Anterior

Siguientes

Buscar y eliminar mensajes de correo electrónico

Completado

Una organización puede usar la característica de búsqueda de contenido para buscar y eliminar mensajes de correo electrónico de todos los buzones de su implementación de Exchange. Este proceso puede ayudarle a buscar y eliminar correos electrónicos potencialmente dañinos o de alto riesgo, como:

• Mensajes que contienen virus o datos adjuntos peligrosos.
• Mensajes de suplantación de identidad (phishing).
• Mensajes que contienen datos confidenciales.

Advertencia

Si una organización tiene una suscripción a Defender para Office 365 Plan 2, se recomienda usar el procedimiento detallado en Corregir el correo electrónico malintencionado entregado en Office 365, en lugar de seguir el procedimiento descrito en esta unidad.

Requisitos previos para eliminar mensajes de correo electrónico

• El flujo de trabajo de búsqueda y purga descrito en esta unidad no elimina los mensajes de chat ni ningún otro contenido de Microsoft Teams. Si la búsqueda de contenido que se crea en el paso 2 (a continuación) devuelve elementos de Microsoft Teams, esos elementos no se eliminarán cuando se purguen los elementos en el paso 3. Para buscar y eliminar mensajes de chat, vea Buscar y purgar mensajes de chat en Teams.

• Para crear y ejecutar una búsqueda de contenido, tiene que ser un miembro del grupo de roles Administrador de eDiscovery o que se le asigne el rol Búsqueda de cumplimiento en el portal de cumplimiento de Microsoft Purview.

  Para eliminar mensajes, debe ser un miembro del grupo de roles Administración de la organización o que se le asigne el rol Buscar y purgar en el portal de cumplimiento de Microsoft Purview. Para obtener información sobre cómo agregar usuarios a un grupo de roles, vea Asignar permisos de eDiscovery.

  Nota:

  El grupo de roles Administración de la organización existe en Exchange Online y en el portal de cumplimiento de Microsoft Purview. El grupo de roles Administración de la organización es diferente del rol Buscar y purgar . Ser miembro de Administración de la organización en Exchange Online no concede los permisos necesarios para eliminar mensajes de correo electrónico. Si no tiene asignado el rol Buscar y purgar en el portal de cumplimiento de Microsoft Purview (directamente o a través de un grupo de roles como Administración de la organización), recibirá un error en el paso 3 al ejecutar el cmdlet New-ComplianceSearchAction. El mensaje indicará: No se encuentra un parámetro que coincida con el nombre de parámetro 'Purge'.

• Se puede eliminar un máximo de 10 elementos por buzón a la vez. Como la función de buscar y quitar mensajes está diseñada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que los mensajes se quitan rápidamente de los buzones. Esta característica no está diseñada para limpiar buzones de usuarios.

• El número máximo de buzones en una búsqueda de contenido que puede usar para eliminar elementos al realizar una acción de búsqueda y depuración es 50 000. Si la búsqueda (creada en el paso 2) se realiza en más de 50 000 buzones, la acción de depuración (creada en el paso 3) no se realizará correctamente. Buscar en más de 50 000 buzones en una sola búsqueda suele ocurrir cuando se configura para que esta incluya todos los buzones de la organización. Esta restricción aplica incluso cuando haya menos de 50 000 buzones que contengan elementos que coincidan con la consulta de la búsqueda. Consulte la sección final de esta unidad para obtener instrucciones sobre el uso de los filtros de permisos de búsqueda para buscar y depurar elementos de más de 50 000 buzones.

• El procedimiento descrito en esta unidad solo se puede usar para eliminar elementos de buzones y carpetas públicas de Exchange Online. No se puede usar para eliminar el contenido de los sitios de SharePoint o OneDrive para la Empresa.

• Los elementos de correo electrónico en un conjunto de revisiones en un caso de eDiscovery (Premium) no se pueden eliminar utilizando los procedimientos de esta unidad. ¿Por qué? Esto se debe a que los elementos de un conjunto de revisiones se almacenan en una ubicación de almacenamiento de Azure y no en el servicio activo. Esto implica que no se devolverán mediante la búsqueda de contenido que creó en el paso 1. Para eliminar elementos en un conjunto de revisiones, tiene que eliminar el caso de eDiscovery (Premium) que contiene el conjunto de revisiones. Para más información, consulte Cerrar o eliminar un caso de eDiscovery (Premium).

Paso 1: Conectarse al módulo de PowerShell de seguridad y cumplimiento

Las organizaciones deben usar el módulo de PowerShell de seguridad y cumplimiento para eliminar mensajes. Por lo tanto, el primer paso para una organización es conectarse al módulo de PowerShell de seguridad y cumplimiento. Para obtener más información sobre cómo conectarse a este módulo, consulte Conexión a PowerShell de cumplimiento de & seguridad.

Paso 2: Crear una búsqueda de contenido para encontrar el mensaje que se desea eliminar

El segundo paso es crear y ejecutar una búsqueda de contenido para encontrar el mensaje que desea quitar de los buzones de la organización. Para crear la búsqueda, puede usar el portal de cumplimiento de Microsoft Purview o ejecutar los cmdlets New-ComplianceSearch y Start-ComplianceSearch en el módulo de PowerShell de seguridad y cumplimiento.

Los mensajes que coincidan con la consulta de esta búsqueda se eliminarán al ejecutar el comando New-ComplianceSearchAction-Purge en el paso 3.

Nota:

Las ubicaciones de contenido en la búsqueda de contenido que ha creado en este paso no pueden incluir sitios de SharePoint o OneDrive para la Empresa. Puede incluir solo buzones y carpetas públicas en una búsqueda de contenido que se usará para enviar mensajes de correo electrónico. Si la búsqueda de contenido incluye sitios, recibirá un error en el paso 3 al ejecutar el cmdlet New- ComplianceSearchAction.

Sugerencias para buscar mensajes que quiere eliminar

El objetivo de la consulta de búsqueda es limitar los resultados de la búsqueda para encontrar el mensaje (o mensajes) que quiere quitar. Aquí encontrará algunas sugerencias:

• Si conoce el texto o la frase exacta usados en la línea de asunto del mensaje, use la propiedad Subject en la consulta de búsqueda.
• Si conoce la fecha exacta (o el intervalo de fechas) del mensaje, incluya la propiedad Received en la consulta de búsqueda.
• Si conoce quién envió el mensaje, incluya la propiedad From en la consulta de búsqueda.
• Obtenga una vista previa de los resultados de la búsqueda para comprobar que la búsqueda solo devolvió el mensaje (o los mensajes) que quiere eliminar.
• Use las estadísticas de estimación de búsqueda (que se muestran en el panel de detalles de la búsqueda en el portal de cumplimiento o mediante el cmdlet Get-ComplianceSearch) para obtener un recuento del número total de resultados.

Estos son dos ejemplos de consultas para buscar mensajes de correo electrónico sospechosos.

• Esta consulta devuelve los mensajes recibidos por los usuarios entre el 13 de abril de 2017 y el 14 de abril de 2017 que contengan las palabras "acción" y "necesario" en la línea de asunto.

  (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')
  

• Esta consulta devuelve los mensajes enviados por chatsuwloginsset12345@outlook.com que contienen la frase exacta "Actualice la información de su cuenta" en la línea de asunto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Este es un ejemplo del uso de una consulta para crear e iniciar una búsqueda mediante la ejecución de los cmdlets New-ComplianceSearch y Start-ComplianceSearch para buscar en todos los buzones de la organización:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Paso 3: Eliminar el mensaje

Hasta este momento, ha creado y refinado una búsqueda de contenido para devolver los mensajes que desea quitar. Ya está listo para eliminar los mensajes seleccionados. En este paso, ejecutará el comando New-ComplianceSearchAction -Purge en el módulo de PowerShell de seguridad y cumplimiento para eliminar el mensaje.

Puede eliminar el mensaje de forma temporal o permanente.

• Mensaje eliminado de forma temporal. Este mensaje se mueve a la carpeta Elementos recuperables de un usuario. Se conserva allí hasta que expira el período de retención de elementos eliminados.
• Mensaje eliminado de forma permanente. Este mensaje está marcado para su eliminación permanente del buzón. Se eliminará de manera permanente la próxima vez que Asistente para carpetas administradas procese el buzón de correo. Tenga en cuenta las situaciones siguientes:
  • La recuperación de un solo elemento está habilitada para el buzón. En este caso, los elementos eliminados de manera permanente se quitarán definitivamente después de que expire el período de retención de elementos eliminados.
  • Se coloca un buzón en espera. En este caso, los mensajes eliminados se conservan hasta que expire la duración del período de espera de un elemento o hasta que se quite la espera del buzón.

Nota:

Como se ha indicado anteriormente, los elementos de Microsoft Teams devueltos por la búsqueda de contenido no se eliminan cuando se ejecuta el comando New-ComplianceSearchAction -Purge .

Para ejecutar los siguientes comandos para eliminar mensajes, asegúrese de que está conectado al módulo de seguridad y cumplimiento de PowerShell.

Eliminar mensajes temporalmente

En el ejemplo siguiente, el comando elimina temporalmente los resultados de la búsqueda obtenidos por una búsqueda de contenido denominada "quitar el mensaje de suplantación de identidad".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminar mensajes de forma permanente

Para eliminar de forma permanente los elementos devueltos por la búsqueda de contenido "quitar el mensaje de suplantación de identidad", ejecutaría este comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Cuando ejecute los comandos anteriores para eliminar mensajes de forma temporal o permanente, la búsqueda especificada por el parámetro SearchName es la búsqueda de contenido que creó en el paso 1.

Preguntas comunes relacionadas con la eliminación de mensajes

• ¿Cómo se determina el estado de la operación de búsqueda y eliminación?

  Ejecute el comando Get-ComplianceSearchAction para obtener el estado de la operación de eliminación. El objeto que se crea al ejecutar el cmdlet New-ComplianceSearchAction tiene este formato: <nombre de la búsqueda de contenido>_Purge.

• ¿Qué ocurre después de eliminar permanentemente un mensaje?

  Un mensaje eliminado permanentemente con el comando New-ComplianceSearchAction -Purge -PurgeType HardDelete se mueve a la carpeta Purgas. El usuario no puede acceder al mensaje.

  Después de mover el mensaje a la carpeta Purgas, el mensaje se conserva durante el período de retención de elementos eliminados si está habilitada la recuperación de un único elemento en el buzón. (En Microsoft 365, la recuperación de un elemento único está habilitada de forma predeterminada cuando se crea un nuevo buzón). Después de que expire el período de retención de elementos eliminados, el mensaje se marca para su eliminación permanente. Se eliminará de Microsoft 365 la próxima vez que el Asistente para carpetas administradas procese el buzón de correo.

• ¿Qué ocurre después de eliminar temporalmente un mensaje?

  Cuando se elimina un mensaje de forma temporal mediante el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, se mueve a la carpeta Eliminaciones en la carpeta Elementos recuperables del usuario. No se depura inmediatamente de Microsoft 365.

  El usuario puede recuperar los mensajes de la carpeta Elementos eliminados durante el período de retención de elementos eliminados configurado para el buzón. Después de que expire este período de retención (o si un usuario purga el mensaje antes de que expire), el mensaje se mueve a la carpeta Purgas. Desde allí, el usuario ya no puede acceder a él. Cuando el mensaje se encuentra en la carpeta Purgas, se conserva durante el período de retención de elementos eliminados configurado para el buzón, si se habilitó la recuperación de elemento único en el buzón. (En Microsoft 365, la recuperación de un elemento único está habilitada de forma predeterminada cuando se crea un nuevo buzón). Después de que expire el período de retención de elementos eliminados, el mensaje se marca para su eliminación permanente. Se eliminará de Microsoft 365 la próxima vez que el Asistente para carpetas administradas procese el buzón de correo.

• ¿Qué ocurre si tiene que eliminar un mensaje de más de 50 000 buzones?

  Como se indicó anteriormente, puede realizar una operación de búsqueda y depuración en un máximo de 50 000 buzones (incluso si menos de 50 000 contienen elementos que coincidan con la consulta de la búsqueda). Si tiene que realizar una operación de búsqueda y depuración en más de 50 000 buzones, considere la posibilidad de crear filtros de permisos de búsqueda temporales que reduzcan el número de buzones en los que se buscará a menos de 50 000 buzones.

  Por ejemplo, si su organización contiene buzones de correo en distintos departamentos, estados o países o regiones, puede crear un filtro de permisos de búsqueda de buzones basado en una de esas propiedades de buzón para buscar en un subconjunto de buzones de su organización. Después de crear el filtro de permisos de búsqueda, crearía la búsqueda y, a continuación, eliminaría el mensaje. Luego, puede editar el filtro para buscar y depurar mensajes en un conjunto de buzones diferente. Para obtener más información sobre cómo crear filtros de permisos de búsqueda, vea Configurar el filtrado de permisos para la búsqueda de contenido.

• ¿Se eliminarán los elementos sin indexar incluidos en los resultados de la búsqueda?

  No, el comando New-ComplianceSearchAction -Purge no elimina los elementos sin indexar.

• ¿Qué ocurre si se elimina un mensaje de un buzón colocado en suspensión local o suspensión por litigio o que está asignado a una directiva de retención de Microsoft 365?

  Una vez que el mensaje se depure y se mueva a la carpeta de depuración, este se conserva hasta que expire la duración de la retención. Si la duración de la retención es ilimitada, los elementos se conservan hasta que se elimine la retención o se modifique su duración.

• ¿Por qué el proceso de búsqueda y eliminación se divide entre distintos grupos de roles del portal de seguridad y cumplimiento?

  Para poder buscar en buzones es necesario pertenecer al grupo de roles Administrador de eDiscovery o tener asignado el rol Administración de búsqueda de cumplimiento. Para eliminar mensajes, es necesario pertenecer al grupo de roles Administración de la organización o tener asignado el rol de administración Buscar y purgar. Esto permite controlar quién puede buscar en los buzones de la organización y quién puede eliminar mensajes.

Continuar