Поиск и удаление сообщений электронной почты в организации Office 365 — справка для администраторов

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Эта статья предназначена для администраторов. Вы пытаетесь найти в своем почтовом ящике элементы, которые требуется удалить? См. статью Мгновенный поиск сообщений и элементов.

С помощью функции поиска содержимого в Office 365 можно найти сообщение электронной почты и удалить его из всех почтовых ящиков организации. Это позволяет находить и удалять потенциально опасные сообщения, например:

  • сообщения, содержащие опасное вложение или вирус;

  • фишинговые сообщения;

  • сообщения, содержащие конфиденциальные данные.

Ниже приведены инструкции по поиску и очистке.

Шаг 1. Создание поиска контента для поиска сообщения, которое необходимо удалить

Шаг 2: Подключение к группе безопасности и PowerShell центр соответствия

Шаг 3. Удаление сообщения

Описание того, что происходит с удаленными сообщениями, а также инструкции по отслеживанию состояния поиска и удаления см. в разделе Дополнительные сведения.

Внимание: Поиск и очистка — это мощный инструмент, который позволяет всем пользователям с необходимыми разрешениями удалять сообщения электронной почты из почтовых ящиков организации.

Подготовка

  • Создавать и выполнять поиск контента могут только члены группы ролей "Менеджер обнаружения электронных данных" и пользователи с ролью "Управление поиском соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Сведения о добавлении пользователей в группу ролей см. в статье Предоставление пользователям доступа к Центру безопасности и соответствия требованиям Office 365.

  • Необходимо удалить сообщения с помощью Центр безопасности и соответствия требованиям PowerShell. Перейти к действию 2 инструкции о подключении.

  • Не более 10 элементов для каждого почтового ящика могут быть удалены в каждый момент времени. Из-за режима поиск и удаление сообщений предназначено для инструмента инцидента ответ, это ограничение гарантирует, что быстро удаление сообщений из почтовых ящиков. Эта функция не предназначены для очистки почтовых ящиков пользователей. Чтобы удалить более 10 элементов, можно использовать команды Search-Mailbox -DeleteContent в Exchange Online PowerShell. Читайте в статье Поиск и удаление сообщений.

  • Максимальное число почтовых ящиков в системе поиска содержимого можно удалять элементы в поиск и очистить действие — 50 000. Если поиск контента (созданное вами на шаге 1) содержит более 50 000 исходные почтовые ящики, не удастся очистку (созданное вами на шаге 3). В разделе Дополнительные сведения можно узнать о выполнении поиска и очистить операцию над более 50 000 почтовых ящиков.

  • Инструкции, приведенные в этой статье, можно использовать только для удаления элементов из почтовых ящиков и общедоступных папок Exchange Online. Они не относятся к удалению содержимого с сайтов SharePoint и OneDrive для бизнеса.

Шаг 1. Создание поиска контента для поиска сообщения, которое необходимо удалить

Прежде всего необходимо создать и выполнить поиск контента, чтобы найти сообщение, которое необходимо удалить из почтовых ящиков организации. Поиск можно создать через Центр безопасности и соответствия требованиям или с помощью командлетов New-ComplianceSearch и Start-ComplianceSearch. Сообщения, которые соответствуют поисковому запросу, будут удалены с помощью командлета New-ComplianceSearchAction на шаге 3. Сведения о создании поиска контента и настройке поисковых запросов см. в следующих статьях:

Примечание: В расположения для поиска содержимого, который создается на этом этапе, нельзя включать сайты SharePoint и OneDrive для бизнеса. Можно указать только почтовые ящики и общедоступные папки. В противном случае при запуске командлета New-ComplianceSearchAction на шаге 3 произойдет ошибка.

Советы по поиску сообщений для удаления

Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Вот несколько советов о том, как это сделать:

  • Если вы знаете точное слово или фразу, используемые в строке темы сообщения, укажите в поисковом запросе свойство Subject.

  • Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.

  • Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.

  • Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.

  • Просмотрите статистику поиска (отображается в области сведений о поиске в Центре соответствия требованиям или после выполнения командлета Get-ComplianceSearch), чтобы узнать общее количество результатов.

Ниже приведены два примера запросов, которые позволяют найти подозрительные сообщения.

  • Этот запрос возвращает сообщения, полученные в период с 13 по 14 апреля 2016 г. и содержащие слова "action" и "required" в строке темы.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  • Этот запрос возвращает сообщения, отправленные с адреса chatsuwloginsset12345@outlook.com и содержащие точную фразу "Update your account information" в строке темы.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

К началу

Шаг 2: Подключение к Центр безопасности и соответствия требованиям PowerShell

Следующий этап — подключение к Центр безопасности и соответствия требованиям PowerShell для вашей организации. Пошаговые инструкции читайте в статье подключение к безопасности Office 365 и PowerShell центр соответствия требованиям.

Если ваша учетная запись Office 365 использует многофакторной проверки подлинности (MFA) или федеративным проверки подлинности, нельзя использовать инструкции в предыдущем разделе о подключении Центр безопасности и соответствия требованиям PowerShell. Вместо этого воспользуйтесь инструкциями в статье подключение к безопасности Office 365 и PowerShell центр соответствия с помощью многофакторной проверки подлинности.

Шаг 3. Удаление сообщения

После создания и уточнение содержимого поиска для возвращения сообщение, которое нужно удалить и подключены к Центр безопасности и соответствия требованиям PowerShell для выполнения командлета New-ComplianceSearchAction для удаления сообщения является последнее действие. Удаленные сообщения перемещаются в папку элементов, подлежащих восстановлению пользователя.

Приведенная в следующем примере команда удаляет результаты поиска, возвращенные в результате поиска контента с именем Remove Phishing Message.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Совет: В качестве значения параметра SearchName указан поиск контента, созданный на шаге 1.

Дополнительные сведения см. в статье New-ComplianceSearchAction.

К началу

Дополнительные сведения

  • Как получить статус на поиск и удаление операции?    Запустите Get-ComplianceSearchAction получить статус в операции удаления. Обратите внимание, что объект, созданный при выполнении командлет New-ComplianceSearchAction с именем, используя следующий формат: <name of Content Search>_Purge.

  • Что происходит после удаления сообщения?    Сообщение, удаленное с помощью команды New-ComplianceSearchAction -Purge -PurgeType SoftDelete, перемещается в папку "Удаления" в папке пользователя "Элементы с возможностью восстановления". Оно не удаляется сразу из Office 365. Пользователь может восстановить сообщения из папки "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. В папке "Очистка" сообщение хранится в течение срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Office 365 восстановление отдельных элементов включается по умолчанию при создании почтового ящика.) После истечения срока хранения удаленных элементов сообщение помечается для окончательного удаления и удаляется из Office 365 при следующей обработке почтового ящика помощником для управляемых папок.

  • Как узнать, что сообщения удалены и перемещены в папку пользователя "Элементы с возможностью восстановления"?    Если вы выполните такой же поиск контента после удаления сообщения, по-прежнему будет отображаться столько же результатов (поэтому вы можете подумать, что сообщение не удалено из почтовых ящиков пользователей). Это связано с тем, что поиск контента выполняется в папке "Элементы с возможностью восстановления", куда удаленное сообщение перемещается после выполнения команды New-ComplianceSearchAction -Purge -PurgeType SoftDelete. Чтобы убедиться, что сообщения перемещены в папку "Элементы с возможностью восстановления", можно запустить поиск с обнаружением электронных данных на месте (используя те же исходные почтовые ящики и условия поиска, чтобы и при поиске контента, созданном на шаге 1) и скопировать результаты поиска в почтовый ящик найденных сообщений. Затем можно просмотреть результаты поиска в почтовом ящике найденных сообщений и убедиться в том, что сообщения были перемещены в папку "Элементы с возможностью восстановления". В статье Поиск содержимого при обнаружении электронных данных приведены дополнительные сведения о создании такого поиска.

  • Что делать, если необходимо удалить сообщение из более 50 000 почтовых ящиков?    Как ранее указанных выше можно выполнять поиск и очистить операцию над более 50 000 почтовых ящиков. Если вам нужно выполнить поиск и очистить операцию над более 50 000 почтовых ящиков, подумайте о создании временных поиска разрешения фильтров, уменьшится количество почтовых ящиков, которые будут выполняться поиск более 50 000 почтовые ящики. Например если ваша организация содержит почтовые ящики в различных отделов, состояния или страны, можно создать фильтр разрешения поиска почтовых ящиков на основе одного из этих свойств почтовый ящик для поиска подмножество почтовых ящиков в вашей организации. После создания разрешения фильтр поиска бы создавать поиска (описано в шаге 1), а затем удалите сообщение (как описано в шаге 3). Затем вы можете редактировать фильтр, чтобы найти и удалить сообщения в другой набор почтовых ящиков. Дополнительные сведения о создании разрешения фильтры поиска в статье разрешения Настройка фильтрации для поиска контента.

  • Будут ли удалены неиндексированные элементы, включенные в результаты поиска?   Нет, команда New-ComplianceSearchAction -Purge -PurgeType SoftDelete не удаляет неиндексированные элементы.

  • Что произойдет, если сообщение удаляется из почтового ящика, размещена на хранение на месте или судебного процесса удерживайте или назначен политики хранения Office 365 ?    После очистки сообщения (пользователем или после истечения срока хранения удаленных элементов), сообщение сохраняется до истечения срока действия удержание длительности. В случае неограниченного длительность удержания элементы сохраняются до удержание удаляется или изменение длительности задачи удержание.

  • Почему рабочий процесс поиска и удаления выполняется с использованием разных групп ролей в Центре безопасности и соответствия требованиям?      Как объяснялось ранее, выполнять поиск в почтовых ящиках могут только члены группы ролей "Менеджер обнаружения электронных данных" и пользователи с ролью "Управление поиском соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Это позволяет управлять тем, кто может выполнять поиск в почтовых ящиках организации или удалять сообщения.

К началу

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×