Condividi tramite


Trovare ed eliminare messaggi di posta elettronica in eDiscovery (anteprima)

Consiglio

Questo articolo è rivolto agli amministratori. Si sta cercando di trovare elementi nella cassetta postale che si desidera eliminare? Vedere Trovare un messaggio o un elemento con Ricerca immediata.

È possibile usare la funzionalità di ricerca per cercare ed eliminare i messaggi di posta elettronica da tutte le cassette postali dell'organizzazione. Questo processo consente di trovare e rimuovere messaggi potenzialmente dannosi o ad alto rischio, ad esempio:

  • Messaggi contenenti virus o allegati pericolosi
  • Messaggi di phishing
  • Messaggi contenenti dati sensibili

Consiglio

Se l'organizzazione ha un abbonamento a Defender per Office 365 Piano 2, è consigliabile usare la procedura descritta in Correggere i messaggi di posta elettronica dannosi recapitati in Office 365anziché seguire la procedura descritta in questo articolo.

Prima di iniziare

  • Il flusso di lavoro di ricerca ed eliminazione descritto in questo articolo non elimina i messaggi di chat o altri contenuti da Microsoft Teams. Se la ricerca creata nel passaggio 2 restituisce elementi da Microsoft Teams, tali elementi non vengono eliminati quando si eliminano gli elementi nel passaggio 3. Per cercare ed eliminare i messaggi di chat, vedere Cercare ed eliminare i messaggi di chat in Teams.

  • Per creare ed eseguire una ricerca, è necessario essere membri del gruppo di ruoli di eDiscovery Manager o essere assegnati al ruolo Ricerca conformità nel portale di Microsoft Purview. Per eliminare i messaggi, è necessario essere membri del gruppo di ruoli Gestione organizzazione o essere assegnati al ruolo Ricerca ed eliminazione nel portale di Microsoft Purview Per informazioni sull'aggiunta di utenti a un gruppo di ruoli, vedere Assegnare autorizzazioni di eDiscovery.

    Nota

    Il gruppo di ruoli Gestione organizzazione esiste sia in Exchange Online che nel portale di Microsoft Purview. Si tratta di gruppi di ruoli separati che assegnano autorizzazioni diverse. Essere un membro di Gestione dell’organizzazione in Exchange Online non concede le autorizzazioni necessarie per eliminare i messaggi di posta elettronica. Se non viene assegnato il ruolo Cerca ed elimina nel portale di Microsoft Purview (direttamente o tramite un gruppo di ruoli come Gestione organizzazione), verrà visualizzato un errore nel passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction con il messaggio "Impossibile trovare un parametro che corrisponda al nome del parametro 'Purge'".

  • Per eliminare i messaggi, è necessario usare PowerShell per Sicurezza e conformità. Per istruzioni su come connettersi, vedere Passaggio 1: Connessione a PowerShell per Sicurezza & conformità.

  • È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e di rimuovere i messaggi è uno strumento di intervento, questo limite garantisce che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.

  • Se è necessario rimuovere altri elementi dalla cassetta postale, sono necessari passaggi aggiuntivi.

    1. La conservazione di un singolo elemento deve essere disabilitata per le cassette postali. In questo modo si garantisce che gli elementi vengano rimossi dalla cartella Purges
    2. L'Assistente cartelle gestite deve essere eseguito sulla cassetta postale dopo ogni azione di eliminazione della conformità. Questa azione elimina definitivamente gli elementi e consente la rimozione di altri 10 elementi con azioni di eliminazione aggiuntive.

    Nota

    Questa opzione non è supportata se una cassetta postale ha un blocco per controversia legale. Solo 10 elementi vengono rimossi dalla visualizzazione dell'utente. Questi 10 elementi non vengono eliminati definitivamente, quindi questi 10 elementi sono gli unici elaborati.

  • Il numero massimo di cassette postali supportato dalla ricerca di contenuto da usare per eliminare gli elementi con un'operazione di ricerca e rimozione è 50.000. Se la ricerca (creata nel passaggio 2) cerca più di 50.000 cassette postali, l'azione di eliminazione (creata nel passaggio 3) avrà esito negativo. La ricerca in più di 50.000 cassette postali in un'unica operazione può in genere verificarsi quando si configura la ricerca in modo da includere tutte le cassette postali dell'organizzazione. Questa restrizione si applica inoltre quando meno di 50.000 cassette postali contengono elementi che corrispondono alla query di ricerca. Vedere la sezione Altre informazioni per indicazioni sull'uso dei filtri di autorizzazioni per la ricerca ed eliminare elementi da più di 50.000 cassette postali.

  • La procedura descritta in questo articolo può essere usata solo per eliminare elementi nelle cassette postali e cartelle pubbliche di Exchange Online. Non è possibile usarlo per eliminare contenuto da siti di SharePoint o OneDrive.

  • Email elementi in un set di revisione in un caso di eDiscovery non possono essere eliminati usando le procedure descritte in questo articolo. Il motivo è che gli elementi in un insieme da rivedere vengono archiviati in una posizione di archiviazione di Azure e non nel servizio Live. Questo vuol dire significa che non verranno restituite dalla ricerca di contenuto creata nel Passaggio 1. Per eliminare elementi in un set di revisione, è necessario eliminare il caso di eDiscovery che contiene il set di revisione.

Passaggio 1: Connettersi a PowerShell in Sicurezza e conformità

Il primo passaggio consiste nel connettersi a Security & Compliance PowerShell per l'organizzazione. Per ottenere istruzioni dettagliate, vedere Connettersi a PowerShell in Sicurezza e conformità.

Passaggio 2: Creare una query di ricerca per trovare il messaggio da eliminare

Il secondo passaggio consiste nel creare ed eseguire una ricerca per trovare il messaggio che si vuole rimuovere dalle cassette postali dell'organizzazione. È possibile creare la ricerca usando il portale di Microsoft Purview o eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch in PowerShell sicurezza & conformità. I messaggi che corrispondono alla query per questa ricerca vengono eliminati eseguendo il comando New-ComplianceSearchAction -Purge nel passaggio 3. Per informazioni sulla creazione e la configurazione di query di ricerca, vedere gli articoli seguenti:

Nota

I percorsi del contenuto cercati nella query di ricerca creata in questo passaggio non possono includere siti di SharePoint o OneDrive. È possibile includere solo cassette postali e cartelle pubbliche in una ricerca usata per i messaggi di posta elettronica. Se la ricerca include siti, verrà visualizzato un errore nel passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction .

Suggerimenti per cercare i messaggi da rimuovere

L'obiettivo della query di ricerca è limitare i risultati della ricerca solo al messaggio o ai messaggi da rimuovere. Di seguito sono riportati alcuni suggerimenti:

  • Se si conosce la frase o il testo esatto della riga dell'oggetto del messaggio, utilizzare la proprietà Subject nella query di ricerca.
  • Se si conosce la data esatta (o l'intervallo di date) del messaggio, includere la proprietà Received nella query di ricerca.
  • Se si conosce il mittente del messaggio, includere la proprietà From nella query di ricerca.
  • Visualizzare in anteprima i risultati della ricerca per verificare che la ricerca di contenuto restituisca solo il messaggio (o i messaggi) da eliminare.
  • Usare le statistiche di stima della ricerca (visualizzate nel riquadro dei dettagli della ricerca nel portale di Microsoft Purview o usando il cmdlet Get-ComplianceSearch ) per ottenere un conteggio del numero totale di risultati.

Ecco due esempi di query per trovare messaggi di posta elettronica sospetti.

  • Questa query restituisce i messaggi ricevuti dagli utenti tra il 13 aprile 2024 e il 14 aprile 2024 e che contengono le parole "action" e "required" nella riga dell'oggetto.

    (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
    
  • Questa query restituisce i messaggi che sono stati inviati da user@contoso.com e che contengono la frase esatta "Update your account information" nella riga dell'oggetto.

    (From:user@contoso.com) AND (Subject:"Update your account information")
    

Ecco un esempio dell'utilizzo di una query per creare e avviare una ricerca eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch per cercare tutte le cassette postali nell'organizzazione:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Passaggio 3: Eliminare il messaggio

Dopo aver creato e perfezionato una query di ricerca per restituire i messaggi da rimuovere, il passaggio finale consiste nell'eseguire il comando New-ComplianceSearchAction -Purge in PowerShell Sicurezza & Conformità per eliminare il messaggio.

È possibile eliminare il messaggio in maniera temporanea o definitiva. Un messaggio eliminato temporaneamente viene spostato nella cartella Elementi ripristinabili dell’utente e viene conservato fino alla scadenza del periodo di conservazione degli elementi eliminati. I messaggi eliminati definitivamente vengono contrassegnati per la rimozione permanente dalla cassetta postale e vengono rimossi definitivamente la volta successiva in cui la cassetta postale viene elaborata da Managed Folder Assistant. Se il ripristino di un singolo elemento è abilitato per la cassetta postale, gli elementi eliminati definitivamente vengono rimossi definitivamente dopo la scadenza del periodo di conservazione degli elementi eliminati. Se viene applicato un blocco a una cassetta postale, i messaggi eliminati vengono conservati finché la durata del periodo di conservazione dell'elemento non scade o finché il blocco non viene rimosso.

Nota

Come indicato in precedenza, gli elementi di Microsoft Teams restituiti dalla query di ricerca non vengono eliminati quando si esegue il comando New-ComplianceSearchAction -Purge .

Per eseguire i comandi seguenti per eliminare i messaggi, assicurarsi di essere connessi a PowerShell in Sicurezza e conformità.

Eliminare temporaneamente messaggi

Nell'esempio seguente il comando elimina temporaneamente i risultati della ricerca restituiti da una query di ricerca denominata "Remove Phishing Message".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminare definitivamente messaggi

Per eliminare definitivamente gli elementi restituiti dalla ricerca contenuto "Remove Phishing Message", eseguire questo comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando si eseguono i comandi precedenti in messaggi di eliminazione temporanea o hard-delete, la ricerca specificata dal parametro SearchName è la query di ricerca creata nel passaggio 1.

Per altre informazioni, vedere New-ComplianceSearchAction.

Ulteriori informazioni

  • Come si vede lo stato dell'operazione di ricerca e rimozione?

    Eseguire il comando Get-ComplianceSearchAction per vedere lo stato dell'operazione di eliminazione. L'oggetto creato quando si esegue il cmdlet New-ComplianceSearchAction viene denominato con questo formato: <name of Content Search>_Purge.

  • Cosa succede dopo l'eliminazione di un messaggio?

    Un messaggio eliminato con il New-ComplianceSearchAction -Purge -PurgeType HardDelete comando viene spostato nella cartella Purges e non è accessibile dall'utente. Dopo lo spostamento del messaggio nella cartella Purges, il messaggio viene conservato per il periodo di conservazione degli elementi eliminati se è abilitato il ripristino di un singolo elemento per la cassetta postale. In Microsoft 365 il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e viene eliminato da Microsoft 365 la volta successiva in cui la cassetta postale viene elaborata dal assistente della cartella gestita.

    Usando il comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, i messaggi vengono spostati nella cartella Eliminazioni nella cartella Elementi ripristinabili dell'utente. Non viene rimosso immediatamente da Microsoft 365. L'utente può recuperare i messaggi nella cartella Elementi eliminati per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale. Dopo la scadenza di questo periodo di conservazione (o se l'utente elimina il messaggio prima della scadenza), il messaggio viene spostato nella cartella di eliminazione e non è più accessibile da parte dell'utente. Una volta spostato nella cartella Ripuliture, il messaggio viene mantenuto per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale, se il ripristino di un singolo elemento è abilitato. In Microsoft 365 il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e viene eliminato da Microsoft 365 la volta successiva in cui la cassetta postale viene elaborata dalla cartella gestita assistente.

  • Come si fa a eliminare un messaggio da più di 50.000 cassette postali?

    È possibile eseguire un'operazione di ricerca ed eliminazione su un massimo di 50.000 cassette postali (anche se meno di 50.000 contengono elementi che corrispondono alla query di ricerca). Se è necessario eseguire un'operazione di ricerca e rimozione su più di 50.000 cassette postali, è consigliabile creare dei filtri delle autorizzazioni di ricerca temporanei per ridurre il numero di cassette postali in cui eseguire la ricerca a meno di 50.000. Ad esempio, se l'organizzazione contiene cassette postali in reparti, stati o paesi/aree geografiche diversi, è possibile creare un filtro delle autorizzazioni di ricerca delle cassette postali basato su una di queste proprietà delle cassette postali per cercare un subset di cassette postali nell'organizzazione. Dopo aver creato il filtro delle autorizzazioni di ricerca, è necessario creare la ricerca, come descritto nel Passaggio 1, e quindi eliminare il messaggio, come descritto nel Passaggio 3. È quindi possibile modificare il filtro in modo da cercare e rimuovere i messaggi in un insieme di cassette postali diverso. Per altre informazioni sulla creazione di filtri per le autorizzazioni di ricerca, vedere Configurare il filtro delle autorizzazioni di ricerca in eDiscovery (anteprima).

  • Gli elementi non indicizzati inclusi nei risultati della ricerca verranno eliminati?

    No, il comando 'New-ComplianceSearchAction -Purge non elimina gli elementi non indicizzati.

  • Cosa accade se un messaggio viene eliminato da una cassetta postale che è stata inserita nel blocco per controversia legale o viene assegnata a un criterio di conservazione di Microsoft 365?

    Dopo che il messaggio è stato eliminato e spostato nella cartella Ripuliture, il messaggio viene conservato fino alla scadenza del periodo di conservazione. Se la durata di conservazione è illimitata, gli elementi vengono mantenuti fino a quando non viene rimosso il blocco o viene modificata la durata di conservazione.

  • Perché il flusso di lavoro di ricerca e rimozione è diviso tra diversi gruppi di ruoli del portale di Microsoft Purview?

    Per eseguire ricerche nelle cassette postali, è necessario essere membri del gruppo di ruoli Manager di eDiscovery o disporre del ruolo di gestione Ricerca di conformità. Per eliminare i messaggi, a una persona deve essere membro del gruppo di ruoli Gestione organizzazione o essere assegnato il ruolo di gestione Ricerca ed eliminazione . In questo modo è possibile controllare chi può eseguire ricerche nelle cassette postali dell'organizzazione e chi può eliminare i messaggi.