Trovare ed eliminare messaggi di posta elettronica in eDiscovery

È possibile usare la funzionalità di ricerca per cercare ed eliminare i messaggi di posta elettronica da tutte le cassette postali dell'organizzazione. Questo processo consente di trovare e rimuovere messaggi potenzialmente dannosi o ad alto rischio, ad esempio:

• Messaggi contenenti virus o allegati pericolosi
• Messaggi di phishing
• Messaggi contenenti dati sensibili

Tuttavia, il processo di eliminazione di eDiscovery non è destinato alle attività generali di gestione delle cassette postali, ad esempio:

• Riduzione della quota delle cassette postali
• Cancellazione delle cassette postali
• Applicazione dei criteri di conservazione dei dati

Il processo di eliminazione descritto in questo articolo è progettato in modo specifico per risolvere gli eventi imprevisti di spillage dei dati, ad esempio quando un piccolo messaggio viene accidentalmente condiviso con un gruppo di utenti di grandi dimensioni. Per la gestione e la conformità delle cassette postali di routine, usare invece gli strumenti seguenti:

• Criteri di conservazione: per gestire il ciclo di vita dei dati e garantire la conformità agli standard dell'organizzazione.
• criteri Archivio: per scaricare il contenuto meno recente e gestire l'archiviazione delle cassette postali in modo efficace.
• Proprietà delle cassette postali ed eliminazione manuale: per un controllo preciso su cassette postali specifiche, in particolare quando il contenuto deve essere esaminato o rimosso dal proprietario della cassetta postale.

Prima di iniziare

• A seconda della sottoscrizione di eDiscovery per l'organizzazione, i casi possono essere abilitati per le funzionalità Premium di eDiscovery, se l'organizzazione dispone di licenze E5 o meno. Verificare il livello di supporto delle funzionalità per il caso per determinare se è necessario usare PowerShell o Microsoft Graph per la ricerca e l'eliminazione.

• Per i casi non configurati per le funzionalità Premium di eDiscovery, è possibile usare PowerShell solo per cercare ed eliminare i messaggi di posta elettronica. Per i clienti E3, i casi creati dai cmdlet o dal portale di Microsoft Purview possono eliminare la posta elettronica solo tramite PowerShell. È possibile eliminare fino a 10 elementi per località.

• Per i casi configurati per le funzionalità Premium di eDiscovery, è possibile usare PowerShell o Microsoft Graph per cercare ed eliminare i messaggi di posta elettronica. I casi configurati tramite Graph o il portale di Microsoft Purview con funzionalità Premium possono eliminare solo messaggi di posta elettronica e di Teams tramite Graph. È possibile eliminare fino a 100 elementi per località.

  Importante

  Non usare una combinazione di PowerShell e Microsoft Graph per eliminare i messaggi di posta elettronica.

• Una volta eliminati definitivamente, i dati non possono essere recuperati. Seguire attentamente le indicazioni in questo articolo e convalidare l'ambito della ricerca prima di eseguire il comando di eliminazione. Dopo aver eseguito il comando di eliminazione, non è possibile annullarlo e non è possibile ripristinare i messaggi di posta elettronica.

• Le condizioni di ricerca, ad esempio identificatore, etichetta di riservatezza e tipo di informazioni riservate, non sono supportate per la ricerca e l'eliminazione per i casi non premium abilitati in eDiscovery. L'uso di queste condizioni comporta una perdita di dati imprevista.

• Eseguire un report di esportazione per esaminare tutti gli elementi che corrispondono ai criteri di ricerca prima dell'eliminazione. Usando l'esperienza di ricerca ed esportazione nel portale di Microsoft Purview ed esportando i risultati in formato solo report, è possibile esaminare i metadati dettagliati prima dell'eliminazione. Questo approccio consente di perfezionare l'ambito di ricerca e garantisce un'eliminazione più mirata e accurata.

• Non usare il flusso di lavoro di ricerca ed eliminazione descritto in questo articolo per eliminare i messaggi di chat o altri contenuti da Microsoft Teams. Se la ricerca creata nel passaggio 2 restituisce elementi da Microsoft Teams, seguire i passaggi descritti in Trovare ed eliminare i messaggi di chat di Microsoft Teams in eDiscovery per eliminarli.

• Per creare ed eseguire una ricerca, è necessario essere membri del gruppo di ruoli di eDiscovery Manager o essere assegnati al ruolo Ricerca conformità nel portale di Microsoft Purview. Per eliminare i messaggi, è necessario essere membri del gruppo di ruoli Gestione organizzazione o essere assegnati al ruolo Ricerca ed eliminazione nel portale di Microsoft Purview. Per informazioni su come aggiungere gli utenti a un gruppo di ruoli, vedere Assegnare le autorizzazioni di eDiscovery.

  Nota

  Il gruppo di ruoli Gestione organizzazione esiste sia in Exchange Online che nel portale di Microsoft Purview. Si tratta di gruppi di ruoli separati che assegnano autorizzazioni diverse. Essere un membro di Gestione organizzazione in Exchange Online non concede le autorizzazioni necessarie per eliminare i messaggi di posta elettronica. Se non viene assegnato il ruolo Di ricerca ed eliminazione nel portale di Microsoft Purview (direttamente o tramite un gruppo di ruoli come Gestione organizzazione), viene visualizzato un errore nel passaggio 3 quando si esegue il cmdlet New-ComplianceSearchAction con il messaggio "Impossibile trovare un parametro che corrisponda al nome del parametro 'Purge'".

• Per eliminare i messaggi, è necessario usare PowerShell sicurezza & conformità. Per istruzioni su come connettersi, vedere Passaggio 1: Connessione a PowerShell per Sicurezza & conformità.

• È possibile rimuovere un massimo di 10 elementi per cassetta postale contemporaneamente. Poiché la funzionalità di ricerca e rimozione dei messaggi è destinata a essere uno strumento di risposta agli eventi, questo limite consente di garantire che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.

• Se è necessario rimuovere altri elementi dalla cassetta postale, seguire questa procedura aggiuntiva:

  1. La conservazione di un singolo elemento deve essere disabilitata per le cassette postali. Questo passaggio assicura che gli elementi vengano rimossi dalla cartella Purges.
  2. L'Assistente cartelle gestite deve essere eseguito sulla cassetta postale dopo ogni azione di eliminazione della conformità. Questa azione elimina definitivamente gli elementi e consente di rimuovere altri 10 elementi con azioni di eliminazione aggiuntive.

  Nota

  Questa opzione non è supportata se una cassetta postale ha un blocco per controversia legale. Solo 10 elementi vengono rimossi dalla visualizzazione dell'utente. Questi 10 elementi non vengono eliminati definitivamente, quindi questi 10 elementi sono gli unici elaborati.

• Il numero massimo di cassette postali supportato dalla ricerca di contenuto da usare per eliminare gli elementi con un'operazione di ricerca e rimozione è 50.000. Se la ricerca (creata nel passaggio 2) cerca più di 50.000 cassette postali, l'azione di eliminazione (creata nel passaggio 3) ha esito negativo. La ricerca in più di 50.000 cassette postali in una singola ricerca può verificarsi in genere quando si configura la ricerca per includere tutte le cassette postali nell'organizzazione. Questa restrizione si applica ancora anche quando meno di 50.000 cassette postali contengono elementi che corrispondono alla query di ricerca. Vedere la sezione Altre informazioni per indicazioni sull'uso dei filtri di autorizzazioni per la ricerca ed eliminare elementi da più di 50.000 cassette postali.

• È possibile usare la procedura descritta in questo articolo solo per eliminare elementi nelle cassette postali Exchange Online e nelle cartelle pubbliche. Non è possibile usarlo per eliminare contenuto da siti di SharePoint o OneDrive.

• Non è possibile eliminare elementi di posta elettronica in un set di revisione in un caso di eDiscovery usando le procedure descritte in questo articolo. Il motivo è che gli elementi in un insieme da rivedere vengono archiviati in una posizione di archiviazione di Azure e non nel servizio Live. Ciò significa che non vengono restituiti dalla ricerca di contenuto creata nel passaggio 1. Per eliminare elementi in un set di revisione, è necessario eliminare il caso di eDiscovery che contiene il set di revisione.

Passaggio 1: Connettersi a PowerShell in Sicurezza e conformità

Connettersi prima di tutto a Security & Compliance PowerShell per l'organizzazione. Per ottenere istruzioni dettagliate, vedere Connettersi a PowerShell in Sicurezza e conformità.

Passaggio 2: Creare una query di ricerca per trovare il messaggio da eliminare

Creare ed eseguire quindi una ricerca per trovare il messaggio che si vuole rimuovere dalle cassette postali dell'organizzazione. È possibile creare la ricerca usando il portale di Microsoft Purview o eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch in PowerShell sicurezza & conformità. I messaggi che corrispondono alla query per questa ricerca vengono eliminati eseguendo il comando New-ComplianceSearchAction -Purge nel passaggio 3. Per informazioni sulla creazione e la configurazione di query di ricerca, vedere gli articoli seguenti:

• Creare una query di ricerca
• Usare il generatore di condizioni
• New-ComplianceSearch
• Start-ComplianceSearch

Suggerimenti per cercare i messaggi da rimuovere

L'obiettivo della query di ricerca è quello di limitare i risultati solo ai messaggi che si desidera rimuovere. Di seguito sono riportati alcuni suggerimenti:

• Se si conosce la frase o il testo esatto della riga dell'oggetto del messaggio, utilizzare la proprietà Subject nella query di ricerca.
• Se si conosce la data o l'intervallo di date esatto del messaggio, includere la proprietà Received nella query di ricerca.
• Se si conosce il mittente del messaggio, includere la proprietà From nella query di ricerca.
• Visualizzare in anteprima i risultati della ricerca per verificare che la ricerca restituisca solo i messaggi da eliminare.
• Usare le statistiche di stima della ricerca, visualizzate nel riquadro dei dettagli della ricerca nel portale di Microsoft Purview o usando il cmdlet Get-ComplianceSearch , per ottenere un conteggio del numero totale di risultati.

Ecco due esempi di query per trovare messaggi di posta elettronica sospetti.

• Questa query restituisce i messaggi ricevuti dagli utenti tra il 13 aprile 2024 e il 14 aprile 2024 e contenenti le parole "action" e "required" nella riga dell'oggetto.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Questa query restituisce i messaggi inviati da user@contoso.com e che contengono la frase esatta "Aggiornare le informazioni sull'account" nella riga dell'oggetto.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Ecco un esempio dell'utilizzo di una query per creare e avviare una ricerca eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch per cercare tutte le cassette postali nell'organizzazione:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Passaggio 3: Eliminare il messaggio

Dopo aver creato e affinato una query di ricerca per restituire i messaggi da rimuovere, eseguire il comando New-ComplianceSearchAction -Purge in PowerShell Sicurezza & Conformità per eliminare il messaggio.

È possibile eliminare il messaggio in maniera temporanea o definitiva. Un messaggio eliminato temporaneamente viene spostato nella cartella Elementi ripristinabili dell’utente e viene conservato fino alla scadenza del periodo di conservazione degli elementi eliminati. I messaggi eliminati definitivamente vengono contrassegnati per la rimozione permanente dalla cassetta postale e vengono rimossi definitivamente la volta successiva in cui la cassetta postale viene elaborata da Managed Folder Assistant. Se il ripristino di un singolo elemento è abilitato per la cassetta postale, gli elementi eliminati definitivamente vengono rimossi definitivamente dopo la scadenza del periodo di conservazione degli elementi eliminati. Se viene applicato un blocco a una cassetta postale, i messaggi eliminati vengono conservati finché la durata del periodo di conservazione dell'elemento non scade o finché il blocco non viene rimosso.

Per eseguire i comandi seguenti per eliminare i messaggi, assicurarsi di essere connessi a Security & Compliance PowerShell.

Eliminare temporaneamente messaggi

Nell'esempio seguente il comando elimina temporaneamente i risultati della ricerca restituiti da una query di ricerca denominata "Remove Phishing Message".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminare definitivamente messaggi

Per eliminare definitivamente gli elementi restituiti dalla ricerca di contenuto "Rimuovi messaggio di phishing", eseguire il comando seguente:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando si eseguono i comandi precedenti per l'eliminazione temporanea o l'eliminazione temporanea dei messaggi, la ricerca specificata dal parametro SearchName è la query di ricerca creata nel passaggio 1.

Per altre informazioni, vedere New-ComplianceSearchAction.

Domande frequenti

• Ho seguito i passaggi descritti in questo articolo per la ricerca, la verifica e l'eliminazione, ma non elimina ancora elementi da una cassetta postale.

  A volte gli elementi corrispondenti alla query di ricerca sono più di 10 elementi (o 100 elementi se si usa Microsoft Graph) per una cassetta postale. Se si esegue l'eliminazione usando il cmdlet di PowerShell e si eliminano solo 10 elementi oppure si esegue l'eliminazione tramite Microsoft Graph ed elimina solo 100 elementi, questo comportamento è normale. Ripetere il processo più volte se si desidera eliminare più di 10 (o 100) elementi per cassetta postale. È consigliabile evitare di aggirare questi limiti eseguendo continuamente il comando di eliminazione. Se è necessario eliminare altri dati da un'unica posizione, vedere Correggere i messaggi di posta elettronica dannosi recapitati in Office 365 o eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365.

  Un altro motivo potrebbe essere la cassetta postale è in attesa per controversia legale. Se il report di esportazione associato all'esecuzione della ricerca nel passaggio 2 (o fatto in eDiscovery) indica che gli elementi si trovano nella cartella Elementi ripristinabili , questo risultato significa che sono presenti blocchi, ma gli elementi vengono spostati fuori visualizzazione. Se si desidera rimuovere gli elementi dal blocco, è consigliabile usare La pulizia della priorità. In alternativa, è possibile rilasciare il blocco e provare di nuovo a eliminare. Controllare lo stato del blocco eseguendo il cmdlet seguente in Exchange PowerShell:

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

Verificare i valori seguenti nei risultati del cmdlet:

• InPlaceHolds deve essere vuoto o avere solo valori preceduti da :

  • DelayHold deve essere false
  • SingleItemRecovery deve essere false

  Verificare la presenza di criteri a livello di tenant eseguendo il cmdlet seguente:

  Get-OrganizationConfig | fl *Hold*
  

  Se sono presenti criteri a livello di tenant, è necessario escludere la cassetta postale dall'eliminazione:

• La cassetta postale è in attesa di ritardo.

  • Gli elementi di interesse vengono ancora trovati dopo l'eliminazione perché vengono spostati nella cartella Elementi ripristinabili .

• Ricerca per categorie verificare se gli elementi si trovano nella cartella elementi ripristinabili?

  Per verificare che gli elementi si trovino nella cartella Elementi ripristinabili , eseguire un report di esportazione per la ricerca ed esaminare il percorso del file degli elementi nel report CSV per verificare se gli elementi si trovano nella cartella Elementi ripristinabili . Se sì, il cmdlet New-ComplianceSearch non tenta di eliminare l'elemento. Se il report CSV indica che gli elementi si trovano nella cartella Elementi ripristinabili e che la cassetta postale dell'elemento è archiviata, la cassetta postale viene ridimensionata. Questi elementi di backup non possono essere eliminati e alla fine vengono rimossi automaticamente.

• Come si vede lo stato dell'operazione di ricerca e rimozione?

  Eseguire il comando Get-ComplianceSearchAction per vedere lo stato dell'operazione di eliminazione. L'oggetto creato quando si esegue il cmdlet New-ComplianceSearchAction viene denominato con questo formato: <name of Content Search>_Purge.

• Cosa succede dopo l'eliminazione di un messaggio?

  Un messaggio eliminato con il New-ComplianceSearchAction -Purge -PurgeType HardDelete comando viene spostato nella cartella Purges e non è accessibile dall'utente. Dopo lo spostamento del messaggio nella cartella Purges, il messaggio viene conservato per il periodo di conservazione degli elementi eliminati se è abilitato il ripristino di un singolo elemento per la cassetta postale. In Microsoft 365 il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e viene eliminato da Microsoft 365 la volta successiva in cui la cassetta postale viene elaborata dal assistente della cartella gestita.

  Usando il comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, i messaggi vengono spostati nella cartella Eliminazioni nella cartella Elementi ripristinabili dell'utente. Non viene rimosso immediatamente da Microsoft 365. L'utente può recuperare i messaggi nella cartella Elementi eliminati per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale. Dopo la scadenza di questo periodo di conservazione (o se l'utente elimina il messaggio prima della scadenza), il messaggio viene spostato nella cartella di eliminazione e non è più accessibile da parte dell'utente. Una volta spostato nella cartella Ripuliture, il messaggio viene mantenuto per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale, se il ripristino di un singolo elemento è abilitato. In Microsoft 365 il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato per l'eliminazione permanente e viene eliminato da Microsoft 365 la volta successiva in cui la cassetta postale viene elaborata dalla cartella gestita assistente.

• Cosa succede se è necessario eliminare un messaggio da più di 50.000 cassette postali?

  È possibile eseguire un'operazione di ricerca ed eliminazione su un massimo di 50.000 cassette postali (anche se meno di 50.000 contengono elementi che corrispondono alla query di ricerca). Se è necessario eseguire un'operazione di ricerca ed eliminazione in più di 50.000 cassette postali, è consigliabile creare filtri temporanei per le autorizzazioni di ricerca che riducono il numero di cassette postali di cui verrà eseguita la ricerca a meno di 50.000 cassette postali. Ad esempio, se l'organizzazione contiene cassette postali in reparti, stati o paesi diversi, è possibile creare un filtro per le autorizzazioni di ricerca delle cassette postali basato su una di queste proprietà della cassetta postale per eseguire ricerche in un subset di cassette postali nell'organizzazione. Dopo aver creato il filtro delle autorizzazioni di ricerca, è necessario creare la ricerca, come descritto nel Passaggio 1, e quindi eliminare il messaggio, come descritto nel Passaggio 3. È quindi possibile modificare il filtro in modo da cercare e rimuovere i messaggi in un insieme di cassette postali diverso. Per altre informazioni sulla creazione di filtri per le autorizzazioni di ricerca, vedere Configurare il filtro delle autorizzazioni di ricerca in eDiscovery.

• Gli elementi non indicizzati inclusi nei risultati della ricerca verranno eliminati?

  No, il comando New-ComplianceSearchAction -Purge non elimina gli elementi non indicizzati.

• Cosa accade se un messaggio viene eliminato da una cassetta postale inserita nel blocco per controversia legale o assegnata a un criterio di conservazione di Microsoft 365?

  Dopo che il messaggio è stato eliminato e spostato nella cartella Ripuliture, il messaggio viene conservato fino alla scadenza del periodo di conservazione. Se la durata di conservazione è illimitata, gli elementi vengono mantenuti fino a quando non viene rimosso il blocco o viene modificata la durata di conservazione.

• Perché il flusso di lavoro di ricerca e rimozione è diviso tra diversi gruppi di ruoli del portale di Microsoft Purview?

  Per eseguire ricerche nelle cassette postali, è necessario essere membri del gruppo di ruoli Manager di eDiscovery o disporre del ruolo di gestione Ricerca di conformità. Per eliminare i messaggi, a una persona deve essere membro del gruppo di ruoli Gestione organizzazione o essere assegnato il ruolo di gestione Ricerca ed eliminazione . Questa divisione consente di controllare chi può eseguire ricerche nelle cassette postali nell'organizzazione e chi può eliminare i messaggi.