Búsqueda y eliminación de mensajes de correo electrónico en eDiscovery

Puede usar la característica de búsqueda para buscar y eliminar mensajes de correo electrónico de todos los buzones de correo de la organización. Este proceso puede ayudarle a buscar y eliminar correos electrónicos potencialmente dañinos o de alto riesgo, como:

• Mensajes que contienen virus o datos adjuntos peligrosos
• Mensajes de suplantación de identidad
• Mensajes que contienen datos confidenciales

Sin embargo, el proceso de purga de eDiscovery no está pensado para tareas generales de administración de buzones, como:

• Reducción de la cuota de buzones
• Borrar buzones
• Aplicación de directivas de retención de datos

El proceso de purga descrito en este artículo está diseñado específicamente para abordar incidentes de derrame de datos, como cuando un mensaje pequeño se comparte accidentalmente con un gran grupo de usuarios. Para la administración y el cumplimiento rutinarios de buzones de correo, use las siguientes herramientas en su lugar:

• Directivas de retención: para administrar el ciclo de vida de los datos y garantizar el cumplimiento de los estándares de la organización.
• directivas de Archivo: para descargar contenido anterior y administrar el almacenamiento del buzón de correo de forma eficaz.
• Propiedad del buzón y eliminación manual: para un control preciso sobre buzones específicos, especialmente cuando el propietario del buzón debe revisar o quitar el contenido.

Antes de empezar

• En función de la suscripción de eDiscovery de su organización, los casos se pueden habilitar para las características premium de eDiscovery, si la organización tiene licencias E5 o no. Compruebe el nivel de compatibilidad de características para el caso para determinar si debe usar PowerShell o Microsoft Graph para buscar y purgar.

• En los casos no configurados para las características premium de eDiscovery, solo puede usar PowerShell para buscar y eliminar mensajes de correo electrónico. Para los clientes de E3, los casos creados por cmdlets o el portal de Microsoft Purview solo pueden purgar el correo electrónico mediante PowerShell. Puede purgar hasta 10 elementos por ubicación.

• Para los casos configurados para las características premium de eDiscovery, puede usar PowerShell o Microsoft Graph para buscar y eliminar mensajes de correo electrónico. Los casos configurados mediante Graph o el portal de Microsoft Purview con características premium solo pueden purgar mensajes de correo electrónico y de Teams mediante Graph. Puede purgar hasta 100 elementos por ubicación.

  Importante

  No use una combinación de PowerShell y Microsoft Graph para purgar mensajes de correo electrónico.

• Una vez que los datos se eliminan permanentemente, no se pueden recuperar. Siga atentamente las instrucciones de este artículo y valide el ámbito de la búsqueda antes de emitir el comando de purga. Una vez que ejecute el comando de purga, no se puede deshacer y no se pueden restaurar los mensajes de correo electrónico.

• Las condiciones de búsqueda, como el identificador, la etiqueta de confidencialidad y el tipo de información confidencial, no se admiten para la búsqueda y eliminación de casos no habilitados para premium en eDiscovery. El uso de estas condiciones da lugar a una pérdida de datos inesperada.

• Ejecute un informe de exportación para revisar todos los elementos que coincidan con los criterios de búsqueda antes de la purga. Mediante el uso de la experiencia de búsqueda y exportación en el portal de Microsoft Purview y la exportación de los resultados en formato de solo informe, puede examinar metadatos detallados antes de eliminarlos. Este enfoque ayuda a refinar el ámbito de búsqueda y garantiza una purga más precisa y dirigida.

• No use el flujo de trabajo de búsqueda y purga descrito en este artículo para eliminar mensajes de chat u otro contenido de Microsoft Teams. Si la búsqueda que crea en el paso 2 devuelve elementos de Microsoft Teams, siga los pasos descritos en Buscar y eliminar mensajes de chat de Microsoft Teams en eDiscovery para eliminarlos.

• Para crear y ejecutar una búsqueda, debe ser miembro del grupo de roles administrador de exhibición de documentos electrónicos o tener asignado el rol Búsqueda de cumplimiento en el portal de Microsoft Purview. Para eliminar mensajes, debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol Buscar y purgar en el portal de Microsoft Purview. Para obtener información sobre cómo agregar usuarios a un grupo de roles, vea Asignar permisos de eDiscovery.

  Nota:

  El grupo de roles Administración de la organización existe tanto en Exchange Online como en el portal de Microsoft Purview. Se trata de grupos de roles independientes que conceden permisos diferentes. Ser miembro de Administración de la organización en Exchange Online no concede los permisos necesarios para eliminar mensajes de correo electrónico. Si no se le asigna el rol Buscar y purgar en el portal de Microsoft Purview (ya sea directamente o a través de un grupo de roles como Organization Management), recibirá un error en el paso 3 al ejecutar el cmdlet New-ComplianceSearchAction con el mensaje "No se puede encontrar un parámetro que coincida con el nombre de parámetro 'Purge'".

• Debe usar Security & Compliance PowerShell para eliminar mensajes. Consulte Paso 1: Conectar a Seguridad y cumplimiento de PowerShell para obtener instrucciones sobre cómo conectarse.

• Puede quitar un máximo de 10 elementos por buzón a la vez. Dado que la capacidad de buscar y quitar mensajes está pensada para ser una herramienta de respuesta a eventos, este límite ayuda a garantizar que los mensajes se quitan rápidamente de los buzones. Esta característica no está diseñada para limpiar buzones de usuarios.

• El número máximo de buzones en una búsqueda de contenido que puede usar para eliminar elementos al realizar una acción de búsqueda y depuración es 50 000. Si la búsqueda (que crea en el paso 2) busca en más de 50 000 buzones, se produce un error en la acción de purga (que se crea en el paso 3). La búsqueda de más de 50 000 buzones en una sola búsqueda podría producirse normalmente al configurar la búsqueda para incluir todos los buzones de correo de la organización. Esta restricción todavía se aplica incluso cuando menos de 50 000 buzones contienen elementos que coinciden con la consulta de búsqueda. Consulte la sección de Más información para obtener instrucciones sobre el uso de los filtros de permisos de búsqueda para buscar y depurar elementos de más de 50 000 buzones.
• Solo puede usar el procedimiento de este artículo para eliminar elementos de Exchange Online buzones y carpetas públicas. No se puede usar para eliminar contenido de sitios de SharePoint o OneDrive.
• No puede eliminar elementos de correo electrónico en un conjunto de revisión en un caso de exhibición de documentos electrónicos mediante los procedimientos de este artículo. Esto se debe a que los elementos de un conjunto de revisiones se almacenan en una ubicación de almacenamiento de Azure y no en el servicio activo. Esto significa que la búsqueda de contenido que crea en el paso 1 no las devuelve. Para eliminar elementos de un conjunto de revisión, debe eliminar el caso de exhibición de documentos electrónicos que contiene el conjunto de revisión.

Paso 1: Conectarse a Seguridad y cumplimiento de PowerShell

En primer lugar, conéctese a Security & Compliance PowerShell para su organización. Para obtener instrucciones paso a paso, vea Conectarse Seguridad y cumplimiento de PowerShell.

Paso 2: Crear una consulta de búsqueda para buscar el mensaje que se va a eliminar

A continuación, cree y ejecute una búsqueda para encontrar el mensaje que desea quitar de los buzones de su organización. Puede crear la búsqueda mediante el portal de Microsoft Purview o mediante la ejecución de los cmdlets New-ComplianceSearch y Start-ComplianceSearch en PowerShell de seguridad & cumplimiento. Los mensajes que coinciden con la consulta de esta búsqueda se eliminan mediante la ejecución del comando New-ComplianceSearchAction -Purge en el paso 3. Para obtener información sobre cómo crear y configurar consultas de búsqueda, consulte los artículos siguientes:

• Creación de una consulta de búsqueda
• Uso del generador de condiciones
• New-ComplianceSearch
• Start-ComplianceSearch

Sugerencias para buscar mensajes que quiere eliminar

El objetivo de la consulta de búsqueda es restringir los resultados a solo los mensajes que desea quitar. Aquí encontrará algunas sugerencias:

• Si conoce el texto o la frase exacta usados en la línea de asunto del mensaje, use la propiedad Subject en la consulta de búsqueda.
• Si conoce la fecha exacta o el intervalo de fechas del mensaje, incluya la propiedad Received en la consulta de búsqueda.
• Si conoce quién envió el mensaje, incluya la propiedad From en la consulta de búsqueda.
• Obtenga una vista previa de los resultados de la búsqueda para comprobar que la búsqueda devuelve solo los mensajes que desea eliminar.
• Use las estadísticas de estimación de búsqueda, que se muestran en el panel de detalles de la búsqueda en el portal de Microsoft Purview o mediante el cmdlet Get-ComplianceSearch , para obtener un recuento del número total de resultados.

Estos son dos ejemplos de consultas para buscar mensajes de correo electrónico sospechosos.

• Esta consulta devuelve mensajes que los usuarios recibieron entre el 13 de abril de 2024 y el 14 de abril de 2024 y que contienen las palabras "action" y "required" en la línea del asunto.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Esta consulta devuelve los mensajes enviados por user@contoso.com y que contienen la frase exacta "Actualizar la información de la cuenta" en la línea de asunto.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Este es un ejemplo del uso de una consulta para crear e iniciar una búsqueda mediante la ejecución de los cmdlets New-ComplianceSearch y Start-ComplianceSearch para buscar en todos los buzones de la organización:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Paso 3: Eliminar el mensaje

Después de crear y refinar una consulta de búsqueda para devolver los mensajes que desea quitar, ejecute el comando New-ComplianceSearchAction -Purge en Security & Compliance PowerShell para eliminar el mensaje.

Puede eliminar el mensaje de forma temporal o permanente. Un mensaje eliminado temporalmente se mueve a la carpeta Elementos recuperables de un usuario y se conserva hasta que expire el período de retención de elementos eliminados. Los mensajes eliminados de forma rígida se marcan para la eliminación permanente del buzón y se quitan permanentemente la próxima vez que el Asistente para carpetas administradas procesa el buzón. Si la recuperación de elementos únicos está habilitada para el buzón, los elementos eliminados de forma rígida se quitan permanentemente después de que expire el período de retención de elementos eliminados. Si un buzón está en retención, los mensajes eliminados se conservan hasta que expire la duración del período de retención de un elemento o hasta que se quite la retención del buzón.

Para ejecutar los siguientes comandos para eliminar mensajes, asegúrese de que está conectado a PowerShell de cumplimiento de seguridad &.

Eliminar mensajes temporalmente

En el ejemplo siguiente, el comando elimina temporalmente los resultados de búsqueda devueltos por una consulta de búsqueda denominada "Quitar mensaje de suplantación de identidad".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminar mensajes de forma permanente

Para eliminar de forma rígida los elementos devueltos por la búsqueda de contenido "Quitar mensaje de suplantación de identidad", ejecute el siguiente comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Al ejecutar los comandos anteriores para eliminar temporalmente o eliminar mensajes de forma rígida, la búsqueda especificada por el parámetro SearchName es la consulta de búsqueda que creó en el paso 1.

Para obtener más información, vea New-ComplianceSearchAction.

Preguntas frecuentes

• He seguido los pasos de este artículo para buscar, comprobar y purgar, pero todavía no elimina elementos de un buzón de correo.

  A veces, los elementos que coinciden con la consulta de búsqueda son más de 10 elementos (o 100 elementos si se usa Microsoft Graph) para un buzón de correo. Si ejecuta la purga mediante el cmdlet de PowerShell y solo elimina 10 elementos, o ejecuta la purga mediante Microsoft Graph y solo elimina 100 elementos, este comportamiento es normal. Repita el proceso varias veces si desea eliminar más de 10 (o 100) elementos por buzón. Se recomienda encarecidamente no trabajar con estos límites mediante la ejecución continua del comando de purga. Si necesita eliminar más datos de una sola ubicación, consulte Corrección de correo electrónico malintencionado entregado en Office 365 o Purga automática de cero horas (ZAP) en Microsoft Defender para Office 365.

  Otra razón podría ser que el buzón esté en suspensión por juicio. Si el informe de exportación asociado a la ejecución de búsqueda en el paso 2 (o hecho en eDiscovery) indica que los elementos están en la carpeta Elementos recuperables , este resultado significa que hay retenciones, pero los elementos se mueven fuera de la vista. Si desea quitar elementos de la suspensión, se recomienda encarecidamente usar limpieza de prioridad. Como alternativa, puede liberar la suspensión e intentar purgar de nuevo. Compruebe el estado de la suspensión ejecutando el siguiente cmdlet en Exchange PowerShell:

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

Compruebe los siguientes valores en los resultados del cmdlet:

• InPlaceHolds debe estar vacío o solo tener valores con el prefijo –

  • DelayHold debe ser false
  • SingleItemRecovery debe ser false

  Para comprobar si hay directivas de nivel de inquilino, ejecute el siguiente cmdlet:

  Get-OrganizationConfig | fl *Hold*
  

  Si hay alguna directiva de nivel de inquilino, debe excluir el buzón de correo de la purga:

• El buzón está en espera de retraso.

  • Los elementos de interés todavía se encuentran después de la purga porque se mueven a la carpeta Elementos recuperables .

• Cómo comprobar si los elementos están en la carpeta de elementos recuperables?

  Para comprobar que los elementos están en la carpeta Elementos recuperables , ejecute un informe de exportación para la búsqueda y revise la ruta de acceso del archivo de los elementos del informe CSV para ver si los elementos están en la carpeta Elementos recuperables . Si es así, el cmdlet New-ComplianceSearch no intenta eliminar el elemento. Si el informe CSV indica que los elementos están en la carpeta Elementos recuperables y que el buzón del elemento está archivado, se cambia el tamaño del buzón. Estos elementos de copia de seguridad no se pueden eliminar y, finalmente, se quitan automáticamente.

• ¿Cómo se obtiene el estado de la operación de búsqueda y eliminación?

  Ejecute Get-ComplianceSearchAction para obtener el estado de la operación de eliminación. El objeto que se crea al ejecutar el cmdlet New-ComplianceSearchAction se denomina con este formato: <name of Content Search>_Purge.

• ¿Qué ocurre después de eliminar un mensaje?

  Un mensaje que se elimina con el New-ComplianceSearchAction -Purge -PurgeType HardDelete comando se mueve a la carpeta Purgas y el usuario no puede acceder a ellos. Después de mover el mensaje a la carpeta Purgas, el mensaje se conserva durante el período de retención de elementos eliminados si la recuperación de elementos únicos está habilitada para el buzón. (En Microsoft 365, la recuperación de elementos únicos está habilitada de forma predeterminada cuando se crea un nuevo buzón). Una vez expirado el período de retención de elementos eliminados, el mensaje se marca para su eliminación permanente y se purga de Microsoft 365 la próxima vez que la carpeta administrada procesa el buzón de correo asistente.

  Si usa el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, los mensajes se mueven a la carpeta de eliminaciones de la carpeta Elementos recuperables del usuario. No se depura inmediatamente de Microsoft 365. El usuario dispone de un plazo para recuperar los mensajes de la carpeta Elementos eliminados, que se basa en el período de retención de elementos eliminados configurado para el buzón. Una vez finalizado este período de retención (o si el usuario purga el mensaje antes de que expire), el mensaje se mueve a la carpeta Purgas y el usuario ya no puede acceder a él. Cuando el mensaje se encuentra en la carpeta de depuración, se conserva durante un período basado en el período de retención de elementos eliminados configurado para el buzón, si se habilitó la recuperación de elemento único en el buzón. (En Microsoft 365, la recuperación de elementos únicos está habilitada de forma predeterminada cuando se crea un nuevo buzón). Una vez expirado el período de retención de elementos eliminados, el mensaje se marca para la eliminación permanente y se purga de Microsoft 365 la próxima vez que la carpeta administrada procesa el buzón de correo asistente.

• ¿Qué ocurre si tengo que eliminar un mensaje de más de 50 000 buzones?

  Puede realizar una operación de búsqueda y purga en un máximo de 50 000 buzones (incluso si menos de 50 000 contienen elementos que coinciden con la consulta de búsqueda). Si necesita realizar una operación de búsqueda y purga en más de 50 000 buzones, considere la posibilidad de crear filtros de permisos de búsqueda temporales que reduzcan el número de buzones que se buscarían en menos de 50 000 buzones. Por ejemplo, si su organización contiene buzones de correo en distintos departamentos, estados o un país o región diferentes, puede crear un filtro de permisos de búsqueda de buzón basado en una de esas propiedades de buzón para buscar en un subconjunto de buzones de su organización. Después de crear el filtro de permisos de búsqueda, debe crear la búsqueda (como se describe en el paso 1) y, después, eliminar el mensaje (como se describe en el paso 3). Luego, puede editar el filtro para buscar y depurar mensajes en un conjunto de buzones diferente. Para obtener más información sobre cómo crear filtros de permisos de búsqueda, vea Configurar el filtrado de permisos de búsqueda en eDiscovery.

• ¿Se eliminarán los elementos sin indexar incluidos en los resultados de la búsqueda?

  No, el comando New-ComplianceSearchAction -Purge no elimina los elementos sin indexar.

• ¿Qué ocurre si se elimina un mensaje de un buzón que se coloca en suspensión por juicio o se asigna a una directiva de retención de Microsoft 365?

  Una vez que el mensaje se depure y se mueva a la carpeta de depuración, este se conserva hasta que expire la duración de la retención. Si la duración de la retención es ilimitada, los elementos se conservan hasta que se elimine la retención o se modifique su duración.

• ¿Por qué se divide el flujo de trabajo de búsqueda y eliminación entre los distintos grupos de roles del portal de Microsoft Purview?

  Para poder buscar en buzones es necesario pertenecer al grupo de roles Administrador de eDiscovery o tener asignado el rol Administración de búsqueda de cumplimiento. Para eliminar mensajes, una persona debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol de administración Buscar y purgar . Esta división permite controlar quién puede buscar buzones en la organización y quién puede eliminar mensajes.