Rechercher et supprimer des messages électroniques dans eDiscovery

Vous pouvez utiliser la fonctionnalité de recherche pour rechercher et supprimer des messages électroniques de toutes les boîtes aux lettres de votre organization. Cela peut vous aider à rechercher et supprimer les messages potentiellement nuisibles ou à haut risque, tels que :

• Messages contenant des virus ou des pièces jointes dangereuses
• Messages de hameçonnage
• Messages qui contiennent des données sensibles

Toutefois, le processus de vidage eDiscovery n’est pas destiné aux tâches générales de gestion des boîtes aux lettres telles que :

• Réduction du quota de boîtes aux lettres
• Suppression des boîtes aux lettres
• Application de stratégies de rétention des données

Le processus de vidage décrit dans cet article est spécifiquement conçu pour traiter les incidents de déversement de données, par exemple lorsqu’un petit message est accidentellement partagé avec un grand groupe d’utilisateurs. Pour la gestion et la conformité des boîtes aux lettres de routine, utilisez plutôt les outils suivants :

• Stratégies de rétention : pour gérer le cycle de vie des données et garantir la conformité aux normes organisationnelles.
• stratégies Archive : décharger les anciens contenus et gérer efficacement le stockage de boîtes aux lettres.
• Propriété de boîte aux lettres et suppression manuelle : pour un contrôle précis sur des boîtes aux lettres spécifiques, en particulier lorsque le contenu doit être examiné ou supprimé par le propriétaire de la boîte aux lettres.

Avant de commencer

• Selon l’abonnement eDiscovery pour votre organization, les cas peuvent être activés pour les fonctionnalités eDiscovery Premium, si le organization dispose de licences E5 ou non. Vérifiez le niveau de prise en charge des fonctionnalités pour le cas afin de déterminer si vous devez utiliser PowerShell ou Microsoft Graph pour rechercher et vider.

• Dans les cas non configurés pour les fonctionnalités Premium d’eDiscovery, vous pouvez uniquement utiliser PowerShell pour rechercher et supprimer des messages électroniques. Pour les clients E3, les cas créés par les applets de commande ou le portail Microsoft Purview ne peuvent vider les e-mails qu’à l’aide de PowerShell. Vous pouvez vider jusqu’à 10 éléments par emplacement.

• Pour les cas configurés pour les fonctionnalités eDiscovery Premium, vous pouvez utiliser PowerShell ou Microsoft Graph pour rechercher et supprimer des messages électroniques. Les cas configurés à l’aide de Graph ou du portail Microsoft Purview avec des fonctionnalités Premium peuvent uniquement vider les e-mails et les messages Teams à l’aide de Graph. Vous pouvez vider jusqu’à 100 éléments par emplacement.

  Importante

  N’utilisez pas une combinaison de PowerShell et de Microsoft Graph pour vider les e-mails.

• Une fois les données définitivement supprimées, elles ne peuvent pas être récupérées. Suivez attentivement les instructions de cet article et validez l’étendue de la recherche avant d’émettre la commande de vidage. Une fois que vous avez exécuté la commande de vidage, elle ne peut pas être annulée et les messages électroniques ne peuvent pas être restaurés.

• Les conditions de recherche telles que l’identificateur, l’étiquette de confidentialité et le type d’informations sensibles ne sont pas prises en charge pour la recherche et la suppression pour les cas non premium activés dans eDiscovery. L’utilisation de ces conditions entraîne une perte de données inattendue.

• Exécutez un rapport d’exportation pour passer en revue tous les éléments qui correspondent à vos critères de recherche avant le vidage. En utilisant l’expérience de recherche et d’exportation dans le portail Microsoft Purview et en exportant les résultats au format rapport uniquement, vous pouvez examiner les métadonnées détaillées avant la suppression. Cette approche permet d’affiner votre étendue de recherche et garantit un vidage plus ciblé et précis.

• N’utilisez pas le flux de travail de recherche et de vidage décrit dans cet article pour supprimer des messages de conversation ou d’autres contenus de Microsoft Teams. Si la recherche que vous créez à l’étape 2 renvoie des éléments de Microsoft Teams, suivez les étapes décrites dans Rechercher et supprimer des messages de conversation Microsoft Teams dans eDiscovery pour les supprimer.

• Pour créer et exécuter une recherche, vous devez être membre du groupe de rôles Gestionnaire eDiscovery ou avoir le rôle Recherche de conformité dans le portail Microsoft Purview. Pour supprimer des messages, vous devez être membre du groupe de rôles Gestion de l’organisation ou le rôle Rechercher et vider dans le portail Microsoft Purview. Pour plus d’informations sur l’ajout d’utilisateurs à un groupe de rôles, consultez la rubrique Attribuer des autorisations eDiscovery dans le Centre de sécurité et conformité.

  Remarque

  Le groupe de rôles Gestion de l’organisation existe à la fois dans Exchange Online et dans le portail Microsoft Purview. Ces groupes de rôles distincts donnent des autorisations différentes. Être membre de la Gestion des organisations dans Exchange Online n'octroie pas les autorisations requises pour supprimer des messages électroniques. Si le rôle Rechercher et vider ne vous est pas attribué dans le portail Microsoft Purview (directement ou par le biais d’un groupe de rôles tel que Gestion de l’organisation), vous recevez une erreur à l’étape 3 lorsque vous exécutez l’applet de commande New-ComplianceSearchAction avec le message « Un paramètre introuvable qui correspond au nom du paramètre 'Purge' » s’affiche.

• Vous devez utiliser PowerShell Sécurité & Conformité pour supprimer les messages. Pour obtenir des instructions sur la façon de se connecter, consultez Étape 1 : Se connecter à Security & Compliance PowerShell.

• Vous pouvez supprimer un maximum de 10 éléments par boîte aux lettres à la fois. Étant donné que la possibilité de rechercher et de supprimer des messages est destinée à être un outil de réponse aux événements, cette limite permet de garantir que les messages sont rapidement supprimés des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres des utilisateurs.

• Le nombre maximal de boîtes aux lettres dans une recherche de contenus servant à supprimer des éléments à l’aide d’une action de recherche et de purge est de 50 000. Si la recherche (que vous créez à l’étape 2) recherche plus de 50 000 boîtes aux lettres, l’action de vidage (que vous créez à l’étape 3) échoue. La recherche dans plus de 50 000 boîtes aux lettres dans une seule recherche peut généralement se produire lorsque vous configurez la recherche pour inclure toutes les boîtes aux lettres dans votre organization. Cette restriction s’applique toujours même lorsque moins de 50 000 boîtes aux lettres contiennent des éléments qui correspondent à la requête de recherche. Pour obtenir des instructions sur l’utilisation des filtres d’autorisation de recherche pour rechercher et vider des éléments de plus de 50 000 boîtes aux lettres, consultez la section informations supplémentaires.
• Vous pouvez uniquement utiliser la procédure décrite dans cet article pour supprimer des éléments dans Exchange Online boîtes aux lettres et dossiers publics. Vous ne pouvez pas l’utiliser pour supprimer du contenu des sites SharePoint ou OneDrive.
• Vous ne pouvez pas supprimer des éléments de courrier électronique dans un jeu de révision dans un cas eDiscovery à l’aide des procédures décrites dans cet article. Cela est dû au fait que les éléments d’un groupe de révision sont stockés dans un emplacement de stockage Azure, et non dans le service actif. Cela signifie qu’ils ne sont pas retournés par la recherche de contenu que vous créez à l’étape 1. Pour supprimer des éléments d’un jeu de révision, vous devez supprimer le cas eDiscovery qui contient le jeu de révision.

Étape 1 : Connectez-vous à Security & Compliance PowerShell

Tout d’abord, connectez-vous à Security & Compliance PowerShell pour votre organization. Pour consulter des instructions détaillées, consultez Se connecter à Security & Compliance PowerShell.

Étape 2 : Créer une requête de recherche pour rechercher le message à supprimer

Ensuite, créez et exécutez une recherche pour rechercher le message que vous souhaitez supprimer des boîtes aux lettres de votre organization. Vous pouvez créer la recherche à l’aide du portail Microsoft Purview ou en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch dans Security & Compliance PowerShell. Les messages qui correspondent à la requête pour cette recherche sont supprimés en exécutant la commande New-ComplianceSearchAction -Purge à l’étape 3. Pour plus d’informations sur la création et la configuration des requêtes de recherche, consultez les articles suivants :

• Créer une requête de recherche
• Utiliser le générateur de conditions
• New-ComplianceSearch
• Start-ComplianceSearch

Conseils pour la recherche des messages à supprimer

L’objectif de la requête de recherche est de limiter les résultats aux seuls messages que vous souhaitez supprimer. Voici quelques conseils :

• Si vous connaissez l’expression ou le texte exact utilisé dans l’objet du message, utilisez la propriété Subject dans la requête de recherche.
• Si vous connaissez la date ou la plage de dates exactes du message, incluez la propriété Received dans la requête de recherche.
• Si vous savez qui a envoyé le message, incluez la propriété From dans la requête de recherche.
• Affichez un aperçu des résultats de la recherche pour vérifier que la recherche renvoie uniquement les messages que vous souhaitez supprimer.
• Utilisez les statistiques d’estimation de la recherche, affichées dans le volet d’informations de la recherche dans le portail Microsoft Purview ou à l’aide de l’applet de commande Get-ComplianceSearch , pour obtenir le nombre total de résultats.

Voici deux exemples de requêtes pour rechercher des messages électroniques suspects.

• Cette requête retourne les messages que les utilisateurs ont reçus entre le 13 avril 2024 et le 14 avril 2024 et qui contiennent les mots « action » et « obligatoire » dans la ligne d’objet.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Cette requête retourne les messages envoyés par user@contoso.com et qui contiennent l’expression exacte « Mettre à jour les informations de votre compte » dans la ligne d’objet.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Voici un exemple d’utilisation d’une requête pour créer et démarrer une recherche en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch pour effectuer une recherche dans toutes les boîtes aux lettres de l’organisation :

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Étape 3 : supprimer le message

Après avoir créé et affiné une requête de recherche pour renvoyer les messages que vous souhaitez supprimer, exécutez la commande New-ComplianceSearchAction -Purge dans Security & Compliance PowerShell pour supprimer le message.

Vous pouvez supprimer le message de manière temporaire ou définitive. Un message supprimé de manière temporaire est déplacé vers le dossier éléments récupérables d’un utilisateur et conservé jusqu’à l’expiration de la période de rétention des éléments supprimés. Les messages supprimés définitivement sont marqués pour être supprimés définitivement de la boîte aux lettres et sont supprimés définitivement la prochaine fois que la boîte aux lettres est traitée par l’Assistant Dossier managé. Si la récupération d’élément unique est activée pour la boîte aux lettres, les éléments supprimés en dur sont supprimés définitivement après l’expiration de la période de rétention des éléments supprimés. Si une boîte aux lettres est suspendue, les messages supprimés sont conservés jusqu’à ce que la durée de conservation de l’élément arrive à expiration ou jusqu’à ce que la suspension de la boîte aux lettres soit supprimée.

Pour exécuter les commandes suivantes pour supprimer des messages, vérifiez que vous êtes connecté à PowerShell sécurité & conformité.

Supprimer les messages de manière réversible

Dans l’exemple suivant, la commande supprime de manière réversible les résultats de recherche retournés par une requête de recherche nommée « Supprimer le message d’hameçonnage ».

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Supprimer définitivement les messages

Pour supprimer définitivement les éléments retournés par la recherche de contenu « Supprimer le message d’hameçonnage », exécutez la commande suivante :

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Lorsque vous exécutez les commandes précédentes pour supprimer des messages de suppression réversible ou définitive, la recherche spécifiée par le paramètre SearchName est la requête de recherche que vous avez créée à l’étape 1.

Pour plus d’informations, voir New-ComplianceSearchAction.

Foire aux questions

• J’ai suivi les étapes décrites dans cet article pour la recherche, la vérification et le vidage, mais il ne supprime toujours pas les éléments d’une boîte aux lettres.

  Parfois, les éléments correspondant à la requête de recherche sont plus de 10 éléments (ou 100 éléments si vous utilisez Microsoft Graph) pour une boîte aux lettres. Si vous exécutez le vidage à l’aide de l’applet de commande PowerShell et supprimez seulement 10 éléments, ou si vous exécutez le vidage à l’aide de Microsoft Graph et que vous supprimez uniquement 100 éléments, ce comportement est normal. Répétez le processus plusieurs fois si vous souhaitez supprimer plus de 10 (ou 100) éléments par boîte aux lettres. Nous vous déconseillons vivement de contourner ces limites en exécutant continuellement la commande de vidage. Si vous avez besoin de supprimer davantage de données à partir d’un emplacement unique, consultez Corriger les e-mails malveillants remis dans Office 365 ou Vide automatique zéro heure (ZAP) dans Microsoft Defender pour Office 365.

  Une autre raison peut être que la boîte aux lettres est en attente de litige. Si le rapport d’exportation associé à l’exécution de recherche à l’étape 2 (ou effectué dans eDiscovery) indique que les éléments se trouvent dans le dossier Éléments récupérables , ce résultat signifie qu’il y a des conservations, mais que les éléments sont déplacés hors de la vue. Si vous souhaitez supprimer des éléments de la conservation, nous vous recommandons vivement d’utiliser le nettoyage de priorité. Vous pouvez également relâcher la conservation et essayer de purger à nouveau. Vérifiez la status de la conservation en exécutant l’applet de commande suivante dans Exchange PowerShell :

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

Vérifiez les valeurs suivantes dans les résultats de l’applet de commande :

• InPlaceHolds doit être vide ou avoir uniquement des valeurs précédées de –

  • DelayHold doit avoir la valeur false
  • SingleItemRecovery doit avoir la valeur false

  Recherchez les stratégies au niveau du locataire en exécutant l’applet de commande suivante :

  Get-OrganizationConfig | fl *Hold*
  

  S’il existe des stratégies au niveau du locataire, vous devez exclure la boîte aux lettres du vidage :

• La boîte aux lettres est en attente différée.

  • Les éléments intéressants sont toujours trouvés après le vidage, car ils sont déplacés vers le dossier Éléments récupérables .

• Comment faire vérifier si les éléments se trouvent sous le dossier éléments récupérables ?

  Pour vérifier que les éléments se trouvent dans le dossier Éléments récupérables , exécutez un rapport d’exportation pour la recherche et examinez le chemin d’accès des éléments du rapport CSV pour voir si les éléments se trouvent dans le dossier Éléments récupérables . Si oui, l’applet de commande New-ComplianceSearch ne tente pas de supprimer l’élément. Si le rapport CSV indique que les éléments se trouvent dans le dossier Éléments récupérables et que la boîte aux lettres de l’élément est archivée, la boîte aux lettres est redimensionnée. Ces éléments de sauvegarde ne peuvent pas être supprimés et sont finalement supprimés automatiquement.

• Comment obtenir l’état de l’opération de recherche et de suppression ?

  Exécutez la commande Get-ComplianceSearchAction pour obtenir l’état de l’opération de suppression. L’objet créé lorsque vous exécutez l’applet de commande New-ComplianceSearchAction est nommé au format suivant : <name of Content Search>_Purge.

• Que se passe-t-il lorsque vous avez supprimé un message ?

  Un message supprimé à l’aide de la New-ComplianceSearchAction -Purge -PurgeType HardDelete commande est déplacé vers le dossier Purges et est inaccessible à l’utilisateur. Une fois le message déplacé vers le dossier Purges, le message est conservé pendant la période de rétention des éléments supprimés si la récupération d’un élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une boîte aux lettres.) Après l’expiration de la période de rétention des éléments supprimés, le message est marqué pour suppression définitive et est vidé de Microsoft 365 la prochaine fois que la boîte aux lettres est traitée par le dossier managé assistant.

  Si vous utilisez la commande New-ComplianceSearchAction -Purge -PurgeType SoftDelete, les messages sont déplacés vers le dossier Suppressions dans le dossier Eléments récupérables de l’utilisateur. Il n’est pas immédiatement purgé de Microsoft 365. L’utilisateur peut récupérer les messages dans le dossier Éléments supprimés pendant une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres. Après expiration de cette période de rétention (ou si l’utilisateur purge le message avant son expiration), le message est déplacé vers le dossier Purges et n’est plus accessible par l’utilisateur. Une fois dans le dossier Purges, le message est conservé pour une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres si la récupération d’élément unique est activée pour la boîte aux lettres. (Dans Microsoft 365, la récupération d’élément unique est activée par défaut lors de la création d’une boîte aux lettres.) Une fois la période de rétention des éléments supprimés expirée, le message est marqué pour suppression définitive et supprimé de Microsoft 365 la prochaine fois que la boîte aux lettres est traitée par le dossier managé assistant.

• Que se passe-t-il si je dois supprimer un message de plus de 50 000 boîtes aux lettres ?

  Vous pouvez effectuer une opération de recherche et de vidage sur un maximum de 50 000 boîtes aux lettres (même si moins de 50 000 contiennent des éléments qui correspondent à la requête de recherche). Si vous devez effectuer une opération de recherche et de vidage sur plus de 50 000 boîtes aux lettres, envisagez de créer des filtres d’autorisations de recherche temporaires qui réduisent le nombre de boîtes aux lettres qui feraient l’objet d’une recherche à moins de 50 000 boîtes aux lettres. Par exemple, si votre organization contient des boîtes aux lettres dans différents services, états ou pays/région, vous pouvez créer un filtre d’autorisations de recherche de boîte aux lettres basé sur l’une de ces propriétés de boîte aux lettres pour rechercher un sous-ensemble de boîtes aux lettres dans votre organization. Une fois que vous avez créé le filtre des autorisations de recherche, vous devez créer la recherche (décrite à l’étape 1), puis supprimer le message (décrit à l’étape 3). Vous pouvez ensuite modifier le filtre pour rechercher et vider les messages dans un autre groupe de boîtes aux lettres. Pour plus d’informations sur la création de filtres d’autorisations de recherche, consultez Configurer le filtrage des autorisations de recherche dans eDiscovery.

• Les éléments non indexés inclus dans les résultats de recherche seront-ils supprimés ?

  Non, la commande New-ComplianceSearchAction -Purge ne supprime pas les éléments non indexés.

• Que se passe-t-il si un message est supprimé d’une boîte aux lettres placée en attente pour litige ou affectée à une stratégie de rétention Microsoft 365 ?

  Une fois le message supprimé et déplacé vers le dossier de purges, le message est conservé jusqu’à l’expiration de la durée de conservation. Si la durée de la conservation est illimitée, les éléments sont conservés jusqu’à la suppression de la conservation ou la modification de la durée de la conservation.

• Pourquoi le flux de travail de recherche et de suppression est-il divisé entre différents groupes de rôles du portail Microsoft Purview ?

  Une personne doit être membre du groupe de rôles gestionnaire eDiscovery ou se voir attribuer le rôle de gestion de la recherche de conformité aux boîtes aux lettres de recherche. Pour supprimer des messages, une personne doit être membre du groupe de rôles Gestion de l’organisation ou se voir attribuer le rôle de gestion rechercher et vider . Cette division permet de contrôler qui peut rechercher des boîtes aux lettres dans le organization et qui peut supprimer des messages.