Поиск и удаление сообщений электронной почты в eDiscovery

Совет

Вы также можете использовать функцию очистки в Исследования по безопасности данных для поиска и окончательного удаления почтовых ящиков Exchange и элементов Microsoft Teams в организации. Исследования по безопасности данных предоставляет встроенный рабочий процесс поиска и очистки с панелью мониторинга очереди очистки, которая помогает управлять запросами очистки и отслеживать их. Дополнительные сведения см. в разделе Очистка в Исследования по безопасности данных.

Функцию поиска можно использовать для поиска и удаления сообщений электронной почты из всех почтовых ящиков в организации. Этот процесс поможет вам найти и удалить потенциально опасные сообщения электронной почты или сообщения с высоким риском, например:

• сообщения, содержащие опасные вложения или вирусы;
• фишинговые сообщения;
• сообщения, содержащие конфиденциальные данные.

Однако процесс очистки обнаружения электронных данных не предназначен для общих задач управления почтовыми ящиками, таких как:

• Сокращение квоты почтового ящика
• Очистка почтовых ящиков
• Применение политик хранения данных

Процесс очистки, описанный в этой статье, специально предназначен для устранения инцидентов утечки данных, например, когда небольшое сообщение случайно передается большой группе пользователей. Для обычного управления почтовыми ящиками и соответствия требованиям используйте следующие средства:

• Политики хранения. Для управления жизненным циклом данных и обеспечения соответствия стандартам организации.
• политики Архив. Для разгрузки старого содержимого и эффективного управления хранилищем почтовых ящиков.
• Владение почтовым ящиком и удаление вручную. Для точного контроля над определенными почтовыми ящиками, особенно когда владелец почтового ящика должен проверить или удалить содержимое.

Совет

Если у вашей организации есть подписка на Defender для Office 365 плана 2, используйте процедуру, описанную в статье Устранение вредоносных сообщений электронной почты, доставленных в Office 365, а не следовать процедуре, описанной в этой статье.

Подготовка к работе

Важно!

Внимательно ознакомьтесь со следующими рекомендациями, прежде чем приступать к поиску и очистке сообщений электронной почты.

• В зависимости от подписки eDiscovery для вашей организации можно включить случаи для функций eDiscovery premium, если у организации есть лицензии E5, или нет. Проверьте уровень поддержки функций для случая, чтобы определить, следует ли использовать PowerShell или Microsoft Graph для поиска и очистки.

• В случаях, не настроенных для функций eDiscovery premium, powerShell можно использовать только для поиска и удаления сообщений электронной почты. Для клиентов E3 случаи, созданные с помощью командлетов или портала Microsoft Purview, могут очищать электронную почту только с помощью PowerShell. Вы можете очистить до 10 элементов в каждом расположении.

• В случаях, настроенных для функций eDiscovery premium, можно использовать PowerShell или Microsoft Graph для поиска и удаления сообщений электронной почты. Случаи, настроенные с помощью Graph или портала Microsoft Purview с функциями premium, могут очищать сообщения электронной почты и Teams только с помощью Graph. Вы можете очистить до 100 элементов в каждом расположении.

  Важно!

  Не используйте сочетание PowerShell и Microsoft Graph для очистки сообщений электронной почты.

• После окончательного удаления данных их невозможно восстановить. Внимательно следуйте указаниям, приведенным в этой статье, и проверьте область поиска перед выполнением команды очистки. После выполнения команды очистки ее невозможно отменить, и сообщения электронной почты не удастся восстановить.

• Условия поиска, такие как идентификатор (включая идентификатор сообщения), метка конфиденциальности и тип конфиденциальной информации, не поддерживаются для поиска и удаления для случаев, не поддерживающих премиум-уровень, в обнаружении электронных данных. Использование этих условий приводит к неожиданной потере данных.

• Запустите отчет об экспорте, чтобы просмотреть все элементы, соответствующие условиям поиска, перед очисткой. Используя интерфейс поиска и экспорта на портале Microsoft Purview и экспортируя результаты в формате только отчета, вы можете просмотреть подробные метаданные перед удалением. Такой подход помогает уточнить область поиска и обеспечивает более целевую и точную очистку.

• Не используйте рабочий процесс поиска и очистки, описанный в этой статье, для удаления сообщений чата или другого содержимого из Microsoft Teams. Если поиск, создаваемый на шаге 2, возвращает элементы из Microsoft Teams, выполните действия, описанные в разделе Поиск и удаление сообщений чата Microsoft Teams в eDiscovery , чтобы удалить их.

• Чтобы создать и запустить поиск, необходимо быть членом группы ролей диспетчера обнаружения электронных данных или назначить ему роль "Поиск соответствия требованиям" на портале Microsoft Purview. Чтобы удалить сообщения, необходимо быть членом группы ролей Управление организацией или назначить ему роль поиска и очистки на портале Microsoft Purview. Сведения о добавлении пользователей в группу ролей см. в разделе Назначение разрешений на обнаружение электронных данных.

  Примечание.

  Группа ролей "Управление организацией" существует как в Exchange Online, так и на портале Microsoft Purview. Это две разные группы ролей, которые дают различные разрешения. Будучи участником управления организацией в Exchange Online не предоставляет необходимые разрешения на удаление сообщений электронной почты. Если вам не назначена роль поиска и очистки на портале Microsoft Purview (напрямую или через группу ролей, например управление организацией), на шаге 3 при выполнении командлета New-ComplianceSearchAction с сообщением "Не удается найти параметр, соответствующий имени параметра Purge".

• Для удаления сообщений необходимо использовать PowerShell для соответствия требованиям безопасности &. Инструкции по подключению см. в разделе Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям.

• Вы можете одновременно удалить не более 10 элементов на один почтовый ящик. Так как возможность поиска и удаления сообщений предназначена для использования средства реагирования на события, это ограничение помогает обеспечить быстрое удаление сообщений из почтовых ящиков. Эта возможность не предназначена для очистки почтовых ящиков пользователей.

Примечание.

Этот параметр не поддерживается, если почтовый ящик содержит удержание в судебном порядке. Из представления пользователя удаляются только 10 элементов. Эти 10 элементов не удаляются окончательно, поэтому эти 10 элементов являются единственными обработанными.

• Максимальное количество почтовых ящиков в поиске контента, в которых можно удалять элементы с помощью поиска и очистки, — 50 000. Если поиск (который вы создали на шаге 2) ищет более 50 000 почтовых ящиков, действие очистки (которое вы создали на шаге 3) завершается ошибкой. Поиск более чем 50 000 почтовых ящиков в одном поиске обычно может происходить, когда вы настраиваете поиск для включения всех почтовых ящиков в организации. Это ограничение по-прежнему применяется, даже если менее 50 000 почтовых ящиков содержат элементы, соответствующие поисковому запросу. Сведения о том, как использовать фильтры разрешений поиска для поиска и очистки элементов из более чем 50 000 почтовых ящиков см. в разделе Дополнительные сведения.
• Процедуру, описанную в этой статье, можно использовать только для удаления элементов в Exchange Online почтовых ящиках и общедоступных папках. Его нельзя использовать для удаления содержимого с сайтов SharePoint или OneDrive.
• Вы не можете удалить элементы электронной почты в наборе для проверки в случае обнаружения электронных данных с помощью процедур, описанных в этой статье. Причина заключается в том, что элементы в наборе для проверки хранятся в расположении хранилища Azure, а не в действующей службе. Это означает, что они не возвращаются поиском контента, созданным на шаге 1. Чтобы удалить элементы из набора для проверки, необходимо удалить дело обнаружения электронных данных, содержащее набор для проверки.

Шаг 1. Подключение к PowerShell в Центре безопасности и соответствия требованиям

Сначала подключитесь к PowerShell для обеспечения безопасности & соответствия требованиям для вашей организации. Пошаговые инструкции см. в статье Подключение к PowerShell в Центре безопасности и соответствия требованиям.

Важно!

Чтобы использовать этот командлет для действий очистки в PowerShell для обеспечения соответствия требованиям безопасности &, необходимо выполнить следующие требования:

• Используйте Exchange Online PowerShell версии 3.9.0 или более поздней (август 2025 г.). Дополнительные сведения см. в статье Новые возможности модуля PowerShell Exchange Online. Для установки этой версии модуля может потребоваться удалить предыдущие версии модуля.
• Выполните командлет Connect-IPPSSession с параметром EnableSearchOnlySession .

Шаг 2. Создание поискового запроса для поиска удаляемого сообщения

Затем создайте и выполните поиск, чтобы найти сообщение, которое требуется удалить из почтовых ящиков в организации. Поиск можно создать с помощью портала Microsoft Purview или командлетов New-ComplianceSearch и Start-ComplianceSearch в PowerShell & соответствия требованиям безопасности. Сообщения, соответствующие запросу для этого поиска, удаляются с помощью команды New-ComplianceSearchAction -Purge на шаге 3. Сведения о создании и настройке поисковых запросов см. в следующих статьях:

• Создание поискового запроса
• Использование построителя условий
• New-ComplianceSearch
• Start-ComplianceSearch

Примечание.

Расположения контента, которые вы включаете в поисковый запрос, не могут включать сайты SharePoint или OneDrive. В поиск, используемый для сообщений электронной почты, можно включать только почтовые ящики и общедоступные папки. Если поиск включает сайты, при выполнении командлета New-ComplianceSearchAction на шаге 3 появится сообщение об ошибке.

Советы по поиску сообщений для удаления

Цель поискового запроса — сузить результаты только до сообщений, которые требуется удалить. Ниже приведено несколько советов.

• Если вы знаете точный текст или фразу, используемую в строке темы сообщения, укажите в поисковом запросе свойство Subject.
• Если вы знаете точную дату или диапазон дат сообщения, добавьте свойство Received в поисковый запрос.
• Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.
• Просмотрите результаты поиска, чтобы убедиться, что поиск возвращает только сообщения, которые требуется удалить.
• Используйте статистику оценки поиска, отображаемую в области сведений о поиске на портале Microsoft Purview или с помощью командлета Get-ComplianceSearch , чтобы получить общее количество результатов.

Ниже приведены два примера поиска подозрительных сообщений электронной почты.

• Этот запрос возвращает сообщения, полученные пользователями в период с 13 апреля 2024 г. по 14 апреля 2024 г. и содержащие слова "действие" и "требуется" в строке темы.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Этот запрос возвращает сообщения, отправленные user@contoso.com и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Вот пример использования запроса для создания и запуска поиска с помощью командлетов New-ComplianceSearch и Start-ComplianceSearch для поиска во всех почтовых ящиках в организации:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Шаг 3. Удаление сообщения

После создания и уточнения поискового запроса для возврата сообщений, которые требуется удалить, выполните команду New-ComplianceSearchAction -Purge в PowerShell по обеспечению безопасности & соответствия требованиям, чтобы удалить сообщение.

Важно!

Если вы используете поиск в eDiscovery для проверки результата и область, что нужно удалить, повторно запустите командлет поиска, чтобы проверить поиск в eDiscovery. Поиск в eDiscovery не выполняется в PowerShell, поэтому itemCount имеет значение 0, а JobEndTime не задано. Поиск необходимо выполнить повторно с помощью PowerShell и дождаться завершения поиска. Убедитесь, что результаты в командлете возвращают те же результаты перед выполнением очистки.

Вы можете обратимо удалить или жестко удалить сообщение. Сообщение, удаленное с возможностью восстановления, перемещается в папку пользователя "Элементы для восстановления" и сохраняется до истечения срока хранения удаленных элементов. Жестко удаленные сообщения помечаются как необратимое удаление из почтового ящика и окончательно удаляются при следующей обработке почтового ящика помощником по управляемым папкам. Если для почтового ящика включено восстановление одного элемента, жестко удаленные элементы удаляются без возможности восстановления после истечения срока хранения удаленных элементов. Если почтовый ящик помещен на удержание, удаленные сообщения сохраняются до истечения срока удержания элемента или до отключения удержания для почтового ящика.

Примечание.

Элементы из Microsoft Teams, возвращаемые поисковым запросом, не удаляются при выполнении команды New-ComplianceSearchAction -Purge .

Чтобы выполнить следующие команды для удаления сообщений, убедитесь, что вы подключены к PowerShell для обеспечения соответствия требованиям безопасности &.

Обратимое удаление сообщений

В следующем примере команда обратимо удаляет результаты поиска, возвращенные поисковым запросом с именем "Удалить фишинговое сообщение".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Необратимое удаление сообщений

Чтобы жестко удалить элементы, возвращенные поиском содержимого "Удалить фишинговое сообщение", выполните следующую команду:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

При выполнении предыдущих команд для обратимого или жесткого удаления сообщений поиск, указанный параметром SearchName , является поисковым запросом, созданным на шаге 1.

Дополнительные сведения см. в статье New-ComplianceSearchAction.

Вопросы и ответы

• Я выполнил действия, описанные в этой статье, для поиска, проверки и очистки, но он по-прежнему не удаляет элементы из почтового ящика.

  Иногда элементы, соответствующие поисковому запросу, представляют собой более 10 элементов (или 100 элементов, если используется Microsoft Graph) для почтового ящика. Если выполнить очистку с помощью командлета PowerShell и удалить только 10 элементов или выполнить очистку с помощью Microsoft Graph и удалить только 100 элементов, это нормально. Повторите процесс несколько раз, если вы хотите удалить более 10 (или 100) элементов на почтовый ящик. Мы настоятельно не рекомендуем обойти эти ограничения, постоянно выполняя команду очистки. Если вам нужно удалить больше данных из одного расположения, см. статью Исправление вредоносных сообщений электронной почты, доставленных в Office 365 или Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.

  Другая причина может быть в том, что почтовый ящик находится на удержании в судебном процессе. Если отчет об экспорте, связанный с выполнением поиска на шаге 2 (или выполненный в eDiscovery), указывает, что элементы находятся в папке "Элементы с возможностью восстановления ", этот результат означает, что они удерживаются, но элементы вымещены из представления. Если вы хотите удалить элементы из удержания, настоятельно рекомендуется использовать очистку приоритета. Кроме того, можно отпустить удержание и повторить попытку очистки. Проверьте состояние удержания, выполнив следующий командлет в Exchange PowerShell:

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

Проверьте следующие значения в результатах командлета:

• InPlaceHolds должен быть пустым или иметь только значения с префиксом :

  • Значение DelayHold должно иметь значение false
  • Значение SingleItemRecovery должно иметь значение false.

  Проверьте наличие политик на уровне клиента, выполнив следующий командлет:

  Get-OrganizationConfig | fl *Hold*
  

  Если существуют политики на уровне клиента, необходимо исключить почтовый ящик из очистки:

• Почтовый ящик находится на удержании с задержкой.

  • Интересующие элементы по-прежнему находятся после очистки, так как они перемещены в папку "Элементы с возможностью восстановления ".

• Разделы справки проверить, находятся ли элементы в папке элементов с возможностью восстановления?

  Чтобы убедиться, что элементы находятся в папке "Элементы с возможностью восстановления ", запустите отчет об экспорте для поиска и просмотрите путь к файлам в отчете CSV, чтобы узнать, находятся ли элементы в папке Элементы с возможностью восстановления . Если да, командлет New-ComplianceSearch не пытается удалить элемент. Если в отчете CSV указано, что элементы находятся в папке "Элементы с возможностью восстановления ", а почтовый ящик элемента архивируется, размер почтового ящика выполняется. Эти элементы резервной копии не могут быть удалены и в конечном итоге удаляются автоматически.

• Как узнать состояние операции поиска и удаления?

  Запустите командлет Get-ComplianceSearchAction, чтобы получить сведения о состоянии операции удаления. Объект, который создается при выполнении командлета New-ComplianceSearchAction , называется в следующем формате: <name of Content Search>_Purge.

• Что происходит после удаления сообщения?

  Сообщение, удаленное с New-ComplianceSearchAction -Purge -PurgeType HardDelete помощью команды , перемещается в папку Purges и не может быть доступно пользователю. После перемещения сообщения в папку Очистка сообщение сохраняется в течение периода хранения удаленных элементов, если для почтового ящика включено восстановление одного элемента. (В Microsoft 365 восстановление одного элемента включено по умолчанию при создании нового почтового ящика.) По истечении срока хранения удаленных элементов сообщение помечается как окончательное удаление и очищается из Microsoft 365 при следующей обработке почтового ящика помощник управляемой папки.

  Если используется команда New-ComplianceSearchAction -Purge -PurgeType SoftDelete, сообщения перемещаются в папку "Удаления" в папке пользователя "Элементы для восстановления". Оно не удаляется сразу из Microsoft 365. Пользователь может восстановить сообщения в папке "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. В папке "Очистка" сообщение хранится в течение срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Microsoft 365 восстановление одного элемента включено по умолчанию при создании нового почтового ящика.) По истечении срока хранения удаленных элементов сообщение помечается как окончательное удаление и очищается из Microsoft 365 при следующей обработке почтового ящика помощник управляемой папки.

• Что делать, если мне нужно удалить сообщение из более чем 50 000 почтовых ящиков?

  Вы можете выполнить операцию поиска и очистки не более 50 000 почтовых ящиков (даже если менее 50 000 содержат элементы, соответствующие поисковому запросу). Если вам нужно выполнить поиск и очистку в более чем 50 000 почтовых ящиков, рассмотрите возможность создания временных фильтров разрешений на поиск, которые сокращают количество почтовых ящиков, в которых будет выполняться поиск, до менее 50 000 почтовых ящиков. Например, если ваша организация содержит почтовые ящики в разных отделах, штатах или в другой стране или регионе, можно создать фильтр разрешений для поиска почтовых ящиков на основе одного из этих свойств почтового ящика для поиска подмножества почтовых ящиков в вашей организации. После создания фильтра разрешений поиска можно создать поиск (описано в шаге 1), а затем удалить сообщение (описано в шаге 3). Затем вы можете изменить фильтр для поиска и очистки сообщений в другом наборе почтовых ящиков. Дополнительные сведения о создании фильтров разрешений поиска см. в разделе Настройка фильтрации разрешений поиска в eDiscovery.

Примечание.

Каждое расположение почтового ящика, включая основное, архивное и любое другое, считается отдельным расположением для этого ограничения.

• Удаляются ли неиндексированные элементы, включенные в результаты поиска?

  Нет, New-ComplianceSearchAction -Purge команда не удаляет неиндексированные элементы.

• Что произойдет, если сообщение удалено из почтового ящика, помещенного в удержание для судебного разбирательства или назначенного политике хранения Microsoft 365?

  После того как сообщение будет очищено и перемещено в папку "Очистка", оно будет храниться, пока не истечет срок удержания. Если период удержания не ограничен, элементы сохраняются до прекращения удержания или изменения периода удержания.

• Почему рабочий процесс поиска и удаления разделен между разными группами ролей портала Microsoft Purview?

  Пользователь должен быть членом группы ролей eDiscovery Manager или ему должна быть назначена роль управления поиском по соответствию для поисковых почтовых ящиков. Чтобы удалить сообщения, пользователь должен быть членом группы ролей Управление организацией или ему назначена роль управления Поиск и очистка . Это разделение позволяет контролировать, кто может искать почтовые ящики в организации, а кто может удалять сообщения.