Поиск и удаление сообщений электронной почты в организации Office 365 — справка для администраторов

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Эта статья предназначена для администраторов. Вы пытаетесь найти в своем почтовом ящике элементы, которые требуется удалить? См. статью Мгновенный поиск сообщений и элементов.

С помощью функции поиска содержимого в Office 365 можно найти сообщение электронной почты и удалить его из всех почтовых ящиков организации. Это позволяет находить и удалять потенциально опасные сообщения, например:

  • сообщения, содержащие опасное вложение или вирус;

  • фишинговые сообщения;

  • сообщения, содержащие конфиденциальные данные.

Ниже приведены инструкции по поиску и очистке.

Шаг 1. Создание поиска контента для поиска сообщения, которое необходимо удалить

Шаг 2. Подключение к Центру безопасности и соответствия требованиям с помощью удаленной командной оболочки PowerShell

Шаг 3. Удаление сообщения

Описание того, что происходит с удаленными сообщениями, а также инструкции по отслеживанию состояния поиска и удаления см. в разделе Дополнительные сведения.

Внимание : Поиск и очистка — это мощный инструмент, который позволяет всем пользователям с необходимыми разрешениями удалять сообщения электронной почты из почтовых ящиков организации.

Подготовка

  • Создавать и выполнять поиск контента могут только члены группы ролей "Менеджер обнаружения электронных данных" и пользователи с ролью "Управление поиском соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Сведения о добавлении пользователей в группу ролей см. в статье Предоставление пользователям доступа к Центру безопасности и соответствия требованиям Office 365.

  • Необходимо удалить сообщения с помощью Центр безопасности и соответствия требованиям PowerShell. Перейти к действию 2 инструкции о подключении.

  • За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков. Данная возможность не предназначена для очистки почтовых ящиков пользователей.

  • Максимальное число почтовых ящиков в системе поиска содержимого можно удалять элементы в поиск и очистить действие — 50 000. Это ограничение применяется только к почтовым ящикам, содержащие элементы, которые удовлетворяют условиям поиска запроса. Например если поиска 100000 почтовых ящиков в организации в поиска содержимого и соответствующие элементы содержат только 40 000 почтовых ящиков, будет выполнено действие очистки. Однако если 60 000 почтовых ящиков содержат соответствующие элементы, очистку завершится сбоем.

  • Инструкции, приведенные в этой статье, можно использовать только для удаления элементов из почтовых ящиков и общедоступных папок Exchange Online. Они не относятся к удалению содержимого с сайтов SharePoint и OneDrive для бизнеса.

Шаг 1. Создание поиска контента для поиска сообщения, которое необходимо удалить

Прежде всего необходимо создать и выполнить поиск контента, чтобы найти сообщение, которое необходимо удалить из почтовых ящиков организации. Поиск можно создать через Центр безопасности и соответствия требованиям или с помощью командлетов New-ComplianceSearch и Start-ComplianceSearch. Сообщения, которые соответствуют поисковому запросу, будут удалены с помощью командлета New-ComplianceSearchAction на шаге 3. Сведения о создании поиска контента и настройке поисковых запросов см. в следующих статьях:

Примечание : В расположения для поиска содержимого, который создается на этом этапе, нельзя включать сайты SharePoint и OneDrive для бизнеса. Можно указать только почтовые ящики и общедоступные папки. В противном случае при запуске командлета New-ComplianceSearchAction на шаге 3 произойдет ошибка.

Советы по поиску сообщений для удаления

Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Вот несколько советов о том, как это сделать:

  • Если вы знаете точное слово или фразу, используемые в строке темы сообщения, укажите в поисковом запросе свойство Subject.

  • Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.

  • Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.

  • Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.

  • Просмотрите статистику поиска (отображается в области сведений о поиске в Центре соответствия требованиям или после выполнения командлета Get-ComplianceSearch), чтобы узнать общее количество результатов.

Ниже приведены два примера запросов, которые позволяют найти подозрительные сообщения.

  • Этот запрос возвращает сообщения, полученные в период с 13 по 14 апреля 2016 г. и содержащие слова "action" и "required" в строке темы.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  • Этот запрос возвращает сообщения, отправленные с адреса chatsuwloginsset12345@outlook.com и содержащие точную фразу "Update your account information" в строке темы.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

К началу

Шаг 2. Подключение к Центр безопасности и соответствия требованиям с помощью удаленной оболочки PowerShell.

Первый шаг — для подключения к Центр безопасности и соответствия требованиям PowerShell для вашей организации.

  1. Сохранить файл сценария PowerShell следующий текст с помощью суффикса имени файла .ps1; Например, ConnectSCC.ps1.

    # Get login credentials 
    $UserCredential = Get-Credential 
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection 
    Import-PSSession $Session -AllowClobber -DisableNameChecking 
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Office 365 Security & Compliance Center)" 
    
  2. На локальном компьютере откройте PowerShell, перейдите в папку, где расположен сценарий, созданную на предыдущем этапе и запустите сценарии; Например:

    .\ConnectSCC.ps1

Для получения дополнительных сведений или если у вас есть проблемы с подключением к Центр безопасности и соответствия требованиям, читайте в статье подключение к безопасности Office 365 и PowerShell центр соответствия.

Шаг 3. Удаление сообщения

Создав и уточнив запрос на поиск контента, который возвращает подлежащее удалению сообщение, и подключившись к Центру соответствия требованиям с помощью удаленной оболочки PowerShell, запустите командлет удаления (New-ComplianceSearchAction). Удаленные сообщения перемещаются в папку пользователя "Элементы с возможностью восстановления".

Приведенная в следующем примере команда удаляет результаты поиска, возвращенные в результате поиска контента с именем Remove Phishing Message.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Совет : В качестве значения параметра SearchName указан поиск контента, созданный на шаге 1.

Дополнительные сведения см. в статье New-ComplianceSearchAction.

К началу

Дополнительные сведения

  • Как получить статус на поиск и удаление операции?    Запустите Get-ComplianceSearchAction получить статус в операции удаления. Обратите внимание, что объект, созданный при выполнении командлет New-ComplianceSearchAction с именем, используя следующий формат: <name of Content Search>_Purge.

  • Что происходит после удаления сообщения?    Сообщение, удаленное с помощью команды New-ComplianceSearchAction -Purge -PurgeType SoftDelete, перемещается в папку "Удаления" в папке пользователя "Элементы с возможностью восстановления". Оно не удаляется сразу из Office 365. Пользователь может восстановить сообщения из папки "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. В папке "Очистка" сообщение хранится в течение срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Office 365 восстановление отдельных элементов включается по умолчанию при создании почтового ящика.) После истечения срока хранения удаленных элементов сообщение помечается для окончательного удаления и удаляется из Office 365 при следующей обработке почтового ящика помощником для управляемых папок.

  • Как узнать, что сообщения удалены и перемещены в папку пользователя "Элементы с возможностью восстановления"?    Если вы выполните такой же поиск контента после удаления сообщения, по-прежнему будет отображаться столько же результатов (поэтому вы можете подумать, что сообщение не удалено из почтовых ящиков пользователей). Это связано с тем, что поиск контента выполняется в папке "Элементы с возможностью восстановления", куда удаленное сообщение перемещается после выполнения команды New-ComplianceSearchAction -Purge -PurgeType SoftDelete. Чтобы убедиться, что сообщения перемещены в папку "Элементы с возможностью восстановления", можно запустить поиск с обнаружением электронных данных на месте (используя те же исходные почтовые ящики и условия поиска, чтобы и при поиске контента, созданном на шаге 1) и скопировать результаты поиска в почтовый ящик найденных сообщений. Затем можно просмотреть результаты поиска в почтовом ящике найденных сообщений и убедиться в том, что сообщения были перемещены в папку "Элементы с возможностью восстановления". В статье Поиск содержимого при обнаружении электронных данных приведены дополнительные сведения о создании такого поиска.

  • Будут ли удалены неиндексированные элементы, включенные в результаты поиска?   Нет, команда New-ComplianceSearchAction -Purge -PurgeType SoftDelete не удаляет неиндексированные элементы.

  • Что произойдет, если сообщение удаляется из почтового ящика, размещена на хранение на месте или судебного процесса удерживайте или назначен политики хранения Office 365 ?    После очистки сообщения (пользователем или после истечения срока хранения удаленных элементов), сообщение сохраняется до истечения срока действия удержание длительности. В случае неограниченного длительность удержания элементы сохраняются до удержание удаляется или изменение длительности задачи удержание.

  • Почему рабочий процесс поиска и удаления выполняется с использованием разных групп ролей в Центре безопасности и соответствия требованиям?      Как объяснялось ранее, выполнять поиск в почтовых ящиках могут только члены группы ролей "Менеджер обнаружения электронных данных" и пользователи с ролью "Управление поиском соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Это позволяет управлять тем, кто может выполнять поиск в почтовых ящиках организации или удалять сообщения.

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×