50 000. Par exemple, si votre organization contient des boîtes aux lettres dans différents services, états ou pays/régions, vous pouvez créer un filtre d’autorisations de recherche de boîte aux lettres basé sur l’une de ces propriétés de boîte aux lettres pour rechercher un sous-ensemble de boîtes aux lettres dans votre organization. Une fois que vous avez créé le filtre des autorisations de recherche, vous devez créer la recherche (décrite à l’étape 1), puis supprimer le message (décrit à l’étape 3). Vous pouvez ensuite modifier le filtre pour rechercher et vider les messages dans un autre groupe de boîtes aux lettres. Pour plus d’informations sur la création de filtres d'autorisation de recherche, voir Configurer le filtrage des autorisations pour la Recherche de contenu.

• Les éléments non indexés inclus dans les résultats de recherche seront-ils supprimés ?

  Non, la commande New-ComplianceSearchAction -Purge ne supprime pas les éléments non indexés.

• Que se passe-t-il si un message est supprimé d’une boîte aux lettres qui a été placée en conservation inaltérable ou en conservation pour litige ou fait l’objet d’une stratégie de rétention Microsoft 365 ?

  Une fois le message supprimé et déplacé vers le dossier de purges, le message est conservé jusqu’à l’expiration de la durée de conservation. Si la durée de la conservation est illimitée, les éléments sont conservés jusqu’à la suppression de la conservation ou la modification de la durée de la conservation.

• Pourquoi le flux de travail de recherche et de suppression est-il divisé entre différents groupes de rôles portail de conformité Microsoft Purview ?

  Comme indiqué précédemment, un utilisateur doit être membre du groupe de rôles de gestionnaire de découverte électronique ou disposer du rôle de gestion de recherche de conformité pour effectuer des recherches dans des boîtes aux lettres. Pour supprimer des messages, un utilisateur doit être membre du groupe de rôles de gestion de l’organisation ou disposer du rôle de gestion de recherche et de purge. Il est ainsi possible de déterminer qui peut consulter des boîtes aux lettres dans l’organisation et qui peut supprimer des messages.