Localizar e eliminar mensagens de e-mail na Deteção de Dados Eletrónicos

Pode utilizar a funcionalidade de pesquisa para procurar e eliminar mensagens de e-mail de todas as caixas de correio na sua organização. Esse processo pode ajudá-lo a encontrar e remover emails potencialmente nocivos ou de alto risco, como:

• Mensagens que contenham anexos perigosos ou vírus
• Mensagens de phishing
• Mensagens que contêm dados confidenciais

No entanto, o processo de remoção da Deteção de Dados Eletrónicos não se destina a tarefas gerais de gestão de caixas de correio, tais como:

• Reduzir a quota da caixa de correio
• Limpar caixas de correio
• Impor políticas de retenção de dados

O processo de remoção descrito neste artigo foi concebido especificamente para abordar incidentes de transposição de dados, como quando uma pequena mensagem é acidentalmente partilhada com um grande grupo de utilizadores. Para a gestão e conformidade de caixas de correio de rotina, utilize as seguintes ferramentas:

• Políticas de Retenção: para gerir o ciclo de vida dos dados e garantir a conformidade com as normas organizacionais.
• políticas de Arquivo: para descarregar conteúdo mais antigo e gerir o armazenamento de caixas de correio de forma eficaz.
• Propriedade da Caixa de Correio e Eliminação Manual: para um controlo preciso sobre caixas de correio específicas, especialmente quando o conteúdo tem de ser revisto ou removido pelo proprietário da caixa de correio.

Antes de começar

• Consoante a subscrição de Deteção de Dados Eletrónicos para a sua organização, os casos podem ser ativados para funcionalidades premium de Deteção de Dados Eletrónicos, se a organização tiver ou não licenças E5. Verifique o nível de suporte de funcionalidades do caso para determinar se deve utilizar o PowerShell ou o Microsoft Graph para procurar e remover.

• Para casos não configurados para funcionalidades premium de Deteção de Dados Eletrónicos, só pode utilizar o PowerShell para procurar e eliminar mensagens de e-mail. Para clientes E3, os casos criados por cmdlets ou pelo portal do Microsoft Purview só podem remover e-mails com o PowerShell. Pode remover até 10 itens por localização.

• Para casos configurados para funcionalidades premium de Deteção de Dados Eletrónicos, pode utilizar o PowerShell ou o Microsoft Graph para procurar e eliminar mensagens de e-mail. Os casos configurados com o Graph ou o portal do Microsoft Purview com funcionalidades premium só podem remover e-mails e mensagens do Teams com o Graph. Pode remover até 100 itens por localização.

  Importante

  Não utilize uma combinação do PowerShell e do Microsoft Graph para remover mensagens de e-mail.

• Depois de os dados serem eliminados permanentemente, não podem ser recuperados. Siga cuidadosamente a documentação de orientação neste artigo e valide o âmbito da pesquisa antes de emitir o comando de remoção. Depois de executar o comando de remoção, este não pode ser anulado e as mensagens de e-mail não podem ser restauradas.

• As condições de pesquisa, como o identificador, a etiqueta de confidencialidade e o tipo de informações confidenciais, não são suportadas para pesquisa e eliminação de casos não premium ativados na Deteção de Dados Eletrónicos. A utilização destas condições resulta numa perda de dados inesperada.

• Execute um relatório de exportação para rever todos os itens que correspondam aos critérios de pesquisa antes da remoção. Ao utilizar a experiência de pesquisa e exportação no portal do Microsoft Purview e ao exportar os resultados no formato apenas de relatório, pode examinar metadados detalhados antes da eliminação. Esta abordagem ajuda a refinar o âmbito de pesquisa e garante uma remoção mais direcionada e precisa.

• Não utilize o fluxo de trabalho de pesquisa e remoção descrito neste artigo para eliminar mensagens de chat ou outros conteúdos do Microsoft Teams. Se a pesquisa que criar no Passo 2 devolver itens do Microsoft Teams, siga os passos descritos em Localizar e eliminar mensagens de chat do Microsoft Teams na Deteção de Dados Eletrónicos para eliminá-las.

• Para criar e executar uma pesquisa, tem de ser membro do grupo de funções Gestor de Deteção de Dados Eletrónicos ou ser-lhe atribuída a função Pesquisa de Compatibilidade no portal do Microsoft Purview. Para eliminar mensagens, tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função Procurar e Remover no portal do Microsoft Purview. Para obter informações sobre como adicionar usuários a um grupo de função, confira Atribuir permissões de Descoberta Eletrônica.

  Observação

  O grupo de funções Gestão da Organização existe tanto no Exchange Online como no portal do Microsoft Purview. Esses são grupos de funções separados que dão permissões diferentes. Ser membro do Gerenciamento da Organização no Exchange Online não concede as permissões necessárias para excluir mensagens de email. Se não lhe for atribuída a função Procurar e Remover no portal do Microsoft Purview (diretamente ou através de um grupo de funções, como a Gestão da Organização), receberá um erro no Passo 3 quando executa o cmdlet New-ComplianceSearchAction com a mensagem "Não é possível encontrar um parâmetro que corresponda ao nome do parâmetro "Remover".

• Tem de utilizar o PowerShell de Conformidade & de Segurança para eliminar mensagens. Consulte a Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell para obter instruções sobre como se conectar.

• Pode remover um máximo de 10 itens por caixa de correio de uma só vez. Uma vez que a capacidade de procurar e remover mensagens se destina a ser uma ferramenta de resposta a eventos, este limite ajuda a garantir que as mensagens são rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

• O número máximo de caixas de correio em uma pesquisa de conteúdo na qual você pode usar para excluir itens executando uma ação de pesquisa e limpeza é 50.000. Se a pesquisa (criada no Passo 2) procurar mais de 50 000 caixas de correio, a ação de remoção (que criar no Passo 3) falhará. Procurar mais de 50 000 caixas de correio numa única pesquisa pode normalmente ocorrer quando configura a pesquisa para incluir todas as caixas de correio na sua organização. Esta restrição ainda se aplica mesmo quando menos de 50 000 caixas de correio contêm itens que correspondem à consulta de pesquisa. Confira a seção Mais informações para obter orientação sobre o uso de filtros de permissões de pesquisa para procurar e limpar itens de mais de 50.000 caixas de correio.
• Só pode utilizar o procedimento neste artigo para eliminar itens em caixas de correio Exchange Online e pastas públicas. Não pode utilizá-lo para eliminar conteúdos de sites do SharePoint ou do OneDrive.
• Não pode eliminar itens de e-mail num conjunto de revisão num caso de Deteção de Dados Eletrónicos através dos procedimentos neste artigo. Isso ocorre porque os itens de um conjunto de revisão são armazenados em um local de armazenamento do Azure e não no serviço em tempo real. Isto significa que não são devolvidos pela pesquisa de conteúdos que criar no Passo 1. Para eliminar itens num conjunto de revisão, tem de eliminar o caso de Deteção de Dados Eletrónicos que contém o conjunto de revisão.

Etapa 1: Conecte-se à Segurança e Conformidade do PowerShell

Em primeiro lugar, ligue-se ao PowerShell de Conformidade do & de Segurança da sua organização. Para obter instruções passo a passo, confira Conectar-se à Segurança e Conformidade do PowerShell .

Passo 2: criar uma consulta de pesquisa para localizar a mensagem a eliminar

Em seguida, crie e execute uma pesquisa para localizar a mensagem que pretende remover das caixas de correio na sua organização. Pode criar a pesquisa com o portal do Microsoft Purview ou ao executar os cmdlets New-ComplianceSearch e Start-ComplianceSearch no PowerShell de Conformidade do & de Segurança. As mensagens que correspondem à consulta para esta pesquisa são eliminadas ao executar o comando New-ComplianceSearchAction -Purge no Passo 3. Para obter informações sobre como criar e configurar consultas de pesquisa, veja os seguintes artigos:

• Criar uma consulta de pesquisa
• Utilizar o construtor de condições
• New-ComplianceSearch
• Start-ComplianceSearch

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados apenas às mensagens que pretende remover. Veja algumas dicas:

• Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.
• Se souber a data exata ou o intervalo de datas da mensagem, inclua a propriedade Recebido na consulta de pesquisa.
• Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.
• Pré-visualize os resultados da pesquisa para verificar se a pesquisa devolve apenas as mensagens que pretende eliminar.
• Utilize as estatísticas de estimativa de pesquisa, apresentadas no painel de detalhes da pesquisa no portal do Microsoft Purview ou através do cmdlet Get-ComplianceSearch , para obter uma contagem do número total de resultados.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

• Esta consulta devolve mensagens que os utilizadores receberam entre 13 de abril de 2024 e 14 de abril de 2024 e que contêm as palavras "ação" e "necessário" na linha do assunto.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• Esta consulta devolve mensagens enviadas por user@contoso.com e que contêm a expressão exata "Atualizar as informações da conta" na linha do assunto.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

Veja um exemplo de como usar uma consulta para criar e iniciar uma pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch para pesquisar todas as caixas de correio na organização:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Etapa 3: Excluir a mensagem

Depois de criar e refinar uma consulta de pesquisa para devolver as mensagens que pretende remover, execute o comando New-ComplianceSearchAction -Purge no PowerShell de Conformidade do & de Segurança para eliminar a mensagem.

Você pode excluir a mensagem temporária ou permanentemente. Uma mensagem excluída temporariamente (soft- deleted) é movida para a pasta Itens Recuperáveis de um usuário e mantida até que o período de retenção de itens excluídos expire. As mensagens eliminadas são marcadas para remoção permanente da caixa de correio e são permanentemente removidas da próxima vez que a caixa de correio for processada pelo Assistente de Pastas Geridas. Se a recuperação de itens únicos estiver ativada para a caixa de correio, os itens eliminados são permanentemente removidos após o período de retenção do item eliminado expirar. Se uma caixa de correio for colocada em espera, as mensagens excluídas serão preservadas até que a duração de retenção do item expire ou até que o período de espera seja interrompido na caixa de correio.

Para executar os seguintes comandos para eliminar mensagens, certifique-se de que está ligado ao PowerShell de Conformidade do & de Segurança.

Exclusão temporária de mensagens

No exemplo seguinte, o comando elimina de forma recuperável os resultados da pesquisa devolvidos por uma consulta de pesquisa denominada "Remover Mensagem de Phishing".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Exclusão permanente de mensagens

Para eliminar os itens devolvidos pela pesquisa de conteúdo "Remover Mensagem de Phishing", execute o seguinte comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Quando executa os comandos anteriores para eliminar ou eliminar mensagens de forma recuperável, a pesquisa especificada pelo parâmetro SearchName é a consulta de pesquisa que criou no Passo 1.

Para obter mais informações, consulte New-ComplianceSearchAction.

Perguntas frequentes

• Segui os passos neste artigo para procurar, verificar e remover, mas continua a não eliminar itens de uma caixa de correio.

  Por vezes, os itens que correspondem à consulta de pesquisa são mais de 10 itens (ou 100 itens se utilizarem o Microsoft Graph) para uma caixa de correio. Se executar a remoção com o cmdlet do PowerShell e eliminar apenas 10 itens ou executar a remoção com o Microsoft Graph e eliminar apenas 100 itens, este comportamento é normal. Repita o processo várias vezes se quiser eliminar mais de 10 (ou 100) itens por caixa de correio. Recomendamos vivamente que não contornar estes limites ao executar continuamente o comando de remoção. Se precisar de eliminar mais dados de uma única localização, consulte Remediar e-mails maliciosos fornecidos no Office 365 ou remoção automática de zero horas (ZAP) no Microsoft Defender para Office 365.

  Outra razão pode ser a caixa de correio estar em suspensão de litígios. Se o relatório de exportação associado à execução de pesquisa no Passo 2 (ou feito na Deteção de Dados Eletrónicos) indicar que os itens estão na pasta Itens Recuperáveis , este resultado significa que existem suspensões, mas os itens são movidos para fora da vista. Se quiser remover itens da suspensão, recomendamos vivamente que utilize a Limpeza da Prioridade. Em alternativa, pode libertar a suspensão e tentar remover novamente. Verifique a status da suspensão ao executar o seguinte cmdlet no Exchange PowerShell:

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

Verifique os seguintes valores nos resultados do cmdlet:

• InPlaceHolds deve estar vazio ou ter apenas valores com o prefixo –

  • DelayHold deve ser falso
  • SingleItemRecovery deve ser falso

  Verifique se existem políticas ao nível do inquilino ao executar o seguinte cmdlet:

  Get-OrganizationConfig | fl *Hold*
  

  Se existirem políticas ao nível do inquilino, tem de excluir a caixa de correio da remoção:

• A caixa de correio está em suspensão de atraso.

  • Os itens de interesse ainda são encontrados após a remoção porque são movidos para a pasta Itens recuperáveis .

• Como fazer verificar se os itens estão na pasta itens recuperáveis?

  Para verificar se os itens estão na pasta Itens Recuperáveis , execute um relatório de exportação para a pesquisa e reveja o caminho do ficheiro dos itens no relatório CSV para ver se os itens estão na pasta Itens recuperáveis . Se sim, o cmdlet New-ComplianceSearch não tenta eliminar o item. Se o relatório CSV indicar que os itens estão na pasta Itens recuperáveis e a caixa de correio do item for arquivada, a caixa de correio está a ser redimensionada. Estes itens de cópia de segurança não podem ser eliminados e, eventualmente, são removidos automaticamente.

• Como obter o status da operação de pesquisa e exclusão?

  Execute o Get-ComplianceSearchAction para obter o status da operação de exclusão. O objeto que é criado quando executa o cmdlet New-ComplianceSearchAction tem o nome com este formato: <name of Content Search>_Purge.

• O que acontece após a exclusão de uma mensagem?

  Uma mensagem que é eliminada com o New-ComplianceSearchAction -Purge -PurgeType HardDelete comando é movida para a pasta Remoção e não pode ser acedida pelo utilizador. Depois de a mensagem ser movida para a pasta Remoção, a mensagem é retida para o período de retenção de itens eliminados se a recuperação de itens únicos estiver ativada para a caixa de correio. (No Microsoft 365, a recuperação de itens únicos é ativada por predefinição quando é criada uma nova caixa de correio.) Após o período de retenção do item eliminado expirar, a mensagem é marcada para eliminação permanente e é removida do Microsoft 365 da próxima vez que a caixa de correio for processada pela pasta gerida assistente.

  Se você usar o comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, as mensagens serão movidas para a pasta Exclusões na pasta itens recuperáveis do usuário. Ela não é removida imediatamente do Microsoft 365. O usuário pode recuperar mensagens na pasta Itens Excluídos de acordo com o período de retenção do item excluído configurado para a caixa de correio. Após esse período de retenção (ou se o usuário remover a mensagem antes do período expirar), a mensagem será movida para a pasta Remoções e não poderá mais ser acessada pelo usuário. Uma vez na pasta Remoções, a mensagem é mantida novamente durante o período de retenção do item excluído configurado para a caixa de correio, se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Microsoft 365, a recuperação de itens únicos é ativada por predefinição quando é criada uma nova caixa de correio.) Após o período de retenção do item eliminado expirar, a mensagem é marcada para eliminação permanente e é removida do Microsoft 365 da próxima vez que a caixa de correio for processada pela pasta gerida assistente.

• E se tiver de eliminar uma mensagem de mais de 50 000 caixas de correio?

  Pode efetuar uma operação de pesquisa e remoção num máximo de 50 000 caixas de correio (mesmo que menos de 50 000 contenham itens que correspondam à consulta de pesquisa). Se precisar de efetuar uma operação de pesquisa e remoção em mais de 50 000 caixas de correio, considere criar filtros de permissões de pesquisa temporárias que reduzam o número de caixas de correio que seriam pesquisadas para menos de 50 000 caixas de correio. Por exemplo, se a sua organização contiver caixas de correio em diferentes departamentos, estados ou um país/região diferente, pode criar um filtro de permissões de pesquisa de caixa de correio com base numa dessas propriedades da caixa de correio para procurar num subconjunto de caixas de correio na sua organização. Depois de criar o filtro de permissões de pesquisa, você criaria a pesquisa (descrita na etapa 1) e, em seguida, excluirá a mensagem (descrita na etapa 3). Em seguida, você pode editar o filtro para pesquisar e limpar mensagens em um conjunto diferente de caixas de correio. Para obter mais informações sobre como criar filtros de permissões de pesquisa, veja Configurar a filtragem de permissões de pesquisa na Deteção de Dados Eletrónicos.

• Os itens não indexados incluídos nos resultados da pesquisa serão excluídos?

  Não, o comando New-ComplianceSearchAction -Purge não exclui itens não indexados.

• O que acontece se uma mensagem for eliminada de uma caixa de correio que é colocada em Suspensão de Litígios ou atribuída a uma política de retenção do Microsoft 365?

  Quando for removida e transferida para a pasta Remoções, a mensagem será mantida até que a duração da retenção expire. Se a duração de retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da espera seja alterada.

• Por que motivo a pesquisa e a remoção do fluxo de trabalho estão divididas entre diferentes grupos de funções do portal do Microsoft Purview?

  Uma pessoa deve ser membro do grupo de função Gerente de Descoberta Eletrônica ou ser atribuída à função de Gerenciamento de Pesquisa de Conformidade para localizar caixas de correio. Para eliminar mensagens, uma pessoa tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função de gestão Procurar e Remover . Esta divisão permite controlar quem pode procurar caixas de correio na organização e quem pode eliminar mensagens.