Rechercher et supprimer des messages dans Exchange 2016Search for and delete messages in Exchange 2016

Résumé: Découvrez comment rechercher et supprimer définitivement les messages des boîtes aux lettres Exchange 2016.Summary: Learn how to search for and purge messages from Exchange 2016 mailboxes.

Vous pouvez utiliser les applets de commande New-ComplianceSearch et New-ComplianceSearchAction pour rechercher et supprimer un message électronique à partir de toutes les boîtes aux lettres dans votre organisation. Vous pouvez rechercher et supprimer des e-mails potentiellement dangereux ou à haut risque, tels que :You can use the New-ComplianceSearch and New-ComplianceSearchAction cmdlets to search for and delete an email message from all mailboxes in your organization. This can help you find and remove potentially harmful or high-risk email, such as:

  • Messages contenant des virus ou des pièces jointes dangereusesMessages that contain dangerous attachment or virus

  • Messages de hameçonnagePhishing messages

  • Messages qui contiennent des données sensiblesMessages that contain sensitive data

    Pourquoi utiliser les applets de commande New-ComplianceSearch et New-ComplianceSearchAction au lieu d’utiliser l’applet de commande Search-Mailbox pour supprimer les messages ? Dans les versions précédentes d’Exchange, vous pouvez exécuter la Search-Mailbox -DeleteContent commande pour rechercher et supprimer des messages électroniques. Vous pouvez toujours le faire dans Exchange 2016, mais vous ne pouvez rechercher un maximum de 10 000 boîtes aux lettres en une seule recherche à l’aide de l’applet de commande Search-Mailbox . Pour New-ComplianceSearch, il n’existe aucune limite pour le nombre de boîtes aux lettres dans une seule recherche. Cela grandes organisations permet d’effectuer une recherche de l’organisation et de supprimer des opérations.Why use the New-ComplianceSearch and New-ComplianceSearchAction cmdlets instead of using the Search-Mailbox cmdlet to delete messages? In previous versions of Exchange, you could run the Search-Mailbox -DeleteContent command to search for and delete email messages. You can still do that in Exchange 2016, but you can only search a maximum of 10,000 mailboxes in a single search by using the Search-Mailbox cmdlet. For New-ComplianceSearch, there are no limits for the number of mailboxes in a single search. This lets large organizations perform organization-wide search and delete operations.

Voici le flux de travail pour le processus de recherche et de suppression :Here's the workflow for the search and delete process:

Étape 1 : Créer et exécuter une recherche de conformité pour trouver le message à supprimerStep 1: Create and run a Compliance Search to find the message to delete

Étape 2 : Supprimer le messageStep 2: Delete the message

Consultez la section Plus d’informations pour obtenir une description du parcours des messages supprimés et découvrir comment obtenir l’état d’une opération de recherche et de suppression.See the More information section for description of what happens to deleted messages and how to get the status of a search and delete operation.

Attention

La recherche et suppression est une fonctionnalité puissante qui permet à toute personne qui reçoit les autorisations nécessaires de supprimer des messages électroniques dans des boîtes aux lettres de votre organisation.Search and delete is a powerful feature that allows anyone that is assigned the necessary permissions to delete email messages from mailboxes in your organization.

Avant de commencerBefore you begin

  • Pour utiliser les applets de commande New-ComplianceSearch et Start-ComplianceSearchAction pour créer et exécuter une recherche de conformité, et pour utiliser l’applet de commande New-ComplianceSearchAction pour supprimer les messages, le rôle de gestion de recherche de boîte aux lettres doit vous être attribué. Ce rôle n’est pas attribué par défaut aux administrateurs. Pour vous attribuer vous-même ce rôle afin de pouvoir rechercher les boîtes aux lettres et supprimer les messages, ajoutez-vous en tant que membre du groupe de rôles Gestion de la découverte. Voir Assign eDiscovery permissions in Exchange 2016.To use the New-ComplianceSearch and Start-ComplianceSearchAction cmdlets to create and run a Compliance Search, and to use the New-ComplianceSearchAction cmdlet to delete messages, you have to be assigned the Mailbox Search management role. Administrators aren't assigned this role by default. To assign yourself this role so that you can search mailboxes and delete messages, add yourself as a member of the Discovery Management role group. See Assign eDiscovery permissions in Exchange 2016.

  • Un maximum de 10 éléments par boîte aux lettres peut être supprimé à la fois. Étant donné que la capacité pour rechercher et supprimer des messages est destinée à être un outil de réponse aux incidents, cette limite permet de garantir que les messages sont supprimés rapidement des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres utilisateur.A maximum of 10 items per mailbox can be removed at once. Because the capability to search for and remove messages is intended to be an incident-response tool, this limit helps ensure that messages are quickly removed from mailboxes. This feature isn't intended to clean up user mailboxes.

Étape 1 : créer et exécuter une recherche de conformité pour trouver un message à supprimerStep 1: Create and run a Compliance Search to find the message to delete

La première étape consiste à créer et exécuter une recherche de conformité pour trouver le message que vous souhaitez supprimer des boîtes aux lettres dans votre organisation. Vous pouvez créer la recherche en exécutant les applets de commande New-ComplianceSearch et ComplianceSearch-démarrer . Les messages qui correspondent à la requête de la recherche seront supprimés par l’applet de commande New-ComplianceSearchAction en cours d’exécution à l’étape 2.The first step is to create and run a Compliance Search to find the message that you want to remove from mailboxes in your organization. You can create the search by running the New-ComplianceSearch and Start-ComplianceSearch cmdlets. The messages that match the query for this search will be deleted by running the New-ComplianceSearchAction cmdlet in Step 2.

Dans cet exemple, les commandes vont créer et lancer une recherche dans toutes les boîtes aux lettres de l’organisation d’un message contenant les mots « Mise à jour de vos informations de compte » dans la ligne d’objet. In this example, the commands will create and start a search of all mailboxes in the organization for a message that contains the words "Update your account information" in the subject line.

  1. Ouvrez Exchange Management Shell.Open the Exchange Management Shell.

  2. Exécutez les commandes suivantes :Run the following commands.

    New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
    
    Start-ComplianceSearch -Identity "Remove Phishing Message"
    

Pour plus d’informations sur la création d’une recherche de conformité et sur la configuration de requêtes de recherche, consultez les rubriques suivantes :For information about creating a Compliance Search and configuring search queries, see the following topics:

Conseils pour la recherche de messages à supprimerTips for finding messages to remove

L’objectif de la requête de recherche est de concentrer les résultats de la recherche sur les messages que vous voulez supprimer. Voici quelques conseils :The goal of the search query is to narrow the results of the search to only the message or messages that you want to remove. Here are some tips:

  • Si vous connaissez le texte exact ou l’expression utilisée dans la ligne objet du message, utilisez la propriété Subject dans la requête de recherche.If you know the exact text or phrase used in the subject line of the message, use the Subject property in the search query.

  • Si vous connaissez la date (ou la plage de dates) exacte du message, incluez la propriété Received dans la requête de recherche.If you know that exact date (or date range) of the message, include the Received property in the search query.

  • Si vous savez qui a envoyé le message, incluez la propriété From dans la requête de recherche.If you know who sent the message, include the From property in the search query.

  • Afficher un aperçu des résultats de la recherche pour vérifier que la recherche a renvoyé uniquement le (ou les messages) que vous souhaitez supprimer.Preview the search results to verify that the search returned only the message (or messages) that you want to delete.

  • Utilisez les statistiques d’estimation de recherche (en exécutant l’applet de commande Get-ComplianceSearch ) pour obtenir le nombre total de résultats de recherche. Use the search estimate statistics (by running the Get-ComplianceSearch cmdlet) to get a count of the total number of search results.

Voici deux exemples de requêtes pour rechercher des messages électroniques suspects.Here are two examples of queries to find suspicious email messages.

  • Cette requête renvoie les messages qui ont été reçus par les utilisateurs entre le 13 et le 14 avril 2016, et qui contiennent les mots « action » et « obligatoire » dans l’objet.This query returns messages that were received by users between April 13, 2016 and April 14, 2016 and that contain the words "action" and "required" in the subject line.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • Cette requête renvoie les messages qui ont été envoyés par chatsuwloginsset12345@outlook.com et contenant l’expression exacte « Mettez à jour vos informations de compte » dans l’objet.This query returns messages that were sent by chatsuwloginsset12345@outlook.com and that contain the exact phrase "Update your account information" in the subject line.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
    

Étape 2 : Supprimer le messageStep 2: Delete the message

Une fois que vous avez créé et affiné une recherche de conformité pour retourner le message que vous souhaitez supprimer, l’étape finale consiste à exécuter l’applet de commande New-ComplianceSearchAction pour supprimer le message. Messages supprimés sont déplacés vers le dossier éléments récupérables de l’utilisateur.After you've created and refined a Compliance Search to return the message that you want to remove, the final step is to run the New-ComplianceSearchAction cmdlet to delete the message. Deleted messages are moved to a user's Recoverable Items folder.

Dans cet exemple, la commande supprime les résultats de recherche renvoyés par une recherche de conformité nommée Remove Phishing Message.In this example, the command will delete the search results returned by a Compliance Search named "Remove Phishing Message".

  1. Ouvrez Exchange Management Shell.Open the Exchange Management Shell.

  2. Exécutez la commande suivante.Run the following command.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Plus d'informationsMore information

  • Ce qui se produit après la suppression d’un message ? Un message est supprimé à l’aide de la New-ComplianceSearchAction -Purge -PurgeType SoftDelete commande est déplacée vers le dossier de suppressions dans le dossier éléments récupérables de l’utilisateur. Il n’est pas immédiatement purgée de la base de données Exchange. L’utilisateur peut récupérer des messages dans le dossier éléments supprimés pour la durée en fonction de la période de rétention des éléments supprimés configurée pour la boîte aux lettres. Une fois cette période de rétention expire (ou si l’utilisateur supprime définitivement le message avant son expiration), le message est déplacé vers le dossier vide et n’est plus accessible par l’utilisateur. Une fois dans le dossier vide, le message est conservé à nouveau pour la durée en fonction de la période de rétention des éléments supprimés configurée pour la boîte aux lettres si la récupération d’éléments unique est activée pour la boîte aux lettres. (Dans Exchange, récupération d’élément unique est activée par défaut lors de la création d’une nouvelle boîte aux lettres.) Après l’expiration de la période de rétention des éléments supprimés, le message est marqué d’une suppression définitive et la prochaine fois que la boîte aux lettres est traitée par l’assistant dossier géré est purgé à partir de la base de données Exchange.What happens after you delete a message? A message that is deleted by using the New-ComplianceSearchAction -Purge -PurgeType SoftDelete command is moved to the Deletions folder in the user's Recoverable Items folder. It isn't immediately purged from the Exchange database. The user can recover messages in the Deleted Items folder for the duration based on the deleted item retention period configured for the mailbox. After this retention period expires (or if user purges the message before it expires), the message is moved to the Purges folder and can no longer be accessed by the user. Once in the Purges folder, the message is again retained for the duration based on the deleted item retention period configured for the mailbox if single items recovery is enabled for the mailbox. (In Exchange, single item recovery is enabled by default when a new mailbox is created. ) After the deleted item retention period expires, the message is marked from permanent deletion and will be purged from the Exchange database the next time that the mailbox is processed by the Managed Folder assistant.

  • Comment savoir que les messages sont supprimés et déplacés vers le dossier éléments récupérables de l’utilisateur ? Si vous exécutez la même recherche de conformité après la suppression d’un message, vous verrez toujours le même nombre de résultats de recherche (et pouvez supposer que le message n’a pas été supprimé de boîtes aux lettres utilisateur). Il s’agit, car une conformité recherche le dossier éléments récupérables, qui est où le message supprimé est déplacé vers une fois que vous exécutez le New-ComplianceSearchAction -Purge -PurgeType SoftDelete commande. Pour vérifier que les messages où déplacés vers le dossier éléments récupérables, vous pouvez exécuter une recherche de découverte électronique locale (en utilisant les mêmes boîtes aux lettres source et les critères de recherche comme la recherche de conformité créés à l’étape 1) et la copie les résultats de recherche à la boîte aux lettres de découverte. Ensuite, vous pouvez afficher les résultats de recherche dans la boîte aux lettres de découverte et vérifiez que les messages a été déplacé vers le dossier éléments récupérables. Pour plus d’informations sur la création d’une recherche de découverte électronique locale qui utilise la liste des boîtes aux lettres sources et de requête de recherche à partir d’une recherche de conformité, voir Utilisation de recherche de conformité pour rechercher toutes les boîtes aux lettres dans Exchange 2016 .How do you know that messages are deleted and moved to the users' Recoverable Items folder? If you run the same Compliance Search after you delete a message, you will still see the same number of search results (and might assume that the message wasn't deleted from user mailboxes). This is because a Compliance Search searches the Recoverable Items folder, which is where the deleted message is moved to after you run the New-ComplianceSearchAction -Purge -PurgeType SoftDelete command. To verify that messages where moved to the Recoverable Items folder, you can run an In-Place eDiscovery search (using the same source mailboxes and search criteria as the Compliance Search created in Step 1) and the copy the search results to discovery mailbox. Then you can view the search results in the discovery mailbox and verify that the messages was moved to the Recoverable Items folder. See Use Compliance Search to search all mailboxes in Exchange 2016 for details about creating an In-Place eDiscovery search that uses the list of source mailboxes and search query from a Compliance Search.

  • Que se passe-t-il si un message est supprimé à partir d’une boîte aux lettres qui a été placé sur le blocage sur Place ou litige ? Une fois que le message est éliminé (par l’utilisateur ou l’expiration de la période de rétention des éléments supprimés), le message est conservé jusqu'à ce que la durée d’attente expire. Si la durée d’attente est illimitée, les éléments sont conservés jusqu'à ce que le blocage est supprimé ou la durée d’attente est modifiée.What happens if a message is deleted from a mailbox that has been placed on In-Place Hold or Litigation Hold? After the message is purged (either by the user or after the deleted item retention period expires), the message is retained until the hold duration expires. If the hold duration is unlimited, then items are retained until the hold is removed or the hold duration is changed.

  • Comment obtenir l’état de la recherche et l’opération de suppression ? Exécutez la Get-ComplianceSearchAction pour obtenir l’état de l’opération de suppression. Notez que l’objet qui est créé lorsque vous exécutez l’applet de commande New-ComplianceSearchAction est nommé à l’aide de ce format : <name of Compliance Search>_Purge.How to get status on the search and delete operation? Run the Get-ComplianceSearchAction to get the status on the delete operation. Note that the object that is created when you run the New-ComplianceSearchAction cmdlet is named by using this format: <name of Compliance Search>_Purge.