Identificar quem eliminou uma mensagem de e-mail ou por que motivo um e-mail está em falta

Utilize este artigo para investigar mensagens de e-mail em falta no Exchange Online e identificar quem as eliminou. Orienta os administradores através da utilização do registo de auditoria do Microsoft Purview e do Exchange Online PowerShell para localizar eventos de eliminação, analisar configurações de caixas de correio, marcar atividade de retenção e migração e determinar se as regras da caixa de correio ou o acesso à caixa de correio partilhada causaram a perda.

Utilize estes métodos para investigar:

E-mails eliminados por utilizadores ou administradores
E-mails em falta após problemas de migração ou sincronização
E-mails removidos por regras de caixa de correio ou políticas de retenção
E-mails eliminados de caixas de correio partilhadas
Os e-mails não aparecem nas pastas esperadas

Antes de começar

Para investigar e-mails eliminados e mensagens em falta, precisa de:

A função Registos de Auditoria atribuída no Microsoft Purview
Para ligar ao Exchange Online PowerShell através do Connect-ExchangeOnline

Como identificar e-mails eliminados

Utilize os seguintes métodos para investigar e-mails em falta e identificar atividades de eliminação. Escolha o método com base no tipo de eliminação que está a investigar.

Procurar e-mails eliminados por tipo de operação

Utilize este método para procurar as seguintes operações:

SoftDelete: Itens movidos para a pasta Itens Eliminados.
HardDelete: Itens removidos permanentemente da caixa de correio.
MoveToDeletedItems: Itens movidos para a pasta Itens Eliminados por ação do utilizador.

Para procurar registos de auditoria de eliminações de e-mail através de operações de eliminação específicas, execute o seguinte comando:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Substitua pelos <user1,user2> endereços de e-mail do utilizador. Especifique vários utilizadores ao separar os nomes de utilizador com vírgulas.

Procurar eliminações de caixas de correio partilhadas

Para investigar eliminações de caixas de correio partilhadas, execute o seguinte comando:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Observação

A auditoria de caixas de correio partilhadas pode não estar ativada por predefinição. Se esta pesquisa não devolver resultados, consulte Auditoria de caixa de correio partilhada não configurada para ativar a auditoria.

Procurar e-mails em falta com palavras-chave

Este método ajuda a identificar registos de eliminação de e-mails com assuntos ou conteúdos específicos.

Para procurar registos de auditoria relacionados com e-mails específicos em falta, execute o seguinte comando:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Procurar atividades de e-mail abrangentes

Esta pesquisa mais abrangente inclui movimentações e atualizações que podem explicar e-mails em falta.

Para procurar todas as atividades que afetam a visibilidade do e-mail, execute o seguinte comando:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000

Compreender os resultados da pesquisa

Não obter resultados de pesquisas de auditoria pode fornecer informações importantes sobre o que não causou os e-mails em falta:

Operações de eliminação não encontradas: exclui eliminações iniciadas pelo utilizador durante o período de tempo.
Sem ações de política de retenção: indica que as políticas automatizadas não eliminaram os e-mails.
Sem atividades de migração: mostra que os processos de migração não removeram os e-mails.
Sem ações de administrador: confirma que os administradores não realizaram operações em massa.

Observação

Documento que pesquisa não devolve resultados. Estas informações ajudam a restringir a causa raiz ao eliminar potenciais causas.

Resultados da pesquisa em falta

Se as pesquisas de registos de auditoria não encontrarem registos de eliminação de e-mails em falta, experimente os seguintes passos.

E-mails em falta sem registos de auditoria de eliminação

Utilize os seguintes passos para investigar quando os e-mails estão em falta, mas não são encontrados registos de auditoria de eliminação.

Verifique se a auditoria foi ativada quando ocorreu a eliminação.

Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreated

Ative a auditoria abrangente para monitorização futura.

Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}

Procure ações de política de retenção que possam remover e-mails.
```
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000
```
Se este comando não devolver resultados, significa que as políticas de retenção não eliminaram automaticamente os e-mails durante o período de tempo especificado. Estas informações ajudam-no a excluir eliminações automatizadas baseadas em políticas como a causa da falta de e-mails.

Auditoria de caixa de correio partilhada não configurada

Utilize os seguintes passos para ativar a auditoria para caixas de correio partilhadas quando não forem encontrados registos de eliminação.

Verifique a configuração de auditoria atual da caixa de correio partilhada.

Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdmin

Ative a auditoria abrangente para a caixa de correio partilhada.

Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}

Procure atividades por utilizadores com acesso de caixa de correio partilhada.

Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach {
    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }

Os passos seguintes mostram como investigar e-mails perdidos durante os processos de migração.

Procure atividades relacionadas com a migração durante o período de tempo de migração.

Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000

Procedimentos de investigação avançados

Os procedimentos seguintes mostram como realizar análises detalhadas quando as pesquisas padrão não revelam a causa dos e-mails em falta.

Analisar regras de caixa de correio que podem eliminar e-mails

Se suspeitar que as regras da caixa de correio estão a fazer com que os e-mails sejam eliminados ou movidos para pastas inesperadas, utilize os seguintes procedimentos de investigação de regras de caixa de correio dedicadas.

Dica

Para uma investigação abrangente de regras de caixa de correio, consulte Identificar quem modificou as regras da caixa de correio para obter orientações detalhadas sobre como identificar quem criou, modificou ou eliminou regras de caixa de correio que podem afetar a entrega de e-mail.

Investigar políticas de retenção e conformidade

Para marcar se as políticas de conformidade estão a causar a eliminação de e-mail, execute os seguintes comandos:

Verifique as políticas de retenção aplicadas à caixa de correio.

Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsFor

Procure eliminações relacionadas com a conformidade.

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000

Verificar a existência de ações de administrador

Para marcar se os administradores realizaram ações que afetaram os e-mails, execute o seguinte comando:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000

Referência rápida

Principais operações para investigar eliminações

Operação	Descrição	Caso de uso
ApplyRetentionTag	Política de retenção aplicada aos itens	Ações de política automatizadas
HardDelete	Itens removidos permanentemente da caixa de correio	Eliminações permanentes, investigação de segundo nível
Mover	Itens movidos entre pastas	Investigar alterações de pastas
MoveToDeletedItems	Itens movidos para Itens Eliminados por ação do utilizador	Movimentações iniciadas pelo utilizador para itens eliminados
SoftDelete	Itens movidos para a pasta Itens Eliminados	Eliminações de utilizadores, investigação de primeiro nível
TaggedAsRecord	Itens marcados para retenção	Ações relacionadas com conformidade

Parâmetros de pesquisa para investigar eliminações

Parâmetro	Descrição	Exemplo
-Texto Livre	Procurar identificadores de e-mail específicos	`<email subject or unique identifier>`
-Operações	Filtrar por tipos de atividade de eliminação	SoftDelete,HardDelete,MoveToDeletedItems
-ResultSize	Número de resultados a devolver	1.000 (padrão), 5.000 (abrangente)
-StartDate/-EndDate	Definir período de tempo de investigação	Com base no momento em que os e-mails desapareceram
-UserIds	Filtrar por quem executou a ação	`<user1@domain.com,user2@domain.com>`

Próximas etapas

Utilize MailItemsAccessed para investigar contas comprometidas: investigue se as eliminações fazem parte de um compromisso de conta mais amplo.
Identificar quem modificou as regras da caixa de correio: verifique se as regras da caixa de correio estão a eliminar automaticamente ou a reencaminhar mensagens.
Exportar, configurar e ver registos de auditoria: exporte os resultados da investigação para relatórios ou preservação de provas.

Comentários

Esta página foi útil?

Last updated on 2026-04-14