Cercare ed eliminare messaggi di posta elettronica
Consiglio
eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).
Consiglio
Questo articolo è rivolto agli amministratori. Si sta cercando di trovare elementi nella cassetta postale che si desidera eliminare? Vedere Trovare un messaggio o un elemento con Ricerca immediata.
È possibile usare la funzionalità Ricerca contenuto per cercare ed eliminare i messaggi di posta elettronica da tutte le cassette postali dell'organizzazione. Ciò è utile per trovare e rimuovere messaggi potenzialmente dannosi o ad alto rischio, ad esempio:
- Messaggi contenenti virus o allegati pericolosi
- Messaggi di phishing
- Messaggi contenenti dati sensibili
Consiglio
Se l'organizzazione ha un abbonamento a Defender per Office 365 Piano 2, è consigliabile usare la procedura descritta in Correggere i messaggi di posta elettronica dannosi recapitati in Office 365anziché seguire la procedura descritta in questo articolo.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Prima di iniziare
Il flusso di lavoro di ricerca ed eliminazione descritto in questo articolo non elimina i messaggi di chat o altri contenuti da Microsoft Teams. Se la ricerca contenuto creata nel passaggio 2 restituisce elementi da Microsoft Teams, tali elementi non verranno eliminati nel passaggio 3. Per cercare ed eliminare i messaggi di chat, vedere Cercare ed eliminare i messaggi di chat in Teams.
Per creare ed eseguire una ricerca contenuto è necessario essere membro del gruppo di ruoli Manager di eDiscovery o disporre del ruolo Ricerca di conformità nel portale di conformità Microsoft Purview. Per eliminare i messaggi, è necessario essere membri del gruppo di ruoli Gestione organizzazione o essere assegnati al ruolo Ricerca ed eliminazione nel portale di conformità Per informazioni sull'aggiunta di utenti a un gruppo di ruoli, vedere Assegnare autorizzazioni di eDiscovery.
Nota
Il gruppo di ruoli Gestione organizzazione si trova sia in Exchange Online che nel Centro conformità. Si tratta di gruppi di ruoli separati che assegnano autorizzazioni diverse. Essere un membro di Gestione dell’organizzazione in Exchange Online non concede le autorizzazioni necessarie per eliminare i messaggi di posta elettronica. Se non viene assegnato il ruolo Cerca ed elimina nel portale di conformità (direttamente o tramite un gruppo di ruoli come Gestione organizzazione), verrà visualizzato un errore nel passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction con il messaggio "Impossibile trovare un parametro che corrisponda al nome del parametro 'Purge'".
Per eliminare i messaggi, è necessario usare PowerShell per Sicurezza e conformità. Per istruzioni su come connettersi, vedere Passaggio 1: Connessione a PowerShell per Sicurezza & conformità.
È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e di rimuovere i messaggi è uno strumento di intervento, questo limite garantisce che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.
Se è necessario rimuovere altri elementi dalla cassetta postale, sono necessari passaggi aggiuntivi.
- La conservazione di un singolo elemento deve essere disabilitata per le cassette postali. In questo modo si garantisce che gli elementi vengano rimossi dalla cartella Purges
- L'Assistente cartelle gestite deve essere eseguito sulla cassetta postale dopo ogni azione di eliminazione della conformità. Questa azione elimina definitivamente gli elementi e consente la rimozione di altri 10 elementi con azioni di eliminazione aggiuntive.
Nota
Questa opzione non è supportata se una cassetta postale ha un blocco per controversia legale o un blocco sul posto. Solo 10 elementi vengono rimossi dalla visualizzazione dell'utente. Questi 10 elementi non vengono eliminati definitivamente, quindi questi 10 elementi sono gli unici elaborati.
Il numero massimo di cassette postali supportato dalla ricerca di contenuto da usare per eliminare gli elementi con un'operazione di ricerca e rimozione è 50.000. Se la ricerca creata nel Passaggio 2 include più di 50.000 cassette postali, l'azione di rimozione, creata nel Passaggio 3, non riuscirà. La ricerca in più di 50.000 cassette postali in un'unica operazione può in genere verificarsi quando si configura la ricerca in modo da includere tutte le cassette postali dell'organizzazione. Questa restrizione si applica inoltre quando meno di 50.000 cassette postali contengono elementi che corrispondono alla query di ricerca. Vedere la sezione Altre informazioni per indicazioni sull'uso dei filtri di autorizzazioni per la ricerca ed eliminare elementi da più di 50.000 cassette postali.
La procedura descritta in questo articolo può essere usata solo per eliminare elementi nelle cassette postali e cartelle pubbliche di Exchange Online. Non è possibile usarla per eliminare il contenuto dai siti di SharePoint o OneDrive for Business.
Gli elementi di posta elettronica in un insieme di revisione in un caso di eDiscovery (Premium) non possono essere eliminati usando le procedure descritte in questo articolo. Il motivo è che gli elementi in un insieme da rivedere vengono archiviati in una posizione di archiviazione di Azure e non nel servizio Live. Questo vuol dire significa che non verranno restituite dalla ricerca di contenuto creata nel Passaggio 1. Per eliminare gli elementi in un insieme da rivedere, è necessario eliminare il caso di eDiscovery (Premium) che contiene il set di revisione. Per altre informazioni, vedere Chiudere o eliminare un caso di eDiscovery (Premium).
Passaggio 1: Connettersi a PowerShell in Sicurezza e conformità
Il primo passaggio consiste nel connettersi a Security & Compliance PowerShell per l'organizzazione. Per ottenere istruzioni dettagliate, vedere Connettersi a PowerShell in Sicurezza e conformità.
Passaggio 2: Creare una ricerca contenuto per trovare il messaggio da eliminare
Il secondo passaggio consiste nel creare ed eseguire una ricerca contenuto per trovare il messaggio da rimuovere dalle cassette postali dell'organizzazione. È possibile creare la ricerca usando il Portale di conformità di Microsoft Purview o eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch in PowerShell sicurezza & conformità. I messaggi che soddisfano la query per la ricerca verranno eliminati eseguendo il comando New-ComplianceSearchAction -Purge nel Passaggio 3. Per informazioni sulla creazione di una ricerca contenuto e sulla configurazione delle query di ricerca, vedere gli articoli seguenti:
- Ricerca contenuto in Office 365
- Query con parole chiave per la ricerca contenuto
- New-ComplianceSearch
- Start-ComplianceSearch
Nota
I percorsi di contenuto all'interno dei quali viene eseguita la ricerca contenuto creata in questo passaggio non possono includere siti di SharePoint o OneDrive for Business. In una ricerca contenuto che verrà usata per inviare messaggi di posta elettronica è possibile includere solo cassette postali e cartelle pubbliche. Se la ricerca contenuto include siti, si riceverà un messaggio di errore al Passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction.
Suggerimenti per cercare i messaggi da rimuovere
L'obiettivo della query di ricerca è limitare i risultati della ricerca solo al messaggio o ai messaggi da rimuovere. Di seguito sono riportati alcuni suggerimenti:
- Se si conosce la frase o il testo esatto della riga dell'oggetto del messaggio, utilizzare la proprietà Subject nella query di ricerca.
- Se si conosce la data esatta (o l'intervallo di date) del messaggio, includere la proprietà Received nella query di ricerca.
- Se si conosce il mittente del messaggio, includere la proprietà From nella query di ricerca.
- Visualizzare in anteprima i risultati della ricerca per verificare che la ricerca di contenuto restituisca solo il messaggio (o i messaggi) da eliminare.
- Usare le statistiche di stima della ricerca (visualizzate nel riquadro dei dettagli della ricerca nel portale di conformità o usando il cmdlet Get-ComplianceSearch) per ottenere un conteggio del numero totale di risultati.
Ecco due esempi di query per trovare messaggi di posta elettronica sospetti.
Questa query restituisce i messaggi che sono stati ricevuti dagli utenti tra il 13 aprile 2016 e il 14 aprile 2016 e che contengono le parole "action" e "required" nella riga dell'oggetto.
(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
Questa query restituisce i messaggi che sono stati inviati da user@contoso.com e che contengono la frase esatta "Update your account information" nella riga dell'oggetto.
(From:user@contoso.com) AND (Subject:"Update your account information")
Ecco un esempio dell'utilizzo di una query per creare e avviare una ricerca eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch per cercare tutte le cassette postali nell'organizzazione:
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity
Passaggio 3: Eliminare il messaggio
Dopo aver creato e perfezionato una ricerca contenuto per restituire i messaggi da rimuovere, l'ultimo passaggio consiste nell'eseguire il cmdlet New-ComplianceSearchAction -Purge in PowerShell per Centro sicurezza e conformità per eliminare il messaggio.
È possibile eliminare il messaggio in maniera temporanea o definitiva. Un messaggio eliminato temporaneamente viene spostato nella cartella Elementi ripristinabili dell’utente e viene conservato fino alla scadenza del periodo di conservazione degli elementi eliminati. I messaggi eliminati definitivamente vengono contrassegnati per la rimozione definitiva dalla cassetta postale e saranno rimossi definitivamente durante la successiva elaborazione da parte dell’Assistente cartelle gestite. Se il ripristino di un singolo elemento è abilitato per la cassetta postale, gli elementi eliminati definitivamente verranno rimossi in modo permanente dopo la scadenza del periodo di conservazione. Se viene applicato un blocco a una cassetta postale, i messaggi eliminati vengono conservati finché la durata del periodo di conservazione dell'elemento non scade o finché il blocco non viene rimosso.
Nota
Come indicato in precedenza, gli elementi di Microsoft Teams restituiti dalla ricerca contenuto non vengono eliminati quando si esegue il comando New-ComplianceSearchAction -Purge.
Per eseguire i comandi seguenti per eliminare i messaggi, assicurarsi di essere connessi a PowerShell in Sicurezza e conformità.
Eliminare temporaneamente messaggi
Nell'esempio seguente il comando elimina temporaneamente i risultati restituiti da una ricerca contenuto denominata "Remove Phishing Message".
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
Eliminare definitivamente messaggi
Per eliminare definitivamente gli elementi restituiti dalla ricerca contenuto "Remove Phishing Message", eseguire questo comando:
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete
Quando si eseguono i comandi precedenti in messaggi di eliminazione temporanea o hard-delete, la ricerca specificata dal parametro SearchName è la ricerca contenuto creata nel passaggio 1.
Per altre informazioni, vedere New-ComplianceSearchAction.
Ulteriori informazioni
Come si vede lo stato dell'operazione di ricerca e rimozione?
Eseguire il comando Get-ComplianceSearchAction per vedere lo stato dell'operazione di eliminazione. L'oggetto creato quando si esegue il cmdlet New-ComplianceSearchAction viene denominato con questo formato:
<name of Content Search>_Purge
.Cosa succede dopo l'eliminazione di un messaggio?
Un messaggio eliminato con il
New-ComplianceSearchAction -Purge -PurgeType HardDelete
comando viene spostato nella cartella Purges e non è accessibile dall'utente. Una volta spostato nella cartella Ripuliture, il messaggio viene conservato per la durata del periodo di conservazione degli elementi eliminati se il ripristino di un singolo elemento è abilitato per la cassetta postale. In Microsoft 365, il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e verrà eliminato da Microsoft 365 alla successiva elaborazione della cassetta postale da parte dell'Assistente cartelle gestite.Usando il comando
New-ComplianceSearchAction -Purge -PurgeType SoftDelete
, i messaggi vengono spostati nella cartella Eliminazioni nella cartella Elementi ripristinabili dell'utente. Non viene rimosso immediatamente da Microsoft 365. L'utente può recuperare i messaggi nella cartella Elementi eliminati per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale. Dopo la scadenza di questo periodo di conservazione (o se l'utente elimina il messaggio prima della scadenza), il messaggio viene spostato nella cartella di eliminazione e non è più accessibile da parte dell'utente. Una volta spostato nella cartella Ripuliture, il messaggio viene mantenuto per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale, se il ripristino di un singolo elemento è abilitato. In Microsoft 365, il ripristino di un singolo elemento è abilitato per impostazione predefinita quando si crea una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e verrà eliminato da Microsoft 365 alla successiva elaborazione della cassetta postale da parte dell'Assistente cartelle gestite.Come si fa a eliminare un messaggio da più di 50.000 cassette postali?
Come indicato in precedenza, è possibile eseguire un'operazione di ricerca ed eliminazione su un massimo di 50.000 cassette postali, anche se meno di 50.000 cassette contengono elementi che corrispondono alla query di ricerca. Se è necessario eseguire un'operazione di ricerca e rimozione su più di 50.000 cassette postali, è consigliabile creare dei filtri delle autorizzazioni di ricerca temporanei per ridurre il numero di cassette postali in cui eseguire la ricerca a meno di 50.000. Ad esempio, se l'organizzazione contiene cassette postali in reparti, stati o paesi/aree geografiche diversi, è possibile creare un filtro delle autorizzazioni di ricerca delle cassette postali basato su una di queste proprietà delle cassette postali per cercare un subset di cassette postali nell'organizzazione. Dopo aver creato il filtro delle autorizzazioni di ricerca, è necessario creare la ricerca, come descritto nel Passaggio 1, e quindi eliminare il messaggio, come descritto nel Passaggio 3. È quindi possibile modificare il filtro in modo da cercare e rimuovere i messaggi in un insieme di cassette postali diverso. Per altre informazioni sulla creazione di filtri delle autorizzazioni di ricerca, vedere Configurare i filtri delle autorizzazioni per la Ricerca contenuto.
Gli elementi non indicizzati inclusi nei risultati della ricerca verranno eliminati?
No, il comando 'New-ComplianceSearchAction -Purge non elimina gli elementi non indicizzati.
Cosa succede se un messaggio viene eliminato da una cassetta postale soggetta a blocco sul posto o a blocco per controversia legale o se viene assegnato a un criterio di conservazione di Microsoft 365?
Dopo che il messaggio è stato eliminato e spostato nella cartella Ripuliture, il messaggio viene conservato fino alla scadenza del periodo di conservazione. Se la durata di conservazione è illimitata, gli elementi vengono mantenuti fino a quando non viene rimosso il blocco o viene modificata la durata di conservazione.
Perché il flusso di lavoro di ricerca e rimozione è diviso tra diversi gruppi di ruoli Portale di conformità di Microsoft Purview?
Come indicato in precedenza, per eseguire ricerche nelle cassette postali, è necessario essere membri del gruppo di ruoli di responsabili di eDiscovery o disporre del ruolo di gestione di ricerca di conformità. Per eliminare i messaggi, è necessario essere membri del gruppo di ruoli di gestione dell'organizzazione o disporre del ruolo di gestione di ricerca ed eliminazione. In questo modo è possibile controllare chi può eseguire ricerche nelle cassette postali dell'organizzazione e chi può eliminare i messaggi.