Anterior

Avançar

Pesquisar e excluir mensagens de email

Concluído

Uma organização pode usar o recurso de Pesquisa de conteúdo para localizar e excluir mensagens de email de todas as caixas de correio em sua implantação do Exchange. Esse processo pode ajudá-lo a encontrar e remover emails potencialmente nocivos ou de alto risco, como:

• Mensagens que contêm anexos perigosos ou vírus.
• Mensagens de phishing.
• Mensagens que contêm dados confidenciais.

Aviso

Se uma organização tiver uma assinatura do Defender para Office 365 Plano 2, ela deverá usar o procedimento detalhado em Corrigir email mal-intencionado entregue no Office 365, em vez de seguir o procedimento descrito nesta unidade.

Pré-requisitos para excluir mensagens de email

• O fluxo de trabalho de pesquisa e limpeza descrito nessa unidade não exclui mensagens de chat ou outro conteúdo do Microsoft Teams. Se a Pesquisa de conteúdo criada na Etapa 2 (abaixo) retornar itens do Microsoft Teams, esses itens não serão excluídos quando você limpar os itens na Etapa 3. Para pesquisar e excluir mensagens de chat, consulte Pesquisar e limpar mensagens de chat no Teams.

• Para criar e executar uma Pesquisa de conteúdo, você deve ser um membro do grupo de função Gerente de Descoberta Eletrônica ou ser atribuído à função Pesquisa de Conformidade no portal de conformidade do Microsoft Purview.

  Para excluir mensagens, você precisa ser um membro do grupo de função do Gerenciamento da Organização ou ser atribuído à função Pesquisar e Limpar no portal de conformidade do Microsoft Purview. Para obter informações sobre como adicionar usuários a um grupo de função, confira Atribuir permissões de Descoberta Eletrônica.

  Observação

  O grupo de função do Gerenciamento da Organização existe no Exchange Online e no portal de conformidade do Microsoft Purview. O grupo de função do Gerenciamento da Organização é diferente da função Pesquisar e Limpar. Ser membro do Gerenciamento da Organização no Exchange Online não concede as permissões necessárias para excluir mensagens de email. Se você não tiver atribuído a função Pesquisar e Limpar no portal de conformidade do Microsoft Purview (diretamente ou por meio de um grupo de função como do Gerenciamento da Organização), receberá um erro na Etapa 3 ao executar o cmdlet New-ComplianceSearchAction. A mensagem dirá: Não foi possível encontrar um parâmetro que corresponda ao nome do parâmetro ''Limpar''.

• Só é possível remover no máximo dez itens de cada vez por caixa de correio. Como o recurso de pesquisa e remoção de mensagens tem como objetivo ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

• 50.000 é o número máximo de caixas de correio em uma Pesquisa de conteúdo na qual você pode usar para excluir itens executando uma ação de pesquisa e limpeza. Se a pesquisa (criada na Etapa 2 pesquisar mais de 50.000 caixas de correio, a ação de limpeza (criada na Etapa 3) falhará. Pesquisar mais de 50.000 caixas de correio em uma única pesquisa normalmente é possível quando você configura a pesquisa para incluir todas as caixas de correio em uma organização. Essa restrição ainda se aplica mesmo quando menos de 50.000 caixas de correio contiverem itens que correspondam à consulta de pesquisa. Confira a seção final desta unidade para obter orientação sobre como usar filtros de permissões de pesquisa para pesquisar e limpar itens de mais de 50.000 caixas de correio.

• O procedimento desta unidade só pode ser usado para excluir itens nas caixas de correio e pastas públicas do Exchange Online. Não é possível usá-lo para excluir o conteúdo dos sites do SharePoint ou do OneDrive for Business.

• Os itens de email em um conjunto de revisão em um caso de Descoberta Eletrônica (Premium) não podem ser excluídos usando os procedimentos dessa unidade. Por quê? Como os itens em um conjunto de revisão são armazenados em um local de Armazenamento do Azure e não em um serviço ao vivo. Como resultado, eles não serão retornados pela Pesquisa de conteúdo criada na Etapa 1. Para excluir itens em um conjunto de revisão, você deve excluir o caso de Descoberta Eletrônica (Premium) que contém o conjunto de revisão. Para obter mais informações, consulte Fechar ou excluir um caso de Descoberta Eletrônica (Premium).

Etapa 1: conectar-se ao módulo PowerShell de Segurança e Conformidade

As organizações devem usar o módulo PowerShell de Segurança e Conformidade para excluir mensagens. Portanto, a primeira etapa para uma organização é conectar-se ao módulo PowerShell de Segurança e Conformidade. Para obter mais informações sobre como ligar a este módulo, veja Ligar ao PowerShell de Conformidade do & de Segurança.

Etapa 2: Criar uma pesquisa de conteúdo para localizar a mensagem a ser excluída

A segunda etapa é criar e executar uma Pesquisa de Conteúdo para localizar a mensagem que você deseja remover das caixas de correio na sua organização. Você pode criar a pesquisa usando o portal de conformidade do Microsoft Purview ou executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch no módulo PowerShell de Segurança e Conformidade.

As mensagens que correspondem à consulta dessa pesquisa serão excluídas, executando-se o comando New-ComplianceSearchAction-Purge na Etapa 3.

Observação

Os locais de conteúdo pesquisados na pesquisa de conteúdo que você cria nesta etapa não podem incluir sites do SharePoint ou OneDrive for Business. Você pode incluir apenas caixas de correio e pastas públicas em uma pesquisa de conteúdo que será usada para mensagens de email. Se a pesquisa de conteúdo incluir sites, você receberá um erro na Etapa 3 ao executar o cmdlet New-ComplianceSearchAction.

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados da pesquisa apenas à mensagem ou mensagens que você deseja remover. Veja algumas dicas:

• Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.
• Se você souber a data exata (ou o intervalo de datas) da mensagem, inclua a propriedade Received na consulta de pesquisa.
• Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.
• Visualize os resultados da pesquisa para verificar se a pesquisa de conteúdo retornou apenas a mensagem (ou mensagens) que você deseja excluir.
• Use as estatísticas de estimativa de pesquisa (exibidas no painel de detalhes da pesquisa no portal de conformidade ou use o cmdletGet-ComplianceSearch ) para obter uma contagem do número total de resultados.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

• Essa consulta retornará as mensagens que foram recebidas pelos usuários entre 13 de abril de 2017 e 14 de abril de 2017 e que contêm as palavras "ação" e "obrigatório" na linha de assunto.

  (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')
  

• Essa consulta retorna mensagens que foram enviadas por chatsuwloginsset12345@outlook.com e que contêm a frase exata "Atualizar as informações da conta" na linha de assunto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Veja um exemplo de como usar uma consulta para criar e iniciar uma pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch para pesquisar todas as caixas de correio na organização:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Etapa 3: Excluir a mensagem

Até agora, você criou e refinou uma Pesquisa de conteúdo para retornar as mensagens que deseja remover. Agora você está pronto para excluir as mensagens selecionadas. Nessa etapa, você executará o comando New-ComplianceSearchAction -Purge no módulo PowerShell de Segurança e Conformidade para excluir a mensagem.

Você pode excluir a mensagem temporária ou permanentemente.

• Mensagem excluída temporariamente. Essa mensagem é movida para a pasta Itens Recuperáveis do usuário. Ela é mantido lá até que o período de retenção do item excluído expire.
• Mensagem excluída permanentemente. Essa mensagem está marcada para remoção permanente da caixa de correio. Ela será removida permanentemente na próxima vez que a caixa de correio for processada pelo Assistente de Pasta Gerenciada. Lembre-se das seguintes situações:
  • A recuperação de um único item está habilitada para a caixa de correio. Nesse caso, os itens excluídos de forma irreversível serão removidos permanentemente depois que o período de retenção do item excluído expirar.
  • Uma caixa de correio é colocada em espera. Nesse caso, as mensagens excluídas são preservadas até que a duração da retenção do item expire ou até que a retenção seja removida da caixa de correio.

Observação

Conforme mencionado anteriormente, os itens do Microsoft Teams retornados pela Pesquisa de conteúdo não são excluídos quando você executa o comando New-ComplianceSearchAction -Purge.

Para executar os seguintes comandos para excluir mensagens, certifique-se de que você está conectado ao módulo PowerShell de Segurança e Conformidade.

Exclusão temporária de mensagens

No exemplo a seguir, o comando exclui temporariamente os resultados da pesquisa devolvidos por uma Pesquisa de Conteúdo chamada "Remover mensagem de phishing".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Exclusão permanente de mensagens

Para excluir permanentemente os itens devolvidos pela Pesquisa de Conteúdo "Remover mensagem de phishing", execute este comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando você executar os comandos anteriores para excluir mensagens de forma temporária ou permanente, a pesquisa especificada pelo parâmetro SearchName será a Pesquisa de conteúdo que você criou na Etapa 1.

Perguntas comuns relacionadas à exclusão de mensagens

• Como determinar o status da operação de pesquisa e remoção?

  Execute o comando Get-ComplianceSearchAction para obter o status da operação de exclusão. O objeto criado quando você executa o cmdlet New-ComplianceSearchAction é nomeado usando este formato: <nome da Pesquisa de conteúdo>_Purge.

• O que acontece após a exclusão irreversível de uma mensagem?

  Uma mensagem que é excluída permanentemente com o comando New-ComplianceSearchAction -Purge -PurgeType HardDelete é movida para a pasta Limpezas. A mensagem não pode ser acessada pelo usuário.

  Depois que a mensagem é movida para a pasta Limpezas, a mensagem é retida durante o período de retenção do item excluído se a recuperação de um único item estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de um único item é habilitada por padrão quando uma nova caixa de correio é criada.) Depois que o período de retenção do item excluído expira, a mensagem é marcada para exclusão permanente. Ele será limpo do Microsoft 365 na próxima vez que a caixa de correio for processada pelo Assistente de Pasta Gerenciada.

• O que acontece após a exclusão temporária de uma mensagem?

  Uma mensagem excluída temporariamente com o comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete é movida para a pasta Exclusões na pasta Itens Recuperáveis do usuário. Ela não é removida imediatamente do Microsoft 365.

  O usuário pode recuperar mensagens da pasta Itens Excluídos durante o período de retenção de itens excluídos configurado para a caixa de correio. Depois que esse período de retenção expirar (ou se um usuário limpar a mensagem antes de expirar), a mensagem será movida para a pasta Limpezas. A partir daí, ela não pode mais ser acessada pelo usuário. Uma vez na pasta Limpezas, a mensagem será retida durante o período de retenção do item excluído configurado para a caixa de correio se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de um único item é habilitada por padrão quando uma nova caixa de correio é criada.) Depois que o período de retenção do item excluído expira, a mensagem é marcada para exclusão permanente. Ela será removido do Microsoft 365 na próxima vez que a caixa de correio for processada pelo Assistente de Pasta Gerenciada.

• E se você tiver que excluir uma mensagem de mais de 50.000 caixas de correio?

  Conforme declarado anteriormente, você pode executar uma operação de pesquisa e limpeza em no máximo 50.000 caixas de correio (mesmo que menos de 50.000 contenham itens que correspondam à consulta de pesquisa). Se você tiver que fazer uma operação de pesquisa e limpeza em mais de 50.000 caixas de correio, considere a criação de filtros de permissões de pesquisa temporários que reduzem o número de caixas de correio que seriam pesquisadas para menos de 50.000 caixas de correio.

  Por exemplo, se a sua organização contiver caixas de correio em diferentes departamentos, estados ou países/regiões, pode criar um filtro de permissões de pesquisa de caixa de correio com base numa dessas propriedades da caixa de correio para procurar num subconjunto de caixas de correio na sua organização. Depois de criar o filtro de permissões de pesquisa, você criará a pesquisa e, em seguida, excluirá a mensagem. Em seguida, você pode editar o filtro para pesquisar e limpar mensagens em um conjunto diferente de caixas de correio. Para obter mais informações sobre como criar filtros de permissões, confira Configurar a filtragem de permissões para Pesquisa de Conteúdo.

• Os itens não indexados incluídos nos resultados da pesquisa serão excluídos?

  Não, o comando New-ComplianceSearchAction -Purge não exclui itens não indexados.

• O que acontece se uma mensagem for excluída de uma caixa de correio que foi colocada em Bloqueio In-loco ou Retenção de Litígio ou que foi atribuída a uma política de retenção do Microsoft 365?

  Quando for removida e transferida para a pasta Remoções, a mensagem será mantida até que a duração da retenção expire. Se a duração de retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da espera seja alterada.

• Por que o fluxo de trabalho de pesquisa e remoção é dividido entre diferentes grupos de funções do portal de segurança e conformidade?

  Uma pessoa deve ser membro do grupo de função Gerente de Descoberta Eletrônica ou ser atribuída à função de Gerenciamento de Pesquisa de Conformidade para localizar caixas de correio. Para excluir mensagens, uma pessoa precisa ser membro do grupo de função do Gerenciamento da organização ou ser atribuída à função de gerenciamento Pesquisar e limpar. Esse design possibilita controlar quem pode pesquisar nas caixas de correio da organização e quem pode excluir mensagens.

Continuar