Expedite the permanent deletion of sensitive information from mailboxes

Microsoft 365 licensing guidance for security & compliance.

Use the Priority cleanup feature under Data Lifecycle Management in Microsoft Purview when you need to expedite the permanent deletion of sensitive content from Exchange mailboxes, overriding any existing retention settings or eDiscovery holds. This process might be implemented for security or privacy in response to an incident, or for compliance with regulatory requirements.

Because the deletion is irreversible and can override existing holds, the process requires multiple approvals, specific roles, and is audited. After considering these safeguards, if your organization still has concerns about this capability, you can just continue to use retention policies and retention labels to ensure a compliant deletion of content instead of using priority cleanup.

Under the covers, priority cleanup uses retention labels with auto-apply policies. However, you don't interact manually with these labels and policies, and they supersede the principles of retention to achieve the required expedited deletion.

Important exceptions for priority cleanup:

• You can't use priority cleanup for items that are marked as a record or regulatory record.

• if an item identified for priority cleanup has a retention label applied, approval is needed from a retention management admin in addition to specified priority cleanup admin.

• If items approved for permanent deletion are part of an eDiscovery review set, they won't be deleted until the eDiscovery case is closed.

Similar to auto-apply retention labels, priority cleanup supports simulation, so you can check the returned samples in case the policy configuration needs any fine-tuning.

Prerequisites for priority cleanup

Make sure you can meet the prerequisites that must be in place before you can use priority cleanup to expedite the permanent deletion of sensitive data. These requirements include permissions and approvers.

Because of the built-in safeguards, the feature itself is enabled by default at the tenant level. However, priority cleanup can be turned off on the pririty cleanup settings page. If you can't create new priority cleanup policies, see the instructions for turning off the feature to check the status and reverse the configuration.

Permissions for priority cleanup

To successfully access and manage Priority cleanup in the Microsoft Purview portal, users must have the Priority Cleanup Admin role. This role is required to create and manage priority cleanup policies, enable or disable the feature, or approve items within the initial approval stage. This role is automatically added to the Organization Management role group but must be manually added to any other role group.

Alternatively, the Priority Cleanup Viewer role allows only the visibility of priority cleanup policies and settings without the ability to make changes or create new policies.

Content Explorer List Viewer and Content Explorer Content Viewer roles are required to view item content and details in simulation mode and approval stages.

Similar to records management disposition, each person that accesses the Priority cleanup>Pending cleanups page sees only items that they're assigned to approve. To monitor the end-to-end process of a priority cleanup, use auditing and the priority cleanup ID as a search term.

Policy approvers

As a safeguard against accidental or malicious deletions, each item subject to priority cleanup always requires at least one other person to approve the permanent deletion in addition to the person who created the priority cleanup policy. Approvers must be individual users. Mail-enabled security groups are not currently supported.

• Priority cleanup admin approval is required for all policies.
• If an item is also subject to retention settings from a retention label or retention policies, retention manager approval is also required.
• If an item is also subject to one or more eDiscovery holds, eDiscovery admin approval is also required.

Approver role requirements

The approver at each stage of the review process must have the correct roles assigned before the policy can be created.

For instructions to add users to the default roles or create your own role groups, use the following guidance:

• Permissions in the Microsoft Purview portal

Although you can specify multiple approvers for each stage, just one person from each stage is required to approve for their stage.

Enable auditing

Make sure that auditing is enabled at least one day before you create and run the first priority cleanup policy. Auditing is also required to view simulation results if the policy is enabled in simulation mode. For more information, see Search the audit log.

Limitations of priority cleanup

• Applicable for items in user and group Exchange mailboxes only. Items stored in SharePoint or OneDrive aren't currently supported.

• Group mailboxes are supported via adaptive scopes only.

• For the KQL query, some properties and conditions supported by eDiscovery aren't supported by priority cleanup. These include SenderAuthor, SubjectTitle, (c:c), and (c:s).

• In simulation mode, the priority clean up policy may incorrectly show email items marked as records and regulatory records. These items are not actually in scope for policy enforcement outside simulation mode.

• Unlike disposition review for retention labels:

  • You can't customize the email notification
  • Approvers can't nominate additional approvers
  • There's no automatic approval after a specified period of time

• If an approver doesn't agree to permanently delete an identified item, they must assign an existing retention label (any configuration) to the item. Make sure your approvers know which retention labels are suitable for this action.

• Although you can delete a priority cleanup policy, if the approval process for it is complete, items might still be permanently deleted.

Create a priority cleanup policy

1. Sign in to the Microsoft Purview portal>Solutions>Data Lifecycle Management>Priority cleanup, and then select + Create a priority cleanup.

   If you don't see the Priority cleanup option, check your permissions.

2. Enter a name and description for this priority cleanup policy, and then select Next. The name will be visible to end users, but the optional description is visible only to priority cleanup admins and the policy's specified approvers. This restriction means that any details you enter can be informative and specific, without worrying about unauthorized people seeing these details.

3. For Choose where to apply the policy, select one of the available options:

   • All locations: The safest option if you're not sure where the content might be located. This selection will probably increase the time it takes for the policy to complete but this disadvantage is an acceptable tradeoff if the content might have been forwarded to unidentified mailboxes.
   • 由属性或属性定义的特定 Exchange 邮箱：如果可以识别内容所在的邮箱的特征，则对于更具针对性和动态的应用程序。 例如，仅限于特定区域或部门。 系统会要求你选择现有的 自适应范围。 如果自适应范围可能包含超过 1,000,000 个邮箱，请不要使用此选项。
   • 单个或多个 Exchange 邮箱：如果只包含几个邮箱，这是策略的最快应用，但必须确信只有所选邮箱包含需要清理的内容。 或者，可以使用此选项排除你知道不会包含内容的特定邮箱，因此策略的应用速度比所有位置都快。 不要指定超过 100 个邮箱。

4. 对于“选择应用优先级的位置”页：目前仅支持Exchange Online。

5. 对于 “告诉我们你要查找的内容” 页，请在 KQL 编辑器框中输入文本，以使用 Exchange 电子邮件属性构造查询。 可以使用搜索运算符（如 AND、OR 和 NOT）优化查询。

   例如，若要查找 2024 年 2 月 2 日之后发送的所有内容，请使用名为 ContosoEmployeeSalaries.xlsx 的附件： AttachmentNames:ContosoEmployeeSalaries.xlsx AND sent>=2024-02-02

   有关使用关键字查询语言 (KQL) 的详细信息，请参阅关键字查询语言 (KQL) 语法参考。

   此基于查询的策略使用与电子数据展示内容搜索相同的搜索索引来标识内容。 有关可用于电子邮件的可搜索属性的详细信息，请参阅在 Exchange Online 中查找内容。

6. 对于 “选择何时删除内容 ”页，选择是尽快永久删除匹配项，还是将其保留一段时间，然后删除它们。 大多数情况下，你会选择第一个选项，以便可以尽快删除该项目。 仅当出于符合性原因应保留项目且不能使用保留标签实现此目的时，才使用备用选项。 例如，该项已应用了保留期较长的保留标签。

   注意

   优先级清理策略覆盖通常确定何时应保留或永久删除项的 保留原则 。

7. 对于 “分配将批准已删除内容的人员 ”页，需要指定另一个优先级清理审批者，指定一个审批者，用于确定的项目何时应用了保留设置 (（如保留策略、保留标签或诉讼保留策略) ），以及用于标识项应用一个或多个电子数据展示保留时的审批者。

   • 优先级清理管理员：必须分配优先级清理管理员角色，并且是此策略的所有优先级清理的第一阶段审批者。 这应该与创建优先级清理策略的用户不同，但未强制实施。
   • 保留管理员：必须分配保留管理角色。 如果标识的内容受一个或多个保留策略或诉讼保留的约束，则需要指定用户的批准。
   • 电子数据展示管理员：必须分配电子数据展示管理员角色。 如果标识的内容受一个或多个电子数据展示保留的约束，则需要指定用户的批准。

8. 对于 “选择策略模式 ”页，选择是先在模拟模式下运行策略，还是暂时不启用该策略。

   在模拟模式下运行策略必然会延迟永久删除。 但是，如果需要在审批阶段之前微调查询，则模拟模式会添加检查样本与查询匹配的预防性步骤。 这也意味着，你可以向其他指定审批者以外的人检查查询和示例结果。

9. 特定于优先级清理，必须通过选中一个复选框进行确认，了解此策略如何覆盖电子数据展示保留和其他应用的保留设置。

10. 在 “已创建优先级清理策略 ”页上，可以看到用于跟踪和监视此策略的 清理 ID 。 使用 Copy 函数，或稍后从策略详细信息复制它，以便你可以从 审核详细信息中监视此策略的进度。

如果选择在模拟模式下运行策略：

• 可能需要等待几个小时才能获得结果，具体取决于要搜索的邮箱数。
• 最多可以启用策略 7 天。 七天后，必须重启模拟。

如果启用策略，与自动应用保留标签策略一样， 最长可能需要 7 天时间才能将策略应用到项目 并触发审批过程。

优先级清理策略的审批过程

启用优先级清理策略并标识项目后，将通过电子邮件通知策略的审批者，并每周提醒一次。 他们可以单击通知和提醒电子邮件中的链接，直接转到门户中 的“数据生命周期管理>优先级清理>挂起的清理 ”页，以查看要批准的内容。 或者，审批者可以在门户中手动导航到此页面。

若要实现使用 两人规则的安全控制，每个优先级清理始终需要另一个优先级清理管理员来批准永久删除标识的项。 然后，如果项目应用了保留设置，则需要保留管理员批准下一阶段。 最后，如果项包含在电子数据展示保留中，它们还需要电子数据展示管理员进行另一次批准。完成所有必需的审批后，项目将永久删除，并且无法由用户、管理员或Microsoft还原。

在 “挂起的清理 ”页上，列出由优先级清理策略标识的项目，状态为 “挂起处置” ，并列出已识别的项数的估计计数。 这些可能是不同的项目，也可能是多个邮箱中的同一项。

当审批者选择其中一个列表项时，下一页会向他们显示具有项目名称、位置和发件人的各个项目。 选择项目后，预览窗格将显示项目的主题、源、详细信息和历史记录。 历史记录显示该项目迄今为止的所有优先级清理审批，以及审批者注释（如果可用）。

查看所有项目后，审批者可以单独或多选项目，然后选择 “批准处置”。 然后，他们必须使用可选注释确认作，然后选择“ 应用”。

或者，如果不应尽快永久删除该项目，审批者必须选择 “重新标记”，并选择现有的保留标签。

然后，已批准或重新标记的项目将移动到“ 已释放的项目 ”选项卡。最多允许 7 天才能永久删除项目。

导出视图

审批者可以使用“挂起的清理”和“已释放项目”页面中的“导出”选项，将任一视图中的项目的相关信息导出为 .csv 文件，然后他们可以使用 Excel 对其进行排序和管理。

如何监视优先级清理

可以从数据生命周期管理>优先级清理中监视每个策略的优先级清理状态。 例如，状态显示“ 在模拟中”或 “已启用 (挂起) ，) 更改为 ”已启用 (成功 ”。

使用策略的详细信息标识其清理 ID，并将此数字粘贴为审核解决方案中的关键字 (keyword) 搜索字符串。 若要使用日期范围，请记得以 UTC 格式指定日期。

审核结果包括：

• 创建、编辑和删除优先级清理策略

• 当某个项被标识为优先级清理时，以及这是否导致删除现有的保留标签

• 每个审批者的审批或重新标记作

• 按优先级清理永久删除项

优先级清理的最终用户体验

由于优先级清理不使用软删除过程，因此用户在确定优先级清理时，在 Outlook 中的电子邮件上会显示 “保留： ”消息栏。 他们还会看到优先级清理策略的名称，然后 (-1 天) 指示应尽快删除该策略，以及基于该 -1 天的估计到期日期和时间。

例如，如果优先级清理策略名为“清理策略测试”：

保留期：清理策略测试 (-1 天) 过期：周四 2/62024 AM

在最终优先级清理审批后，该项目将从 Outlook 中静默消失。

关闭租户的优先级清理

考虑了其他权限和多个审批的安全措施后，如果组织仍担心此功能，可以关闭创建优先级清理策略的功能：

1. 登录到 Microsoft Purview 门户>解决 方案>数据生命周期管理。
2. 从右上角选择“ 优先级清理设置”。
3. 在 “配置 ”页中，关闭优先级清理控件，然后选择“ 保存”。

在打开控件并再次选择“ 保存 ”之前，无法创建新的优先级清理策略。

如果在关闭控件时已创建优先级清理策略：

• 现有优先级清理策略继续运行

• 可以删除现有的优先级清理策略

• 无法修改现有的优先级清理策略