Löschen von Elementen im Ordner „Wiederherstellbare Elemente“ für cloudbasierte aufzubewahrende Postfächer
Tipp
eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).
Der Ordner "Wiederherstellbare Elemente" für ein Exchange Online Postfach ist zum Schutz vor versehentlichen oder böswilligen Löschungen vorhanden. Es wird auch verwendet, um Elemente zu speichern, die von Compliancefeatures wie Haltebereichen und eDiscovery-Suchvorgängen aufbewahrt und darauf zugegriffen werden. In einigen Situationen verfügen Organisationen jedoch möglicherweise über Daten, die unbeabsichtigt im Ordner "Wiederherstellbare Elemente" aufbewahrt wurden, die sie löschen müssen. Beispielsweise kann ein Benutzer unwissentlich eine E-Mail-Nachricht senden oder weiterleiten, die vertrauliche Informationen oder Informationen enthält, die schwerwiegende geschäftliche Konsequenzen haben können. Selbst wenn die Nachricht dauerhaft gelöscht wird, kann sie auf unbestimmte Zeit aufbewahrt werden, da für das Postfach eine gesetzliche Aufbewahrungssperre festgelegt wurde. Dieses Szenario wird als Datenüberlauf bezeichnet, da Daten unbeabsichtigt in Office 365 übergelaufen wurden. In diesen Situationen können Sie Elemente im Ordner "Wiederherstellbare Elemente" eines Benutzers für ein Exchange Online Postfach löschen, auch wenn dieses Postfach mit einem der verschiedenen Haltefunktionen in Office 365 in den Halteraum versetzt wird. Zu diesen Arten von Haltebereichen gehören Beweissicherungen, In-Place Haltebereiche, eDiscovery-Aufbewahrungsrichtlinien und Aufbewahrungsrichtlinien, die im Microsoft Purview-Complianceportal erstellt wurden.
In diesem Artikel wird erläutert, wie Administratoren Elemente aus dem Ordner "Wiederherstellbare Elemente" für cloudbasierte Postfächer löschen können, die sich im Halteraum befinden. Dieses Verfahren umfasst das Deaktivieren des Zugriffs auf das Postfach und das Deaktivieren der Wiederherstellung einzelner Elemente, das Deaktivieren der Verarbeitung des Postfachs durch den Assistenten für verwaltete Ordner, das vorübergehende Entfernen des Aufbewahrungsspeichers, das Löschen von Elementen aus dem Ordner "Wiederherstellbare Elemente" und das anschließende Zurücksetzen des Postfachs auf seine vorherige Konfiguration. Gehen Sie dazu folgendermaßen vor:
Schritt 1: Sammeln von Informationen zum Postfach
Schritt 2: Vorbereiten des Postfachs
Schritt 3: Entfernen aller Haltebereiche aus dem Postfach
Schritt 4: Entfernen des Verzögerungsspeichers für das Postfach
Schritt 5: Löschen von Elementen im Ordner "Wiederherstellbare Elemente"
Schritt 6: Zurücksetzen des Postfachs in den vorherigen Zustand
Achtung
Die in diesem Artikel beschriebenen Verfahren führen dazu, dass Daten dauerhaft aus einem Exchange Online Postfach gelöscht (gelöscht) werden. Das bedeutet, dass Nachrichten, die Sie aus dem Ordner "Wiederherstellbare Elemente" löschen, nicht wiederhergestellt werden können und nicht für die rechtliche Ermittlung oder andere Compliancezwecke verfügbar sind. Wenn Sie Nachrichten aus einem Postfach löschen möchten, das im Rahmen einer Beweissicherungs-, In-Place-, eDiscovery-Aufbewahrungs- oder Aufbewahrungsrichtlinie, die im Microsoft Purview-Complianceportal erstellt wurden, in den Haltebereich versetzt wird, wenden Sie sich an Ihre Datensatzverwaltung oder Rechtsabteilung, bevor Sie die Aufbewahrung entfernen. Ihr organization verfügt möglicherweise über eine Richtlinie, die definiert, ob ein Postfach im Haltespeicher oder ein Datenleck Priorität hat.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vor dem Löschen von Elementen
- Zum Erstellen und Ausführen einer Inhaltssuche müssen Sie Mitglied der Rollengruppe für eDiscovery-Manager sein, oder Ihnen muss die Compliancesuche-Verwaltungsrolle zugewiesen sein. Um Nachrichten löschen zu können, müssen Sie Mitglied der Rollengruppe „Organisationsverwaltung“ sein, oder Ihnen muss die Verwaltungsrolle zum Suchen und Löschen zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
- Wenn ein Postfach einer organization-weiten Aufbewahrungsrichtlinie zugewiesen ist, müssen Sie das Postfach aus der Richtlinie ausschließen, bevor Sie Elemente aus dem Ordner "Wiederherstellbare Elemente" löschen können. Es kann bis zu 24 Stunden dauern, bis die Richtlinienänderung synchronisiert und das Postfach aus der Richtlinie entfernt wurde. Weitere Informationen finden Sie unter "Organisationsweite Aufbewahrungsrichtlinien" im Abschnitt Entfernen aller Haltebereiche aus dem Postfach in diesem Artikel.
- Sie können dieses Verfahren nicht für ein Postfach ausführen, dem Aufbewahrungseinstellungen mit einer Aufbewahrungsrichtlinie zugewiesen wurden, die mithilfe der erhaltungsgeschützten Sperre gesperrt ist. Das liegt daran, dass Diese Sperre verhindert, dass Sie das Postfach aus der Richtlinie entfernen oder ausschließen und den Assistenten für verwaltete Ordner für das Postfach deaktivieren können. Weitere Informationen zu Sperrrichtlinien für die Aufbewahrung finden Sie unter Verwenden der Erhaltungssperre zum Einschränken von Änderungen an Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungsrichtlinien.
- Das in diesem Artikel beschriebene Verfahren wird für inaktive Postfächer nicht unterstützt. Das liegt daran, dass Sie eine Aufbewahrungsrichtlinie (oder Aufbewahrungsrichtlinie) auf ein inaktives Postfach nicht erneut anwenden können, nachdem Sie es entfernt haben. Wenn Sie einen Halteraum aus einem inaktiven Postfach entfernen, wird es in ein normales vorläufig gelöschtes Postfach geändert und dauerhaft aus Ihrem organization gelöscht, nachdem es vom Assistenten für verwaltete Ordner verarbeitet wurde.
- Wenn ein Postfach nicht in den Halteraum versetzt wird (oder die Wiederherstellung einzelner Elemente nicht aktiviert ist), können Sie die Elemente aus dem Ordner "Wiederherstellbare Elemente" löschen. Weitere Informationen dazu finden Sie unter Suchen und Löschen von E-Mail-Nachrichten in Ihrem organization.
Schritt 1: Sammeln von Informationen zum Postfach
Dieser erste Schritt besteht darin, ausgewählte Eigenschaften aus dem Zielpostfach zu sammeln, die sich auf diese Prozedur auswirken. Notieren Sie sich diese Einstellungen, oder speichern Sie sie in einer Textdatei, da Sie einige dieser Eigenschaften ändern und dann wieder zu den ursprünglichen Werten in Schritt 6 rückgängig machen, nachdem Sie Elemente aus dem Ordner "Wiederherstellbare Elemente" gelöscht haben. Hier ist eine Liste der Postfacheigenschaften, die Sie sammeln müssen.
- SingleItemRecoveryEnabled und RetainDeletedItemsFor. Bei Bedarf deaktivieren Sie die einzelne Wiederherstellung und erhöhen den Aufbewahrungszeitraum für gelöschte Elemente in Schritt 3.
- LitigationHoldEnabled und InPlaceHolds. Sie müssen alle Haltebereiche für das Postfach identifizieren, damit Sie sie in Schritt 3 vorübergehend entfernen können. Im Abschnitt Weitere Informationen finden Sie Tipps zum Identifizieren des Typspeichers, der in einem Postfach platziert werden kann.
Darüber hinaus müssen Sie die Einstellungen für den Postfachclientzugriff abrufen, damit Sie sie vorübergehend deaktivieren können, damit der Besitzer (oder andere Benutzer) während dieses Verfahrens nicht auf das Postfach zugreifen kann. Schließlich können Sie die aktuelle Größe und Anzahl der Elemente im Ordner "Wiederherstellbare Elemente" abrufen. Nachdem Sie Elemente im Ordner "Wiederherstellbare Elemente" in Schritt 5 gelöscht haben, verwenden Sie diese Informationen, um zu überprüfen, ob Elemente entfernt wurden.
Stellen Sie eine Verbindung mit Exchange Online PowerShell her. Achten Sie darauf, einen Benutzernamen und ein Kennwort für ein Administratorkonto zu verwenden, dem die entsprechenden Verwaltungsrollen in Exchange Online zugewiesen wurden.
Führen Sie den folgenden Befehl aus, um Informationen zur Wiederherstellung einzelner Elemente und zum Aufbewahrungszeitraum für gelöschte Elemente abzurufen.
Get-Mailbox <username> | FL SingleItemRecoveryEnabled,RetainDeletedItemsFor
Wenn die Wiederherstellung einzelner Elemente aktiviert ist, müssen Sie sie in Schritt 2 deaktivieren. Wenn der Aufbewahrungszeitraum für gelöschte Elemente nicht auf 30 Tage festgelegt ist (maximaler Wert in Exchange Online), können Sie ihn in Schritt 2 erhöhen.
Führen Sie den folgenden Befehl aus, um die Postfachzugriffseinstellungen für das Postfach abzurufen.
Get-CASMailbox <username> | FL EwsEnabled,ActiveSyncEnabled,MAPIEnabled,OWAEnabled,ImapEnabled,PopEnabled
Sie deaktivieren alle diese Zugriffsmethoden in Schritt 2.
Führen Sie den folgenden Befehl aus, um Informationen zu den Aufbewahrungs- und Aufbewahrungsrichtlinien abzurufen, die auf das Postfach angewendet werden.
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
Tipp
Wenn die InPlaceHolds-Eigenschaft zu viele Werte enthält und nicht alle angezeigt werden, können Sie den
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
Befehl ausführen, um jeden Wert in einer separaten Zeile anzuzeigen.Führen Sie den folgenden Befehl aus, um Informationen zu organization aufbewahrungsweiten Richtlinien abzurufen.
Get-OrganizationConfig | FL InPlaceHolds
Wenn Ihr organization über organization-weite Aufbewahrungsrichtlinien verfügt, müssen Sie das Postfach in Schritt 3 aus diesen Richtlinien ausschließen. Die Replikation der Änderung kann bis zu 24 Stunden dauern.
Tipp
Wenn die InPlaceHolds-Eigenschaft zu viele Werte enthält und nicht alle angezeigt werden, können Sie den
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
Befehl ausführen, um jeden Wert in einer separaten Zeile anzuzeigen.Führen Sie den folgenden Befehl aus, um zu ermitteln, ob eine Verzögerungssperre auf das Postfach angewendet wird.
Get-Mailbox <username> | FL DelayHoldApplied,DelayReleaseHoldApplied
Wenn der Wert der DelayHoldApplied - oder DelayReleaseHoldApplied-Eigenschaft auf True festgelegt ist, wird eine Verzögerungssperre auf das Postfach angewendet und muss entfernt werden. Weitere Informationen zu verzögerten Haltebereichen finden Sie unter Schritt 4: Entfernen des Verzögerungsspeichers aus dem Postfach.
Wenn der Wert beider Eigenschaften auf False festgelegt ist, wird kein Verzögerungsspeicher auf das Postfach angewendet, und Sie können Schritt 4 überspringen.
Führen Sie den folgenden Befehl aus, um die aktuelle Größe und Gesamtanzahl der Elemente in Ordnern und Unterordnern im Ordner "Wiederherstellbare Elemente" im primären Postfach des Benutzers abzurufen.
Get-MailboxFolderStatistics <username> -FolderScope RecoverableItems | FL Name,FolderAndSubfolderSize,ItemsInFolderAndSubfolders
Wenn das Archivpostfach des Benutzers aktiviert ist, führen Sie den folgenden Befehl aus, um die Größe und Gesamtanzahl der Elemente in Ordnern und Unterordnern im Ordner "Wiederherstellbare Elemente" des Archivpostfachs abzurufen.
Get-MailboxFolderStatistics <username> -FolderScope RecoverableItems -Archive | FL Name,FolderAndSubfolderSize,ItemsInFolderAndSubfolders
Wenn Sie Elemente in Schritt 5 löschen, können Sie elemente im Ordner "Wiederherstellbare Elemente" im primären Archivpostfach des Benutzers löschen oder nicht löschen. Wenn die automatisch erweiterte Archivierung für das Postfach aktiviert ist, werden Elemente in einem zusätzlichen Archivpostfach nicht gelöscht.
Schritt 2: Vorbereiten des Postfachs
Nach dem Sammeln und Speichern von Informationen über das Postfach besteht der nächste Schritt darin, das Postfach vorzubereiten, indem die folgenden Aufgaben ausgeführt werden:
- Deaktivieren Sie den Clientzugriff auf das Postfach , damit der Postfachbesitzer nicht auf sein Postfach zugreifen und während dieses Vorgangs änderungen an den Postfachdaten vornehmen kann.
- Erhöhen Sie den Aufbewahrungszeitraum für gelöschte Elemente auf 30 Tage (maximaler Wert in Exchange Online), damit Elemente nicht aus dem Ordner "Wiederherstellbare Elemente" gelöscht werden, bevor Sie sie in Schritt 5 löschen können.
- Deaktivieren Sie die Wiederherstellung einzelner Elemente , damit Elemente nicht (für die Dauer des Aufbewahrungszeitraums für gelöschte Elemente) aufbewahrt werden, nachdem Sie sie in Schritt 5 aus dem Ordner "Wiederherstellbare Elemente" gelöscht haben.
- Deaktivieren Sie den Assistenten für verwaltete Ordner , damit er das Postfach nicht verarbeitet und die Elemente beibehält, die Sie in Schritt 5 löschen.
Führen Sie die folgenden Schritte in Exchange Online PowerShell aus.
Führen Sie den folgenden Befehl aus, um den gesamten Clientzugriff auf das Postfach zu deaktivieren. Bei der Befehlssyntax wird davon ausgegangen, dass alle Clientzugriffsmethoden für das Postfach aktiviert waren.
Set-CASMailbox <username> -EwsEnabled $false -ActiveSyncEnabled $false -MAPIEnabled $false -OWAEnabled $false -ImapEnabled $false -PopEnabled $false
Hinweis
Es kann bis zu 60 Minuten dauern, bis alle Clientzugriffsmethoden auf das Postfach deaktiviert sind. Beachten Sie, dass das Deaktivieren dieser Zugriffsmethoden den Postfachbesitzer nicht trennt, wenn er derzeit angemeldet ist. Wenn der Besitzer nicht angemeldet ist, kann er nicht auf sein Postfach zugreifen, nachdem diese Zugriffsmethoden deaktiviert wurden.
Führen Sie den folgenden Befehl aus, um den Aufbewahrungszeitraum für gelöschte Elemente auf maximal 30 Tage zu erhöhen. Dabei wird davon ausgegangen, dass die aktuelle Einstellung weniger als 30 Tage beträgt.
Set-Mailbox <username> -RetainDeletedItemsFor 30
Führen Sie den folgenden Befehl aus, um die Wiederherstellung einzelner Elemente zu deaktivieren.
Set-Mailbox <username> -SingleItemRecoveryEnabled $false
Hinweis
Es kann bis zu 240 Minuten dauern, bis die Wiederherstellung einzelner Elemente deaktiviert ist. Löschen Sie elemente im Ordner "Wiederherstellbare Elemente" erst, wenn dieser Zeitraum abgelaufen ist.
Führen Sie den folgenden Befehl aus, um zu verhindern, dass der Assistent für verwaltete Ordner das Postfach verarbeitet. Wie bereits erläutert, können Sie den Assistenten für verwaltete Ordner nur deaktivieren, wenn keine Aufbewahrungsrichtlinie mit einer Erhaltungssperre auf das Postfach angewendet wird.
Set-Mailbox <username> -ElcProcessingDisabled $true
Schritt 3: Entfernen aller Haltebereiche aus dem Postfach
Der letzte Schritt, bevor Sie Elemente aus dem Ordner "Wiederherstellbare Elemente" löschen können, besteht darin, alle Haltebereiche (die Sie in Schritt 1 identifiziert haben) für das Postfach zu entfernen. Alle Haltebereiche müssen entfernt werden, damit Elemente nicht beibehalten werden, nachdem Sie sie aus dem Ordner "Wiederherstellbare Elemente" gelöscht haben. Die folgenden Abschnitte enthalten Informationen zum Entfernen verschiedener Haltebereiche für ein Postfach. Im Abschnitt Weitere Informationen finden Sie Tipps zum Identifizieren des Typspeichers, der in einem Postfach platziert werden kann. Weitere Informationen finden Sie unter Identifizieren des Haltespeichertyps eines Exchange Online Postfachs.
Achtung
Wie bereits erwähnt, wenden Sie sich an Ihre Datensatzverwaltungs- oder Rechtsabteilungen, bevor Sie einen Haltebereich aus einem Postfach entfernen.
Aufbewahrung für eventuelle Rechtsstreitigkeiten
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um ein Beweissicherungsverfahren aus dem Postfach zu entfernen.
Set-Mailbox <username> -LitigationHoldEnabled $false
Hinweis
Ähnlich wie beim Deaktivieren der Wiederherstellung einzelner Elemente kann es bis zu 240 Minuten dauern, bis das Beweissicherungsverfahren aufgehoben wurde. Löschen Sie elemente erst nach Ablauf dieses Zeitraums aus dem Ordner "Wiederherstellbare Elemente".
Compliance-Archiv
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um den In-Place Halteraum zu identifizieren, der im Postfach platziert wird. Verwenden Sie die GUID für den In-Place Halteraum, den Sie in Schritt 1 identifiziert haben.
Get-ComplianceSearch -Identity <hold GUID> | FL Name
Nachdem Sie die In-Place Hold identifiziert haben, können Sie das Exchange Admin Center (EAC) oder Exchange Online PowerShell verwenden, um das Postfach aus dem Halteraum zu entfernen. Weitere Informationen finden Sie unter Erstellen oder Entfernen eines Compliance-Archivs.
Aufbewahrungsrichtlinien, die auf bestimmte Postfächer angewendet werden
Führen Sie den folgenden Befehl in Security & Compliance PowerShell aus, um die Aufbewahrungsrichtlinie zu identifizieren, die auf das Postfach angewendet wird. Dieser Befehl gibt auch alle Aufbewahrungsrichtlinien für Teams-Unterhaltungen zurück, die auf ein Postfach angewendet werden. Verwenden Sie die GUID (ohne das mbx
Präfix oder skp
) für die Aufbewahrungsrichtlinie, die Sie in Schritt 1 identifiziert haben.
Get-RetentionCompliancePolicy <retention policy GUID without prefix> | FL Name
Nachdem Sie die Aufbewahrungsrichtlinie identifiziert haben, wechseln Sie im Complianceportal zur Seite Datenlebenszyklusverwaltung>Microsoft 365-Aufbewahrung>, bearbeiten Sie die Aufbewahrungsrichtlinie, die Sie im vorherigen Schritt identifiziert haben, und entfernen Sie das Postfach aus der Liste der Empfänger, die in der Aufbewahrungsrichtlinie enthalten sind.
Organisationsweite Aufbewahrungsrichtlinien
Organisationsweite, Exchange-weite und Teams-weite Aufbewahrungsrichtlinien werden auf jedes Postfach im organization angewendet. Sie werden auf der organization-Ebene (nicht auf Postfachebene) angewendet und zurückgegeben, wenn Sie das Cmdlet Get-OrganizationConfig in Schritt 1 ausführen. Führen Sie den folgenden Befehl in Security & Compliance PowerShell aus, um die organization-weiten Aufbewahrungsrichtlinien zu identifizieren. Verwenden Sie die GUID (ohne das mbx
Präfix) für die organization-weiten Aufbewahrungsrichtlinien, die Sie in Schritt 1 identifiziert haben.
Get-RetentionCompliancePolicy <retention policy GUID without prefix> | FL Name
Nachdem Sie die organization-weiten Aufbewahrungsrichtlinien identifiziert haben, wechseln Sie im Complianceportal zur Seite Datenlebenszyklusverwaltung>Microsoft 365-Aufbewahrung>, bearbeiten Sie jede organization-weite Aufbewahrungsrichtlinie, die Sie im vorherigen Schritt identifiziert haben, und fügen Sie das Postfach der Liste der ausgeschlossenen Empfänger hinzu. Dadurch wird das Postfach des Benutzers aus der Aufbewahrungsrichtlinie entfernt.
Wichtig
Nachdem Sie ein Postfach aus einer organization-weiten Aufbewahrungsrichtlinie ausgeschlossen haben, kann es bis zu 24 Stunden dauern, bis diese Änderung synchronisiert und das Postfach aus der Richtlinie entfernt wurde.
Aufbewahrungsbezeichnungen
Wenn ein Benutzer eine Bezeichnung anwendet, die so konfiguriert ist, dass Inhalte aufbewahrt oder aufbewahrt werden, und dann Inhalte in einem Ordner oder Element in seinem Postfach löschen, wird die ComplianceTagHoldApplied-Postfacheigenschaft auf True festgelegt. In diesem Fall wird das Postfach als haltebar angesehen, als ob es in das Beweissicherungsverfahren versetzt oder einer Aufbewahrungsrichtlinie zugewiesen wurde.
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um den Wert der ComplianceTagHoldApplied-Eigenschaft anzuzeigen:
Get-Mailbox <username> |FL ComplianceTagHoldApplied
Nachdem Sie festgestellt haben, dass sich ein Postfach im Haltezustand befindet, weil eine Aufbewahrungsbezeichnung auf einen Ordner oder ein Element angewendet wird, können Sie das Tool für die Inhaltssuche im Complianceportal verwenden, um mithilfe der Bedingung Aufbewahrungsbezeichnung nach bezeichneten Elementen zu suchen. Weitere Informationen finden Sie unter:
Der Abschnitt "Verwenden der Inhaltssuche, um alle Inhalte mit einer bestimmten Aufbewahrungsbezeichnung zu finden" unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen
Der Abschnitt "Suchbedingungen" in Schlüsselwortabfragen und Suchbedingungen für die Inhaltssuche.
Weitere Informationen zu Bezeichnungen finden Sie unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.
eDiscovery-Haltebereiche
Führen Sie die folgenden Befehle in Security & Compliance PowerShell aus, um den Halteraum zu identifizieren, der einem eDiscovery-Fall (als eDiscovery-Haltebereiche bezeichnet) zugeordnet ist, der auf das Postfach angewendet wird. Verwenden Sie die GUID (ohne Präfix UniH
) für den eDiscovery-Halteraum, den Sie in Schritt 1 identifiziert haben. Der zweite Befehl zeigt den Namen des eDiscovery-Falls an, dem der Halteraum zugeordnet ist. Der dritte Befehl zeigt den Namen des Halteraums an.
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold.Name
Nachdem Sie den Namen des eDiscovery-Falls und den Halteraum identifiziert haben, wechseln Sie im Complianceportal zur Seite eDiscovery>eDiscovery , öffnen Sie den Fall, und entfernen Sie das Postfach aus dem Halteraum. Weitere Informationen zum Identifizieren von eDiscovery-Haltebereichen finden Sie im Abschnitt "eDiscovery-Haltebereiche" unter Identifizieren des Haltebereichstyps eines Exchange Online Postfachs.
Schritt 4: Entfernen des Verzögerungsspeichers für das Postfach
Nachdem ein haltebarer Typ aus einem Postfach entfernt wurde, wird der Wert der Eigenschaft DelayHoldApplied oder DelayReleaseHoldApplied auf True festgelegt. Dies geschieht, wenn der Assistent für verwaltete Ordner das Postfach das nächste Mal verarbeitet und erkennt, dass ein Haltepunkt entfernt wurde. Dies wird als Verzögerungsspeicher bezeichnet und bedeutet, dass die tatsächliche Entfernung des Halteraums um 30 Tage verzögert wird, um zu verhindern, dass Daten dauerhaft aus dem Postfach gelöscht werden. (Der Zweck einer Verzögerungssperre besteht darin, Administratoren die Möglichkeit zu geben, nach Postfachelementen zu suchen oder wiederherzustellen, die nach dem Entfernen eines Halteraums gelöscht werden.) Wenn eine Verzögerungssperre für das Postfach festgelegt wird, wird das Postfach weiterhin als unbeschränkt in der Warteschleife betrachtet, als ob sich das Postfach im Beweissicherungsverfahren befunden hätte. Nach 30 Tagen läuft die Verzögerungssperre ab, und Microsoft 365 versucht automatisch, die Verzögerungssperre zu entfernen (indem die DelayHoldApplied - oder DelayReleaseHoldApplied-Eigenschaft auf False festgelegt wird), sodass der Halteraum entfernt wird. Weitere Informationen zu einem verzögerten Haltebereich finden Sie im Abschnitt "Verwalten von Postfächern bei verzögertem Halten" unter Identifizieren des Haltebereichstyps eines Exchange Online Postfachs.
Wenn der Wert der DelayHoldApplied - oder DelayReleaseHoldApplied-Eigenschaft auf True festgelegt ist, führen Sie einen der folgenden Befehle aus, um die Verzögerungssperre zu entfernen:
Set-Mailbox <username> -RemoveDelayHoldApplied
Oder
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
Ihnen muss die Rolle "Gesetzliche Aufbewahrung" in Exchange Online zugewiesen sein, um den RemoveDelayHoldApplied- oder RemoveDelayReleaseHoldApplied-Parameter verwenden zu können.
Schritt 5: Löschen von Elementen im Ordner "Wiederherstellbare Elemente"
Jetzt können Sie Elemente im Ordner "Wiederherstellbare Elemente" mithilfe der Cmdlets New-ComplianceSearch und New-ComplianceSearchAction in Security & Compliance PowerShell löschen.
Um nach Elementen zu suchen, die sich im Ordner "Wiederherstellbare Elemente" befinden, empfehlen wir Ihnen, eine gezielte Sammlung durchzuführen. Dies bedeutet, dass Sie den Umfang Ihrer Suche nur auf Elemente beschränken, die sich im Ordner "Wiederherstellbare Elemente" befinden. Sie können dies tun, indem Sie das Skript im Artikel Inhaltssuche für gezielte Sammlungen verwenden ausführen. Dieses Skript gibt den Wert der Ordner-ID-Eigenschaft für alle Unterordner im Zielordner für wiederherstellbare Elemente zurück. Anschließend verwenden Sie die Ordner-ID in einer Suchabfrage, um Elemente in diesem Ordner zurückzugeben.
Hinweis
Wenn das Postfachkontingent erreicht wird und das Benutzerpostfach E-Mails ablehnen, erhalten Sie beim Löschen wiederherstellbarer Elemente möglicherweise den Fehler 554 5.2.0. Weitere Informationen findest du unter "554 5.2.0 STOREDRV. Deliver.Exception" beim Senden von E-Mails in Exchange Online.
Hier ist eine Übersicht über den Vorgang zum Suchen und Löschen von Elementen im Ordner "Wiederherstellbare Elemente" eines Benutzers:
Führen Sie das Zielsammlungsskript aus, das die Ordner-IDs für alle Ordner im Postfach des Zielbenutzers zurückgibt. Das Skript stellt in derselben PowerShell-Sitzung eine Verbindung zu Exchange Online PowerShell und Security & Compliance PowerShell her. Weitere Informationen finden Sie unter Ausführen des Skripts zum Abrufen einer Liste von Ordnern für ein Postfach.
Kopieren Sie die Ordner-IDs für alle Unterordner in den Ordner "Wiederherstellbare Elemente". Alternativ können Sie die Ausgabe des Skripts in eine Textdatei umleiten.
Im Folgenden finden Sie eine Liste und Beschreibung der Unterordner im Ordner "Wiederherstellbare Elemente", in denen Sie Elemente durchsuchen und löschen können:
- Löschungen: Enthält vorläufig gelöschte Elemente, deren Aufbewahrungszeitraum für gelöschte Elemente noch nicht abgelaufen ist. Benutzer können gelöschte Elemente aus diesem Unterordner mithilfe des Tools "Gelöschte Elemente wiederherstellen" in Outlook wiederherstellen.
- DiscoveryHolds: Enthält „fest“ gelöschte Elemente, die durch eine eDiscovery-Sperrung oder eine Aufbewahrungsrichtlinie beibehalten wurden. Dieser Unterordner ist für Endbenutzer nicht sichtbar.
- SubstrateHolds: Enthält „fest“ gelöschte Elemente aus Teams und anderen Cloud-basierten Apps, die durch eine Aufbewahrungsrichtlinie oder eine andere Art von Sperrung beibehalten wurden. Dieser Unterordner ist für Endbenutzer nicht sichtbar.
Verwenden Sie das Cmdlet New-ComplianceSearch (in Security & Compliance PowerShell) oder das Tool für die Inhaltssuche im Complianceportal, um eine Inhaltssuche zu erstellen, die Elemente aus dem Ordner "Wiederherstellbare Elemente" des Zielbenutzers zurückgibt. Sie können dies tun, indem Sie die Ordner-ID in die Suchabfrage für alle Unterordner aufnehmen, die Sie durchsuchen möchten. Die folgende Abfrage gibt beispielsweise alle Nachrichten in den Unterordnern Deletions und eDiscoveryHolds zurück:
folderid:<folder ID of Deletions subfolder> OR folderid:<folder ID of DiscoveryHolds subfolder>
Weitere Informationen und Beispiele zum Ausführen von Inhaltssuchen, die die Ordner-ID-Eigenschaft verwenden, finden Sie unter Verwenden einer Ordner-ID oder zum Ausführen einer gezielten Sammlung.
Hinweis
Wenn Sie das Cmdlet New-ComplianceSearch verwenden, um den Ordner "Wiederherstellbare Elemente" zu durchsuchen, stellen Sie sicher, dass Sie das Cmdlet Start-ComplianceSearch verwenden, um die Suche auszuführen.
Nachdem Sie eine Inhaltssuche erstellt und überprüft haben, dass sie die Elemente zurückgibt, die Sie löschen möchten, verwenden Sie den
New-ComplianceSearchAction -Purge -PurgeType HardDelete
Befehl (in Security & Compliance PowerShell), um die von der Inhaltssuche zurückgegebenen Elemente, die Sie im vorherigen Schritt erstellt haben, endgültig zu löschen. Sie können beispielsweise einen Befehl ausführen, der dem folgenden Befehl ähnelt:New-ComplianceSearchAction -SearchName "RecoverableItems" -Purge -PurgeType HardDelete
Maximal 100 Elemente pro Postfach werden gelöscht, wenn Sie den vorherigen Befehl ausführen. Das bedeutet, dass Sie den
New-ComplianceSearchAction -Purge
Befehl möglicherweise mehrmals ausführen müssen, um alle Elemente zu löschen, die Sie im Ordner "Wiederherstellbare Elemente" löschen möchten. Um weitere Elemente zu löschen, müssen Sie zuerst die vorherige Bereinigungsaktion für die Compliance-Suche entfernen. Sie tun dies, indem Sie dasRemove-ComplianceSearchAction
Cmdlet ausführen. Führen Sie beispielsweise den folgenden Befehl aus, um die im vorherigen Schritt ausgeführte Bereinigungsaktion zu löschen:Remove-ComplianceSearchAction "RecoverableItems_Purge"
Anschließend können Sie eine neue Bereinigungsaktion der Compliance-Suche erstellen, um weitere Elemente zu löschen. Sie müssen jede Bereinigungsaktion löschen, bevor Sie eine neue erstellen.
Um eine Liste der Compliance-Suchaktionen abzurufen, können Sie das
Get-ComplianceSearchAction
Cmdlet ausführen. Bereinigungsaktionen werden durch_Purge
identifiziert, die an den Suchnamen angehängt wird.
Überprüfen, ob Elemente gelöscht wurden
Um zu überprüfen, ob Sie Elemente erfolgreich aus dem Ordner "Wiederherstellbare Elemente" eines Postfachs gelöscht haben, verwenden Sie das Cmdlet Get-MailboxFolderStatistics in Exchange Online PowerShell, um die Größe und Anzahl der Elemente im Ordner "Wiederherstellbare Elemente" zu überprüfen. Sie können diese Statistiken mit den in Schritt 1 gesammelten vergleichen.
Führen Sie den folgenden Befehl in aus, um die aktuelle Größe und Gesamtanzahl der Elemente in Ordnern und Unterordnern im Ordner "Wiederherstellbare Elemente" im primären Postfach des Benutzers abzurufen.
Get-MailboxFolderStatistics <username> -FolderScope RecoverableItems | FL Name,FolderAndSubfolderSize,ItemsInFolderAndSubfolders
Führen Sie den folgenden Befehl aus, um die Größe und die Gesamtzahl der Elemente in Ordnern und Unterordnern im Ordner "Wiederherstellbare Elemente" im Archivpostfach des Benutzers abzurufen.
Get-MailboxFolderStatistics <username> -FolderScope RecoverableItems -Archive | FL Name,FolderAndSubfolderSize,ItemsInFolderAndSubfolders
Schritt 6: Zurücksetzen des Postfachs in den vorherigen Zustand
Der letzte Schritt besteht darin, das Postfach wieder in seine vorherige Konfiguration zu rückgängig machen. Dies bedeutet, dass Die Eigenschaften, die Sie in Schritt 2 geändert haben, zurückgesetzt und die Haltebereiche erneut angewendet werden, die Sie in Schritt 3 entfernt haben. Dies umfasst Folgendes:
- Ändern des Aufbewahrungszeitraums für gelöschte Elemente wieder in den vorherigen Wert. Alternativ können Sie diesen Wert einfach auf 30 Tage festlegen, den Höchstwert in Exchange Online.
- Erneutes Aktivieren der Wiederherstellung eines einzelnen Elements.
- Aktivieren Sie die Clientzugriffsmethoden erneut, damit der Besitzer auf sein Postfach zugreifen kann.
- Erneutes Anwenden der Aufbewahrungs- und Aufbewahrungsrichtlinien, die Sie entfernt haben.
- Aktivieren Sie den Assistenten für verwaltete Ordner erneut, um das Postfach zu verarbeiten.
Wichtig
Es wird empfohlen, 24 Stunden nach der erneuten Anwendung einer Aufbewahrungs- oder Aufbewahrungsrichtlinie zu warten (und zu überprüfen, ob sie vorhanden ist), bevor Sie den Assistenten für verwaltete Ordner für die Verarbeitung des Postfachs erneut aktivieren.
Führen Sie die folgenden Schritte (in der angegebenen Reihenfolge) in Exchange Online PowerShell aus.
Führen Sie den folgenden Befehl aus, um den Aufbewahrungszeitraum für gelöschte Elemente wieder in den ursprünglichen Wert zu ändern. Dabei wird davon ausgegangen, dass die vorherige Einstellung weniger als 30 Tage beträgt. beispielsweise 14 Tage.
Set-Mailbox <username> -RetainDeletedItemsFor 14
Führen Sie den folgenden Befehl aus, um die Wiederherstellung einzelner Elemente erneut zu aktivieren.
Set-Mailbox <username> -SingleItemRecoveryEnabled $true
Führen Sie den folgenden Befehl aus, um alle Clientzugriffsmethoden für das Postfach erneut zu aktivieren.
Set-CASMailbox <username> -EwsEnabled $true -ActiveSyncEnabled $true -MAPIEnabled $true -OWAEnabled $true -ImapEnabled $true -PopEnabled $true
Wenden Sie die Haltebereiche erneut an, die Sie in Schritt 3 entfernt haben. Verwenden Sie je nach Art des Halteraums eines der folgenden Verfahren.
Beweissicherungsverfahren
Führen Sie den folgenden Befehl aus, um eine Beweissicherung für das Postfach erneut zu aktivieren.
Set-Mailbox <username> -LitigationHoldEnabled $true
In-Situ-Aufbewahrung
Verwenden Sie das EAC (oder Exchange Online PowerShell), um das Postfach wieder der In-Place-Aufbewahrung hinzuzufügen.
Aufbewahrungsrichtlinien, die auf bestimmte Postfächer angewendet werden
Verwenden Sie das Complianceportal, um das Postfach wieder der Aufbewahrungsrichtlinie hinzuzufügen. Wechseln Sie im Complianceportal zur Seite Datenlebenszyklusverwaltung>Microsoft 365-Aufbewahrung>, bearbeiten Sie die Aufbewahrungsrichtlinie, und fügen Sie das Postfach wieder der Liste der Empfänger hinzu, auf die die Aufbewahrungsrichtlinie angewendet wird.
Organisationsweite Aufbewahrungsrichtlinien
Wenn Sie eine organization- oder Exchange-weite Aufbewahrungsrichtlinie entfernt haben, indem Sie sie aus der Richtlinie ausschließen, verwenden Sie das Complianceportal, um das Postfach aus der Liste der ausgeschlossenen Benutzer zu entfernen. Wechseln Sie im Complianceportal zur Seite Datenlebenszyklusverwaltung>Microsoft 365-Aufbewahrung>, bearbeiten Sie die organization-weite Aufbewahrungsrichtlinie, und entfernen Sie das Postfach aus der Liste der ausgeschlossenen Empfänger. Dadurch wird die Aufbewahrungsrichtlinie erneut auf das Postfach des Benutzers angewendet.
eDiscovery-Fallsperren
Verwenden Sie das Complianceportal, um das Postfach wieder dem Halteraum hinzuzufügen, der einem eDiscovery-Fall zugeordnet ist. Wechseln Sie zur Seite eDiscovery (Standard), öffnen Sie den Fall, und fügen Sie das Postfach wieder dem Haltepunkt hinzu.
Führen Sie den folgenden Befehl aus, damit der Assistent für verwaltete Ordner das Postfach erneut verarbeiten kann. Wie bereits erwähnt, empfehlen wir, 24 Stunden nach der erneuten Anwendung einer Aufbewahrungs- oder Aufbewahrungsrichtlinie zu warten (und zu überprüfen, ob sie vorhanden ist), bevor Sie den Assistenten für verwaltete Ordner erneut aktivieren.
Set-Mailbox <username> -ElcProcessingDisabled $false
Um zu überprüfen, ob das Postfach auf seine vorherige Konfiguration zurückgesetzt wurde, können Sie die folgenden Befehle ausführen und dann die Einstellungen mit den Einstellungen vergleichen, die Sie in Schritt 1 erfasst haben.
Get-Mailbox <username> | FL ElcProcessingDisabled,InPlaceHolds,LitigationHoldEnabled,RetainDeletedItemsFor,SingleItemRecoveryEnabled
Get-CASMailbox <username> | FL EwsEnabled,ActiveSyncEnabled,MAPIEnabled,OWAEnabled,ImapEnabled,PopEnabled
Weitere Informationen
Hier ist eine Tabelle, in der beschrieben wird, wie Verschiedene Arten von Haltebereichen basierend auf den Werten in der InPlaceHolds-Eigenschaft identifiziert werden, wenn Sie die Cmdlets Get-Mailbox oder Get-OrganizationConfig ausführen. Ausführlichere Informationen finden Sie unter Identifizieren des Haltespeichertyps eines Exchange Online Postfachs.
Wie bereits erläutert, müssen Sie alle Aufbewahrungs- und Aufbewahrungsrichtlinien aus einem Postfach entfernen, bevor Sie Elemente im Ordner "Wiederherstellbare Elemente" erfolgreich löschen können.
Haltebereichstyp | Beispielwert | Identifizieren des Halteraums |
---|---|---|
Aufbewahrung für eventuelle Rechtsstreitigkeiten |
True |
Die LitigationHoldEnabled-Eigenschaft ist auf True festgelegt. |
Compliance-Archiv |
c0ba3ce811b6432a8751430937152491 |
Die InPlaceHolds-Eigenschaft enthält die GUID des In-Place Hold, der im Postfach platziert wird. Sie können feststellen, dass es sich um einen In-Place Haltezeichen handelt, da die GUID nicht mit einem Präfix beginnt. Sie können das Cmdlet Get-ComplianceSearch in Exchange Online PowerShell verwenden, um Informationen zum In-Place Für das Postfach abzurufen. |
Aufbewahrungsrichtlinien im Complianceportal, die auf bestimmte Postfächer angewendet werden |
mbxcdbbb86ce60342489bff371876e7f224 oder skp127d7cf1076947929bf136b7a2a8c36f |
Wenn Sie das Cmdlet Get-Mailbox ausführen, enthält die InPlaceHolds-Eigenschaft auch GUIDs von Aufbewahrungsrichtlinien, die auf das Postfach angewendet werden. Sie können Aufbewahrungsrichtlinien identifizieren, da die GUID mit dem mbx Präfix beginnt. Wenn die GUID der Aufbewahrungsrichtlinie mit dem Präfix beginnt, bedeutet diesskp , dass die Aufbewahrungsrichtlinie auf Skype for Business Unterhaltungen angewendet wird. Führen Sie den folgenden Befehl in Security & Compliance PowerShell aus, um die Aufbewahrungsrichtlinie zu identifizieren, die auf das Postfach angewendet wird: Get-RetentionCompliancePolicy <retention policy GUID without prefix> | FL Name Achten Sie darauf, das mbx Präfix oder skp zu entfernen, wenn Sie diesen Befehl ausführen. |
Organisationsweite Aufbewahrungsrichtlinien im Complianceportal |
Kein Wert oder -mbxe9b52bf7ab3b46a286308ecb29624696 (gibt an, dass das Postfach von einer organization-weiten Richtlinie ausgeschlossen ist) |
Auch wenn die InPlaceHolds-Eigenschaft leer ist, wenn Sie das Get-Mailbox-Cmdlet ausführen, gibt es möglicherweise eine oder mehrere organization-weiten Aufbewahrungsrichtlinien, die auf das Postfach angewendet werden. Um dies zu überprüfen, können Sie den Get-OrganizationConfig | FL InPlaceHolds Befehl in Exchange Online PowerShell ausführen, um eine Liste der GUIDs für organization-weiten Aufbewahrungsrichtlinien abzurufen. Die GUID für organization-weiten Aufbewahrungsrichtlinien, die auf Exchange-Postfächer angewendet werden, beginnt mit dem mbx Präfix, mbxa3056bb15562480fadb46ce523ff7b02 z. B. . Führen Sie den folgenden Befehl in Security & Compliance PowerShell aus, um die organization-weite Aufbewahrungsrichtlinie zu identifizieren, die auf das Postfach angewendet wird: Get-RetentionCompliancePolicy <retention policy GUID without prefix> | FL Name Wenn ein Postfach von einer organization-weiten Aufbewahrungsrichtlinie ausgeschlossen wird, wird die GUID für die Aufbewahrungsrichtlinie in der InPlaceHolds-Eigenschaft des Postfachs des Benutzers angezeigt, wenn Sie das Cmdlet Get-Mailbox ausführen. Es wird durch das Präfix -mbx identifiziert, z. B.-mbxe9b52bf7ab3b46a286308ecb29624696 |
eDiscovery-Fallsperre im Complianceportal |
UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
Die InPlaceHolds-Eigenschaft enthält auch die GUID aller Aufbewahrungen, die einem eDiscovery-Fall im Complianceportal zugeordnet sind und möglicherweise im Postfach platziert werden. Sie können feststellen, dass dies ein eDiscovery-Fall ist, da die GUID mit dem UniH Präfix beginnt. Sie können das Get-CaseHoldPolicy Cmdlet in Security & Compliance PowerShell verwenden, um Informationen zu dem eDiscovery-Fall abzurufen, dem die Aufbewahrung für das Postfach zugeordnet ist. Sie können z. B. den Befehl Get-CaseHoldPolicy <hold GUID without prefix> | FL Name ausführen, um den Namen des Fallspeichers anzuzeigen, der sich im Postfach befindet. Achten Sie darauf, das UniH Präfix zu entfernen, wenn Sie diesen Befehl ausführen. Führen Sie die folgenden Befehle aus, um den eDiscovery-Fall zu ermitteln, dem das Postfach zugeordnet ist: $CaseHold = Get-CaseHoldPolicy <hold GUID without prefix> Get-ComplianceCase $CaseHold.CaseId | FL Name |