在 eDiscovery 中尋找並刪除電子郵件

您可以使用搜尋功能，搜尋並刪除組織內所有信箱中的電子郵件。 此流程可協助您找出並移除可能有害或高風險的電子郵件，例如：

• 含有危險附件或病毒的郵件
• 網路釣魚郵件
• 包含敏感資料的郵件

然而，電子發現清除程序並非用於一般的郵箱管理任務，例如：

• 減少郵箱配額
• 清理信箱
• 執行資料保留政策

本文所述的清除程序專門設計來處理 資料外洩事件，例如一則小訊息意外被大量使用者分享的情況。 若用於例行的信箱管理與合規，請使用以下工具：

• 保留政策：管理資料生命週期並確保符合組織標準。
• 封存政策：用以卸載舊內容並有效管理郵箱儲存。
• 信箱所有權與手動刪除：針對特定信箱進行精確控制，特別是當內容需要由信箱擁有者審查或移除時。

開始之前

• 根據您組織的電子發現訂閱，若組織擁有 E5 授權，案件可啟用以支援電子發現高級功能，或沒有。 確認案件的功能支援程度，以判斷是否應該使用 PowerShell 或 Microsoft Graph 來搜尋和清除。

• 對於未設定 eDiscovery Premium 功能的案件，你只能使用 PowerShell 搜尋和刪除電子郵件。 對於 E3 客戶來說，由 cmdlets 或 Microsoft Purview 入口網站建立的案例只能透過使用 PowerShell 清除電子郵件。 每個地點最多可以清除10件物品。

• 對於設定為電子發現高級功能的情況，您可以使用 PowerShell 或 Microsoft Graph 來搜尋並刪除電子郵件。 使用 Graph 或 Microsoft Purview 入口網站並具備高級功能的案件，只能透過 Graph 清除電子郵件和 Teams 訊息。 每個地點最多可以清除100件物品。

  重要事項

  不要同時使用 PowerShell 和 Microsoft Graph 來清除電子郵件。

• 一旦資料永久刪除，就無法恢復。 請仔細遵循本文的指引，並在發出清除指令前確認搜尋範圍。 一旦執行清除指令，就無法還原，電子郵件也無法恢復。

• 在電子發現中，對於未啟用高級檢索的案件，搜尋與刪除等條件不支援識別碼、敏感性標籤及敏感資訊類型。 使用這些條件會導致意外的資料遺失。

• 在清除前，先執行匯出報告，檢查所有符合你搜尋條件的商品。 透過 Microsoft Purview 入口網站的搜尋與匯出體驗，並將 結果匯出為僅報告格式，您可以在刪除前檢視詳細的元資料。 此方法有助於精準搜尋範圍，確保清除更精準且精準。

• 請勿使用本文描述的搜尋與清除流程來刪除 Microsoft Teams 中的聊天訊息或其他內容。 如果你在步驟 2 建立的搜尋結果是來自 Microsoft Teams 的項目，請依照 eDiscovery 中尋找並刪除 Microsoft Teams 聊天訊息 的步驟刪除。

• 要建立並執行搜尋，您必須是 eDiscovery Manager 角色群組的成員，或在 Microsoft Purview 入口網站中被指派 為合規搜尋 角色。 要刪除訊息，您必須是 組織管理 角色群組的成員，或在 Microsoft Purview 入口網站中被指派為 搜尋與清除 角色。 如需新增使用者至角色群組的詳細資訊，請參閱 指派電子文件探索權限。

  注意事項

  組織管理角色群組存在於 Exchange Online 與 Microsoft Purview 入口網站中。 這些是提供不同權限的不同角色群組。 作為 Exchange Online 中的 組織管理 成員，不會授予刪除電子郵件訊息所需的權限。 如果你在 Microsoft Purview 入口網站中沒有被指派搜尋 與清除 角色，無論是直接 (或透過像 組織管理) 這類角色群組，當你執行 New-ComplianceSearchAction 的 cmdlet 時，會在第 3 步中收到錯誤訊息，該指令是「找不到符合參數名稱為『清除』的參數」的訊息。

• 你必須使用 Security & Compliance PowerShell 來刪除訊息。 如需如何連線的指導，請參閱步驟 1：連線至安全性與合規性 PowerShell。

• 你一次最多可以移除一個信箱 10 件物品。 由於搜尋與移除訊息的功能是作為事件回應工具，此限制有助於確保郵件能迅速從信箱中移除。 這項功能不是用來清除使用者信箱。

• 透過搜尋及清除動作，您最多可以在內容搜尋刪除 50,000 個信箱內的項目。 如果你在 第 2 步 建立的搜尋 () 超過 50,000 個信箱，那麼你在第 3 步建立的清除行動 () 失敗。 當你設定搜尋包含組織內所有信箱時，一次搜尋中可能要搜尋超過 50,000 個信箱。 即使包含符合搜尋查詢的郵件匣少於50,000個，這項限制仍然適用。 請參閱 更多資訊 一節，以瞭解有關使用搜尋權限篩選條件在超過 50,000 個信箱中搜尋和清除項目的指南。
• 您只能使用本文中的程序來刪除 Exchange Online 信箱和公共資料夾中的項目。 你無法用它來刪除 SharePoint 或 OneDrive 網站的內容。
• 你無法透過本文的程序刪除電子發現案件中審查集中的電子郵件項目。 這是因為檢閱集中的項目儲存在 Azure 儲存體位置，而不是在實際服務中。 這表示你在第一步建立的內容搜尋時，這些檔案不會被回傳。 要刪除審查集中的項目，必須刪除包含該審查集的電子發現案件。

步驟 1︰連線至安全性與合規性 PowerShell

首先，連接貴組織的安全 & 合規 PowerShell 。 如需逐步指示，請參閱連線到安全性與合規性 PowerShell。

步驟 2：建立搜尋查詢以找到要刪除的訊息

接著，建立並執行搜尋，找出你想從組織信箱中移除的郵件。 您可以透過 Microsoft Purview 入口網站 ，或在 Security & Compliance PowerShell 中執行 New-ComplianceSearch 和 Start-ComplianceSearch 指令小程式來建立搜尋。 與此搜尋查詢相符的訊息，會在步驟 3 執行 New-ComplianceSearchAction -Purge 指令時刪除。 關於建立與設定搜尋查詢的資訊，請參閱以下文章：

• 建立搜尋查詢
• 使用條件建構器
• New-ComplianceSearch
• Start-ComplianceSearch

尋找要移除郵件的提示

搜尋查詢的目標是將結果縮小到只剩下你想移除的訊息。 以下是一些提示：

• 如果您知道郵件主旨行中使用的確切文字或片語，請在搜尋查詢中使用 Subject 屬性。
• 如果你知道訊息的確切日期或日期範圍，請在搜尋查詢中加入 「已接收 」屬性。
• 如果您知道郵件的寄件者，請在搜尋查詢中包含 From 屬性。
• 預覽搜尋結果，確認搜尋只回傳你想刪除的訊息。
• 使用搜尋估計統計資料（顯示在 Microsoft Purview 入口網站的詳細欄格）或使用 Get-ComplianceSearch 指令檔，來計算總結果數。

以下是尋找可疑電子郵件訊息的兩個查詢範例。

• 此查詢會回傳用戶於 2024 年 4 月 13 日至 4 月 14 日期間收到的訊息，主旨行中包含「action」和「required」兩詞。

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• 此查詢會回傳由 和 user@contoso.com 發送的訊息，主旨行中包含「更新您的帳戶資訊」的精確短語。

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

以下是使用查詢來建立並開始搜尋的範例，方法是透過執行 New-ComplianceSearch 與 Start-ComplianceSearch Cmdlet 來搜尋組織中的所有郵件信箱：

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

步驟 3：刪除郵件

在建立並細化搜尋查詢以回傳你想移除的訊息後，在 Security & Compliance PowerShell 中執行 New-ComplianceSearchAction -Purge 指令刪除該訊息。

您可以虛刪除或實刪除郵件。 虛刪除的郵件會移至使用者的 [可復原的項目] 資料夾並保留，直到刪除項目的保留期限到期為止。 硬刪除的郵件會被標記為永久移除，並在下次由管理資料夾助理處理時永久移除。 若信箱啟用單一項目恢復功能，硬刪除項目在已刪除項目保留期限屆滿後將永久移除。 如果信箱處於保留狀態，則會保留已刪除的郵件，直到該郵件的保留期間到期或從信箱移除保留為止。

要執行以下刪除訊息的指令，請確保你 已連接到安全 & 合規 PowerShell。

虛刪除郵件

以下範例中，指令會軟刪除一個名為「移除釣魚訊息」的搜尋查詢回傳的結果。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

實刪除郵件

要硬刪除「移除釣魚訊息」內容搜尋回傳的項目，請執行以下指令：

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

當你執行前述的軟刪除或硬刪除指令時， SearchName 參數指定的搜尋就是你在第一步建立的搜尋查詢。

如需詳細資訊，請參閱 New-ComplianceSearchAction。

常見問題集

• 我依照這篇文章中的搜尋、驗證和清除步驟操作，但它仍然無法從信箱中刪除項目。

  有時匹配搜尋查詢的項目超過10件 (或使用Microsoft) 圖為信箱時超過100件。 如果你用PowerShell指令執行清除只刪除10個項目，或用Microsoft Graph執行清除但只刪除100個項目，這種情況是正常的。 如果你想刪除超過 10 個 (或超過 100 個) 項目，請重複這個過程。 我們強烈建議不要透過持續執行清除指令來繞過這些限制。 如果你需要從單一地點刪除更多資料，請參考 Office 365 中 Renade 惡意郵件的修復，或Office 365 Microsoft Defender 的 ZAP) (零時自動清除。

  另一個原因可能是郵箱被訴訟暫停。 如果與搜尋相關的匯出報告在步驟2執行 (或在電子發現) 中顯示項目在 可恢復物品 資料夾中，表示有保留但項目已移出視野。 如果您想將物品從預留中移除，我們強烈建議使用 優先清理功能。 或者，你也可以先放開按鍵，再嘗試排毒。 請在 Exchange PowerShell 中執行以下 cmdlet 來檢查暫停狀態：

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

請在 cmdlet 結果中驗證以下數值：

• InPlaceHolds 應為空，或僅以 – 作為前綴的值。

  • 延遲保持應該是假的
  • SingleItemRecovery 應該是假的

  請執行以下 cmdlet 檢查租戶層級的政策：

  Get-OrganizationConfig | fl *Hold*
  

  如果有任何租戶層級的政策，您必須將郵箱排除在清除範圍之外：

• 信箱正在 延遲等待。

  • 清除後感興趣的物品仍會被找到，因為它們會移到 可恢復物品 資料夾。

• 如何？確認物品是否屬於可恢復的物品資料夾？

  要確認項目是否在 可恢復 項目資料夾中，請執行匯出報告進行搜尋，並檢視 CSV 報告中項目的檔案路徑，看看項目是否在 可恢復項目 資料夾中。 如果是， New-ComplianceSearch 指令檔不會嘗試刪除該項目。 如果 CSV 報告顯示項目在 可恢復物品 資料夾中，且該物品的信箱已被歸檔，表示信箱正在重新大小。 這些備份項目無法刪除，最終會自動移除。

• 如何取得搜尋和移除作業的狀態？

  執行 Get-ComplianceSearchAction 可取得刪除作業的狀態。 執行 New-ComplianceSearchAction cmdlet 時所建立的物件名稱為 <name of Content Search>_Purge。

• 刪除郵件後，會發生什麼情況？

  用這個 New-ComplianceSearchAction -Purge -PurgeType HardDelete 指令刪除的訊息會被移到 Purges 資料夾，使用者無法存取。 郵件移至清除資料夾後，若信箱啟用單一項目恢復功能，則該郵件會保留至已刪除項目的保留期間。 (在 Microsoft 365 中，當新信箱建立時，預設會啟用單一項目恢復功能。) 刪除項目保留期屆滿後，該訊息會被標記為永久刪除，並在下次由管理資料夾助理處理該信箱時從 Microsoft 365 中清除。

  如果您使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令，郵件會移至使用者 [可復原的項目] 資料夾中的 [刪除] 資料夾。 它不會立即從 Microsoft 365 中清除。 使用者可以根據為信箱設定的刪除項目保留期間，在持續時間之內復原 [刪除的郵件] 資料夾中的郵件。 此保留期間到期 (或者如果使用者在到期之前清除郵件) 之後，郵件會移至 [清除] 資料夾且使用者無法再存取。 郵件位在 [清除] 資料夾後，如果已針對信箱啟用單一項目復原，則會根據為信箱設定的刪除項目的保留期限來保留郵件。 (在 Microsoft 365 中，當新信箱建立時，預設會啟用單一項目恢復功能。) 刪除的項目保留期限屆滿後，該訊息會被標記為永久刪除，並在下一次由管理資料夾助理處理該信箱時從 Microsoft 365 中清除。

• 如果我必須從超過 50,000 個信箱刪除一封郵件怎麼辦？

  即使少於5萬個郵件匣符合搜尋查詢 () ，您最多可對5萬個信箱執行搜尋與清除操作。 如果你需要對超過 50,000 個信箱進行搜尋與清除操作，可以考慮建立臨時搜尋權限篩選器，將被搜尋的信箱數量減少到 50,000 個以下。 例如，如果你的組織包含不同部門、州或不同國家/地區的信箱，你可以根據這些信箱屬性建立信箱搜尋權限篩選器，來搜尋組織內的部分信箱。 建立搜尋權限篩選條件後，您可以建立搜尋 (如步驟 1 所述)，然後再刪除郵件 (如步驟 3 所述)。 您可以編輯篩選條件來搜尋及清除不同組信箱中的郵件。 欲了解更多關於建立搜尋權限篩選器的資訊，請參閱 eDiscovery 中的「設定搜尋權限篩選」。

• 搜尋結果中包含的未索引項目是否會被刪除？

  不會，New-ComplianceSearchAction -Purge 命令不會刪除未編制索引的項目。

• 如果郵件從被置於訴訟暫停狀態或被指派到 Microsoft 365 保留政策的信箱中被刪除，會發生什麼事？

  清除郵件並將其移動到 [清除] 資料夾後，郵件會保留，直到保留期限到期為止。 如果保留期限無限制，則項目會保留到移除保留或變更保留期限為止。

• 為什麼搜尋與移除的工作流程會分散在不同的 Microsoft Purview 入口網站角色群組中？

  使用者必須是eDiscovery 管理員角色群組的成員，或者獲指派 符合性搜尋管理 角色才能搜尋信箱。 要刪除訊息，必須是 組織管理 角色群組的成員，或被指派為 搜尋與清除管理 角色。 這種分工使得誰能在組織內搜尋信箱，誰可以刪除郵件成為可能。