Rechercher et supprimer des messages électroniques dans eDiscovery (préversion)
Conseil
Cet article s’adresse aux administrateurs. Essayez-vous de trouver des éléments de votre boîte aux lettres que vous souhaitez supprimer ? Consultez Rechercher un message ou un élément avec la recherche instantanée.
Vous pouvez utiliser la fonctionnalité de recherche pour rechercher et supprimer des messages électroniques de toutes les boîtes aux lettres de votre organisation. Cela peut vous aider à rechercher et supprimer les messages potentiellement nuisibles ou à haut risque, tels que :
- Messages contenant des virus ou des pièces jointes dangereuses
- Messages de hameçonnage
- Messages qui contiennent des données sensibles
Conseil
Si votre organisation dispose d’un abonnement Defender pour Office 365 Plan 2, nous vous recommandons d’utiliser la procédure détaillée dans Corriger le courrier malveillant remis dans Office 365, plutôt que de suivre la procédure décrite dans cet article.
Avant de commencer
Le flux de travail de recherche et de vidage décrit dans cet article ne supprime pas les messages de conversation ou d’autres contenus de Microsoft Teams. Si la recherche que vous créez à l’étape 2 renvoie des éléments de Microsoft Teams, ces éléments ne sont pas supprimés lorsque vous videz les éléments à l’étape 3. Pour rechercher et supprimer des messages de conversation, consultez Rechercher et vider les messages de conversation dans Teams.
Pour créer et exécuter une recherche, vous devez être membre du groupe de rôles Gestionnaire eDiscovery ou le rôle Recherche de conformité dans le portail Microsoft Purview. Pour supprimer des messages, vous devez être membre du groupe de rôles Gestion de l’organisation ou attribuer le rôle Rechercher et vider dans le portail Microsoft Purview Pour plus d’informations sur l’ajout d’utilisateurs à un groupe de rôles, voir Attribuer des autorisations eDiscovery.
Remarque
Le groupe de rôles Gestion de l’organisation existe à la fois dans Exchange Online et dans le portail Microsoft Purview. Ces groupes de rôles distincts donnent des autorisations différentes. Être membre de la Gestion des organisations dans Exchange Online n'octroie pas les autorisations requises pour supprimer des messages électroniques. Si le rôle Rechercher et vider ne vous est pas attribué dans le portail Microsoft Purview (directement ou par le biais d’un groupe de rôles tel que Gestion de l’organisation), une erreur s’affiche à l’étape 3 lorsque vous exécutez l’applet de commande New-ComplianceSearchAction avec le message « Impossible de trouver un paramètre qui correspond au nom du paramètre « Purge ».
Pour supprimer des messages, vous devez utiliser Security & Compliance PowerShell. Pour obtenir des instructions sur la façon de se connecter, consultez Étape 1 : Se connecter à Security & Compliance PowerShell.
Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Sachant que la fonction de recherche et de suppression de messages est censée être un outil de réponse aux incidents, cette limite permet de s’assurer que les messages sont rapidement supprimés des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres des utilisateurs.
Si des éléments supplémentaires doivent être supprimés de la boîte aux lettres, des étapes supplémentaires sont nécessaires.
- La rétention d’un élément unique doit être désactivée pour les boîtes aux lettres. Cela garantit que les éléments sont supprimés du dossier Purges
- L’Assistant Dossier managé doit être exécuté sur la boîte aux lettres après chaque action de vidage de conformité. Cette action supprime définitivement des éléments et autorise la suppression de 10 éléments supplémentaires avec des actions de vidage supplémentaires.
Remarque
Cette option n’est pas prise en charge si une boîte aux lettres a une conservation pour litige. Seuls 10 éléments sont supprimés de la vue de l’utilisateur. Ces 10 éléments ne sont pas supprimés définitivement. Ces 10 éléments sont donc les seuls traités.
Le nombre maximal de boîtes aux lettres dans une recherche de contenus servant à supprimer des éléments à l’aide d’une action de recherche et de purge est de 50 000. Si la recherche (que vous créez à l’étape 2) recherche plus de 50 000 boîtes aux lettres, l’action de vidage (que vous créez à l’étape 3) échoue. Une recherche de plus de 50 000 boîtes aux lettres au cours d’une même recherche est probable, généralement lorsque la configuration de la recherche prend en compte toutes les boîtes aux lettres de votre organisation. Cette restriction s’applique même si moins de 50 000 boîtes aux lettres contiennent des éléments qui correspondent à la requête de recherche. Pour obtenir des instructions sur l’utilisation des filtres d’autorisation de recherche pour rechercher et vider des éléments de plus de 50 000 boîtes aux lettres, consultez la section informations supplémentaires.
La procédure décrite dans cet article ne peut être utilisée que pour supprimer des éléments dans les boîtes aux lettres et dossiers publics Exchange Online. Vous ne pouvez pas l’utiliser pour supprimer du contenu des sites SharePoint ou OneDrive.
Les éléments d’e-mail d’un jeu de révision dans un cas eDiscovery ne peuvent pas être supprimés à l’aide des procédures décrites dans cet article. Cela est dû au fait que les éléments d’un groupe de révision sont stockés dans un emplacement de stockage Azure, et non dans le service actif. Cela signifie qu’elles ne sont pas renvoyées par la recherche de contenu que vous créez à l’étape 1. Pour supprimer des éléments d’un jeu de révision, vous devez supprimer le cas eDiscovery qui contient le jeu de révision.
Étape 1 : Connectez-vous à Security & Compliance PowerShell
La première étape consiste à vous connecter à Security & Compliance PowerShell pour votre organisation. Pour consulter des instructions détaillées, consultez Se connecter à Security & Compliance PowerShell.
Étape 2 : Créer une requête de recherche pour rechercher le message à supprimer
La deuxième étape consiste à créer et exécuter une recherche pour rechercher le message que vous souhaitez supprimer des boîtes aux lettres de votre organisation. Vous pouvez créer la recherche à l’aide du portail Microsoft Purview ou en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch dans Security & Compliance PowerShell. Les messages qui correspondent à la requête pour cette recherche sont supprimés par l’exécution de la commande New-ComplianceSearchAction -Purge à l’étape 3. Pour plus d’informations sur la création et la configuration des requêtes de recherche, consultez les articles suivants :
- Créer une requête de recherche
- Utiliser le générateur de conditions
- New-ComplianceSearch
- Start-ComplianceSearch
Remarque
Les emplacements de contenu recherchés dans la requête de recherche que vous créez à cette étape ne peuvent pas inclure les sites SharePoint ou OneDrive. Vous pouvez inclure uniquement des boîtes aux lettres et des dossiers publics dans une recherche qui sera utilisée pour envoyer des messages électroniques. Si la recherche inclut des sites, vous recevez une erreur à l’étape 3 lorsque vous exécutez l’applet de commande New-ComplianceSearchAction .
Conseils pour la recherche des messages à supprimer
L’objectif de la requête de recherche est de concentrer les résultats de la recherche sur les messages que vous voulez supprimer. Voici quelques conseils :
- Si vous connaissez l’expression ou le texte exact utilisé dans l’objet du message, utilisez la propriété Subject dans la requête de recherche.
- Si vous connaissez la date (ou la plage de dates) exacte du message, incluez la propriété Reçu dans la requête de recherche.
- Si vous savez qui a envoyé le message, incluez la propriété From dans la requête de recherche.
- Prévisualisez les résultats de recherche pour vérifier que la recherche renvoie uniquement les messages que vous voulez supprimer.
- Utilisez les statistiques d’estimation de la recherche (affichées dans le volet d’informations de la recherche dans le portail Microsoft Purview ou à l’aide de l’applet de commande Get-ComplianceSearch ) pour obtenir le nombre total de résultats.
Voici deux exemples de requêtes pour rechercher des messages électroniques suspects.
Cette requête retourne les messages qui ont été reçus par les utilisateurs entre le 13 avril 2024 et le 14 avril 2024 et qui contiennent les mots « action » et « obligatoire » dans la ligne d’objet.
(Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
Cette requête retourne les messages qui ont été envoyés par user@contoso.com et qui contiennent l’expression exacte « Mettre à jour les informations de votre compte » dans la ligne d’objet.
(From:user@contoso.com) AND (Subject:"Update your account information")
Voici un exemple d’utilisation d’une requête pour créer et démarrer une recherche en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch pour effectuer une recherche dans toutes les boîtes aux lettres de l’organisation :
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity
Étape 3 : supprimer le message
Une fois que vous avez créé et affiné une requête de recherche pour retourner les messages que vous souhaitez supprimer, la dernière étape consiste à exécuter la commande New-ComplianceSearchAction -Purge dans Security & Compliance PowerShell pour supprimer le message.
Vous pouvez supprimer le message de manière temporaire ou définitive. Un message supprimé de manière temporaire est déplacé vers le dossier éléments récupérables d’un utilisateur et conservé jusqu’à l’expiration de la période de rétention des éléments supprimés. Les messages supprimés définitivement sont marqués pour être supprimés définitivement de la boîte aux lettres et sont supprimés définitivement la prochaine fois que la boîte aux lettres est traitée par l’Assistant Dossier managé. Si la récupération d’élément unique est activée pour la boîte aux lettres, les éléments supprimés en dur sont supprimés définitivement après l’expiration de la période de rétention des éléments supprimés. Si une boîte aux lettres est suspendue, les messages supprimés sont conservés jusqu’à ce que la durée de conservation de l’élément arrive à expiration ou jusqu’à ce que la suspension de la boîte aux lettres soit supprimée.
Remarque
Comme indiqué précédemment, les éléments de Microsoft Teams retournés par la requête de recherche ne sont pas supprimés lorsque vous exécutez la commande New-ComplianceSearchAction -Purge .
Pour exécuter les commandes suivantes et supprimer des messages, assurez-vous que vous êtes connecté à Security & Compliance PowerShell.
Supprimer les messages de manière réversible
Dans l’exemple suivant, la commande supprime de manière réversible les résultats de recherche retournés par une requête de recherche nommée « Supprimer le message d’hameçonnage ».
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
Supprimer définitivement les messages
Pour supprimer définitivement les éléments renvoyés par la recherche de contenu « Supprimer le message d’hameçonnage », exécutez la commande suivante :
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete
Lorsque vous exécutez les commandes précédentes pour supprimer des messages de manière réversible ou définitive, la recherche spécifiée par le paramètre SearchName est la requête de recherche que vous avez créée à l’étape 1.
Pour plus d’informations, voir New-ComplianceSearchAction.
Plus d’informations
Comment obtenir l’état de l’opération de recherche et de suppression ?
Exécutez la commande Get-ComplianceSearchAction pour obtenir l’état de l’opération de suppression. L’objet créé lorsque vous exécutez l’applet de commande New-ComplianceSearchAction est nommé au format suivant :
<name of Content Search>_Purge
.Que se passe-t-il lorsque vous avez supprimé un message ?
Un message supprimé à l’aide de la
New-ComplianceSearchAction -Purge -PurgeType HardDelete
commande est déplacé vers le dossier Purges et est inaccessible à l’utilisateur. Une fois le message déplacé vers le dossier Purges, le message est conservé pendant la période de rétention des éléments supprimés si la récupération d’un élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une boîte aux lettres.) Une fois la période de rétention des éléments supprimés expirée, le message est marqué pour suppression définitive et est vidé de Microsoft 365 la prochaine fois que la boîte aux lettres est traitée par l’Assistant Dossier managé.Si vous utilisez la commande
New-ComplianceSearchAction -Purge -PurgeType SoftDelete
, les messages sont déplacés vers le dossier Suppressions dans le dossier Eléments récupérables de l’utilisateur. Il n’est pas immédiatement purgé de Microsoft 365. L’utilisateur peut récupérer les messages dans le dossier Éléments supprimés pendant une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres. Après expiration de cette période de rétention (ou si l’utilisateur purge le message avant son expiration), le message est déplacé vers le dossier Purges et n’est plus accessible par l’utilisateur. Une fois dans le dossier Purges, le message est conservé pour une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres si la récupération d’élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une nouvelle boîte aux lettres.) Une fois la période de rétention des éléments supprimés expirée, le message est marqué pour suppression définitive et sera purgé de Microsoft 365 la prochaine fois que l’Assistant Dossier géré le traitera.Comment faire pour supprimer un message de plus de 50 000 boîtes aux lettres ?
Vous pouvez effectuer une opération de recherche et de vidage sur un maximum de 50 000 boîtes aux lettres (même si moins de 50 000 contiennent des éléments qui correspondent à la requête de recherche). Si vous devez effectuer une opération de recherche et de purge sur plus de 50 000 boîtes aux lettres, envisagez de créer des filtres d’autorisations de recherche temporaires pour réduire le nombre de boîtes aux lettres recherchées à moins de 50 000. Par exemple, si votre organisation contient des boîtes aux lettres dans différents services, états ou pays/régions, vous pouvez créer un filtre d’autorisations de recherche de boîte aux lettres basé sur l’une de ces propriétés de boîte aux lettres pour rechercher un sous-ensemble de boîtes aux lettres de votre organisation. Une fois que vous avez créé le filtre des autorisations de recherche, vous devez créer la recherche (décrite à l’étape 1), puis supprimer le message (décrit à l’étape 3). Vous pouvez ensuite modifier le filtre pour rechercher et vider les messages dans un autre groupe de boîtes aux lettres. Pour plus d’informations sur la création de filtres d’autorisations de recherche, consultez Configurer le filtrage des autorisations de recherche dans eDiscovery (préversion) .
Les éléments non indexés inclus dans les résultats de recherche seront-ils supprimés ?
Non, la commande New-ComplianceSearchAction -Purge ne supprime pas les éléments non indexés.
Que se passe-t-il si un message est supprimé d’une boîte aux lettres qui a été placée en conservation pour litige ou est affecté à une stratégie de rétention Microsoft 365 ?
Une fois le message supprimé et déplacé vers le dossier de purges, le message est conservé jusqu’à l’expiration de la durée de conservation. Si la durée de la conservation est illimitée, les éléments sont conservés jusqu’à la suppression de la conservation ou la modification de la durée de la conservation.
Pourquoi le flux de travail de recherche et de suppression est-il divisé entre différents groupes de rôles du portail Microsoft Purview ?
Une personne doit être membre du groupe de rôles gestionnaire eDiscovery ou se voir attribuer le rôle de gestion de la recherche de conformité aux boîtes aux lettres de recherche. Pour supprimer des messages, une personne doit être membre du groupe de rôles Gestion de l’organisation ou se voir attribuer le rôle de gestion rechercher et vider . Il est ainsi possible de déterminer qui peut consulter des boîtes aux lettres dans l’organisation et qui peut supprimer des messages.