加快永久删除邮箱中的敏感信息

Microsoft 365 安全性与合规性许可指南。

如果需要从 Exchange 邮箱中永久删除敏感内容，尽管保留项或电子数据展示保留的保留设置，但需要使用 Microsoft Purview 中的数据生命周期管理下的“优先级清理”功能。 项目仍会以 相同的时间进行相同的删除过程，以确保永久删除合规，但无需等待保留期到期或释放保留期。 为了响应事件或符合法规要求，可能会针对安全或隐私实施优先级清理。 例如：

• 隐私请求：你收到删除有关已离开组织的员工的个人信息的请求，并且所有邮箱都有保留策略，可将项目保留两年。

• 数据泄漏：员工意外通过电子邮件发送了有关未来收购的敏感信息，你需要删除此信息，尽管组织中存在任何电子数据展示。

由于删除是不可逆的，并且可以覆盖现有保留甚至 保留锁，因此该过程需要多个审批和特定角色，并且会进行审核。 考虑这些安全措施后，如果你的组织仍然担心此功能，你可以继续使用 保留策略和保留标签 ，以确保删除内容符合要求，而不是使用优先级清理。

在保护下，优先级清理使用带有自动应用策略的保留标签。 但是，你不会手动与这些标签和策略交互，它们会取代 保留原则 以实现所需的快速删除。

优先级清理的重要异常：

• 不能对标记为 记录或法规记录的项目使用优先级清理。

• 尽管优先级清理可以覆盖电子数据展示保留，但数据可能已复制到 电子数据展示评审集 ，其中无法通过优先级清理将其删除。 当电子数据展示管理员删除整个电子数据展示案例时，将自动删除此数据。

与自动应用保留标签类似，优先级清理支持模拟，因此可以在策略配置需要任何微调的情况下检查返回的示例。

比较不同工作负荷的优先级清理

尽管你可以对 SharePoint 和 OneDrive 中的邮箱和文件使用优先级清理功能，但典型用例有所不同。 下表总结了行为和配置方面的其他一些差异。 由于这些差异，无法为同一策略中的所有三个位置创建清理策略。

此外， Exchange 所需的权限 不同于 SharePoint 和 OneDrive 所需的权限。

优先级清理的先决条件

在可以使用优先级清理来加速永久删除敏感数据之前，请确保满足必须满足的先决条件。 这些要求包括权限和审批者。

由于内置安全措施，此功能本身默认在租户级别启用。 但是，可以在优先级清理设置页上关闭优先级清理。 如果无法创建新的优先级清理策略，请参阅有关关闭该功能的说明，以检查状态并撤消配置。

优先级清理权限

若要在 Microsoft Purview 门户中成功访问和管理优先级清理，用户必须具有优先级清理管理员角色。 此角色是创建和管理优先级清理策略、启用或禁用该功能或在初始审批阶段批准项目所必需的。 此角色会自动添加到组织管理角色组，但必须手动添加到任何其他角色组。

或者， “优先级清理查看者 ”角色仅允许查看优先级清理策略和设置，而无法进行更改或创建新策略。

需要内容资源管理器列表查看者和内容资源管理器内容查看器角色才能在模拟模式和审批阶段查看项目内容和详细信息。

与 记录管理处置类似，访问 “优先级清理>挂起的清理 ”页的每个人都只能看到分配给他们审批的项目。 若要监视优先级清理的端到端过程，请使用审核和优先级清理 ID 作为搜索词。

策略审批者

为了防止意外或恶意删除，除创建优先级清理策略的人员外，每个受优先级清理限制的项目始终要求至少一个人批准永久删除。 审批者必须是单个用户。 当前不支持启用邮件的安全组。

• 所有策略都需要优先级清理管理员审批。
• 如果某个项还受保留标签或保留策略的保留设置的约束，则还需要保留管理器批准。
• 如果某个项目还受一个或多个电子数据展示保留的约束，则还需要电子数据展示管理员批准。

审批者角色要求

评审过程每个阶段的审批者必须分配正确的角色，然后才能创建策略。

有关将用户添加到默认角色或创建自己的角色组的说明，请使用以下指南：

• Microsoft Purview 门户中的权限

虽然可以为每个阶段指定多个审批者，但每个阶段只需有一个人批准其阶段。

启用审核

在创建并运行第一优先级清理策略之前，请确保至少一天启用了审核。 如果在模拟模式下启用策略，还需要审核才能查看模拟结果。 有关详细信息，请参阅 搜索审核日志。

优先级清理的限制

• 仅通过 自适应范围 支持组邮箱。

• 对于KeyQL查询，优先级清理不支持电子数据展示支持的某些属性和条件。 其中包括 SenderAuthor、SubjectTitle、 (c：c) 和 (c：s) 。

• 在模拟模式下，优先级清理策略可能会错误地显示标记为记录和法规记录的电子邮件项目。 这些项实际上不在模拟模式之外的优先级清理范围内。

• 与 保留标签的处置评审不同：

  • 无法自定义电子邮件通知
  • 审批者无法提名其他审批者
  • 指定时间段后不会自动批准

• 如果审批者不同意永久删除已标识的项目，则必须 (项目的任何配置) 分配现有保留标签。 确保审批者知道哪些保留标签适合此作。

• 虽然可以删除优先级清理策略，但如果该策略的审批过程已完成，则仍可能永久删除项目。

创建优先级清理策略

在创建优先级清理策略之前，请确定是 将其设置为自适应 策略还是 静态策略。 有关详细信息，请参阅 保留的自适应或静态策略范围。 如果决定使用自适应策略，则必须在创建优先级清理策略之前创建一个或多个自适应范围，然后在策略配置期间选择它们。 有关说明，请参阅自适应作用域的配置信息。

1. 登录到 Microsoft Purview 门户>解决 方案>数据生命周期管理>优先级清理，然后选择“ + 创建优先级清理”。

   如果未看到“优先级清理”选项，检查权限。

2. 输入此优先级清理策略的名称和说明，然后选择“ 下一步”。 该名称 对最终用户可见，但可选说明仅对优先级清理管理员和策略的指定审批者可见。 此限制意味着输入的任何详细信息都可以提供信息并具体化，而不必担心未经授权的人员看到这些详细信息。

3. 对于 “选择优先级清理类型”，选择“ 自适应 ”或“ 静态 ”，然后选择“ 下一步”。

   1. 对于自适应范围，请添加一个或多个自适应范围。 对于用户邮箱，请添加用户范围。 对于组邮箱，请添加Microsoft 365 组范围。 然后选择一个或多个邮箱位置以匹配范围。
   2. 对于“静态范围”，请选择“Exchange Online策略”，然后选择“Exchange Online位置”。 （可选）可以编辑要包含或排除的邮箱。

   为了帮助你做出决定：

   • 包括所有邮箱：当你不确定内容所在的位置时，最好。 应用策略可能需要更长的时间，但如果内容可能位于未知邮箱中，则值得一提。
   • 特定邮箱：一小组已知邮箱的最快选项。 使用 可以放心地包含或排除最多 100 个邮箱。
   • 按属性划分的用户邮箱：如果要使用属性按区域、部门等将用户邮箱作为目标，则不能使用静态范围。相反，请返回策略配置，并选择改用自适应范围。 但是，如果范围包含超过 100 万个邮箱，请避免。

4. 选择 下一步。

5. 对于“告诉我们你要查找的内容”页，请在“KeyQL编辑器”框中输入文本，以使用 Exchange 电子邮件属性构造查询。 可以使用搜索运算符（如 AND、OR 和 NOT）优化查询。

   例如，若要查找 2024 年 2 月 2 日之后发送的所有内容，请使用名为 ContosoEmployeeSalaries.xlsx 的附件： AttachmentNames:ContosoEmployeeSalaries.xlsx AND sent>=2024-02-02

   有关使用 关键字查询语言 (KeyQL) 的查询语法的详细信息，请参阅 关键字查询语言 (KeyQL) 语法参考。

   此基于查询的策略使用与电子数据展示内容搜索相同的搜索索引来标识内容。 有关可用于电子邮件的可搜索属性的详细信息，请参阅在 Exchange Online 中查找内容。

6. 对于 “选择何时删除内容 ”页，选择是尽快永久删除匹配项，还是将其保留一段时间，然后删除它们。 大多数情况下，你会选择第一个选项，以便可以尽快删除该项目。 仅当出于符合性原因应保留项目且不能使用保留标签实现此目的时，才使用备用选项。 例如，该项已应用了保留期较长的保留标签。

   注意

   优先级清理策略覆盖通常确定何时应保留或永久删除项的 保留原则 。

7. 对于 “分配将批准已删除内容的人员 ”页，需要指定另一个优先级清理审批者，指定一个审批者，用于确定的项目何时应用了保留设置 (（如保留策略、保留标签或诉讼保留策略) ），以及用于标识项应用一个或多个电子数据展示保留时的审批者。

   • 优先级清理管理员：必须分配优先级清理管理员角色，并且是此策略的所有优先级清理的第一阶段审批者。 这应该与创建优先级清理策略的用户不同，但未强制实施。
   • 保留管理员：必须分配保留管理角色。 如果标识的内容受一个或多个保留策略或诉讼保留的约束，则需要指定用户的批准。
   • 电子数据展示管理员：必须分配电子数据展示管理员角色。 如果标识的内容受一个或多个电子数据展示保留的约束，则需要指定用户的批准。

8. 对于 “选择策略模式 ”页，选择是先在模拟模式下运行策略，还是暂时不启用该策略。

   在模拟模式下运行策略会延迟永久删除，但允许验证示例匹配并优化查询。 它还允许其他人在审批前查看结果，即使他们不是指定的审批者。

9. 特定于优先级清理，必须通过选中一个复选框进行确认，了解此策略如何覆盖电子数据展示保留和其他应用的保留设置。

10. 在 “已创建优先级清理策略 ”页上，可以看到用于跟踪和监视此策略的 清理 ID 。 使用 Copy 函数，或稍后从策略详细信息复制它，以便你可以从 审核详细信息中监视此策略的进度。

如果选择在模拟模式下运行策略：

• 可能需要等待几个小时才能获得结果，具体取决于要搜索的邮箱数。
• 最多可以启用策略 7 天。 七天后，必须重启模拟。

如果启用策略，与自动应用保留标签策略一样， 最长可能需要 7 天时间才能将策略应用到项目 并触发审批过程。

优先级清理策略的审批过程

启用优先级清理策略并标识项目后，将通过电子邮件通知策略的审批者，并每周提醒一次。 他们可以选择通知和提醒电子邮件中的链接，直接转到门户中 的“数据生命周期管理>优先级清理>挂起的清理 ”页，以查看要批准的内容。 或者，审批者可以在门户中手动导航到此页面。

若要实现使用 两人规则的安全控制，每个优先级清理始终需要另一个优先级清理管理员来批准永久删除标识的项。 然后，如果项目应用了保留设置，则需要保留管理员批准下一阶段。 最后，如果项包含在电子数据展示保留中，它们还需要电子数据展示管理员进行另一次批准。完成所有必需的审批后，项目将永久删除，并且无法由用户、管理员或Microsoft还原。

在 “挂起的清理 ”页上，列出由优先级清理策略标识的项目，状态为 “挂起处置” ，并列出已识别的项数的估计计数。 这些可能是不同的项目，也可能是多个邮箱中的同一项。

当审批者选择其中一个列表项时，下一页会向他们显示具有项目名称、位置和发件人的各个项目。 选择项目后，预览窗格将显示项目的主题、源、详细信息和历史记录。 历史记录显示该项目迄今为止的所有优先级清理审批，以及审批者注释（如果可用）。

查看所有项目后，审批者可以单独或多选项目，然后选择 “批准处置”。 然后，他们必须使用可选注释确认作，然后选择“ 应用”。

或者，如果不应尽快永久删除该项目，审批者必须选择 “重新标记”，并选择现有的保留标签。

然后，已批准或重新标记的项目将移动到“ 已释放的项目 ”选项卡。最多允许 7 天才能永久删除项目。

导出视图

审批者可以使用“挂起的清理”和“已释放项目”页面中的“导出”选项，将任一视图中的项目的相关信息导出为 .csv 文件，然后他们可以使用 Excel 对其进行排序和管理。

如何监视优先级清理

可以从数据生命周期管理>优先级清理中监视每个策略的优先级清理状态。 例如，状态显示“ 在模拟中”或 “已启用 (挂起) ，) 更改为 ”已启用 (成功 ”。

使用策略的详细信息标识其清理 ID，并将此数字粘贴为审核解决方案中的关键字 (keyword) 搜索字符串。 若要使用日期范围，请记得以 UTC 格式指定日期。

有两个特定于邮箱优先级清理的审核事件：

• PriorityCleanupTagApplied 的作名称：当项目被标识为优先级清理时，以及这是否导致删除现有的保留标签。
• PriorityCleanupDelete 的作名称：按优先级清理删除邮箱项目。

目前，这些事件没有从 Microsoft Purview 门户选择的友好名称。

其他审核事件与用于 创建和配置保留标签和自动标记策略的事件以及 用于处置评审的事件相同。

优先级清理的最终用户体验

由于优先级清理不使用软删除过程，因此用户在确定优先级清理时，在 Outlook 中的电子邮件上会显示 “保留： ”消息栏。 他们还会看到优先级清理策略的名称，然后 (-1 天) 指示应尽快删除该策略，以及基于该 -1 天的估计到期日期和时间。

例如，如果优先级清理策略名为“清理策略测试”：

保留期：清理策略测试 (-1 天) 过期：2024 年 6 月 2 日（星期四）AM

在最终优先级清理审批后，该项目将从 Outlook 中静默消失。

关闭租户的优先级清理

在考虑了其他权限和多个审批的安全措施后，如果组织仍担心此功能，则可以关闭创建优先级清理策略的功能。 关闭优先级清理后，将针对 SharePoint 和 OneDrive 以及 Exchange 关闭优先级清理。

1. 登录到 Microsoft Purview 门户>解决 方案>数据生命周期管理。
2. 从右上角选择“ 优先级清理设置”。
3. 在 “配置 ”页中，关闭优先级清理控件，然后选择“ 保存”。

在打开控件并再次选择“ 保存 ”之前，无法创建新的优先级清理策略。

如果在关闭控件时已创建优先级清理策略：

• 现有优先级清理策略继续运行

• 可以删除现有的优先级清理策略

• 无法修改现有的优先级清理策略

另请参阅

重写保留以清理 Copilot 的文件并回收存储