البحث عن رسائل البريد الإلكتروني وحذفها

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

هذه المقالة مخصصة للمسؤولين. هل تحاول العثور على عناصر في علبة البريد تريد حذفها؟ راجع البحث عن رسالة أو عنصر باستخدام "البحث السريع".

يمكنك استخدام ميزة البحث عن المحتوى للبحث عن رسائل البريد الإلكتروني وحذفها من جميع علب البريد في مؤسستك. يمكن أن يساعدك هذا في العثور على البريد الإلكتروني الذي يحتمل أن يكون ضارا أو عالي المخاطر وإزالته، مثل:

• الرسائل التي تحتوي على مرفقات أو فيروسات خطرة

• رسائل التصيد الاحتيالي

• الرسائل التي تحتوي على بيانات حساسة

تلميح

إذا كان لدى مؤسستك اشتراك Defender لـ Office 365 الخطة 2، نوصي باستخدام الإجراء المفصل في معالجة البريد الإلكتروني الضار الذي تم تسليمه في Office 365، بدلا من اتباع الإجراء الموضح في هذه المقالة.

قبل البدء

• لا يؤدي سير عمل البحث والإزالة الموضح في هذه المقالة إلى حذف رسائل الدردشة أو أي محتوى آخر من Microsoft Teams. إذا كانت عملية البحث في المحتوى التي تقوم بإنشائها في الخطوة 2 ترجع عناصر من Microsoft Teams، فلن يتم حذف هذه العناصر عند إزالة العناصر في الخطوة 3. للبحث عن رسائل الدردشة وحذفها، راجع البحث عن رسائل الدردشة وحذفها في Teams.

• لإنشاء بحث في المحتوى وتشغيله، يجب أن تكون عضوا في مجموعة أدوار eDiscovery Manager أو أن يتم تعيين دور "البحث عن التوافق " في مدخل توافق Microsoft Purview. لحذف الرسائل، يجب أن تكون عضوا في مجموعة دور إدارة المؤسسة أو أن يتم تعيين دور البحث والإزالة في مركز التوافق للحصول على معلومات حول إضافة مستخدمين إلى مجموعة أدوار، راجع تعيين أذونات eDiscovery.

  ملاحظة

  توجد مجموعة دور إدارة المؤسسة في كل من Exchange Online وفي مدخل التوافق. هذه مجموعات أدوار منفصلة تمنح أذونات مختلفة. لا يمنح كونك عضوا في إدارة المؤسسة في Exchange Online الأذونات المطلوبة لحذف رسائل البريد الإلكتروني. إذا لم يتم تعيين دور البحث والإزالة لك في مركز التوافق (إما مباشرة أو من خلال مجموعة أدوار مثل إدارة المؤسسة)، فستتلقى رسالة خطأ في الخطوة 3 عند تشغيل Cmdlet New-ComplianceSearchAction مع الرسالة "لا يمكن العثور على معلمة تطابق اسم المعلمة "إزالة".

• يجب عليك استخدام Security & Compliance Center PowerShell لحذف الرسائل. راجع الخطوة 1 للحصول على إرشادات حول كيفية الاتصال.

• يمكن إزالة 10 عناصر كحد أقصى لكل علبة بريد في وقت واحد. نظرا لأن القدرة على البحث عن الرسائل وإزالتها مخصصة لتكون أداة للاستجابة للحوادث، فإن هذا الحد يساعد على ضمان إزالة الرسائل بسرعة من علب البريد. لا تهدف هذه الميزة إلى تنظيف علب بريد المستخدمين.

• الحد الأقصى لعدد علب البريد في عملية البحث في المحتوى التي يمكنك استخدامها لحذف العناصر من خلال إجراء البحث والإزالة هو 50000. إذا كان البحث (الذي تقوم بإنشائه في الخطوة 2 يبحث في أكثر من 50000 علبة بريد، فسيفشل إجراء الإزالة (الذي تقوم بإنشائه في الخطوة 3). قد يحدث عادة البحث في أكثر من 50000 علبة بريد في عملية بحث واحدة عند تكوين البحث لتضمين كل علب البريد في مؤسستك. لا يزال هذا التقييد ساريا حتى عندما تحتوي أقل من 50000 علبة بريد على عناصر تطابق استعلام البحث. راجع القسم "مزيد من المعلومات " للحصول على إرشادات حول استخدام عوامل تصفية أذونات البحث للبحث عن العناصر وإضافتها من أكثر من 50000 علبة بريد.

• يمكن استخدام الإجراء الوارد في هذه المقالة فقط لحذف العناصر الموجودة في علب بريد Exchange Online والمجلدات العامة. لا يمكنك استخدامه لحذف محتوى من مواقع SharePoint أو OneDrive for Business.

• لا يمكن حذف عناصر البريد الإلكتروني في مجموعة مراجعة في حالة eDiscovery (Premium) باستخدام الإجراءات الواردة في هذه المقالة. وذلك لأن العناصر في مجموعة المراجعة يتم تخزينها في موقع تخزين Azure، وليس في الخدمة المباشرة. وهذا يعني أنه لن يتم إرجاعها بواسطة البحث في المحتوى الذي تقوم بإنشائه في الخطوة 1. لحذف العناصر في مجموعة مراجعة، يجب حذف حالة eDiscovery (Premium) التي تحتوي على مجموعة المراجعة. لمزيد من المعلومات، راجع إغلاق حالة eDiscovery (Premium) أو حذفها.

الخطوة 1: الاتصال إلى Security & Compliance Center PowerShell

الخطوة الأولى هي الاتصال ب Security & Compliance Center PowerShell لمؤسستك. للحصول على إرشادات مفصلة خطوة بخطوة، راجع الاتصال إلى Security & Compliance Center PowerShell.

الخطوة 2: إنشاء بحث في المحتوى للعثور على الرسالة المراد حذفها

الخطوة الثانية هي إنشاء بحث في المحتوى وتشغيله للعثور على الرسالة التي تريد إزالتها من علب البريد في مؤسستك. يمكنك إنشاء البحث باستخدام مدخل التوافق أو عن طريق تشغيل New-ComplianceSearch و Start-ComplianceSearch cmdlets في Security & Compliance PowerShell. سيتم حذف الرسائل التي تطابق الاستعلام الخاص بهذا البحث عن طريق تشغيل الأمر New-ComplianceSearchAction -Purge في الخطوة 3. للحصول على معلومات حول إنشاء بحث في المحتوى وتكوين استعلامات البحث، راجع المواضيع التالية:

• البحث عن المحتوى في Office 365

• استعلامات الكلمات الأساسية للبحث في المحتوى

• New-ComplianceSearch

• Start-ComplianceSearch

ملاحظة

لا يمكن أن تتضمن مواقع المحتوى التي يتم البحث فيها في البحث عن المحتوى الذي تقوم بإنشائه في هذه الخطوة مواقع SharePoint أو OneDrive for Business. يمكنك تضمين علب البريد والمجلدات العامة فقط في بحث المحتوى الذي سيتم استخدامه لرسائل البريد الإلكتروني. إذا كان البحث في المحتوى يتضمن مواقع، فستتلقى رسالة خطأ في الخطوة 3 عند تشغيل New-ComplianceSearchAction cmdlet.

تلميحات للبحث عن الرسائل المراد إزالتها

الهدف من استعلام البحث هو تضييق نتائج البحث إلى الرسالة أو الرسائل التي تريد إزالتها فقط. إليك بعض التلميحات:

• إذا كنت تعرف النص أو العبارة الدقيقة المستخدمة في سطر موضوع الرسالة، فاستخدم الخاصية "الموضوع " في استعلام البحث.

• إذا كنت تعرف التاريخ (أو نطاق التاريخ) المحدد للرسالة، فضمن الخاصية Received في استعلام البحث.

• إذا كنت تعرف من أرسل الرسالة، فضمن الخاصية "من " في استعلام البحث.

• قم بمعاينة نتائج البحث للتحقق من أن البحث أرجع الرسالة (أو الرسائل) التي تريد حذفها فقط.

• استخدم إحصائيات تقدير البحث (المعروضة في جزء التفاصيل من البحث في مدخل التوافق أو باستخدام Get-ComplianceSearch cmdlet) للحصول على عدد من إجمالي عدد النتائج.

فيما يلي مثالان للاستعلامات للعثور على رسائل البريد الإلكتروني المشبوهة.

• يقوم هذا الاستعلام بإرجاع الرسائل التي تم تلقيها من قبل المستخدمين بين 13 أبريل 2016 و14 أبريل 2016 والتي تحتوي على الكلمتين "إجراء" و"مطلوب" في سطر الموضوع.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• يقوم هذا الاستعلام بإرجاع الرسائل التي تم إرسالها بواسطة chatsuwloginsset12345@outlook.com والتي تحتوي على العبارة الدقيقة "تحديث معلومات حسابك" في سطر الموضوع.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

فيما يلي مثال على استخدام استعلام لإنشاء بحث وبدءه عن طريق تشغيل أوامر cmdlets New-ComplianceSearch و Start-ComplianceSearch للبحث في كل علب البريد في المؤسسة:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

الخطوة 3: حذف الرسالة

بعد إنشاء بحث المحتوى وتحسينه لإرجاع الرسائل التي تريد إزالتها، تتمثل الخطوة الأخيرة في تشغيل الأمر New-ComplianceSearchAction -Purge في Security & Compliance PowerShell لحذف الرسالة. يمكنك حذف الرسالة مبدئيا أو ثابتا. يتم نقل رسالة تم حذفها مبدئيا إلى مجلد العناصر القابلة للاسترداد الخاص بالمستخدم ويتم الاحتفاظ بها حتى تنتهي فترة الاحتفاظ بالعنصر المحذوفة. يتم وضع علامة على الرسائل المحذومة للإزالة الدائمة من علبة البريد وستتم إزالتها بشكل دائم في المرة التالية التي تتم فيها معالجة علبة البريد بواسطة مساعد المجلد المدار. إذا تم تمكين استرداد عنصر واحد لعلدة البريد، فستتم إزالة العناصر المحذوفة بشكل دائم بعد انتهاء فترة الاحتفاظ بالعنصر المحذوفة. إذا تم وضع علبة بريد قيد الاحتجاز، يتم الاحتفاظ بالرسائل المحذوفة حتى تنتهي مدة احتجاز العنصر أو حتى تتم إزالة قائمة الاحتجاز من علبة البريد.

ملاحظة

كما ذكر سابقا، لا يتم حذف العناصر من Microsoft Teams التي يتم إرجاعها بواسطة البحث في المحتوى عند تشغيل الأمر New-ComplianceSearchAction -Purge.

لتشغيل الأوامر التالية لحذف الرسائل، تأكد من اتصالك ب Security & Compliance Center PowerShell.

رسائل الحذف المبدئي

في المثال التالي، يحذف الأمر مبدئيا نتائج البحث التي تم إرجاعها بواسطة بحث المحتوى المسمى "إزالة رسالة التصيد الاحتيالي".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

رسائل الحذف الثابت

لحذف العناصر التي تم إرجاعها بواسطة بحث محتوى "إزالة رسالة التصيد الاحتيالي"، يمكنك تشغيل هذا الأمر:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

عند تشغيل الأوامر السابقة إلى رسائل حذف مبدئية أو ثابتة، يكون البحث المحدد بواسطة معلمة SearchName هو البحث عن المحتوى الذي قمت بإنشائه في الخطوة 1.

لمزيد من المعلومات، راجع New-ComplianceSearchAction.

معلومات إضافية

• كيف تحصل على الحالة في عملية البحث والإزالة؟

  قم بتشغيل Get-ComplianceSearchAction للحصول على الحالة في عملية الحذف. تتم تسمية الكائن الذي يتم إنشاؤه عند تشغيل أمر cmdlet New-ComplianceSearchAction باستخدام هذا التنسيق: <name of Content Search>_Purge.

• ماذا يحدث بعد حذف رسالة؟

  يتم نقل رسالة تم حذفها باستخدام New-ComplianceSearchAction -Purge -PurgeType HardDelete الأمر إلى مجلد "عمليات الإزالة" ولا يمكن للمستخدم الوصول إليها. بعد نقل الرسالة إلى مجلد "عمليات الإزالة"، يتم الاحتفاظ بالرسالة لمدة فترة الاحتفاظ بالعنصر المحذوفة إذا تم تمكين استرداد عنصر واحد لعلدة البريد. (في Microsoft 365، يتم تمكين استرداد عنصر واحد بشكل افتراضي عند إنشاء علبة بريد جديدة.) بعد انتهاء فترة الاحتفاظ بالعنصر المحذوفة، يتم وضع علامة على الرسالة للحذف الدائم وستتم إزالتها من Microsoft 365 المرة التالية التي تتم فيها معالجة علبة البريد بواسطة مساعد المجلد المدار.

  إذا كنت تستخدم New-ComplianceSearchAction -Purge -PurgeType SoftDelete الأمر، يتم نقل الرسائل إلى مجلد "المحذوفات" في مجلد "العناصر القابلة للاسترداد" الخاص بالمستخدم. لا تتم إزالتها على الفور من Microsoft 365. يمكن للمستخدم استرداد الرسائل في مجلد "العناصر المحذوفة" للمدة استنادا إلى فترة الاحتفاظ بالعنصر المحذوفة التي تم تكوينها لعل البريد. بعد انتهاء فترة الاستبقاء هذه (أو إذا قام المستخدم بإزالة الرسالة قبل انتهاء صلاحيتها)، يتم نقل الرسالة إلى مجلد "عمليات الإزالة" ولن يتمكن المستخدم من الوصول إليها بعد الآن. بمجرد الوصول إلى مجلد "عمليات الإزالة"، يتم الاحتفاظ بالرسالة للمدة استنادا إلى فترة الاحتفاظ بالعنصر المحذوفة التي تم تكوينها لعل البريد إذا تم تمكين استرداد العناصر الفردية لعلدة البريد. (في Microsoft 365، يتم تمكين استرداد عنصر واحد بشكل افتراضي عند إنشاء علبة بريد جديدة.) بعد انتهاء فترة الاحتفاظ بالعنصر المحذوفة، يتم وضع علامة على الرسالة للحذف الدائم وسيتم إزالتها من Microsoft 365 المرة التالية التي تتم فيها معالجة علبة البريد بواسطة مساعد المجلد المدار.

• ماذا لو كان عليك حذف رسالة من أكثر من 50000 علبة بريد؟

  كما ذكر سابقا، يمكنك إجراء عملية بحث وإزالة على 50000 علبة بريد كحد أقصى (حتى لو كان أقل من 50000 علبة بريد تحتوي على عناصر تتطابق مع استعلام البحث). إذا كان عليك إجراء عملية بحث وإزالة على أكثر من 50000 علبة بريد، ففكر في إنشاء عوامل تصفية أذونات بحث مؤقتة تقلل من عدد علب البريد التي سيتم البحث فيها إلى أقل من 50000 علبة بريد. على سبيل المثال، إذا كانت مؤسستك تحتوي على علب بريد في أقسام أو ولايات أو بلدان مختلفة، فيمكنك إنشاء عامل تصفية أذونات البحث في علبة البريد استنادا إلى إحدى خصائص علبة البريد هذه للبحث في مجموعة فرعية من علب البريد في مؤسستك. بعد إنشاء عامل تصفية أذونات البحث، يمكنك إنشاء البحث (الموضح في الخطوة 1) ثم حذف الرسالة (الموضحة في الخطوة 3). بعد ذلك، يمكنك تحرير عامل التصفية للبحث عن الرسائل وإزالة رسائلها في مجموعة مختلفة من علب البريد. لمزيد من المعلومات حول إنشاء عوامل تصفية أذونات البحث، راجع تكوين تصفية الأذونات للبحث في المحتوى.

• هل سيتم حذف العناصر غير المفهرسة المضمنة في نتائج البحث؟

  لا، لا يحذف الأمر "New-ComplianceSearchAction -Purge" العناصر غير المفهرسة.

• ماذا يحدث إذا تم حذف رسالة من علبة بريد تم وضعها في In-Place احتجاز أو احتجاز التقاضي أو تم تعيينها إلى نهج استبقاء Microsoft 365؟

  بعد إزالة الرسالة ونقلها إلى مجلد "عمليات الإزالة"، يتم الاحتفاظ بالرسالة حتى تنتهي مدة الاحتجاز. إذا كانت مدة الاحتجاز غير محدودة، فسيتم الاحتفاظ بالعناصر حتى تتم إزالة قائمة الاحتجاز أو تغيير مدة الاحتجاز.

• لماذا يتم تقسيم سير العمل للبحث والإزالة بين مجموعات أدوار مركز الأمان والتوافق المختلفة؟

  كما هو موضح سابقا، يجب أن يكون الشخص عضوا في مجموعة أدوار eDiscovery Manager أو أن يتم تعيين دور إدارة "البحث في التوافق" للبحث في علب البريد. لحذف الرسائل، يجب أن يكون الشخص عضوا في مجموعة دور إدارة المؤسسة أو أن يتم تعيين دور إدارة البحث والإزالة. وهذا يجعل من الممكن التحكم في الأشخاص الذين يمكنهم البحث في علب البريد في المؤسسة ومن يمكنه حذف الرسائل.