Söka efter och ta bort e-postmeddelanden
Den här artikeln vänder sig till administratörer. Försöker du hitta objekt i din postlåda som du vill ta bort? Se Hitta ett meddelande eller objekt med Snabbsökning.
Du kan använda funktionen Innehållssökning för att söka efter och ta bort e-postmeddelanden från alla postlådor i organisationen. Det kan hjälpa dig att hitta och ta bort potentiellt skadlig eller riskfylld e-post, t.ex.:
Meddelanden som innehåller farliga bilagor eller virus
Nätfiskemeddelanden
Meddelanden som innehåller känsliga data
Varning
Sök- och rensningsfunktionen är en kraftfull funktion som gör att alla som har tilldelats nödvändiga behörigheter kan ta bort e-postmeddelanden från postlådor i organisationen.
Innan du börjar
Arbetsflödet för sökning och rensning som beskrivs i den här artikeln tar inte bort chattmeddelanden eller annat innehåll från Microsoft Teams. Om innehållssökningen som du skapar i steg två returnerar objekt från Microsoft Teams tas dessa objekt inte bort när du rensar objekt i steg tre.
För att skapa och köra en innehållssökning måste du vara medlem i rollgruppen eDiscovery-hanterare eller ha tilldelats rollen Efterlevnadssökning i Microsoft 365 Efterlevnadscenter. För att ta bort meddelanden måste du vara medlem i rollgruppen Organisationshantering eller ha tilldelats rollen Sökning och rensning i Efterlevnadscenter. Mer information om hur du lägger till användare till en rollgrupp finns i Tilldela eDiscovery-behörigheter.
Anteckning
Rollgruppen Organisationshantering finns både i Exchange Online och i Microsoft 365 Efterlevnadscenter. Det här är separata rollgrupper som ger olika behörigheter. Att vara medlem i Organisationshantering i Exchange Online ger inte nödvändiga behörigheter för att ta bort e-postmeddelanden. Om du inte har tilldelat rollen Sökning och rensning i Efterlevnadscenter (antingen direkt eller via en rollgrupp såsom Organisationshantering) får du ett felmeddelande i steg tre när du kör cmdleten New-ComplianceSearchAction med meddelandet: ”Det går inte att hitta en parameter som matchar parameternamnet Rensa”.
Du måste använda PowerShell för Säkerhets- och efterlevnadscentret för att ta bort meddelanden. Se Steg 1 för anvisningar om hur du ansluter.
Du kan ta bort högst tio objekt per postlåda samtidigt. Eftersom funktionen att söka efter och ta bort meddelanden är avsedd att vara ett verktyg för incidentrespons hjälper den här gränsen till att säkerställa att meddelanden snabbt tas bort från postlådor. Den här funktionen är inte avsedd för att rensa i användarnas postlådor.
Det maximala antalet postlådor i en innehållssökning som du kan använda för att ta bort objekt genom att göra en söknings- och rensningsåtgärd är 50 000. Om sökningen (som du skapar i steg 2) söker igenom fler än 50 000 postlådor misslyckas rensningsåtgärden (som du skapar i steg 3). Sökning i fler än 50 000 postlådor i en enda sökning kan inträffa när du konfigurerar sökningen så att den omfattar alla postlådor i organisationen. Denna begränsning gäller fortfarande även om mindre än 50 000 postlådor innehåller objekt som matchar sökfrågan. Se avsnittet Mer information för mer vägledning om hur du använder sökbehörighetsfilter för att söka efter och rensa objekt från fler än 50 000 postlådor.
Proceduren i den här artikeln kan endast användas för att ta bort objekt i Exchange Online-postlådor och gemensamma mappar. Du kan inte använda den för att ta bort innehåll från SharePoint- eller OneDrive för företag-webbplatser.
E-postobjekt i en granskningsuppsättning i ett avancerat eDiscovery-ärende kan inte tas bort med hjälp av procedurerna i den här artikeln. Det beror på att objekt i en granskningsuppsättning lagras på en Azure Storage-plats och inte i livetjänsten. Det innebär att de inte returneras av innehållssökningen som du skapar i steg 1. Om du vill ta bort objekt i en granskningsuppsättning måste du ta bort det Advanced eDiscovery-ärende som innehåller granskningsuppsättningen. Mer information finns i Stänga eller ta bort ett Advanced eDiscovery-ärende.
Steg 1: Anslut till PowerShell för Säkerhets- och efterlevnadscenter
Det första steget är att ansluta till PowerShell för Säkerhets- och efterlevnadscenter för din organisation. Stegvisa anvisningar finns i Ansluta till PowerShell för Säkerhets- och efterlevnadscenter.
Steg 2: Skapa en innehållssökning för att hitta meddelandet du vill ta bort
Det andra steget är att skapa och köra en innehållssökning för att hitta det meddelande som du vill ta bort från postlådor i organisationen. Du kan skapa sökningen med hjälp av Microsoft 365 Efterlevnadscentret eller genom att köra cmdlets New-ComplianceSearch och Start-ComplianceSearch i PowerShell för Säkerhet & Efterlevnad. De meddelanden som matchar frågan för den här sökningen tas bort genom körning av kommandot New-ComplianceSearchAction -Purge i steg 3. Mer information om hur du skapar en innehållssökning och konfigurerar sökfrågor finns i följande avsnitt:
Anteckning
De innehållsplatser som genomsöks i innehållssökningen som du skapar i det här steget får inte innehålla webbplatserna SharePoint eller OneDrive för företag. Du kan bara ta med postlådor och offentliga mappar i en innehållssökning som ska användas för e-postmeddelanden. Om innehållssökningen inkluderar webbplatser får du ett felmeddelande i steg 3 när du kör cmdlet:en New-ComplianceSearchAction.
Tips på hur du hittar meddelanden som ska tas bort
Sökfrågans mål är att begränsa sökresultatet till endast det eller de meddelanden som du vill ta bort. Här är några tips:
Om du vet den exakta texten eller frasen som används i meddelandets ämnesrad använder du egenskapen Ämne i sökfrågan.
Om du vet det exakta datumet (eller ett datumintervall) för meddelandet ska du ta med egenskapen Mottaget i sökfrågan.
Om du vet vem som har skickat meddelandet tar du med egenskapen Från i sökfrågan.
Förhandsgranska sökresultatet för att verifiera att sökningen endast returnerade meddelandet (eller meddelandena) som du vill ta bort.
Använd statistik för sökuppskattning (visas i informationsfönstret för sökningen i Microsoft 365 Efterlevnadscentret eller med cmdleten Get-ComplianceSearch) för att räkna det totala antalet resultat.
Här följer två exempel på frågor som hittar misstänkta e-postmeddelanden.
Den här frågan returnerar meddelanden som togs emot av användare mellan 13 april 2016 och 14 april 2016 som innehåller orden ”åtgärd” och ”obligatorisk” i ämnesraden.
(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')Den här frågan returnerar meddelanden som skickats av chatsuwloginsset12345@outlook.com som innehåller den exakta frasen ”Uppdatera din kontoinformation” i ämnesraden.
(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
Här är ett exempel på hur du använder en fråga för att skapa och starta en sökning genom att köra cmdletarna New-ComplianceSearch och Start-ComplianceSearch för att söka i alla postlådor i organisationen:
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity
Steg 3: Ta bort meddelandet
När du har skapat och förfinat en innehållssökning för att returnera meddelandena som du vill ta bort är det sista steget att köra cmdleten New-ComplianceSearchAction -Purge i Säkerhet och efterlevnad i PowerShell för att ta bort meddelandena. Du kan ta bort meddelandet med mjuk eller permanent borttagning. Ett mjukt borttaget meddelande flyttas till en användares mapp för återställningsbara objekt och behålls tills kvarhållningsperioden för borttagna objekt löpt ut. Borttagna meddelanden markeras för permanent borttagning från postlådan och tas bort permanent nästa gång postlådan bearbetas av assistenten för hanterade mappar. Om återställning av enstaka objekt har aktiverats för postlådan tas permanent borttagna objekt bort permanent när kvarhållningsperioden för borttagna objekt löpt ut. Om en postlåda sätts på undantag bevaras borttagna meddelanden tills undantaget för objektet upphör att gälla eller tills undantaget har tagits bort från postlådan.
Anteckning
Som tidigare nämnts tas objekt från Microsoft Teams som returneras av innehållssökning inte bort när du kör kommandot New-ComplianceSearchAction -Purge.
Om du vill köra följande kommandon för att ta bort meddelanden måste du vara ansluten till Säkerhets- och efterlevnadscenter i PowerShell.
Mjuk borttagning av meddelanden
I följande exempel tar kommandot bort sökresultaten som returnerats av en innehållssökning med namnet ”Ta bort nätfiskemeddelande” med mjuk borttagning.
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
Permanent borttagning av meddelanden
Om du vill ta bort objekten som returneras av innehållssökningen ”Ta bort nätfiskemeddelande” permanent kör du det här kommandot:
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete
När du kör föregående kommandon för mjuk eller permanent borttagning av meddelanden är sökningen som anges av parametern SearchName den innehållssökning som du skapade i steg ett.
Mer information finns i New-ComplianceSearchAction.
Mer information
Hur får du status för söknings- och borttagningsåtgärden?
Kör Get-ComplianceSearchAction för att få status för borttagningsåtgärden. Objektet som skapas när du kör cmdleten New-ComplianceSearchAction namnges med hjälp av följande format:
<name of Content Search>_Purge.Vad händer när du har tagit bort ett meddelande?
Ett meddelande som tas bort med kommandot
New-ComplianceSearchAction -Purge -PurgeType HardDeleteflyttas till mappen Rensningar och kan inte nås av användaren. När meddelandet flyttas till mappen Rensningar behålls meddelandet under det borttagna objektets kvarhållningsperiod om återställning av enstaka objekt har aktiverats för postlådan. (I Microsoft 365 är återställning av enstaka objekt aktiverat som standard när en ny postlåda skapas.) När kvarhållningsperioden för det borttagna objektet löper ut, markeras meddelandet för permanent borttagning och rensas från Microsoft 365 nästa gång postlådan bearbetas av assistenten för hanterade mappar.Om du använder kommandot
New-ComplianceSearchAction -Purge -PurgeType SoftDeleteflyttas meddelanden till mappen Borttaget i användarens mapp för återställningsbara objekt. Den rensas inte omedelbart i Microsoft 365. Användaren kan återställa meddelanden i mappen Borttaget under den period som angetts för postlådan baserat på kvarhållningsperioden för borttagna objekt. När den här kvarhållningsperioden är slut (eller om användaren rensar meddelandet innan den upphör) flyttas meddelandet till mappen Rensningar och kan inte längre nås av användaren. När meddelandet finns i mappen Rensningar behålls meddelandet under det borttagna objektets kvarhållningsperiod som konfigurerats för postlådan om återställning av enstaka objekt har aktiverats för postlådan. (I Microsoft 365 är återställning av enstaka objekt aktiverat som standard när en ny postlåda skapas.) När kvarhållningsperioden för det borttagna objektet löper ut, markeras meddelandet för permanent borttagning och rensas från Microsoft 365 nästa gång postlådan bearbetas av assistenten för hanterade mappar.Hur gör du om du måste ta bort ett meddelande från fler än 50 000 postlådor?
Som tidigare beskrivits kan du utföra en söknings- och rensningsåtgärd på maximalt 50 000 postlådor (även om mindre än 50 000 innehåller objekt som matchar sökfrågan). Om du behöver göra en söknings- och rensningsåtgärd på fler än 50 000 postlådor kan du skapa tillfälliga sökbehörighetsfilter som minskar antalet postlådor som ska sökas igenom till färre än 50 000 postlådor. Om organisationen till exempel innehåller postlådor i olika avdelningar, delstater eller länder, kan du skapa ett behörighetsfilter för postlådesökning baserat på någon av de postlådeegenskaperna för att söka i en delmängd av postlådorna i organisationen. När du har skapat behörighetsfiltret för sökning skapar du sökningen (beskrivs i steg 1) och tar sedan bort meddelandet (beskrivs i steg 3). Sedan kan du redigera filtret och söka efter och rensa meddelanden i en annan uppsättning postlådor. Mer information om hur du skapar behörighetsfilter för sökning finns i Konfigurera behörighetsfiltrering för innehållssökning.
Tas icke indexerade objekt i sökresultaten bort?
Nej, kommandot New-ComplianceSearchAction -Purge tar inte bort icke indexerade objekt.
Vad händer om ett meddelande tas bort från en postlåda som har placerats i Lokalt bevarande eller Bevarande av juridiska skäl eller har tilldelats en Microsoft 365-kvarhållningsprincip?
När meddelandet rensas och flyttas till mappen Rensningar behålls meddelandet tills varaktigheten för undantaget upphör att gälla. Om varaktigheten för undantaget är obegränsad behålls objekten tills det har tagits bort eller varaktigheten för bevarandeundantaget ändras.
Varför är söknings- och borttagningsarbetsflödet uppdelat på olika rollgrupper i säkerhets- och efterlevnadscentret?
Som vi tidigare har förklarat måste personen vara medlem i rollgruppen eDiscovery Manager eller ha tilldelats hanteringsrollen för efterlevnadssökning för att kunna söka i postlådor. Om någon vill ta bort meddelanden måste denne vara medlem i rollgruppen Organisationshantering eller ha tilldelats hanteringsrollen för sökning och rensning. På så sätt är det möjligt att styra vem som kan söka i postlådor i organisationen och vem som kan ta bort meddelanden.