Supprimer des e-mails de toutes les boîtes aux lettres Office 365 : Étape par étape

Il n’est un secret pour personne que les solutions d’hygiène des mails ne sont pas efficaces à 100 %. Il arrive encore que des messages malveillants passent inaperçus de temps en temps. Dans ces moments-là, vous devez savoir comment trouver et supprimer les e-mails de toutes les boîtes aux lettres dans Office 365.

Si vous êtes un administrateur d’Office 365, vous êtes sûrement familier avec la situation décrite ci-dessus. Les attaques de spam ou de phishing sont considérées comme des incidents de sécurité critiques. Il va de soi que les administrateurs de messagerie doivent agir rapidement pour minimiser les risques potentiels pour les utilisateurs et l’infrastructure.

Vous pouvez cliquer dans le portail de sécurité et de conformité d’Office 365 pour lancer une recherche de contenu, mais pour supprimer ces contenus, vous devez utiliser PowerShell. Donc, si vous finirez par utiliser PowerShell de toute façon, pourquoi ne pas tout faire avec PowerShell, n’est-ce pas ?

Dans cet article, vous apprendrez comment utiliser les cmdlets PowerShell de sécurité et de conformité pour rechercher et supprimer des messages malveillants de toutes les boîtes aux lettres Office 365.

Exigences

Étant donné que cet article est essentiellement un guide pratique, il y a certaines exigences si vous prévoyez de suivre les étapes.

• Votre compte administrateur doit disposer des autorisations Office 365 nécessaires pour rechercher des boîtes aux lettres et supprimer des messages.
  – Autorisation requise pour rechercher des boîtes aux lettres: Le compte doit être membre du groupe de rôles eDiscovery Manager ou se voir attribuer le rôle de gestion Compliance Search.
  – Autorisation requise pour supprimer des messages: Le compte doit être membre du groupe de rôles Organization Management ou se voir attribuer le rôle de gestion Search And Purge.
  – Autorisation requise pour prévisualiser des messages: Le compte doit être membre du groupe de rôles eDiscovery Manager ou se voir attribuer le rôle de gestion Preview.
• PowerShell doit être connecté à PowerShell du Centre de sécurité et de conformité Office 365. Suivez ce lien pour vous connecter sans MFA, ou ce lien pour vous connecter avec MFA.

Rassembler des informations sur le message à supprimer.

Avant de commencer à créer le contenu de la recherche pour le message qui doit être supprimé, vous devez d’abord rassembler toutes les informations pertinentes sur le message. Sauf si toutes les informations vous sont déjà fournies.

Connaître autant de détails que possible sur le message vous aiderait à décider comment formuler la requête de recherche. Par exemple, certaines des informations les plus basiques dont vous avez besoin sont les suivantes :

• Quelle est l’adresse e-mail de l’expéditeur ?
• Quel est le sujet du message ?
• Y a-t-il des pièces jointes et quels sont les noms de fichier ?
• Quelle est la date de la première occurrence signalée ?
• Qui sont les destinataires ?

Dans la plupart des cas, une ou deux des informations énumérées ci-dessus devraient être suffisantes pour formuler une requête de recherche. Ensuite, il vous appartient de déterminer les paramètres de recherche les plus applicables.

Création et exécution de la recherche de contenu de messagerie Office 365

Lorsque vous êtes satisfait d’avoir toutes les informations dont vous avez besoin sur le message, il est temps de lancer PowerShell et de commencer à créer la recherche de contenu.

Supposons que le message de spam/phishing à supprimer ait les propriétés suivantes :

• Sujet : Vous devez changer votre mot de passe bancaire maintenant
• Envoyé : 05/12/2020

En utilisant le New-ComplianceSearch, les propriétés de message énumérées ci-dessus seront utilisées pour créer une requête de recherche. La clé pour maintenir les résultats de recherche aussi précis que possible dépend des critères de recherche formulés de manière adéquate.

La cmdlet New-ComplianceSearch est livrée avec plusieurs paramètres et commutateurs. Cependant, pour créer une recherche de contenu de boîte aux lettres, les paramètres suivants seront utilisés.

• Nom – Ceci accepte le nom qui sera attribué à l’objet de recherche de contenu. Cela peut être n’importe quel nom, vous n’avez pas besoin d’y réfléchir trop.
• ExchangeLocation – Ceci accepte l’emplacement Exchange qui sera ciblé par la recherche. Il peut s’agir d’un groupe ou d’une boîte aux lettres. Dans cet article, la valeur à utiliser est Tous pour s’assurer de cibler toutes les boîtes aux lettres dans la recherche.
• ContentMatchQuery – Ce paramètre est le principal facteur qui déterminera l’exactitude des résultats de recherche. Le format de requête accepté est sous la forme d’une KQL ou Keyword Query Language.

Pour créer la recherche de contenu, copiez le code ci-dessous et collez-le dans votre console PowerShell. Assurez-vous de modifier les valeurs des paramètres selon votre situation. Dans cet exemple, le nom de la recherche est Phish1, la requête combine les valeurs du sujet et de l’envoi.

New-ComplianceSearch `
-Name Phish1 `
-ExchangeLocation All `
-ContentMatchQuery 'subject:"You must change your bank password now" AND sent:05/12/2020'

Visitez la page Requêtes de mots-clés et conditions de recherche pour la recherche de contenu pour en savoir plus sur l’utilisation des mots-clés dans la recherche de contenu.

Lorsque vous exécutez le code ci-dessus dans PowerShell, vous devriez voir une sortie similaire à celle présentée ci-dessous.

À ce stade, la tâche de recherche de contenu a été créée, mais la recherche n’a pas encore été déclenchée selon l’état (Non démarrée).

Pour démarrer la recherche de contenu, utilisez la commande Start-ComplianceSearch. Vous devez fournir à la commande le paramètre -Identity et spécifier le nom de la tâche de recherche de contenu que vous avez créée.

Pour démarrer la recherche de contenu des e-mails Office 365, copiez le code ci-dessous et collez-le dans votre console PowerShell.

Start-ComplianceSearch -Identity Phish1

Après avoir exécuté le code ci-dessus, il n’y aura aucune sortie à l’écran. Ce que vous devez faire ensuite, c’est surveiller l’état de la recherche. Pour surveiller l’état de la recherche, utilisez le code ci-dessous dans PowerShell.

Get-ComplianceSearch -Identity Phish1

Lorsque vous exécutez le code ci-dessus, vous devriez voir une sortie similaire à celle ci-dessous. Dans la sortie ci-dessous, il indique que l’état de la tâche de recherche de contenu est Terminé.

Vous remarquerez à partir de la sortie ci-dessus que les propriétés retournées sont limitées et ne vous montrent pas le nombre de correspondances trouvées. Vous pouvez exécuter la commande ci-dessous pour obtenir toutes les propriétés du résultat de la recherche de contenu.

Get-ComplianceSearch -Identity Phish1 | Format-List *

Après avoir exécuté la commande ci-dessus, vous verrez un résultat similaire, comme indiqué ci-dessous. Dans ce cas, il y a 16 éléments qui correspondent aux critères de recherche.

Aperçu des résultats de recherche (facultatif)

L’aperçu des résultats de recherche est une étape facultative, mais recommandée si vous préférez jouer la prudence. Vous ne voudriez pas supprimer par erreur le mauvais message de toutes les boîtes aux lettres, n’est-ce pas ?

Jusqu’à présent, vous avez utilisé les cmdlets New-ComplianceSearch, Start-ComplianceSearch et Get-ComplianceSearch pour créer, exécuter et surveiller la recherche de contenu. Maintenant, pour pouvoir prévisualiser les résultats de la recherche, vous devrez utiliser la cmdlet New-ComplianceSearchAction.

Pour prévisualiser les résultats de la recherche, vous devez maintenant créer une action de prévisualisation en utilisant la commande ci-dessous.

New-ComplianceSearchAction -SearchName Phish1 -Preview

Comme vous pouvez le voir dans la sortie ci-dessous, la tâche de prévisualisation a été créée avec le nom Phish1_Preview, et la tâche est automatiquement lancée.

Et lorsque la création de la prévisualisation est terminée, vous pouvez obtenir un aperçu des résultats en exécutant la commande ci-dessous pour afficher les résultats à l’écran.

(Get-ComplianceSearchAction Phish1_Preview | Select-Object -ExpandProperty Results) -split ","

Et une fois que vous avez exécuté la commande ci-dessus, vous obtiendrez une sortie similaire à l’image affichée ci-dessous.

Admettons-le, les résultats, tels qu’ils sont montrés ci-dessus, sont moches. Cependant, vous pouvez exporter les résultats vers un fichier TXT si vous le préférez. Ou, si vous souhaitez un rapport mieux formaté, vous pouvez télécharger le rapport de recherche de contenu depuis le Centre de sécurité et de conformité.

Note : L’action Aperçu n’expose pas le contenu des messages. Elle montre uniquement les détails du message correspondant aux critères de recherche et non ce qu’il contient.

Supprimer des e-mails de toutes les boîtes aux lettres dans Office 365

Maintenant, passons à l’acte final : exécuter l’action de suppression des e-mails d’Office 365. Supposons que vous soyez déjà satisfait des résultats de recherche. Vous êtes maintenant prêt à lancer le processus de suppression des messages.

Pour supprimer les messages correspondant aux critères de recherche, vous devez créer une tâche de purge à l’aide de la commande New-ComplianceSearchAction avec l’option -Purge et le paramètre -PurgeType.

Le code permettant de créer la tâche de purge est indiqué ci-dessous. Copiez le code et collez-le dans PowerShell pour l’exécuter.

New-ComplianceSearchAction -SearchName Phish1 -Purge -PurgeType SoftDelete

Notez que le paramètre/valeur -PurgeType SoftDelete supprimerait les messages et les placerait dans le dossier « Suppressions » à l’intérieur du dossier « Éléments récupérables » de la boîte aux lettres. Cela signifie que le message pourrait toujours être récupéré si nécessaire.

Après avoir exécuté le code ci-dessus, la tâche de purge sera créée et démarrée.

Comme vous pouvez le voir sur l’image ci-dessous, la tâche de purge est créée avec le nom Phish1_Purge et elle démarre automatiquement.

Une fois la purge terminée, vous pouvez afficher le résultat final à l’aide de la commande ci-dessous.

Get-ComplianceSearchAction -Identity Phish1_Purge | Format-List

Vous obtiendrez une sortie similaire à celle indiquée ci-dessous. Dans cet exemple, 16 messages ont été supprimés et aucun n’a échoué.

Et voilà. Vous avez réussi à supprimer avec succès les messages indésirables/phishing de toutes les boîtes aux lettres d’Office 365.

Conclusion

Dans cet article, vous avez appris comment utiliser les cmdlets PowerShell de sécurité et de conformité pour rechercher et supprimer des messages de toutes les boîtes aux lettres dans Office 365.

Vous avez appris comment rassembler les détails du message à supprimer pour affiner les critères de recherche. Affiner les critères de recherche permet de garantir que les résultats seront d’une précision maximale.

Vous avez également appris comment créer et démarrer les recherches de contenu, créer un aperçu des résultats, et enfin purger les messages correspondant aux critères de recherche. Peut-être la meilleure chose dans tout cela est que vous n’avez jamais eu besoin de quitter PowerShell pour accomplir ces tâches !

Avec les connaissances que vous avez acquises grâce à cet article, peut-être pouvez-vous automatiser l’intégralité du flux de travail de recherche et de suppression afin que même vos agents de première ligne puissent l’exécuter facilement. Peut-être alors, vous ne serez plus réveillé de votre sommeil bien mérité.

Lecture complémentaire

• Rechercher et supprimer des messages électroniques
• Autorisations dans le Centre de sécurité et de conformité
• Requêtes de mots-clés et conditions de recherche pour la recherche de contenu
• Comment trouver et supprimer un email de toutes les boîtes aux lettres dans Office 365