Buscar y eliminar mensajes de correo electrónico de su organización de Office 365 - ayuda para administradores

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

En este artículo es para administradores. ¿Está intentando buscar elementos en su buzón de correo que desea eliminar? Encontrar un mensaje o elemento con búsqueda instantánea

Puede usar la característica Búsqueda de contenido de Office 365 para buscar y eliminar un mensaje de correo electrónico de todos los buzones de la organización. Esto puede ser útil para buscar y quitar correos electrónicos potencialmente peligrosos o de alto riesgo, como:

  • Mensajes que contienen virus o datos adjuntos peligrosos

  • Mensajes de suplantación de identidad

  • Mensajes que contienen datos confidenciales

Esto es el flujo de trabajo para el proceso de "búsqueda y purgar":

Paso 1: Crear una búsqueda de contenido para buscar el mensaje que quiera eliminar

Paso 2: Conectarse al Centro de seguridad y cumplimiento con PowerShell remoto

Paso 3: Eliminar el mensaje

Consulte la sección más información para la descripción de cómo obtener el estado de una búsqueda y la operación de eliminación y qué ocurre con los mensajes eliminados.

Precaución: Búsqueda y purgar es una característica eficaz que permite a cualquier persona que se asigna los permisos necesarios para eliminar mensajes de correo electrónico de los buzones de su organización.

Antes de empezar

  • Para crear y ejecutar una búsqueda de contenido, debe ser miembro del grupo de roles de administrador de exhibición de documentos electrónicos o tener asignado el rol de administración de búsqueda de cumplimiento. Para eliminar mensajes, debe ser miembro del grupo de roles de administración de la organización o tener asignado el rol de administración de búsqueda y purgar. Para obtener información sobre cómo agregar usuarios a un grupo de roles, vea dar acceso a los usuarios para el centro de cumplimiento y la seguridad de Office 365.

  • Debe usar Centro de cumplimiento y seguridad PowerShell para eliminar mensajes. Vea el paso 2 para obtener instrucciones sobre cómo conectar.

  • Puede quitar un máximo de 10 elementos por buzón a la vez. Como la capacidad de buscar y quitar mensajes está diseñada para ser una herramienta de respuesta de incidente, este límite ayuda a garantizar que los mensajes se quitan rápidamente de buzones. Esta característica no está pensada para limpiar los buzones de usuario.

  • El número máximo de buzones en una búsqueda de contenido que puede eliminar elementos de mediante una búsqueda y purgar acción es 50.000. Si la búsqueda de contenido (que cree en el paso 1) tiene más de 50.000 buzones de origen, se producirá un error en la acción de purga (que cree en el paso 3). Consulte la sección más información para un Consejo sobre cómo realizar una búsqueda y purgar operación en más de 50.000 buzones.

  • El procedimiento descrito en este artículo sólo puede utilizarse para eliminar elementos en carpetas públicas y buzones de Exchange Online. No puede usarlo para eliminar el contenido de los sitios SharePoint o OneDrive para la Empresa.

Paso 1: Crear una búsqueda de contenido para buscar el mensaje que quiera eliminar

El primer paso es crear y ejecutar una búsqueda de contenido para buscar el mensaje que quiera quitar de los buzones de la organización. Para crear la búsqueda, puede usar el Centro de cumplimiento y seguridad o ejecutar los cmdlets New-ComplianceSearch y Start-ComplianceSearch. Los mensajes que coincidan con la consulta de esta búsqueda se eliminarán al ejecutar el cmdlet New-ComplianceSearchAction en el paso 3. Para obtener información sobre cómo crear una búsqueda de contenido y configurar consultas de búsqueda, vea los temas siguientes:

Nota: Las ubicaciones de contenido que se buscan en la búsqueda de contenido que cree en este paso no pueden incluir sitios SharePoint o OneDrive para la Empresa. Puede incluir solo los buzones y las carpetas públicas en una búsqueda de contenido que se usará para mensajes de correo electrónico. Si la búsqueda de contenido incluye sitios, recibirá un error en el paso 3 cuando se ejecuta el cmdlet New-ComplianceSearchAction .

Sugerencias para buscar mensajes que desea quitar

El objetivo de la consulta de búsqueda es limitar los resultados de la búsqueda para encontrar el mensaje (o mensajes) que quiere quitar. Aquí encontrará algunas sugerencias:

  • Si conoce el texto o la frase exacta usados en la línea de asunto del mensaje, use la propiedad Subject en la consulta de búsqueda.

  • Si conoce la fecha exacta (o el intervalo de fechas) del mensaje, incluya la propiedad Received en la consulta de búsqueda.

  • Si conoce quién envió el mensaje, incluya la propiedad From en la consulta de búsqueda.

  • Obtenga una vista previa de los resultados de la búsqueda para comprobar que la búsqueda solo devolvió el mensaje (o los mensajes) que quiere eliminar.

  • Usar las estadísticas de estimación de búsqueda (que se muestra en el panel de detalles de la búsqueda en el Centro de cumplimiento y seguridad o mediante el cmdlet Get-ComplianceSearch ) para obtener un recuento del número total de resultados.

Estos son dos ejemplos de consultas para buscar mensajes de correo electrónico sospechosos.

  • Esta consulta devuelve los mensajes recibidos por los usuarios entre el 13 de abril de 2016 y el 14 de abril de 2016 que contengan las palabras "acción" y "necesario" en la línea de asunto.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  • Esta consulta devuelve los mensajes enviados por chatsuwloginsset12345@outlook.com que contienen la frase exacta "Actualice la información de la cuenta" en la línea de asunto.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Volver al principio

Paso 2: Conectarse a Centro de cumplimiento y seguridad con PowerShell remoto

El primer paso es conectarse a Centro de cumplimiento y seguridad PowerShell para su organización.

  1. Guardar el texto siguiente en un archivo de script de PowerShell mediante un sufijo nombre de archivo. ps1; Por ejemplo, ConnectSCC.ps1.

    # Get login credentials 
    $UserCredential = Get-Credential 
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection 
    Import-PSSession $Session -AllowClobber -DisableNameChecking 
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Office 365 Security & Compliance Center)" 
    
  2. En el equipo local, abra PowerShell, vaya a la carpeta donde se encuentra la secuencia de comandos que creó en el paso anterior y, a continuación, ejecute el script; Por ejemplo:

    .\ConnectSCC.ps1

Para obtener más información o si tiene problemas para conectarse a Centro de cumplimiento y seguridad, vea conectarse a Office 365 seguridad y cumplimiento centro PowerShell.

Paso 3: Eliminar el mensaje

Después de crear y restringir una búsqueda de contenido para devolver el mensaje que quiere eliminar y de conectarse al Centro de cumplimiento y seguridad con PowerShell remoto, el último paso es ejecutar el cmdlet New-ComplianceSearchAction para eliminar el mensaje. Los mensajes eliminados se mueven a la carpeta Elementos recuperables de un usuario.

En el ejemplo siguiente, el comando eliminará los resultados de la búsqueda devueltos por una búsqueda de contenido denominada "Quitar mensaje de suplantación de identidad".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Sugerencia: La búsqueda especificada por el parámetro SearchName es la búsqueda de contenido que creó en el paso 1.

Para obtener más información, vea Nuevo ComplianceSearchAction.

Volver al principio

Más información

  • Cómo que obtener el estado de la búsqueda y la operación de eliminación?    Ejecute el Get-ComplianceSearchAction para obtener el estado de la operación de eliminación. Tenga en cuenta que el objeto que se crea al ejecutar el cmdlet New-ComplianceSearchAction se denomina con este formato: <name of Content Search>_Purge.

  • ¿Qué sucede cuando se elimina un mensaje?    Un mensaje que se elimina mediante el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete se mueve a la carpeta eliminaciones en la carpeta del usuario elementos recuperables. Inmediatamente no se extrae Office 365. El usuario puede recuperar mensajes en la carpeta Elementos eliminados para la duración basándose en el período de retención de elementos eliminados configurado para el buzón. Después de que finalice este período de retención (o usuario purga el mensaje antes de que caduque), el mensaje se mueve a la carpeta de purga y ya no se puede acceder por el usuario. Una vez en la carpeta de purga, el mensaje se conservará nuevamente para la duración basándose en el período de retención de elementos eliminados configurado para el buzón si se habilita la recuperación de elementos individuales para el buzón. (En Office 365, recuperación de elemento único está habilitado de forma predeterminada cuando se crea un nuevo buzón). Después de que expire el período de retención de elementos eliminados, el mensaje se marca como de eliminación permanente y se purga de Office 365 la próxima vez que el buzón es procesado por el Asistente para la carpeta administrada.

  • Cómo saber que se borran mensajes y se mueve a la carpeta elementos recuperables de los usuarios?    Si ejecuta la misma búsqueda de contenido después de eliminar un mensaje, aún podrá ver el mismo número de resultados de búsqueda (y suponer que el mensaje no se ha eliminado de buzones de usuario). Esto es porque una búsqueda de contenido busca en la carpeta elementos recuperables, que es donde se mueven los mensajes eliminados a después de ejecutar el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete . Para comprobar que los mensajes cuando se mueve a la carpeta elementos recuperables, puede ejecutar una búsqueda de exhibición de documentos electrónicos en contexto (con los mismos buzones de origen y los criterios de búsqueda como la búsqueda de contenido creado en el paso 1) y la copia de los resultados de búsqueda en el buzón de detección. A continuación, puede ver los resultados de búsqueda en el buzón de correo de detección y comprobar que los mensajes se ha movido a la carpeta elementos recuperables. Para obtener más información sobre la creación de una búsqueda de exhibición de documentos electrónicos en contexto que usa la lista de buzones de origen y consulta de búsqueda de una búsqueda de contenido, vea Usar búsqueda de contenido en el flujo de trabajo de exhibición de documentos electrónicos .

  • ¿Qué ocurre si tiene que eliminar un mensaje de más de 50.000 buzones?    Como se ha indicado previamente, puede realizar una búsqueda y purgar operación en un máximo de 50.000 buzones. Si tiene que realizar una búsqueda y purgar operación en más de 50.000 buzones, considere la posibilidad de crear filtros de búsqueda temporal de permisos que desea reducir el número de buzones que se buscan a buzones de menos de 50.000. Por ejemplo, si su organización contiene buzones en los diferentes departamentos, Estados o países, puede crear un filtro de permisos de buzón búsqueda basado en una de las propiedades del buzón para buscar un subconjunto de los buzones en su organización. Después de crear el filtro de búsqueda de permisos, debe crear la búsqueda (descrita en el paso 1) y, a continuación, eliminar el mensaje (que se describe en el paso 3). Puede editar el filtro para buscar y purgar mensajes de un conjunto diferente de buzones. Para obtener más información sobre cómo crear filtros de búsqueda de permisos, vea configurar los permisos filtros de búsqueda de contenido.

  • Se eliminarán sin indizar elementos que se incluyen en los resultados de búsqueda?    No, el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete no elimina elementos no indizados.

  • ¿Qué ocurre si se elimina un mensaje desde un buzón que está guardado en suspensión en contexto o mantenga litigios o está asignado a una directiva de retención Office 365 ?    Después de que se elimina el mensaje (el usuario o después de que expire el período de retención de elementos eliminados), se conservará el mensaje hasta que expira la duración de espera. Si la duración de suspensión es ilimitada, los elementos se conservan hasta que se elimine la suspensión o se cambia la duración de espera.

  • ¿Por qué se divide el flujo de trabajo de búsqueda y quitar entre los grupos de roles diferentes Centro de cumplimiento y seguridad ?    Como se explica anteriormente, una persona debe ser miembro del grupo de roles de administrador de exhibición de documentos electrónicos o tener asignado el rol de administración de búsqueda de cumplimiento para realizar búsquedas en buzones. Para eliminar mensajes, una persona debe ser miembro del grupo de roles de administración de la organización o tener asignado el rol de administración de búsqueda y purgar. Esto posibilita para controlar quién puede realizar búsquedas en buzones de la organización y quién puede eliminar los mensajes.

Volver al principio

Icono pequeño de LinkedIn Learning ¿Usa Office 365 por primera vez?
Descubra cursos en vídeo gratuitos para administradores de Office 365 y profesionales de TI, ofrecidos por LinkedIn Learning.

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×