如何使用 New-ComplianceSearch PowerShell cmdlet

若要在 Exchange Online 中搜索特定电子邮件并查看邮件项目，您需要使用合规性搜索功能。有两种方法可以执行此操作：PowerShell 中的 New-ComplianceSearch cmdlet 或 Microsoft Purview 合规性门户。在本文中，您将了解如何在 Exchange Online 中使用 New-ComplianceSearch PowerShell cmdlet。

新的ComplianceSearch PowerShell cmdlet

New-ComplianceSearch PowerShell cmdlet 允许我们搜索许多选项，例如特定的：

• 文件夹
• 邮件项目
• 日期
• 发件人
• 收件人
• 文本字符串
• 文件类型（附件）
• 主题

先决条件分配权限

在开始之前，您需要向管理员帐户分配以下权限（合规性搜索、搜索和清除、预览、导出）。这将允许您搜索邮箱以查看、导出和删除电子邮件。

验证您是否已在 Microsoft Purview 中设置了通过 PowerShell 使用 New-ComplianceSearch cmdlet 所需的权限。

要在 Microsoft Purview 门户中创建新角色并分配权限，请按照以下步骤操作：

1. 登录 Microsoft 权限
2. 单击角色和范围> 权限
3. 单击Microsoft Purview 解决方案> 角色

1. 点击创建角色组

1. 命名角色组
2. 点击下一步

1. 点击选择角色

1. 添加这些角色（合规性搜索、搜索和清除、预览、导出）
2. 点击下一步

1. 点击选择用户

1. 添加用户
2. 点击下一步

1. 点击创建

1. 点击完成

现在所有权限都已设置。

注意：将权限分配给用户最多可能需要一小时。

连接到 Exchange Online PowerShell

若要运行当前文章中指定的 PowerShell 命令，您必须连接到 Exchange Online PowerShell。

重要提示：在使用 Connect 连接到 Microsoft Defender 和 Microsoft Purview 合规性门户之前，您至少需要在系统上安装 Exchange Online 管理模块版本 3.2.0 -IPPSession cmdlet。确保您阅读了安装 Exchange Online PowerShell 模块一文。

以管理员身份启动 Windows PowerShell 并运行 cmdlet Connect-ExchangeOnline。

Connect-ExchangeOnline

然后，您需要使用 Connect-IPPSSession PowerShell cmdlet 连接到安全性和合规性。

Connect-IPPSSession

现在您已连接，您可以开始合规性搜索。

使用 PowerShell 进行合规性搜索示例

假设您想要搜索特定的电子邮件地址或主题。您可以通过使用 PowerShell 中的比较运算符和逻辑运算符来选择混合和匹配它们。

我们将使用 New-ComplianceSearch PowerShell cmdlet 来搜索具有以下参数的电子邮件：

• -名称：使用您喜欢的任何名称来命名此特定搜索
• -ExchangeLocation：使用全部值搜索所有 Exchange 邮箱，或指定用户、组或团队
• -ContentMatchQuery：使用查询格式 KQL（关键字查询语言）指定精确值来搜索特定电子邮件

特定邮箱的合规性搜索

要查找特定用户邮箱，您可以使用以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Mailbox" -ExchangeLocation "[email protected]"

PowerShell 输出结果。

Name         RunBy JobEndTime Status
----         ----- ---------- ------
Test Mailbox                 NotStarted

在我们的示例中，我们想要搜索特定通讯组中的成员。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Group" -ExchangeLocation "[email protected]"

PowerShell 输出结果。

Name       RunBy JobEndTime Status
----       ----- ---------- ------
Test Group                  NotStarted

特定日期的合规搜索

要搜索特定日期的邮件项目，我们需要使用 -ContentMatchQuery PowerShell 参数。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test SpecificDate" -ExchangeLocation "All" -ContentMatchQuery "Sent:2024-02-21"

PowerShell 输出结果。

Name              RunBy JobEndTime Status
----              ----- ---------- ------
Test SpecificDate                  NotStarted

您还可以搜索最近几天、几周或几个月。

在我们的示例中，我们要搜索上个月的所有邮箱。使用 -ContentMatchQuery PowerShell 参数并指定两个日期（发送：之前日期..现在日期）。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Date" -ExchangeLocation "All" -ContentMatchQuery "Sent:2024-02-29..2024-03-30"

PowerShell 输出显示以下结果。

Name      RunBy JobEndTime Status
----      ----- ---------- ------
Test Date                  NotStarted

来自特定发件人的合规性搜索

您可以搜索从特定发件人发送的所有邮件。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Sender" -ExchangeLocation "All" -ContentMatchQuery "From:[email protected]"

PowerShell 输出显示如下。

Name        RunBy JobEndTime Status
----        ----- ---------- ------
Test Sender                 NotStarted

发送至特定收件人的合规性搜索

我们想要搜索发送给特定收件人的所有邮件项目。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Recipient" -ExchangeLocation "All" -ContentMatchQuery "To:[email protected]"

PowerShell 结果如下所示。

Name           RunBy JobEndTime Status
----           ----- ---------- ------
Test Recipient                  NotStarted

特定主题的合规性搜索

您可以搜索具有特定主题名称的所有邮件项目。

运行以下 PowerShell 命令。

New-ComplianceSearch -Name "Test Subject" -ExchangeLocation "All" -ContentMatchQuery "Subject:Meeting"

PowerShell 将显示以下输出。

Name         RunBy JobEndTime Status
----         ----- ---------- ------
Test Subject                  NotStarted

现在您已经看到了使用 PowerShell 创建合规性搜索的所有这些不同示例。接下来，我们将向您展示创建、启动和获取新合规性搜索的步骤。

如何使用 PowerShell 运行合规性搜索 cmdlet

要运行合规性搜索并在 PowerShell 中获取结果，请按照以下步骤操作：

1. 创建新的合规性搜索

在我们的示例中，我们组织中的用户在特定日期收到垃圾邮件。我们希望使用下面的 PowerShell 命令找到该特定垃圾邮件。

我们将使用带有 -ContentMatchQuery 参数的 New-ComplianceSearch PowerShell cmdlet，并在以下位置指定收件人和日期同时。

运行以下 PowerShell 命令示例。

New-ComplianceSearch -Name "Spam Mail" -ExchangeLocation All -ContentMatchQuery "(To:[email protected]) AND (Sent:2024-03-15)" 

PowerShell 输出结果。

Name      RunBy JobEndTime Status
----      ----- ---------- ------
Spam Mail                  NotStarted

2. 开始合规性搜索

使用 New-ComplianceSearch PowerShell cmdlet 创建合规性搜索后，可以使用 Start-ComplianceSearch cmdlet 运行搜索。

运行以下 PowerShell 命令来启动新搜索。

Start-ComplianceSearch -Identity "Spam Mail"

3. 获取合规搜索

您可以使用 Get-ComplianceSearch PowerShell cmdlet 查找您创建的合规性搜索并检查状态。

运行以下 PowerShell 命令以查看特定的合规性搜索。

Get-ComplianceSearch -Identity "Spam Mail"

PowerShell 输出显示合规性搜索状态正在开始。

Name      RunBy          JobEndTime Status
----      -----          ---------- ------
Spam Mail M365info Admin            Starting

注意：等待几分钟，以便合规性搜索完成。

要检查您创建的所有合规性搜索，请运行以下 PowerShell 命令。

Get-ComplianceSearch

PowerShell 输出结果显示所有合规性搜索及其状态。

Name                  RunBy          JobEndTime          Status
----                  -----          ----------          ------
Amanda Hansen mailbox M365info Admin 25/03/2024 23.21.46 Completed
Test Subject                                             NotStarted
Spam Mail             M365info Admin 30/03/2024 22.22.40 Completed

4. 导出合规性搜索结果

您还可以使用 PowerShell 查看合规性搜索结果或将其导出到 CSV 文件。

Get-ComplianceSearch -Identity "Spam Mail" | Format-List

要将结果导出到 CSV 文件，您需要在 (C:) 驱动器中创建一个 temp 文件夹。

Get-ComplianceSearch -Identity "Spam Mail" | Export-Csv "C:\temp\Results.csv" -NoTypeInformation -Encoding utf8

使用 Microsoft Excel 打开 CSV 文件以查看结果。

Microsoft 权限中的内容搜索

在 Microsoft Purview 中，您还可以创建并启动合规性搜索。

在我们的示例中，我们的组织中有一个垃圾邮件发送者，他使用特定的电子邮件地址和主题。为了找到垃圾邮件发送者，我们需要搜索来自该特定发件人的邮件项目。

1. 在 Microsoft Purview 中创建并开始新搜索

要在 Microsoft Purview 中创建新的电子邮件搜索，请按照下列步骤操作：

1. 登录 Microsoft 权限
2. 点击内容搜索
3. 单击搜索标签
4. 点击+

1. 命名搜索
2. 点击下一步

1. 选择状态开启 > Exchange 邮箱
2. 点击下一步

1. 选择查询生成器
2. 选择添加条件>发件人/作者

1. 选择等于任意一个
2. 键入发件人
3. 选择添加条件>主题/标题
4. 选择等于任意一个
5. 键入邮件主题
6. 点击下一步

1. 点击提交

1. 点击完成

注意：它将自动创建并启动新的搜索合规性。

在下一步中，我们将向您展示如何查看搜索结果。

2. 在 Microsoft Purview 中获取合规性搜索结果

要获取并查看 Microsoft Purview 中的邮件项目，请按照下列步骤操作：

1. 登录 Microsoft 权限
2. 点击内容搜索
3. 点击您的搜索名称(SpamMeeting)

1. 点击查看示例

1. 单击每个邮件项目即可查看邮件内容

3. 导出合规性搜索结果

要在 Microsoft Purview 中导出合规性搜索结果，请按照下列步骤操作：

1. 登录 Microsoft 权限
2. 点击内容搜索
3. 点击您的搜索名称(SpamMeeting)

1. 单击操作 > 导出结果

1. 选择所有项目，不包括格式无法识别、已加密或因其他原因未编入索引的项目
2. 选择包含所有邮件的一个 PST 文件
3. 点击导出

1. 单击确定

1. 单击导出选项卡
2. 单击列表中的导出名称
3. 点击下载结果

注意：您需要使用Microsoft Edge浏览器下载PST文件报告。下载后，您可以将其作为 CSV 文件打开。

1. 点击复制到剪贴板
2. 粘贴导出密钥
3. 浏览下载文件的位置
4. 点击开始

1. 点击关闭

1. 找到该文件夹并打开CSV文件以查看导出结果

1. CSV 文件显示结果的邮件项目和位置

就是这样！

了解更多：Exchange Online 历史邮件跟踪报告 »

结论

您学习了如何使用 New-ComplianceSearch PowerShell cmdlet。首先，您需要在 Microsoft Purview 中分配权限。之后，您可以在 Microsoft Purview 合规性门户和 PowerShell 中创建、查看和导出合规性搜索结果。

您喜欢这篇文章吗？您可能还喜欢在 Exchange Online 中获取邮件跟踪。不要忘记关注我们并分享这篇文章。