搜索并删除您的 Office 365 组织-管理员帮助中的电子邮件

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

本文适用于管理员。您试图在您要删除的邮箱中查找的项目? 请参阅使用即时搜索查找邮件或项目

您可以使用 Office 365 中的内容搜索功能在组织中的所有邮箱中搜索并删除电子邮件。这可以帮助您查找并删除可能有害的或存在高风险的电子邮件,如:

  • 包含危险附件或病毒的邮件

  • 网络仿冒邮件

  • 包含敏感数据的邮件

下面是工作流的"搜索并清除"过程:

步骤 1:创建内容搜索来查找要删除的邮件

步骤 2:使用远程 PowerShell 连接到安全与合规中心

步骤 3:删除邮件

请参阅有关说明已删除的邮件会发生什么情况和如何获取搜索其状态和删除操作的详细信息部分。

警告: 搜索和清除的强大功能,允许任何人分配必需的权限,您的组织中的邮箱中删除电子邮件。

开始之前

  • 若要创建并运行内容搜索,您需要是电子数据展示管理器角色组的成员,或者合规性搜索管理角色分配。若要删除的邮件,您必须是组织管理角色组的成员,或者搜索和清除管理角色分配。 有关将用户添加到角色组的信息,请参阅授予用户访问 Office 365 安全和合规性中心

  • 您必须使用安全与合规中心 PowerShell 若要删除的邮件。 有关如何连接的说明,请参阅步骤 2。

  • 可以一次删除每个邮箱的 10 个项目的最大值。 搜索并删除的邮件的功能用于事件响应工具,因为此限制有助于确保邮箱中快速删除该邮件。此功能不被为了清理用户邮箱。

  • 在内容搜索,您可以通过执行搜索删除中的项目和清除操作中的邮箱的最大数目为 50000。如果内容搜索 (即您在步骤 1 中创建) 具有超过 50000 源邮箱,请清除操作 (即您在步骤 3 中创建) 将失败。请参阅的详细信息部分中执行搜索的提示和清除操作,请在超过 50000 邮箱。

  • 本文中的过程仅用于删除Exchange Online邮箱和公用文件夹中的项目。不能用于从SharePoint或OneDrive for Business网站中删除内容。

步骤 1:创建内容搜索来查找要删除的邮件

第一步是创建并运行内容搜索以查找您想要从组织的邮箱中删除的邮件。您可以通过使用安全与合规中心或运行 New-ComplianceSearchStart-ComplianceSearch cmdlet 来创建搜索。与此搜索的查询匹配的邮件将通过在步骤 3 中运行 New-ComplianceSearchAction cmdlet 删除。有关创建内容搜索和配置搜索查询的信息,请参阅下列主题:

注意: 在内容搜索在此步骤中创建搜索的内容位置不能包括SharePoint或OneDrive for Business网站。您可以将用于电子邮件内容搜索中包括仅邮箱和公用文件夹。如果内容的搜索中包括网站,您将在步骤 3 中收到错误,当您运行New-ComplianceSearchAction cmdlet。

查找要删除的邮件的提示

搜索查询的目标是将搜索结果的范围缩小到仅包含您想要删除的邮件。以下是一些提示:

  • 如果您知道邮件的主题行中使用的确切文本或短语,请在搜索查询中使用 Subject 属性。

  • 如果您知道邮件的确切日期(或日期范围),请在搜索查询中包括 Received 属性。

  • 如果您知道邮件的发件人,请在搜索查询中包括 From 属性。

  • 预览搜索结果以验证搜索是否仅返回您想要删除的邮件。

  • 使用搜索估计统计信息 (显示在搜索安全与合规中心中或通过使用获取 ComplianceSearch cmdlet 的详细信息窗格中) 以获取结果总数的计数。

以下是查找可疑电子邮件的两个查询示例。

  • 此查询返回用户在 2016 年 4 月 13 日至 2016 年 4 月 14 日之间收到的邮件,而且包含主题行中的单词“操作”和“必需”。

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  • 此查询返回由 chatsuwloginsset12345@outlook.com 发送的邮件,而且包含主题行中的完全匹配的短语“更新您的帐户信息”。

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

返回页首

步骤 2:使用远程 PowerShell 连接到安全与合规中心

第一步是将连接到安全与合规中心 PowerShell 为您的组织。

  1. 使用文件名后缀.ps1; 将以下文本保存到一个 PowerShell 脚本文件例如,ConnectSCC.ps1。

    # Get login credentials 
    $UserCredential = Get-Credential 
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection 
    Import-PSSession $Session -AllowClobber -DisableNameChecking 
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Office 365 Security & Compliance Center)" 
    
  2. 在您的本地计算机上打开 PowerShell、 转到您在上一步中创建的脚本所在的文件夹,并运行脚本。例如:

    .\ConnectSCC.ps1

有关详细信息或如果您有连接到安全与合规中心的问题,请参阅连接到 Office 365 安全和合规性中心 PowerShell

步骤 3:删除邮件

创建并优化内容搜索以返回您想要删除且使用远程 PowerShell 将您连接到安全与合规中心的邮件后,最后一步是运行 New-ComplianceSearchAction cmdlet 来删除邮件。已删除的邮件将移动到用户的“可恢复的项目”文件夹中。

在下面的示例中,该命令将删除名为“删除钓鱼邮件”的内容搜索返回的搜索结果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

提示: 搜索SearchName参数指定是您在步骤 1 中创建的内容搜索。

有关详细信息,请参阅新建 ComplianceSearchAction

返回页首

更多信息

  • 如何获取状态,在搜索,并删除操作?   运行Get-ComplianceSearchAction以获取其状态,在删除操作。请注意,使用此格式命名运行New-ComplianceSearchAction cmdlet 时创建的对象: <name of Content Search>_Purge

  • 删除邮件后,会发生什么情况?   通过使用New-ComplianceSearchAction -Purge -PurgeType SoftDelete命令删除一条消息移动到用户的可恢复的项目文件夹中的删除文件夹。它不是从Office 365立即清除。用户可以基于为邮箱配置已删除的项保留期的持续时间内恢复已删除邮件文件夹中的邮件。 此保留期到期 (或如果用户清除邮件之前过期) 后,邮件将移动到清除文件夹,并不再可供用户。一次清除文件夹中,在消息可再次保留基于配置为邮箱,如果为邮箱启用单个项目恢复已删除的项保留期的持续时间。( Office 365,在单个项目恢复已启用默认情况下创建新邮箱时。)已删除的项保留期到期后,邮件将被永久删除标记,并将清除从Office 365下次托管文件夹助理处理邮箱。

  • 您如何知道已删除邮件并移动到用户的可恢复的项目的文件夹?   如果删除邮件后,相同的内容搜索运行时,您仍看到相同的搜索结果数 (以及可能认为邮件未被删除用户邮箱中)。这是因为内容搜索搜索可恢复的项目的文件夹,即其中已删除的邮件移到运行New-ComplianceSearchAction -Purge -PurgeType SoftDelete命令之后。 若要验证的邮件移动到可恢复的邮件文件夹的位置,您可以运行 (使用相同的源邮箱和搜索条件如下步骤 1 中创建的内容搜索) 就地电子数据展示搜索和搜索结果的副本到发现邮箱。 然后可以发现邮箱中查看搜索结果,并验证的邮件已移动到可恢复的项目文件夹。有关创建一个使用源邮箱和搜索查询内容的搜索列表中的就地电子数据展示搜索的详细信息,请参阅在您的电子数据展示工作流中使用内容搜索

  • 如果您有超过 50000 邮箱中删除一条消息?   如上所述,您可以执行的搜索和清除操作,请在 50000 邮箱最大值。如果您有执行搜索和清除操作,请在超过 50000 邮箱,请考虑创建临时搜索权限筛选器将减少将搜索到小于 50000 邮箱的邮箱数。例如,如果您的组织中包含不同部门、 州或国家/地区中的邮箱,您可以创建基于其中一个邮箱属性在您的组织中搜索邮箱的子集邮箱搜索权限筛选器。创建搜索权限筛选器之后,您可以创建的搜索 (步骤 1 中所述),然后删除该邮件 (在步骤 3 中所述)。然后,您可以编辑筛选器搜索并清除一组不同的邮箱中的消息。有关创建搜索权限筛选器的详细信息,请参阅配置内容搜索筛选的权限

  • 将被删除未编制索引的搜索结果中包含的项目?   否, New-ComplianceSearchAction -Purge -PurgeType SoftDelete命令不会删除索引状态的项目。

  • 如果从已放在就地保留或诉讼保留或分配给Office 365保留策略的邮箱,邮件将被删除,会发生什么情况?   清除邮件 (由用户或已删除的项保留期到期之后) 后,邮件保留,直到保持工期过期。如果不受限制地保持持续时间,然后项目将保留,直到被删除或更改保持持续时间。

  • 为什么中进行搜索和删除工作流划分不同安全与合规中心角色组?   为前面所述,人员必须是电子数据展示管理器角色组的成员,或者搜索邮箱的合规性搜索管理角色分配。若要删除的邮件,人员必须是组织管理角色组的成员,或者搜索和清除管理角色分配。这样,控制谁可以在组织中搜索邮箱和谁可以删除的邮件。

返回页首

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×