Поиск и удаление сообщений электронной почты

Вы можете использовать функцию поиска контента для поиска и удаления сообщений электронной почты из всех почтовых ящиков в вашей организации. Это позволяет находить и удалять потенциально опасные сообщения, например:

• сообщения, содержащие опасные вложения или вирусы;
• фишинговые сообщения;
• сообщения, содержащие конфиденциальные данные.

Подготовка к работе

• Рабочий процесс поиска и очистки, описанный в этой статье, не применим к удалению сообщений чата или другого контента из Microsoft Teams. Если запрос на поиск контента, созданный на шаге 2, возвращает элементы из Microsoft Teams, эти элементы не будут удалены при очистке элементов на шаге 3. Сведения о поиске и удалении сообщений чата см. в разделе Поиск и очистка сообщений чата в Teams.

• Чтобы создать и запустить поиск контента, необходимо быть членом группы ролей диспетчера электронных данных или назначить ему роль "Поиск соответствия требованиям" в Портал соответствия требованиям Microsoft Purview. Чтобы удалить сообщения, необходимо быть членом группы ролей Управление организацией или назначить ему роль поиска и очистки на портале соответствия. Сведения о добавлении пользователей в группу ролей см. в статье Назначение разрешений на обнаружение электронных данных.

  Примечание.

  Группа ролей Управление организацией существует как в Exchange Online, так и на портале соответствия требованиям. Это две разные группы ролей, которые дают различные разрешения. Участие в группе Управление организацией в Exchange Online не предоставляет разрешений, нужных для удаления сообщений электронной почты. Если вам не назначена роль поиска и очистки на портале соответствия требованиям (напрямую или через группу ролей, например управление организацией), вы получите сообщение об ошибке на шаге 3 при выполнении командлета New-ComplianceSearchAction с сообщением "Не удается найти параметр, соответствующий имени параметра Purge".

• Для удаления сообщений используется PowerShell. Инструкции по подключению см. в разделе Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям.

• За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков. Эта возможность не предназначена для очистки почтовых ящиков пользователей.

• Максимальное количество почтовых ящиков в поиске контента, в которых можно удалять элементы с помощью поиска и очистки, — 50 000. Если поиск, созданный в шаге 2, содержит более 50 000 почтовых ящиков, то действие очистки, созданное в шаге 3, завершится сбоем. Поиск более 50 000 почтовых ящиков за один раз обычно может выполняться при настройке поиска для всех почтовых ящиков в вашей организации. Это ограничение применяется, даже если менее 50 000 почтовых ящиков содержат элементы, соответствующие поисковому запросу. Сведения о том, как использовать фильтры разрешений поиска для поиска и очистки элементов из более чем 50 000 почтовых ящиков см. в разделе Дополнительные сведения.

• Инструкции, приведенные в этой статье, можно использовать только для удаления элементов из общедоступных папок и почтовых ящиков Exchange Online. Их нельзя использовать для удаления контента с сайтов SharePoint или OneDrive для бизнеса.

• Элементы электронной почты в наборе для проверки в деле eDiscovery (премиум) невозможно удалить, используя процедуры, описанные в этой статье. Причина заключается в том, что элементы в наборе для проверки хранятся в расположении хранилища Azure, а не в действующей службе. Это означает, что такие элементы не будут возвращены поиском содержимого, созданном на шаге 1. Чтобы удалить элементы в наборе для проверки, необходимо удалить дело eDiscovery (премиум), содержащее этот набор для проверки. Дополнительные сведения см. в статье Закрытие или удаление дела eDiscovery (премиум).

Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям

Первым шагом является подключение к PowerShell для обеспечения безопасности & соответствия требованиям для вашей организации. Пошаговые инструкции см. в статье Подключение к PowerShell в Центре безопасности и соответствия требованиям.

Шаг 2. Создание поиска контента для поиска сообщения, которое необходимо удалить

Второй шаг — создание и выполнение поиска контента, чтобы найти сообщение, которое необходимо удалить из почтовых ящиков организации. Поиск можно создать с помощью Портал соответствия требованиям Microsoft Purview или командлетов New-ComplianceSearch и Start-ComplianceSearch в PowerShell для соответствия требованиям безопасности &. Сообщения, которые соответствуют поисковому запросу, будут удалены посредством выполнения команды New-ComplianceSearchAction -Purge в шаге 3. Сведения о создании поиска контента и настройке поисковых запросов см. в следующих статьях:

• Поиск контента в Office 365
• Запросы ключевых слов и условия поиска контента
• New-ComplianceSearch
• Start-ComplianceSearch

Советы по поиску сообщений для удаления

Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Ниже приведено несколько советов.

• Если вы знаете точный текст или фразу, используемую в строке темы сообщения, укажите в поисковом запросе свойство Subject.
• Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.
• Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.
• Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.
• Просмотрите статистику поиска (отображается в области сведений о поиске на портале соответствия требованиям или после выполнения командлета Get-ComplianceSearch), чтобы узнать общее количество результатов.

Ниже приведены два примера поиска подозрительных сообщений электронной почты.

• Этот запрос возвращает сообщения, полученные пользователями 13–14 апреля 2016 г., в которых есть слова "action" и "required" в строке темы.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Этот запрос возвращает сообщения, отправленные user@contoso.com и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Вот пример использования запроса для создания и запуска поиска с помощью командлетов New-ComplianceSearch и Start-ComplianceSearch для поиска во всех почтовых ящиках в организации:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Шаг 3. Удаление сообщения

Создав и уточнив запрос на поиск контента, который будет возвращать подлежащие удалению сообщения, выполните команду New-ComplianceSearchAction -Purge в PowerShell Центра безопасности и соответствия требованиям, чтобы удалить сообщение.

Сообщение можно удалить с возможностью восстановления или без возможности восстановления. Сообщение, удаленное с возможностью восстановления, перемещается в папку пользователя "Элементы для восстановления" и сохраняется до истечения срока хранения удаленных элементов. Сообщения, удаленные без возможности восстановления, отмечаются для окончательного удаления из почтового ящика и будут удалены без возможности восстановления при следующей обработке почтового ящика помощником для управляемых папок. Если для почтового ящика включено восстановление отдельных элементов, окончательно удаленные элементы будут удалены без возможности восстановления после истечения срока хранения удаленных элементов. Если почтовый ящик помещен на удержание, удаленные сообщения сохраняются до истечения срока удержания элемента или до отключения удержания для почтового ящика.

Чтобы удалить сообщения с помощью приведенных ниже команд, убедитесь, что вы подключены к PowerShell Центра безопасности и соответствия требованиям.

Обратимое удаление сообщений

Приведенная в следующем примере команда удаляет с возможностью восстановления результаты поиска, возвращенные при поиске контента по запросу "Удаление фишингового сообщения".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Необратимое удаление сообщений

Чтобы окончательно удалить элементы, возвращенные при поиске контента по запросу "Удаление фишингового сообщения", выполните эту команду:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

При выполнении предыдущих команд для сообщений обратимого или жесткого удаления поиск, заданный параметром SearchName , является поиск контента, созданный на шаге 1.

Дополнительные сведения см. в статье New-ComplianceSearchAction.

Дополнительные сведения

• Как узнать состояние операции поиска и удаления?

  Запустите командлет Get-ComplianceSearchAction, чтобы получить сведения о состоянии операции удаления. Объект, который создается при выполнении командлета New-ComplianceSearchAction , называется в следующем формате: <name of Content Search>_Purge.

• Что происходит после удаления сообщения?

  Сообщение, удаленное с New-ComplianceSearchAction -Purge -PurgeType HardDelete помощью команды , перемещается в папку Purges и не может быть доступно пользователю. После перемещения сообщения в папку "Очистка" оно хранится в течение срока хранения удаленных элементов, если для почтового ящика включено восстановление отдельных элементов. (В Microsoft 365 восстановление отдельных элементов включено по умолчанию при создании почтового ящика.) После истечения срока хранения удаленных элементов сообщение помечается для окончательного удаления и удаляется из Microsoft 365 при следующей обработке почтового ящика помощником для управляемых папок.

  Если используется команда New-ComplianceSearchAction -Purge -PurgeType SoftDelete, сообщения перемещаются в папку "Удаления" в папке пользователя "Элементы для восстановления". Оно не удаляется сразу из Microsoft 365. Пользователь может восстановить сообщения в папке "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. В папке "Очистка" сообщение хранится в течение срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Microsoft 365 восстановление отдельных элементов включено по умолчанию при создании почтового ящика.) После истечения срока хранения удаленных элементов сообщение помечается для окончательного удаления и удаляется из Microsoft 365 при следующей обработке почтового ящика помощником для управляемых папок.

• Что делать, если нужно удалить сообщение из более чем 50 000 почтовых ящиков?

  Как было сказано выше, операцию поиска и очистки можно выполнить для не более чем 50 000 почтовых ящиков (даже если менее 50 000 почтовых ящиков содержат элементы, соответствующие поисковому запросу). Если вам нужно выполнить операцию поиска и очистки для более чем 50 000 почтовых ящиков, рекомендуется создать временные фильтры разрешений для поиска, чтобы количество почтовых ящиков, участвующих в поиске, составляло меньше 50 000. Например, если ваша организация содержит почтовые ящики в разных отделах, штатах или странах или регионах, вы можете создать фильтр разрешений для поиска почтовых ящиков на основе одного из этих свойств почтового ящика для поиска подмножества почтовых ящиков в вашей организации. После создания фильтра разрешений поиска можно создать поиск (описано в шаге 1), а затем удалить сообщение (описано в шаге 3). Затем вы можете изменить фильтр для поиска и очистки сообщений в другом наборе почтовых ящиков. Дополнительные сведения о создании фильтров разрешений поиска см. в статье Настройка фильтрации разрешений для поиска содержимого.

• Удаляются ли неиндексированные элементы, включенные в результаты поиска?

  Нет, команда New-ComplianceSearchAction -Purge не удаляет неиндексированные элементы.

• Что происходит, если сообщение удаляется из почтового ящика, помещенного на удержание на месте или для судебного разбирательства, либо к нему применяется политика хранения Microsoft 365?

  После того как сообщение будет очищено и перемещено в папку "Очистка", оно будет храниться, пока не истечет срок удержания. Если период удержания не ограничен, элементы сохраняются до прекращения удержания или изменения периода удержания.

• Почему рабочий процесс поиска и удаления разделен между разными Портал соответствия требованиям Microsoft Purview группами ролей?

  Как объяснялось ранее, выполнять поиск в почтовых ящиках могут только члены группы ролей "Менеджер по обнаружению электронных данных" и пользователи с ролью управления "Поиск соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Это позволяет управлять тем, кто может выполнять поиск в почтовых ящиках организации или удалять сообщения.