搜尋並刪除電子郵件訊息

  • 6 分鐘

組織可以使用內容搜尋功能,在其 Exchange 部署中搜尋和刪除所有信箱中的電子郵件訊息。 此流程可協助您找出並移除可能有害或高風險的電子郵件,例如:

  • 含有危險附件或病毒的郵件。
  • 網路釣魚郵件。
  • 包含敏感性資料的郵件。

警告

如果組織有適用於 Office 365 的 Defender 方案 2 訂閱,則應該使用補救在 Office 365 傳遞的惡意電子郵件中所詳述的流程,而不是遵循本單元所述的流程。

刪除電子郵件訊息的必要條件

  • 本單元所述的搜尋和清除工作流程不會刪除 Microsoft Teams 中的聊天訊息或其他內容。 如果您在步驟 2 (如下所述) 中建立的 [內容搜尋] 會從 Microsoft Teams 中傳回項目,當您在步驟 3 清除項目時,將不會刪除這些項目。 若要搜尋並刪除聊天訊息,請參閱 Teams 中的聊天訊息搜尋和清除

  • 若要建立和執行內容搜尋,您必須是 電子文件探索管理員 角色群組的成員,或是在 Microsoft Purview 合規性入口網站中獲指派 合規性搜尋 角色。

    若要刪除郵件,您必須是 組織管理 角色群組的成員,或者在 Microsoft Purview 合規性入口網站中獲指派 搜尋及清除 角色。 如需新增使用者至角色群組的詳細資訊,請參閱 指派電子文件探索權限

    注意事項

    Exchange Online 與 Microsoft Purview 合規性入口網站中皆有 組織管理 角色群組。 組織管理 角色群組與 搜尋和清除 角色不同。 作為 Exchange Online 中的 組織管理 成員,不會授予刪除電子郵件訊息所需的權限。 如果您未在 Microsoft Purview 合規性入口網站中獲指派 搜尋及清除 角色 (直接指派或透過角色群組如 組織管理),當您執行 New-ComplianceSearchAction Cmdlet 時,您會在步驟 3 收到錯誤。 訊息會顯示:找不到符合參數名稱 'Purge' 的參數

  • 每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除郵件的功能應該是事件回應工具,此限制可以協助確保從信箱快速移除郵件。 這項功能不是用來清除使用者信箱。

  • 透過執行搜尋及清除動作,您最多可以在內容搜尋刪除 50,000 個信箱內的項目。 如果搜尋功能 (您在步驟 2 中所建立的項目) 搜尋超過 50,000 個信箱,則您在步驟 3 中建立的清除動作將失敗。 在單一搜尋中搜尋超過 50,000 個信箱,通常會在您將搜尋設為包含組織中的所有信箱時發生。 即使包含符合搜尋查詢項目的信箱少於 50,000 個,此限制仍會適用。 請參閱本單元中的最後一節,以瞭解有關使用搜尋權限篩選條件在超過 50,000 個信箱中搜尋和清除項目的指南。

  • 本單元所述的程序只能用於刪除 Exchange Online 信箱和公用資料夾中的項目。 您無法使用這個程序來刪除 SharePoint 或商務用 OneDrive 上的內容。

  • 您無法使用本單元所述的程序刪除電子文件探索 (進階版) 案例的檢閱集中的電子郵件項目。 為什麼? 這是因為檢閱集中的項目是儲存在 Azure 儲存位置,而不是在實際服務中。 因此,這些項目不會由您在步驟 1 建立的內容搜尋傳回。 若要刪除檢閱集中的項目,您必須刪除包含檢閱集的電子文件探索 (進階版) 案例。 如需詳細資訊,請參閱關閉或刪除電子文件探索 (進階版) 案例

步驟 1:連線到安全性與合規性 PowerShell 模組

組織必須使用 安全性與合規性 PowerShell 模組來刪除訊息。 因此,組織的第一個步驟是連線到安全性與合規性 PowerShell 模組。 如需連線到此模組的詳細資訊,請 參閱連線到安全性 & 合規性 PowerShell

步驟 2:建立內容搜尋來尋找要刪除的郵件

第二個步驟是建立和執行內容搜尋,以尋找您想要從組織中的信箱移除的郵件。 您可以使用 Microsoft Purview 合規性入口網站或執行安全性與合規性 PowerShell 模組中的 New-ComplianceSearch and Start-ComplianceSearch cmdlets 來建立搜尋。

藉由在步驟 3 中執行 New-ComplianceSearchAction -Purge 命令,會刪除符合此搜尋查詢的郵件。

注意事項

在此步驟中建立的內容搜尋,其搜尋的內容位置不能包含 SharePoint 或商務用 OneDrive 網站。 您只能在內容搜尋中包含將用於電子郵件的信箱和公用資料夾。 如果內容搜尋包含網站,則在步驟 3 中執行 New-ComplianceSearchAction Cmdlet 時會收到錯誤。

尋找要移除郵件的提示

搜尋查詢的目標是將搜尋結果縮減為只有您想要移除的郵件。 以下是一些提示:

  • 如果您知道郵件主旨行中使用的確切文字或片語,請在搜尋查詢中使用 Subject 屬性。
  • 如果您知道郵件的實際日期 (或日期範圍),請在搜尋查詢中包含 Received 屬性。
  • 如果您知道郵件的寄件者,請在搜尋查詢中包含 From 屬性。
  • 預覽搜尋結果,以確認內容搜尋僅傳回您想要刪除的郵件。
  • 使用搜尋預估統計資料 (在合規性入口網站的搜尋詳細資料窗格中顯示,或使用 Get-ComplianceSearch Cmdlet) 以取得結果總數。

以下是尋找可疑電子郵件訊息的兩個查詢範例。

  • 此查詢傳回 2017 年 4 月 13 日和 2017 年 4 月 14 日之間使用者所接收的郵件,且在主旨列中包含文字「動作」和「必要」。

    (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')

  • 此查詢傳回 chatsuwloginsset12345@outlook.com 所送出的郵件,且在主旨列中包含精準字詞「更新您的帳戶資訊」。

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

以下是使用查詢來建立並開始搜尋的範例,方法是透過執行 New-ComplianceSearch 與 Start-ComplianceSearch Cmdlet 來搜尋組織中的所有郵件信箱:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步驟 3:刪除郵件

至此為止,您已建立並調整內容搜尋,以傳回您想要移除的訊息。 您現在已準備好刪除選取的訊息。 在此步驟中,您將在安全性與合規性 PowerShell 模組中執行 New-ComplianceSearchAction -Purge 命令,以刪除訊息。

您可以虛刪除或實刪除郵件。

  • 虛刪除郵件。 此訊息會移至使用者的 [可復原的項目] 資料夾。 它會保留在該處,直到刪除的項目保留期間到期為止。
  • 已刪除訊息。 此郵件標示為從信箱永久移除。 系統會在下一次受管理的資料夾助理員 (MFA) 處理信箱時,永久地移除項目。 請記住下列情況:
    • 已啟用信箱的單一項目復原。 在這種情況下,則會在刪除項目的保留期限到期後,永久刪除實刪除的項目。
    • 信箱置於保留狀態。 在這種情況下,則會保留已刪除的郵件,直到該郵件的保留期間到期或從信箱移除保留為止。

注意事項

如前所述,當您執行 New-ComplianceSearchAction -Purge 命令時,不會刪除 Microsoft Teams 中由內容搜尋傳回的項目。

若要執行下列命令以刪除郵件,請確認您已連線至 [安全性與合規性 PowerShell] 模組。

虛刪除郵件

在下列範例中,命令會虛刪除由名為「移除網路釣魚郵件」的內容搜尋所傳回的搜尋結果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

實刪除郵件

若要實刪除由「移除網路釣魚郵件」內容搜尋所傳回的項目,您可以執行下列命令:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

當您執行上述命令來虛刪除或實刪除郵件時,SearchName 參數指定的搜尋是您在步驟 1 所建立的內容搜尋。

  • 如何判斷搜尋和移除作業的狀態?

    執行 Get-ComplianceSearchAction 命令以取得刪除作業的狀態。 當您執行 New-ComplianceSearchAction Cmdlet 時所建立的物件會使用下列格式命名:<內容搜尋的名稱>_清除。

  • 永久刪除郵件後,會發生什麼情況?

    使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 命令刪除的郵件將被移至 [清除] 資料夾。 使用者無法存取訊息。

    郵件移至 [清除] 資料夾後,如果已針對信箱啟用單一項目復原,則會根據刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中,建立新信箱時即會預設啟用單一項目復原。) 刪除項目的保留期限到期後,郵件將標示為永久刪除。 系統會在下一次受管理的資料夾助理員 (MFA) 處理信箱時,從 Microsoft 365 清除項目。

  • 刪除郵件後,會發生什麼情況?

    使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令進行虛刪除的郵件會移至使用者的 [可復原的項目] 資料夾中的 [刪除] 資料夾。 它不會立即從 Microsoft 365 中清除。

    使用者可以根據為信箱設定的刪除項目保留期間,在持續時間之內復原 [刪除的郵件] 資料夾中的郵件。 此保留期間到期 (或者如果使用者在到期之前清除郵件) 之後,郵件會移至 [清除] 資料夾。 從那哩,使用者無法再存取它。 郵件位在 [清除] 資料夾後,如果已針對信箱啟用單一項目復原,則會根據為信箱設定的刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中,建立新信箱時即會預設啟用單一項目復原。) 刪除項目的保留期限到期後,郵件將標示為永久刪除。 系統會在下一次受管理的資料夾助理員 (MFA) 處理信箱時,從 Microsoft 365 清除項目。

  • 如果要從 50,000 個以上的信箱刪除郵件,該怎麼辦?

    如先前所述,您可以針對最多 50,000 個信箱執行搜尋和清除作業 (即使包含符合搜尋查詢項目的信箱少於 50,000 個) 如果必須對超過 50,000 個信箱執行搜尋和清除作業,請考慮建立臨時搜尋權限篩選條件,以便將搜尋到的信箱數減少為小於 50,000 個信箱。

    例如,如果您的組織包含不同部門、州或國家/地區的信箱,您可以根據其中一個信箱屬性來建立信箱搜尋許可權篩選,以搜尋組織中的信箱子集。 建立搜尋權限篩選條件後,您可以建立搜尋 然後再刪除郵件 (如步驟 3 所述)。 您可以編輯篩選條件來搜尋及清除不同組信箱中的郵件。 如需建立搜尋權限篩選條件的詳細資訊,請參閱設定內容搜尋的權限篩選

  • 搜尋結果中包含的未索引項目是否會被刪除?

    不會,New-ComplianceSearchAction -Purge 命令不會刪除未編制索引的項目。

  • 如果刪除位於就地保留或訴訟資料暫留的信箱中的郵件,或將郵件指派給 Microsoft 365 保留原則,會發生什麼情況?

    清除郵件並將其移動到 [清除] 資料夾後,郵件會保留,直到保留期限到期為止。 如果保留期限無限制,則項目會保留到移除保留或變更保留期限為止。

  • 為何搜尋和移除工作流程在不同的安全性與合規性入口網站色群組之間是分開的?

    使用者必須是eDiscovery 管理員角色群組的成員,或者獲指派 符合性搜尋管理 角色才能搜尋信箱。 若要刪除郵件,該人員必須是「組織管理」角色群組的成員,或者獲指派「搜尋及清除」管理角色。 此設計可以控制誰能夠在組織中搜尋信箱以及誰能夠刪除郵件。