在電子檔案探索 (預覽) 中尋找和刪除電子郵件訊息

提示

本文適用於系統管理員。 您嘗試在信箱中尋找要刪除的專案嗎？ 請參閱 使用立即搜尋尋找訊息或專案。

您可以使用搜尋功能來搜尋和刪除組織中所有信箱的電子郵件訊息。 此流程可協助您找出並移除可能有害或高風險的電子郵件，例如：

• 含有危險附件或病毒的郵件
• 網路釣魚郵件
• 包含敏感資料的郵件

提示

如果貴組織有適用於 Office 365 的 Defender 方案 2 訂閱，建議您使用補救 Office 365 傳遞的惡意電子郵件中所詳述的流程，而不是遵循本文所述的流程。

開始之前

• 本文所述的搜尋和清除工作流程不會刪除 Microsoft Teams 中的聊天訊息或其他內容。 如果您在步驟 2 中建立的搜尋會從 Microsoft Teams 傳回專案，則當您在步驟 3 中清除專案時，不會刪除這些專案。 若要搜尋並刪除聊天訊息，請參閱 Teams 中的聊天訊息搜尋和清除。

• 若要建立並執行搜尋，您必須是 電子檔探索 管理員角色群組的成員，或在 Microsoft Purview 入口網站中獲指派 合規性搜尋 角色。 若要刪除訊息，您必須是 組織管理 角色群組的成員，或在 Microsoft Purview 入口網站中獲指派 搜尋和清除 角色。如需將使用者新增至角色群組的相關信息，請參閱 指派電子檔探索許可權。

  注意事項

  組織 管理 角色群組同時存在於 Exchange Online 和 Microsoft Purview 入口網站中。 這些是提供不同權限的不同角色群組。 成為 Exchange Online 中組織管理的成員，不會授與其刪除電子郵件訊息所需的權限。 如果您未在 Microsoft Purview 入口網站中直接或透過組織管理 () 等角色群組指派搜尋和清除角色，當您執行 New-ComplianceSearchAction Cmdlet 時，會收到錯誤訊息「找不到符合參數名稱 』Purge' 的參數」。

• 您必須使用安全性與合規性 PowerShell 來刪除郵件。 如需如何連線的指導，請參閱步驟 1：連線至安全性與合規性 PowerShell。

• 每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除郵件的功能應該是事件回應工具，此限制可以協助確保從信箱快速移除郵件。 這項功能不是用來清除使用者信箱。

• 如果需要從信箱移除其他專案，則需要執行其他步驟。

  1. 信 箱必須停用單一專案保留。 這可確保專案會從 [清除] 資料夾中移除
  2. 在每個合規性清除動作之後，必須對信箱執行 Managed 資料夾小 幫手。 此動作會永久刪除專案，並允許使用額外的清除動作移除另外10個專案。

  注意事項

  如果信箱有 訴訟保留，則不支援此選項。 只有10個專案會從用戶的檢視中移除。 這10個專案不會永久刪除，因此這10個專案是唯一處理的專案。

• 透過搜尋及清除動作，您最多可以在內容搜尋刪除 50,000 個信箱內的項目。 如果您在 步驟 2 中建立的搜尋 () 搜尋超過 50,000 個信箱，則您在步驟 3 中建立的清除 (動作) 將會失敗。 在單一搜尋中搜尋超過 50,000 個信箱，通常會在您將搜尋設為包含貴組織的所有信箱時發生。 即使包含符合搜尋查詢項目的信箱少於 50,000 個，此限制仍會適用。 請參閱 更多資訊 一節，以瞭解有關使用搜尋權限篩選條件在超過 50,000 個信箱中搜尋和清除項目的指南。

• 本文所述的程序只能用於刪除 Exchange Online 信箱和公用資料夾中的項目。 您無法使用它從 SharePoint 或 OneDrive 網站刪除內容。

• 無法使用本文中的程式刪除電子檔探索案例中檢閱集中的電子郵件專案。 這是因為檢閱集中的項目儲存在 Azure 儲存體位置，而不是在實際服務中。 這表示不會由您在步驟 1 建立的內容搜尋所傳回。 若要刪除檢閱集中的專案，您必須刪除包含檢閱集的電子檔探索案例。

步驟 1︰連線至安全性與合規性 PowerShell

第一個步驟是連線到貴組織 的安全性 & 合規性 PowerShell 。 如需逐步指示，請參閱連線到安全性與合規性 PowerShell。

步驟 2：建立搜尋查詢以尋找要刪除的訊息

第二個步驟是建立並執行搜尋，以尋找您想要從組織中的信箱中移除的郵件。 您可以使用 Microsoft Purview 入口網站 或在 Security & Compliance PowerShell 中執行 New-ComplianceSearch 和 Start-ComplianceSearch Cmdlet 來建立搜尋。 藉由在步驟 3 中執行 New-ComplianceSearchAction -Purge 命令，會刪除符合此搜尋查詢的郵件。 如需建立和設定搜尋查詢的相關信息，請參閱下列文章：

• 建立搜尋查詢
• 使用條件產生器
• New-ComplianceSearch
• Start-ComplianceSearch

注意事項

您在此步驟中建立的搜尋查詢中搜尋的內容位置不能包含 SharePoint 或 OneDrive 網站。 您只能在搜尋中包含將用於電子郵件訊息的信箱和公用資料夾。 如果搜尋包含網站，當您執行 New-ComplianceSearchAction Cmdlet 時，您會在步驟 3 中收到錯誤。

尋找要移除郵件的提示

搜尋查詢的目標是將搜尋結果縮減為只有您想要移除的郵件。 以下是一些提示：

• 如果您知道郵件主旨行中使用的確切文字或片語，請在搜尋查詢中使用 Subject 屬性。
• 如果您知道郵件的實際日期 (或日期範圍)，請在搜尋查詢中包含 Received 屬性。
• 如果您知道郵件的寄件者，請在搜尋查詢中包含 From 屬性。
• 預覽搜尋結果，以確認內容搜尋僅傳回您想要刪除的郵件。
• 使用搜尋估計統計數據 (顯示在 Microsoft Purview 入口網站中搜尋的詳細數據窗格中，或使用 Get-ComplianceSearch Cmdlet) 來取得結果總數的計數。

以下是尋找可疑電子郵件訊息的兩個查詢範例。

• 此查詢會傳回使用者在 2024 年 4 月 13 日到 2024 年 4 月 14 日之間收到的訊息，並在主旨行中包含 “action” 和 “required” 這兩個字。

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• 此查詢傳回 user@contoso.com 所送出的郵件，且在主旨列中包含精準字詞「更新您的帳戶資訊」。

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

以下是使用查詢來建立並開始搜尋的範例，方法是透過執行 New-ComplianceSearch 與 Start-ComplianceSearch Cmdlet 來搜尋組織中的所有郵件信箱：

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步驟 3：刪除郵件

建立並調整搜尋查詢以傳回您想要移除的訊息之後，最後一個步驟是在安全性 & 合規性 PowerShell 中執行 New-ComplianceSearchAction -Purge 命令來刪除訊息。

您可以虛刪除或實刪除郵件。 虛刪除的郵件會移至使用者的 [可復原的項目] 資料夾並保留，直到刪除項目的保留期限到期為止。 永久刪除的郵件會標示為永久移除信箱，並在下次受控資料夾小幫手處理信箱時永久移除。 如果已啟用信箱的單一項目復原，在刪除的專案保留期間到期之後，會永久移除已刪除的專案。 如果信箱處於保留狀態，則會保留已刪除的郵件，直到該郵件的保留期間到期或從信箱移除保留為止。

注意事項

如先前所述，當您執行 New-ComplianceSearchAction -Purge 命令時，不會刪除搜尋查詢所傳回Microsoft Teams 的專案。

若要執行下列命令以刪除郵件，請確認您已連線至 [安全性與合規性 PowerShell]。

虛刪除郵件

在下列範例中， 命令會虛刪除名為“Remove Phishing Message” 的搜尋查詢所傳回的搜尋結果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

實刪除郵件

若要實刪除由「移除網路釣魚郵件」內容搜尋所傳回的項目，您可以執行下列命令：

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

當您執行先前的命令來虛刪除或硬刪除訊息時， SearchName 參數所指定的搜尋就是您在步驟 1 中建立的搜尋查詢。

如需詳細資訊，請參閱 New-ComplianceSearchAction。

詳細資訊

• 如何取得搜尋和移除作業的狀態？

  執行 Get-ComplianceSearchAction 可取得刪除作業的狀態。 當您執行 New-ComplianceSearchAction Cmdlet 時所建立的物件會使用下列格式命名： <name of Content Search>_Purge。

• 刪除郵件後，會發生什麼情況？

  使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令刪除的訊息會移至 Purges 資料夾，且使用者無法存取。 將郵件移至 [清除] 資料夾之後，如果信箱已啟用單一項目復原，郵件會保留為已刪除的專案保留期間。 (在 Microsoft 365 中，建立新的信箱時，預設會啟用單一項目復原。) 在刪除的專案保留期限到期之後，郵件會標示為永久刪除，並在下次受控資料夾助理處理信箱時從 Microsoft 365 清除。

  如果您使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令，郵件會移至使用者 [可復原的項目] 資料夾中的 [刪除] 資料夾。 它不會立即從 Microsoft 365 中清除。 使用者可以根據為信箱設定的刪除項目保留期間，在持續時間之內復原 [刪除的郵件] 資料夾中的郵件。 此保留期間到期 (或者如果使用者在到期之前清除郵件) 之後，郵件會移至 [清除] 資料夾且使用者無法再存取。 郵件位在 [清除] 資料夾後，如果已針對信箱啟用單一項目復原，則會根據為信箱設定的刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中，建立新信箱時即會預設啟用單一項目復原。) 刪除項目的保留期限到期後，郵件將標示為永久刪除，並在受管理的資料夾助理員下次處理信箱時將其從 Microsoft 365 永久清除。

• 如果要從 50,000 個以上的信箱刪除郵件，該怎麼辦？

  即使少於 50,000 個信箱包含符合搜尋查詢) 的專案，您也可以在最多 50,000 個信箱 (上執行搜尋和清除作業。 如果必須對超過 50,000 個信箱執行搜尋和清除作業，請考慮建立臨時搜尋權限篩選條件，以便將搜尋到的信箱數減少為小於 50,000 個信箱。 例如，如果您的組織包含不同部門、州或國家/地區的信箱，您可以根據其中一個信箱屬性來建立信箱搜尋許可權篩選，以搜尋組織中的信箱子集。 建立搜尋權限篩選條件後，您可以建立搜尋 (如步驟 1 所述)，然後再刪除郵件 (如步驟 3 所述)。 您可以編輯篩選條件來搜尋及清除不同組信箱中的郵件。 如需建立搜尋許可權篩選的詳細資訊，請 參閱在電子檔探索中設定搜尋許可權篩選 (預覽) 。

• 搜尋結果中包含的未索引項目是否會被刪除？

  否，'New-ComplianceSearchAction -Purge 命令不會刪除未編製索引的專案。

• 如果郵件從已置於訴訟保留或指派給Microsoft 365 保留原則的信箱中刪除，會發生什麼事？

  清除郵件並將其移動到 [清除] 資料夾後，郵件會保留，直到保留期限到期為止。 如果保留期限無限制，則項目會保留到移除保留或變更保留期限為止。

• 為什麼搜尋和移除工作流程會分成不同Microsoft Purview 入口網站角色群組？

  使用者必須是eDiscovery 管理員角色群組的成員，或者獲指派 符合性搜尋管理 角色才能搜尋信箱。 若要刪除訊息，人員必須是 組織管理 角色群組的成員，或被指派 搜尋和清除管理 角色。 這樣就可以控制誰能夠在組織中搜尋信箱以及誰能夠刪除郵件。