Pesquisar e excluir mensagens de email

Este artigo é para administradores. Você está tentando encontrar itens na sua caixa de correio que deseja excluir? Confira Localizar uma mensagem ou um item com a Pesquisa Instantânea.

Você pode usar o recurso de Pesquisa de Conteúdo para pesquisar e excluir mensagens de email de todas as caixas de correio da sua organização. Isto pode ajudar você a encontrar e remover emails potencialmente prejudiciais ou de alto risco, como por exemplo:

  • Mensagens que contenham anexos perigosos ou vírus

  • Mensagens de phishing

  • Mensagens que contêm dados confidenciais

Dica

Se sua organização tiver uma assinatura do Defender para Office 365 Plano 2, recomendamos usar o procedimento detalhado em Remediar emails mal-intencionados entregues no Office 365 em vez de seguir o procedimento descrito neste artigo.

Antes de começar

  • O fluxo de trabalho de pesquisa e eliminação descrito neste artigo não exclui as mensagens d chat ou outro conteúdo do Microsoft Teams. Se a Pesquisa de Conteúdo que você criar na Etapa 2 devolver itens do Microsoft Teams, esses itens não serão excluídos quando você limpar os itens na Etapa 3. Para pesquisar e excluir mensagens de chat, consulte Pesquisar e limpar mensagens de chat no Teams.

  • Para criar e executar uma Pesquisa de Conteúdo, você tem que ser membro do grupo de funções Gerente de Descoberta Eletrônica ou ser atribuído à função Pesquisa de Conformidade no Centro de conformidade do Microsoft Purview. Para excluir mensagens, é necessário ser membro do grupo de funções de Gerenciamento da Organização ou ser atribuído à função de Pesquisar E Limpar no centro de conformidade Para obter informações sobre como adicionar usuários a um grupo de funções, consulte Atribuir permissões de Descoberta Eletrônica.

    Observação

    O grupo de funções de Gerenciamento da Organização existe tanto no Exchange Online quanto no portal de conformidade. Esses são grupos de funções separados que dão permissões diferentes. Ser membro do Gerenciamento da Organização no Exchange Online não concede as permissões necessárias para excluir mensagens de email. Se você não estiver atribuído a função Pesquisar e Limpar no centro de conformidade (diretamente ou por meio de um grupo de funções como Gerenciamento da Organização), receberá um erro na Etapa 3 quando executar o cmdlet New-ComplianceSearchAction com a mensagem "Não é possível encontrar um parâmetro que corresponda ao nome do parâmetro 'Limpar'".

  • Você tem que usar a Segurança e Conformidade do PowerShell para excluir mensagens. Consulte a Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell para obter instruções sobre como se conectar.

  • No máximo 10 itens por caixa de correio podem ser removidos de uma só vez. Como a capacidade de pesquisar e remover mensagens tem o objetivo de ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam removidas rapidamente das caixas de correio. Este recurso não tem como objetivo a limpar as caixas de correio do usuários.

  • O número máximo de caixas de correio em uma pesquisa de conteúdo na qual você pode usar para excluir itens executando uma ação de pesquisa e limpeza é 50.000. Se a pesquisa (criada na Etapa 2 pesquisar mais de 50.000 caixas de correio, a ação de limpeza (criada na Etapa 3) falhará. Pesquisar mais de 50.000 caixas de correio em uma única pesquisa pode normalmente acontecer quando você configura a pesquisa para incluir todas as caixas de correio em sua organização. Essa restrição ainda se aplica mesmo quando menos de 50.000 caixas de correio contiverem itens que correspondam à consulta de pesquisa. Confira a seção Mais informações para obter orientação sobre o uso de filtros de permissões de pesquisa para procurar e limpar itens de mais de 50.000 caixas de correio.

  • O procedimento neste artigo só pode ser usado para excluir itens nas caixas de correio e pastas públicas do Exchange Online. Não é possível usá-lo para excluir o conteúdo dos sites do SharePoint ou do OneDrive for Business.

  • Os itens de email em um conjunto de revisão em um caso de Descoberta Eletrônica (Premium) não podem ser excluídos usando os procedimentos neste artigo. Isso ocorre porque os itens de um conjunto de revisão são armazenados em um local de armazenamento do Azure e não no serviço em tempo real. Isso significa que eles não serão retornados pela pesquisa de conteúdo criada na Etapa 1. Para excluir itens em um conjunto de revisão, você precisa excluir o caso de Descoberta Eletrônica (Premium) que contém o conjunto de revisão. Para obter mais informações, consulte Fechar ou excluir um caso de Descoberta Eletrônica (Premium).

Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell

A primeira etapa é conectar-se à Segurança e Conformidade do PowerShell da sua organização. Para obter instruções passo a passo, confira Conectar-se à Segurança e Conformidade do PowerShell .

Etapa 2: Criar uma pesquisa de conteúdo para localizar a mensagem a ser excluída

A segunda etapa é criar e executar uma Pesquisa de Conteúdo para localizar a mensagem que você deseja remover das caixas de correio em sua organização. Você pode criar a pesquisa usando o portal de conformidade ou executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch no Centro de Conformidade e Segurança do PowerShell. As mensagens que correspondem à consulta desta pesquisa serão excluídas executando o comando New-ComplianceSearchAction -Purge na Etapa 3. Para obter informações sobre como criar uma Pesquisa de Conteúdo e configurar consultas de pesquisa, consulte os seguintes tópicos:

Observação

Os locais de conteúdo pesquisados na pesquisa de conteúdo que você cria nesta etapa não podem incluir sites do SharePoint ou OneDrive for Business. Você pode incluir apenas caixas de correio e pastas públicas em uma pesquisa de conteúdo que será usada para mensagens de email. Se a pesquisa de conteúdo incluir sites, você receberá um erro na Etapa 3 ao executar o cmdlet New-ComplianceSearchAction.

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados da pesquisa apenas à mensagem ou mensagens que você deseja remover. Veja algumas dicas:

  • Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.

  • Se você souber a data exata (ou o intervalo de datas) da mensagem, inclua a propriedade Received na consulta de pesquisa.

  • Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.

  • Visualize os resultados da pesquisa para verificar se a pesquisa de conteúdo retornou apenas a mensagem (ou mensagens) que você deseja excluir.

  • Use as estatísticas de estimativa de pesquisa (exibidas no painel de detalhes da pesquisa no portal de conformidade ou use o cmdletGet-ComplianceSearch ) para obter uma contagem do número total de resultados.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

  • Essa consulta retornará as mensagens que foram recebidas pelos usuários entre 13 de abril de 2016 e 14 de abril de 2016 e que contêm as palavras "ação" e "obrigatório" na linha de assunto.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • Essa consulta retornará as mensagens que foram enviadas por chatsuwloginsset12345@outlook.com e que contêm a frase exata "Atualizar as informações da sua conta" na linha de assunto.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
    

Veja um exemplo de como usar uma consulta para criar e iniciar uma pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch para pesquisar todas as caixas de correio na organização:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Etapa 3: Excluir a mensagem

Depois de criar e refinar uma Pesquisa de Conteúdo para retornar as mensagens que deseja remover, a etapa final é executar o comando New-ComplianceSearchAction -Purge no PowerShell de Conformidade e Segurança para excluir a mensagem. Você pode excluir a mensagem temporária ou permanentemente. Uma mensagem excluída temporariamente (soft- deleted) é movida para a pasta Itens Recuperáveis de um usuário e mantida até que o período de retenção de itens excluídos expire. As mensagens excluídas permanentemente (hard-deleted) serão definitivamente removidas da próxima vez que a caixa de correio for processada pelo assistente de pastas gerenciadas. Se a recuperação de um único item estiver habilitada para a caixa de correio, os itens excluídos permanentemente serão removidos definitivamente após o término do período de retenção de itens excluídos. Se uma caixa de correio for colocada em espera, as mensagens excluídas serão preservadas até que a duração de retenção do item expire ou até que o período de espera seja interrompido na caixa de correio.

Observação

Conforme declarado anteriormente, os itens do Microsoft Teams que são devolvidos pela Pesquisa de Conteúdo não são excluídos quando você executa o comando New-ComplianceSearchAction -Purge.

Para executar os seguintes comandos para excluir mensagens, certifique-se de que você está conectado à Segurança e Conformidade do PowerShell.

Exclusão temporária de mensagens

No exemplo a seguir, o comando exclui temporariamente os resultados da pesquisa devolvidos por uma Pesquisa de Conteúdo chamada "Remover mensagem de phishing".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Exclusão permanente de mensagens

Para excluir permanentemente os itens devolvidos pela Pesquisa de Conteúdo "Remover mensagem de phishing", execute este comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando você executar os comandos anteriores para excluir mensagens de forma temporária ou permanente, a pesquisa especificada pelo parâmetro SearchName será a Pesquisa de Conteúdo que você criou na Etapa 1.

Para obter mais informações, consulte New-ComplianceSearchAction.

Mais informações

  • Como obter o status da operação de pesquisa e exclusão?

    Execute Get-ComplianceSearchAction para obter o status na operação de exclusão. O objeto que é criado quando você executa o cmdlet New-ComplianceSearchAction é nomeado usando este formato: <name of Content Search>_Purge.

  • O que acontece após a exclusão de uma mensagem?

    Uma mensagem excluída com o comando New-ComplianceSearchAction -Purge -PurgeType HardDelete será movida para a pasta Remoções e não poderá ser acessada pelo usuário. Uma vez na pasta Remoções, a mensagem é mantida pelo período de retenção do item excluído, se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de item único é habilitada por padrão quando uma nova caixa de correio é criada.) Após o período de retenção de item excluído expirar, a mensagem será marcada para exclusão permanente e será definitivamente removida do Microsoft 365 da próxima vez que a caixa de correio for processada pelo assistente de pastas gerenciadas.

    Se você usar o comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, as mensagens serão movidas para a pasta Exclusões na pasta Itens Recuperáveis do usuário. Ele não é limpo imediatamente do Microsoft 365. O usuário pode recuperar mensagens na pasta Itens Excluídos pela duração com base no período de retenção de itens excluídos configurado para a caixa de correio. Depois que esse período de retenção expirar (ou se o usuário limpar a mensagem antes de expirar), a mensagem será movida para a pasta Limpezas e não poderá mais ser acessada pelo usuário. Uma vez na pasta Limpezas, a mensagem será retida pela duração com base no período de retenção de item excluído configurado para a caixa de correio se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de item único é habilitada por padrão quando uma nova caixa de correio é criada.) Depois que o período de retenção do item excluído expirar, a mensagem será marcada para exclusão permanente e será limpa Microsoft 365 próxima vez que a caixa de correio for processada pelo assistente de Pasta Gerenciada.

  • E se você tiver que excluir uma mensagem de mais de 50.000 caixas de correio?

    Conforme declarado anteriormente, você pode executar uma operação de pesquisa e limpeza em no máximo 50.000 caixas de correio (mesmo que menos de 50.000 contenham itens que correspondam à consulta de pesquisa). Se você tiver que fazer uma operação de pesquisa e limpeza em mais de 50.000 caixas de correio, considere a criação de filtros de permissões de pesquisa temporários que reduzem o número de caixas de correio que seriam pesquisadas para menos de 50.000 caixas de correio. Por exemplo, se a sua organização tiver caixas de correio em departamentos, estados ou países diferentes, você poderá criar um filtro de permissões de pesquisa de caixa de correio com base em uma dessas propriedades de caixa de correio para pesquisar um subconjunto de caixas de correio em sua organização. Depois de criar o filtro de permissões de pesquisa, você criaria a pesquisa (descrita na etapa 1) e, em seguida, excluirá a mensagem (descrita na etapa 3). Em seguida, você pode editar o filtro para pesquisar e limpar mensagens em um conjunto diferente de caixas de correio. Para obter mais informações sobre como criar filtros de permissões, confira Configurar a filtragem de permissões para Pesquisa de Conteúdo.

  • Os itens não indexados incluídos nos resultados da pesquisa serão excluídos?

    Não, o comando New-ComplianceSearchAction-Purge não exclui itens não indexados.

  • O que acontece se uma mensagem for excluída de uma caixa de correio que foi colocada no Bloqueio In-loco ou na Retenção de Litígio ou se for parte de uma política de retenção do Microsoft 365?

    Depois que a mensagem é removida e transferida para a pasta Remoções, a mensagem será mantida até que o período de retenção expire. Se a duração da retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da retenção seja alterada.

  • Por que o fluxo de trabalho de pesquisa e remoção é dividido entre diferentes grupos de funções do centro de conformidade e segurança?

    Conforme explicado anteriormente, uma pessoa deve ser membro do grupo de funções Gerente de Descoberta Eletrônica ou receber à função de gerenciamento de Pesquisa de Conformidade para pesquisar caixas de correio. Para excluir mensagens, uma pessoa precisa ser membro do grupo de funções Gerenciamento da Organização ou receber à função de gerenciamento Pesquisar e Limpar. Isso possibilita controlar quem pode pesquisar as caixas de correio na organização e quem pode excluir mensagens.