搜尋並刪除電子郵件訊息

提示

本文適用於系統管理員。 您嘗試在信箱中尋找要刪除的專案嗎？ 請參閱 使用立即搜尋尋找訊息或專案。

您可以使用內容搜尋功能來搜尋和刪除組織中所有信箱的電子郵件訊息。 這可幫助您找出並移除可能有害或高風險的電子郵件，例如：

• 含有危險附件或病毒的郵件
• 網路釣魚郵件
• 包含敏感資料的郵件

提示

如果貴組織有適用於 Office 365 的 Defender 方案 2 訂閱，建議您使用補救 Office 365 傳遞的惡意電子郵件中所詳述的流程，而不是遵循本文所述的流程。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

開始之前

• 本文所述的搜尋和清除工作流程不會刪除 Microsoft Teams 中的聊天訊息或其他內容。 如果您在步驟 2 中建立的 [內容] 搜尋會從 Microsoft Teams 中傳回項目，當您在步驟 3 清除項目時，將不會刪除這些項目。 若要搜尋並刪除聊天訊息，請參閱 Teams 中的聊天訊息搜尋和清除。

• 若要建立並執行內容搜尋，您必須是電子檔探索管理員角色群組的成員，或是獲指派 Microsoft Purview 合規性入口網站 中的合規性搜尋角色。 若要刪除訊息，您必須是 組織管理 角色群組的成員，或在合規性入口網站中獲指派 搜尋和清除 角色。如需將使用者新增至角色群組的相關信息，請參閱 指派電子檔探索許可權。

  注意事項

  Exchange Online 與合規性入口網站都有組織管理角色群組。 這些是提供不同權限的不同角色群組。 成為 Exchange Online 中組織管理的成員，不會授與其刪除電子郵件訊息所需的權限。 如果您未在合規性入口網站中直接或透過組織管理) 等角色群組 (指派搜尋和清除角色，當您執行 New-ComplianceSearchAction Cmdlet 時，會在步驟 3 中收到錯誤訊息：「找不到符合參數名稱 'Purge' 的參數」。

• 您必須使用安全性與合規性 PowerShell 來刪除郵件。 如需如何連線的指導，請參閱步驟 1：連線至安全性與合規性 PowerShell。

• 每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除郵件的功能應該是事件回應工具，此限制可以協助確保從信箱快速移除郵件。 這項功能不是用來清除使用者信箱。

• 透過搜尋及清除動作，您最多可以在內容搜尋刪除 50,000 個信箱內的項目。 如果搜尋功能 (您在步驟 2 中所建立的項目) 搜尋超過 50,000 個信箱，則您在步驟 3 中建立的清除動作將失敗。 在單一搜尋中搜尋超過 50,000 個信箱，通常會在您將搜尋設為包含貴組織的所有信箱時發生。 即使包含符合搜尋查詢項目的信箱少於 50,000 個，此限制仍會適用。 請參閱 更多資訊 一節，以瞭解有關使用搜尋權限篩選條件在超過 50,000 個信箱中搜尋和清除項目的指南。

• 本文所述的程序只能用於刪除 Exchange Online 信箱和公用資料夾中的項目。 您無法使用這個程序來刪除 SharePoint 或商務用 OneDrive 上的內容。

• 您無法使用本文所述的程序刪除電子文件探索 (進階版) 案例的檢閱集中的電子郵件項目。 這是因為檢閱集中的項目儲存在 Azure 儲存體位置，而不是在實際服務中。 這表示不會由您在步驟 1 建立的內容搜尋所傳回。 若要刪除檢閱集中的項目，您必須刪除包含檢閱集的電子文件探索 (進階版) 案例。 如需詳細資訊，請參閱關閉或刪除電子文件探索 (進階版) 案例。

步驟 1︰連線至安全性與合規性 PowerShell

第一個步驟是連線到貴組織 的安全性 & 合規性 PowerShell 。 如需逐步指示，請參閱連線到安全性與合規性 PowerShell。

步驟 2：建立內容搜尋來尋找要刪除的郵件

第二個步驟是建立和執行內容搜尋，以尋找您想要從組織中的信箱移除的郵件。 您可以使用 Microsoft Purview 合規性入口網站 或在 Security & Compliance PowerShell 中執行 New-ComplianceSearch 和 Start-ComplianceSearch Cmdlet 來建立搜尋。 藉由在步驟 3 中執行 New-ComplianceSearchAction -Purge 命令，會刪除符合此搜尋查詢的郵件。 如需建立內容搜尋和設定搜尋查詢的相關信息，請參閱下列文章：

• Office 365 中的內容搜尋
• 內容搜尋的關鍵字查詢
• New-ComplianceSearch
• Start-ComplianceSearch

注意事項

在此步驟中建立的內容搜尋，其搜尋的內容位置不能包含 SharePoint 或商務用 OneDrive 網站。 您只能在內容搜尋中包含將用於電子郵件的信箱和公用資料夾。 如果內容搜尋包含網站，則在步驟 3 中執行 New-ComplianceSearchAction Cmdlet 時會收到錯誤。

尋找要移除郵件的提示

搜尋查詢的目標是將搜尋結果縮減為只有您想要移除的郵件。 以下是一些提示：

• 如果您知道郵件主旨行中使用的確切文字或片語，請在搜尋查詢中使用 Subject 屬性。
• 如果您知道郵件的實際日期 (或日期範圍)，請在搜尋查詢中包含 Received 屬性。
• 如果您知道郵件的寄件者，請在搜尋查詢中包含 From 屬性。
• 預覽搜尋結果，以確認內容搜尋僅傳回您想要刪除的郵件。
• 使用搜尋預估統計資料 (在合規性入口網站的搜尋詳細資料窗格中顯示，或使用 Get-ComplianceSearch Cmdlet) 以取得結果總數。

以下是尋找可疑電子郵件訊息的兩個查詢範例。

• 此查詢傳回 2016 年 4 月 13 日和 2016 年 4 月 14 日之間使用者所接收的郵件，且在主旨列中包含文字「動作」和「必要」。

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• 此查詢傳回 user@contoso.com 所送出的郵件，且在主旨列中包含精準字詞「更新您的帳戶資訊」。

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

以下是使用查詢來建立並開始搜尋的範例，方法是透過執行 New-ComplianceSearch 與 Start-ComplianceSearch Cmdlet 來搜尋組織中的所有郵件信箱：

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步驟 3：刪除郵件

在您建立內容搜尋並進行調整以傳回您想要移除的郵件，最後一步是在安全性與合規性 PowerShell 中執行 New-ComplianceSearchAction -Purge 來刪除郵件。

您可以虛刪除或實刪除郵件。 虛刪除的郵件會移至使用者的 [可復原的項目] 資料夾並保留，直到刪除項目的保留期限到期為止。 實刪除的郵件則會在信箱中標示為永久移除，並在受管理的資料夾助理員下次處理信箱時將其永久移除。 如果信箱啟用了單一項目復原，則會在刪除項目的保留期限到期後，永久刪除實刪除的項目。 如果信箱處於保留狀態，則會保留已刪除的郵件，直到該郵件的保留期間到期或從信箱移除保留為止。

注意事項

如前所述，當您執行 New-ComplianceSearchAction -Purge 命令時，不會刪除 Microsoft Teams 中由內容搜尋傳回的項目。

若要執行下列命令以刪除郵件，請確認您已連線至 [安全性與合規性 PowerShell]。

虛刪除郵件

在下列範例中，命令會虛刪除由名為「移除網路釣魚郵件」的內容搜尋所傳回的搜尋結果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

實刪除郵件

若要實刪除由「移除網路釣魚郵件」內容搜尋所傳回的項目，您可以執行下列命令：

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

當您執行先前的命令來虛刪除或硬刪除訊息時， SearchName 參數所指定的搜尋就是您在步驟 1 中建立的內容搜尋。

如需詳細資訊，請參閱 New-ComplianceSearchAction。

詳細資訊

• 如何取得搜尋和移除作業的狀態？

  執行 Get-ComplianceSearchAction 可取得刪除作業的狀態。 當您執行 New-ComplianceSearchAction Cmdlet 時所建立的物件會使用下列格式命名： <name of Content Search>_Purge。

• 刪除郵件後，會發生什麼情況？

  使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令刪除的訊息會移至 Purges 資料夾，且使用者無法存取。 郵件移至 [清除] 資料夾後，如果已針對信箱啟用單一項目復原，則會根據刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中，建立新信箱時即會預設啟用單一項目復原。) 刪除項目的保留期限到期後，郵件將標示為永久刪除，並在受管理的資料夾助理員下次處理信箱時將其從 Microsoft 365 永久清除。

  如果您使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令，郵件會移至使用者 [可復原的項目] 資料夾中的 [刪除] 資料夾。 它不會立即從 Microsoft 365 中清除。 使用者可以根據為信箱設定的刪除項目保留期間，在持續時間之內復原 [刪除的郵件] 資料夾中的郵件。 此保留期間到期 (或者如果使用者在到期之前清除郵件) 之後，郵件會移至 [清除] 資料夾且使用者無法再存取。 郵件位在 [清除] 資料夾後，如果已針對信箱啟用單一項目復原，則會根據為信箱設定的刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中，建立新信箱時即會預設啟用單一項目復原。) 刪除項目的保留期限到期後，郵件將標示為永久刪除，並在受管理的資料夾助理員下次處理信箱時將其從 Microsoft 365 永久清除。

• 如果要從 50,000 個以上的信箱刪除郵件，該怎麼辦？

  如先前所述，您可以針對最多 50,000 個信箱執行搜尋和清除作業 (即使包含符合搜尋查詢項目的信箱少於 50,000 個) 如果必須對超過 50,000 個信箱執行搜尋和清除作業，請考慮建立臨時搜尋權限篩選條件，以便將搜尋到的信箱數減少為小於 50,000 個信箱。 例如，如果您的組織包含不同部門、州或國家/地區的信箱，您可以根據其中一個信箱屬性來建立信箱搜尋許可權篩選，以搜尋組織中的信箱子集。 建立搜尋權限篩選條件後，您可以建立搜尋 (如步驟 1 所述)，然後再刪除郵件 (如步驟 3 所述)。 您可以編輯篩選條件來搜尋及清除不同組信箱中的郵件。 如需建立搜尋權限篩選條件的詳細資訊，請參閱設定內容搜尋的權限篩選。

• 搜尋結果中包含的未索引項目是否會被刪除？

  否，'New-ComplianceSearchAction -Purge 命令不會刪除未編製索引的專案。

• 如果刪除位於就地保留或訴訟資料暫留的信箱中的郵件，或將郵件指派給 Microsoft 365 保留原則，會發生什麼情況？

  清除郵件並將其移動到 [清除] 資料夾後，郵件會保留，直到保留期限到期為止。 如果保留期限無限制，則項目會保留到移除保留或變更保留期限為止。

• 為什麼搜尋和移除工作流程會分成不同的 Microsoft Purview 合規性入口網站 角色群組？

  如先前所述，使用者必須是「eDiscovery 管理員」角色群組的成員，或者獲指派「符合性搜尋」管理角色才能搜尋信箱。 若要刪除郵件，該人員必須是「組織管理」角色群組的成員，或者獲指派「搜尋及清除」管理角色。 這樣就可以控制誰能夠在組織中搜尋信箱以及誰能夠刪除郵件。