E-mailek keresése és törlése

Ez a cikk rendszergazdáknak szól. Olyan elemeket keres a postaládájában, amelyeket törölni szeretne? Lásd: Üzenet vagy elem keresése az Azonnali keresés funkcióval.

A Tartalomkeresés funkcióval kereshet és törölhet e-maileket a szervezet összes postaládájából. Ez segíthet megtalálni és eltávolítani a potenciálisan káros vagy magas kockázatú e-maileket, például:

• Veszélyes mellékleteket vagy vírusokat tartalmazó üzenetek

• Adathalász üzenetek

• Bizalmas adatokat tartalmazó üzenetek

Tipp

Ha szervezete Office 365-höz készült Defender 2. csomagra szóló előfizetéssel rendelkezik, javasoljuk, hogy a cikkben ismertetett eljárás helyett a Office 365-ben kézbesített kártékony e-mailek elhárításáról szóló szakaszban leírt eljárást kövesse.

Az első lépések

• A cikkben ismertetett keresési és végleges törlési munkafolyamat nem törli a csevegőüzeneteket és más tartalmakat a Microsoft Teamsből. Ha a 2. lépésben létrehozott tartalomkeresés a Microsoft Teamsből származó elemeket ad vissza, ezek az elemek nem törlődnek a 3. lépés elemeinek végleges törlésekor. A csevegőüzenetek kereséséhez és törléséhez olvassa el a Csevegések keresése és törlése a Teamsben című témakört.

• Tartalomkeresés létrehozásához és futtatásához az Adatfeltárás-kezelő szerepkörcsoport tagjának kell lennie, vagy hozzá kell rendelnie a Megfelelőségi keresés szerepkört a Microsoft Purview megfelelőségi portál. Az üzenetek törléséhez a Szervezetfelügyelet szerepkörcsoport tagjának kell lennie, vagy hozzá kell rendelnie a Keresési és végleges törlési szerepkört a megfelelőségi központban. A felhasználók szerepkörcsoporthoz való hozzáadásáról további információt az Elektronikus adatok feltárása engedélyek hozzárendelése című témakörben talál.

  Megjegyzés

  A Szervezetkezelés szerepkörcsoport a Exchange Online és a megfelelőségi portálon is létezik. Ezek különálló szerepkörcsoportok, amelyek különböző engedélyeket adnak. Ha tagja az Exchange Online Szervezetkezelésének, nem adja meg az e-mailek törléséhez szükséges engedélyeket. Ha nincs hozzárendelve a Keresési és végleges törlési szerepkör a megfelelőségi központban (közvetlenül vagy egy szerepkörcsoporton, például a Szervezetkezelésen keresztül), a 3. lépésben hibaüzenet jelenik meg, amikor a New-ComplianceSearchAction parancsmagot a következő üzenettel futtatja: "Nem található olyan paraméter, amely megfelel a "Purge" paraméternévnek.

• Az üzenetek törléséhez a Security & Compliance PowerShellt kell használnia. A csatlakozásra vonatkozó utasításokért lásd: 1. lépés: Csatlakozás biztonsági & megfelelőségi PowerShellhez .

• Postaládánként legfeljebb 10 elem távolítható el egyszerre. Mivel az üzenetek keresésének és eltávolításának képessége incidensmegoldási eszközként szolgál, ez a korlát segít biztosítani, hogy az üzenetek gyorsan törlődjenek a postaládákból. Ez a funkció nem a felhasználói postaládák törlésére szolgál.

• A tartalomkeresésekben legfeljebb 50 000 postaláda törölhet elemeket keresési és végleges törlési műveletekkel. Ha a 2. lépésben létrehozott keresés több mint 50 000 postaládában keres, a végleges törlési művelet (amelyet a 3. lépésben hoz létre) sikertelen lesz. Több mint 50 000 postaláda egyetlen keresésben való keresése általában akkor fordulhat elő, ha úgy konfigurálja a keresést, hogy a szervezet összes postaládáját tartalmazza. Ez a korlátozás akkor is érvényes, ha kevesebb mint 50 000 postaláda tartalmaz a keresési lekérdezésnek megfelelő elemeket. A További információ szakasz útmutatást nyújt a több mint 50 000 postaláda elemeinek kereséséhez és törléséhez keresési engedélyszűrők használatával.

• A cikkben ismertetett eljárással csak Exchange Online postaládákban és nyilvános mappákban lévő elemek törölhetők. Nem használhatja arra, hogy tartalmat töröljön a SharePoint- vagy OneDrive Vállalati verzió-webhelyekről.

• A jelen cikkben ismertetett eljárásokkal nem törölhetők az elektronikus adatok feltárása (Prémium) esetén beállított felülvizsgálatok e-mail-elemei. Ennek az az oka, hogy a felülvizsgálati készlet elemeit nem az élő szolgáltatásban, hanem egy Azure Storage-helyen tárolja a rendszer. Ez azt jelenti, hogy az 1. lépésben létrehozott tartalomkeresés nem adja vissza őket. A felülvizsgálati készlet elemeinek törléséhez törölnie kell a felülvizsgálati készletet tartalmazó feltárási (Prémium) esetet. További információt az Elektronikus adatok feltárása (Prémium) eset bezárása vagy törlése című témakörben talál.

1. lépés: Csatlakozás a Security & Compliance PowerShellhez

Az első lépés a biztonsági & megfelelőségi PowerShellhez való csatlakozás a szervezet számára. Részletes útmutatásért lásd: Csatlakozás a biztonsági & megfelelőségi PowerShellhez.

2. lépés: Tartalomkeresés létrehozása a törölni kívánt üzenet megkereséséhez

A második lépés egy tartalomkeresés létrehozása és futtatása a szervezet postaládáiból eltávolítani kívánt üzenet megkereséséhez. A keresést a megfelelőségi portálon vagy a New-ComplianceSearch és a Start-ComplianceSearch parancsmagok futtatásával hozhatja létre a Security & Compliance PowerShellben. A keresés lekérdezésének megfelelő üzenetek a 3. lépésben a New-ComplianceSearchAction -Purge parancs futtatásával törlődnek. A tartalomkeresés létrehozásáról és a keresési lekérdezések konfigurálásáról az alábbi témakörökben talál további információt:

• Tartalomkeresés a Office 365

• Kulcsszavakra vonatkozó lekérdezések tartalomkereséshez

• New-ComplianceSearch

• Start-ComplianceSearch

Megjegyzés

Az ebben a lépésben létrehozott Tartalomkeresésben keresett tartalomhelyek nem tartalmazhatnak SharePoint- vagy OneDrive Vállalati verzió webhelyeket. Csak postaládákat és nyilvános mappákat vehet fel a tartalomkeresésbe, amelyeket e-mailekhez fog használni. Ha a tartalomkeresés webhelyeket is tartalmaz, a 3. lépésben hibaüzenet jelenik meg a New-ComplianceSearchAction parancsmag futtatásakor.

Tippek eltávolítandó üzenetek kereséséhez

A keresési lekérdezés célja, hogy a keresés eredményeit csak az eltávolítani kívánt üzenetre vagy üzenetekre szűkítse. Íme néhány tipp:

• Ha ismeri az üzenet tárgysorában használt pontos szöveget vagy kifejezést, használja a Tárgy tulajdonságot a keresési lekérdezésben.

• Ha tudja, hogy az üzenet pontos dátuma (vagy dátumtartománya) szerepel a keresési lekérdezésben, adja meg a Received tulajdonságot.

• Ha tudja, hogy ki küldte az üzenetet, adja meg a Feladó tulajdonságot a keresési lekérdezésben.

• Tekintse meg a keresési eredményeket, és ellenőrizze, hogy a keresés csak a törölni kívánt üzenetet (vagy üzeneteket) adta-e vissza.

• A keresési becslés statisztikáinak használatával (amely a megfelelőségi portálon a keresés részletek ablaktábláján vagy a Get-ComplianceSearch parancsmaggal jelenik meg) lekérheti a találatok teljes számát.

Íme két példa a gyanús e-mailek megkeresésére szolgáló lekérdezésekre.

• Ez a lekérdezés olyan üzeneteket ad vissza, amelyeket a felhasználók 2016. április 13. és 2016. április 14. között fogadtak, és amelyek a tárgysorban a "művelet" és a "kötelező" szót tartalmazzák.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Ez a lekérdezés olyan üzeneteket ad vissza, amelyeket chatsuwloginsset12345@outlook.com küldött, és amelyek a tárgysorban pontosan a "Fiókadatok frissítése" kifejezést tartalmazzák.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Íme egy példa arra, hogy lekérdezés használatával hozhat létre és indíthat keresést a New-ComplianceSearch és a Start-ComplianceSearch parancsmagok futtatásával a szervezet összes postaládájában:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

3. lépés: Az üzenet törlése

Miután létrehozott és finomított egy tartalomkeresést az eltávolítani kívánt üzenetek visszaadásához, az utolsó lépés a New-ComplianceSearchAction -Purge parancs futtatása a Security & Compliance PowerShellben az üzenet törléséhez. Az üzenetet helyreállíthatóan vagy véglegesen törölheti. A helyreállíthatóan törölt üzenetek a felhasználó Helyreállítható elemek mappájába kerülnek, és mindaddig megmaradnak, amíg a törölt elemek megőrzési ideje lejár. A véglegesen törölt üzeneteket a rendszer véglegesen eltávolítja a postaládából, és a felügyeltmappa-segéd következő feldolgozásakor véglegesen eltávolítja őket. Ha egy elem helyreállítása engedélyezve van a postaládához, a törölt elemek véglegesen törlődnek a törölt elemek megőrzési időszakának lejárta után. Ha egy postaláda várakoztatva van, a törölt üzenetek mindaddig megmaradnak, amíg az elem mentességi időtartama le nem jár, vagy amíg a mentességet el nem távolítják a postaládából.

Megjegyzés

Ahogy korábban említettük, a Tartalomkeresés által visszaadott Microsoft Teams-elemek nem törlődnek a New-ComplianceSearchAction -Purge parancs futtatásakor.

Az alábbi parancsok futtatásával törölje az üzeneteket, győződjön meg arról, hogy csatlakozik a Security & Compliance PowerShellhez.

Üzenetek helyreállítható törlése

A következő példában a parancs helyreállítható módon törli az "Adathalászati üzenet eltávolítása" nevű tartalomkeresés által visszaadott keresési eredményeket.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Üzenetek végleges törlése

Az "Adathalászati üzenet eltávolítása" tartalomkeresés által visszaadott elemek végleges törléséhez futtassa az alábbi parancsot:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Amikor az előző parancsokat helyreállítható vagy véglegesen törölt üzenetekre futtatja, a SearchName paraméter által megadott keresés az 1. lépésben létrehozott tartalomkeresés.

További információ: New-ComplianceSearchAction.

További információ

• Hogyan kaphat állapotot a keresési és eltávolítási művelethez?

  Futtassa a Get-ComplianceSearchAction parancsot a törlési művelet állapotának lekéréséhez. A New-ComplianceSearchAction parancsmag futtatásakor létrehozott objektum neve a következő formátumot használja: <name of Content Search>_Purge.

• Mi történik az üzenet törlése után?

  A paranccsal törölt New-ComplianceSearchAction -Purge -PurgeType HardDelete üzenetek a Purges mappába kerülnek, és a felhasználó nem férhet hozzá. Miután áthelyezte az üzenetet a Purges mappába, az üzenet megmarad a törölt elemek megőrzési időtartamának időtartamára, ha a postaláda egyetlen elem helyreállítása engedélyezve van. (A Microsoft 365-ben új postaláda létrehozásakor alapértelmezés szerint engedélyezve van az egyelemes helyreállítás.) A törölt elemek megőrzési időszakának lejárta után az üzenet végleges törlésre lesz megjelölve, és a Microsoft 365-ből törlődik, amikor a felügyeltmappa-segéd legközelebb feldolgozta a postaládát.

  Ha a parancsot használja, az New-ComplianceSearchAction -Purge -PurgeType SoftDelete üzenetek a felhasználó Helyreállítható elemek mappájában lévő Törlések mappába kerülnek. Nem törlődik azonnal a Microsoft 365-ből. A felhasználó visszaállíthatja a Törölt elemek mappában lévő üzeneteket a postaládához beállított törölt elemek megőrzési ideje alapján. A megőrzési időtartam lejárta után (vagy ha a felhasználó a lejárata előtt törli az üzenetet), a rendszer áthelyezi az üzenetet a Purges mappába, és a továbbiakban nem fér hozzá a felhasználóhoz. A Purges mappában az üzenet a postaládához konfigurált törölt elemek megőrzési ideje alapján marad meg, ha az egyes elemek helyreállítása engedélyezve van a postaládában. (A Microsoft 365-ben új postaláda létrehozásakor alapértelmezés szerint engedélyezve van az egyelemes helyreállítás.) A törölt elemek megőrzési időszakának lejárta után az üzenet végleges törlésre lesz megjelölve, és a Microsoft 365-ből törlődik, amikor a felügyeltmappa-segéd a következő alkalommal feldolgozta a postaládát.

• Mi a teendő, ha több mint 50 000 postaládából kell törölnie egy üzenetet?

  Ahogy korábban említettük, legfeljebb 50 000 postaládán hajthat végre keresési és végleges törlési műveletet (akkor is, ha kevesebb mint 50 000 olyan elemet tartalmaz, amely megfelel a keresési lekérdezésnek). Ha több mint 50 000 postaládán kell keresési és végleges törlési műveletet végeznie, érdemes lehet ideiglenes keresési engedélyszűrőket létrehoznia, amelyek csökkentik az 50 000-nél kevesebb postaládára keresendő postaládák számát. Ha például a szervezete különböző részlegekben, államokban vagy országokban található postaládákat tartalmaz, létrehozhat egy postaláda-keresési engedélyszűrőt ezen postaládatulajdonságok egyike alapján a szervezet postaládáinak egy részhalmazában való kereséshez. A keresési engedélyek szűrőjének létrehozása után létre kell hoznia a keresést (az 1. lépésben leírtak szerint), majd törölnie kell az üzenetet (a 3. lépésben leírtak szerint). Ezután szerkesztheti a szűrőt, hogy más postaládákban keressen és töröljön üzeneteket. A keresési engedélyek szűrőinek létrehozásáról további információt a Tartalomkeresés engedélyszűrőjének konfigurálása című témakörben talál.

• Törlődnek a keresési eredményekben szereplő nem indexelt elemek?

  Nem, a New-ComplianceSearchAction -Purge parancs nem törli a nem indexelt elemeket.

• Mi történik, ha törölnek egy üzenetet egy olyan postaládából, amely In-Place visszatartásra vagy peres eljárásra került, vagy microsoft 365-ös adatmegőrzési szabályzathoz van rendelve?

  Az üzenet végleges törlését és a Purges mappába való áthelyezését követően a rendszer megőrzi az üzenetet a mentesség időtartamának lejáratáig. Ha a mentesség időtartama korlátlan, akkor az elemek megmaradnak a mentesség eltávolításáig vagy a mentesség időtartamának módosításáig.

• Miért oszlik el a keresési és eltávolítási munkafolyamat a biztonsági és megfelelőségi központ különböző szerepkörcsoportjai között?

  Ahogy korábban említettük, egy személynek az Adatfeltárás-kezelő szerepkörcsoport tagjának kell lennie, vagy hozzá kell rendelnie a Megfelelőségi keresés felügyeleti szerepkört a postaládák kereséséhez. Az üzenetek törléséhez egy személynek a Szervezetkezelés szerepkörcsoport tagjának kell lennie, vagy hozzá kell rendelnie a Keresés és végleges törlés felügyeleti szerepkört. Ez lehetővé teszi annak szabályozását, hogy ki kereshet a szervezet postaládáiban, és ki törölheti az üzeneteket.