Buscar y eliminar mensajes de correo electrónico en eDiscovery (versión preliminar)

  • Artículo

Sugerencia

Este artículo está dirigido a administradores. ¿Está intentando encontrar elementos en el buzón de correo que desea eliminar? Consulte Búsqueda de un mensaje o elemento con búsqueda instantánea.

Puede usar la característica de búsqueda para buscar y eliminar mensajes de correo electrónico de todos los buzones de correo de la organización. Este proceso puede ayudarle a buscar y eliminar correos electrónicos potencialmente dañinos o de alto riesgo, como:

  • Mensajes que contienen virus o datos adjuntos peligrosos
  • Mensajes de suplantación de identidad
  • Mensajes que contienen datos confidenciales

Sugerencia

Si su organización tiene una suscripción a Defender para Office 365 Plan 2, se recomienda usar el procedimiento detallado en Corregir el correo electrónico malintencionado que se ha entregado en Office 365, en lugar de seguir el procedimiento descrito en este artículo.

Antes de empezar

  • El flujo de trabajo de búsqueda y purga descrito en este artículo no elimina los mensajes de chat ni ningún otro contenido de Microsoft Teams. Si la búsqueda que crea en el paso 2 devuelve elementos de Microsoft Teams, esos elementos no se eliminarán al purgar elementos en el paso 3. Para buscar y eliminar mensajes de chat, vea Buscar y purgar mensajes de chat en Teams.

  • Para crear y ejecutar una búsqueda, debe ser miembro del grupo de roles administrador de exhibición de documentos electrónicos o tener asignado el rol Búsqueda de cumplimiento en el portal de Microsoft Purview. Para eliminar mensajes, debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol Buscar y purgar en el portal de Microsoft Purview Para obtener información sobre cómo agregar usuarios a un grupo de roles, consulte Asignación de permisos de exhibición de documentos electrónicos.

    Nota:

    El grupo de roles Administración de la organización existe en Exchange Online y en el portal de Microsoft Purview. Se trata de grupos de roles independientes que conceden permisos diferentes. Ser miembro de la Administración de la organización en Exchange Online no concede los permisos necesarios para eliminar mensajes de correo electrónico. Si no tiene asignado el rol Buscar y purgar en el portal de Microsoft Purview (ya sea directamente o a través de un grupo de roles como Organization Management), recibirá un error en el paso 3 al ejecutar el cmdlet New-ComplianceSearchAction con el mensaje "No se encuentra un parámetro que coincida con el nombre de parámetro 'Purge'".

  • Debe usar Seguridad y cumplimiento de PowerShell para eliminar mensajes. Consulte Paso 1: Conectar a Seguridad y cumplimiento de PowerShell para obtener instrucciones sobre cómo conectarse.

  • Se puede eliminar un máximo de 10 elementos por buzón a la vez. Como la función de buscar y quitar mensajes está diseñada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que los mensajes se quitan rápidamente de los buzones. Esta característica no está diseñada para limpiar buzones de usuarios.

  • Si es necesario quitar elementos adicionales del buzón de correo, se requieren pasos adicionales.

    1. La retención de elementos únicos debe deshabilitarse para los buzones de correo. Esto garantiza que los elementos se quiten de la carpeta Purgas.
    2. El Asistente para carpetas administradas debe ejecutarse en el buzón después de cada acción de purga de cumplimiento. Esta acción elimina permanentemente los elementos y permite quitar otros 10 elementos con acciones de purga adicionales.

    Nota:

    Esta opción no se admite si un buzón tiene una suspensión por juicio. Solo se quitan 10 elementos de la vista del usuario. Estos 10 elementos no se eliminan permanentemente, por lo que estos 10 elementos son los únicos procesados.

  • El número máximo de buzones en una búsqueda de contenido que puede usar para eliminar elementos al realizar una acción de búsqueda y depuración es 50 000. Si la búsqueda (que crea en el paso 2) busca en más de 50 000 buzones, se producirá un error en la acción de purga (que cree en el paso 3). Hacer la búsqueda en más de 50 000 buzones en una sola búsqueda suele ocurrir cuando se configura para que incluya a todos los buzones de la organización. Esta restricción aplica incluso cuando haya menos de 50 000 buzones que contengan elementos que coincidan con la consulta de la búsqueda. Consulte la sección de Más información para obtener instrucciones sobre el uso de los filtros de permisos de búsqueda para buscar y depurar elementos de más de 50 000 buzones.

  • El procedimiento descrito en este artículo solo se puede usar para eliminar elementos de buzones y carpetas públicas de Exchange Online. No se puede usar para eliminar contenido de sitios de SharePoint o OneDrive.

  • Los elementos de correo electrónico de un conjunto de revisión en un caso de exhibición de documentos electrónicos no se pueden eliminar mediante los procedimientos de este artículo. Esto se debe a que los elementos de un conjunto de revisiones se almacenan en una ubicación de almacenamiento de Azure y no en el servicio activo. Esto significa que no se devolverán por la búsqueda de contenido que creó en el paso 1. Para eliminar elementos de un conjunto de revisión, debe eliminar el caso de exhibición de documentos electrónicos que contiene el conjunto de revisión.

Paso 1: Conectarse a Seguridad y cumplimiento de PowerShell

El primer paso es conectarse a PowerShell de cumplimiento de seguridad & para su organización. Para obtener instrucciones paso a paso, vea Conectarse Seguridad y cumplimiento de PowerShell.

Paso 2: Crear una consulta de búsqueda para buscar el mensaje que se va a eliminar

El segundo paso consiste en crear y ejecutar una búsqueda para encontrar el mensaje que desea quitar de los buzones de su organización. Puede crear la búsqueda mediante el portal de Microsoft Purview o mediante la ejecución de los cmdlets New-ComplianceSearch y Start-ComplianceSearch en PowerShell de seguridad & cumplimiento. Los mensajes que coincidan con la consulta de esta búsqueda se eliminarán al ejecutar el comando New-ComplianceSearchAction-Purge en el paso 3. Para obtener información sobre cómo crear y configurar consultas de búsqueda, consulte los artículos siguientes:

Nota:

Las ubicaciones de contenido que se buscan en la consulta de búsqueda que cree en este paso no pueden incluir sitios de SharePoint o OneDrive. Solo puede incluir buzones de correo y carpetas públicas en una búsqueda que se usará para los mensajes de correo electrónico. Si la búsqueda incluye sitios, recibirá un error en el paso 3 al ejecutar el cmdlet New-ComplianceSearchAction .

Sugerencias para buscar mensajes que quiere eliminar

El objetivo de la consulta de búsqueda es limitar los resultados de la búsqueda para encontrar el mensaje (o mensajes) que quiere quitar. Aquí encontrará algunas sugerencias:

  • Si conoce el texto o la frase exacta usados en la línea de asunto del mensaje, use la propiedad Subject en la consulta de búsqueda.
  • Si conoce la fecha exacta (o el intervalo de fechas) del mensaje, incluya la propiedad Received en la consulta de búsqueda.
  • Si conoce quién envió el mensaje, incluya la propiedad From en la consulta de búsqueda.
  • Obtenga una vista previa de los resultados de la búsqueda para comprobar que la búsqueda solo devolvió el mensaje (o los mensajes) que quiere eliminar.
  • Use las estadísticas de estimación de búsqueda (que se muestran en el panel de detalles de la búsqueda en el portal de Microsoft Purview o mediante el cmdlet Get-ComplianceSearch ) para obtener un recuento del número total de resultados.

Estos son dos ejemplos de consultas para buscar mensajes de correo electrónico sospechosos.

  • Esta consulta devuelve los mensajes recibidos por los usuarios entre el 13 de abril de 2024 y el 14 de abril de 2024 y que contienen las palabras "action" y "required" en la línea del asunto.

    (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')

  • Esta consulta devuelve los mensajes enviados por user@contoso.com que contienen la frase exacta "Actualice la información de su cuenta" en la línea de asunto.

    (From:user@contoso.com) AND (Subject:"Update your account information")

Este es un ejemplo del uso de una consulta para crear e iniciar una búsqueda mediante la ejecución de los cmdlets New-ComplianceSearch y Start-ComplianceSearch para buscar en todos los buzones de la organización:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Paso 3: Eliminar el mensaje

Después de crear y refinar una consulta de búsqueda para devolver los mensajes que desea quitar, el último paso es ejecutar el comando New-ComplianceSearchAction -Purge en PowerShell security & Compliance para eliminar el mensaje.

Puede eliminar el mensaje de forma temporal o permanente. Un mensaje eliminado temporalmente se mueve a la carpeta Elementos recuperables de un usuario y se conserva hasta que expire el período de retención de elementos eliminados. Los mensajes eliminados de forma rígida se marcan para la eliminación permanente del buzón y se quitan permanentemente la próxima vez que el Asistente para carpetas administradas procesa el buzón. Si la recuperación de elementos únicos está habilitada para el buzón, los elementos eliminados de forma rígida se quitan permanentemente después de que expire el período de retención de elementos eliminados. Si un buzón está en retención, los mensajes eliminados se conservan hasta que expire la duración del período de retención de un elemento o hasta que se quite la retención del buzón.

Nota:

Como se indicó anteriormente, los elementos de Microsoft Teams devueltos por la consulta de búsqueda no se eliminan al ejecutar el comando New-ComplianceSearchAction -Purge .

Para ejecutar los siguientes comandos para eliminar mensajes, asegúrese de que está conectado a Seguridad y cumplimiento de PowerShell.

Eliminar mensajes temporalmente

En el ejemplo siguiente, el comando elimina temporalmente los resultados de búsqueda devueltos por una consulta de búsqueda denominada "Quitar mensaje de suplantación de identidad".

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Eliminar mensajes de forma permanente

Para eliminar de forma permanente los elementos devueltos por la búsqueda de contenido "quitar el mensaje de suplantación de identidad", ejecutaría este comando:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Al ejecutar los comandos anteriores en mensajes de eliminación temporal o rígida, la búsqueda especificada por el parámetro SearchName es la consulta de búsqueda que creó en el paso 1.

Para obtener más información, vea New-ComplianceSearchAction.

Más información

  • ¿Cómo se obtiene el estado de la operación de búsqueda y eliminación?

    Ejecute Get-ComplianceSearchAction para obtener el estado de la operación de eliminación. El objeto que se crea al ejecutar el cmdlet New-ComplianceSearchAction se denomina con este formato: <name of Content Search>_Purge.

  • ¿Qué ocurre después de eliminar un mensaje?

    Un mensaje que se elimina con el New-ComplianceSearchAction -Purge -PurgeType HardDelete comando se mueve a la carpeta Purgas y el usuario no puede acceder a ellos. Después de mover el mensaje a la carpeta Purgas, el mensaje se conserva durante el período de retención de elementos eliminados si la recuperación de elementos únicos está habilitada para el buzón. (En Microsoft 365, la recuperación de elementos únicos está habilitada de forma predeterminada cuando se crea un nuevo buzón). Una vez que expire el período de retención de elementos eliminados, el mensaje se marca para la eliminación permanente y se purga de Microsoft 365 la próxima vez que el asistente de carpetas administradas procese el buzón.

    Si usa el comando New-ComplianceSearchAction -Purge -PurgeType SoftDelete, los mensajes se mueven a la carpeta de eliminaciones de la carpeta Elementos recuperables del usuario. No se depura inmediatamente de Microsoft 365. El usuario dispone de un plazo para recuperar los mensajes de la carpeta Elementos eliminados, que se basa en el período de retención de elementos eliminados configurado para el buzón. Una vez finalizado este período de retención (o si el usuario purga el mensaje antes de que expire), el mensaje se mueve a la carpeta Purgas y el usuario ya no puede acceder a él. Cuando el mensaje se encuentra en la carpeta de depuración, se conserva durante un período basado en el período de retención de elementos eliminados configurado para el buzón, si se habilitó la recuperación de elemento único en el buzón. (En Microsoft 365, la recuperación de elemento único se habilita de manera predeterminada cuando se crea un nuevo buzón). Cuando expire el período de retención de elementos eliminados, se marca el mensaje para eliminarlo de forma permanente y se depura de Microsoft 365 la siguiente vez que el Asistente para carpetas administradas procese el buzón.

  • ¿Qué ocurre si tiene que eliminar un mensaje de más de 50 000 buzones?

    Puede realizar una operación de búsqueda y purga en un máximo de 50 000 buzones (incluso si menos de 50 000 contienen elementos que coinciden con la consulta de búsqueda). Si tiene que realizar una operación de búsqueda y depuración en más de 50 000 buzones, considere la posibilidad de crear filtros de permisos de búsqueda temporales que reduzcan el número de buzones en los que se buscará a menos de 50 000 buzones. Por ejemplo, si su organización contiene buzones de correo en distintos departamentos, estados o países o regiones, puede crear un filtro de permisos de búsqueda de buzones basado en una de esas propiedades de buzón para buscar en un subconjunto de buzones de su organización. Después de crear el filtro de permisos de búsqueda, debe crear la búsqueda (como se describe en el paso 1) y, después, eliminar el mensaje (como se describe en el paso 3). Luego, puede editar el filtro para buscar y depurar mensajes en un conjunto de buzones diferente. Para obtener más información sobre cómo crear filtros de permisos de búsqueda, vea Configurar el filtrado de permisos de búsqueda en eDiscovery (versión preliminar).

  • ¿Se eliminarán los elementos sin indexar incluidos en los resultados de la búsqueda?

    No, el comando "New-ComplianceSearchAction -Purge no elimina elementos sin indexar.

  • ¿Qué ocurre si se elimina un mensaje de un buzón que se ha colocado en suspensión por juicio o se asigna a una directiva de retención de Microsoft 365?

    Una vez que el mensaje se depure y se mueva a la carpeta de depuración, este se conserva hasta que expire la duración de la retención. Si la duración de la retención es ilimitada, los elementos se conservan hasta que se elimine la retención o se modifique su duración.

  • ¿Por qué se divide el flujo de trabajo de búsqueda y eliminación entre los distintos grupos de roles del portal de Microsoft Purview?

    Para poder buscar en buzones es necesario pertenecer al grupo de roles Administrador de eDiscovery o tener asignado el rol Administración de búsqueda de cumplimiento. Para eliminar mensajes, una persona debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol de administración Buscar y purgar . Esto permite controlar quién pueden buscar en los buzones de la organización y quién puede eliminar mensajes.