Schlüsselwortabfragen und Suchbedingungen für eDiscovery

In diesem Artikel werden die E-Mail- und Dokumenteigenschaften beschrieben, nach denen Sie in E-Mail-Elementen suchen können, Microsoft Teams-Chatunterhaltungen in Exchange Online sowie auf SharePoint- und OneDrive for Business-Websites gespeicherte Dokumente mithilfe der eDiscovery-Suchtools in der Microsoft Purview-Complianceportal.

Dies umfasst die Inhaltssuche, Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium) (eDiscovery-Suchvorgänge in eDiscovery (Premium) werden als Sammlungen bezeichnet). Sie können auch die Cmdlets *-ComplianceSearch in Security & Compliance PowerShell verwenden, um nach diesen Eigenschaften zu suchen.

In diesem Artikel wird außerdem Folgendes beschrieben:

  • Verwenden von booleschen Suchoperatoren, Suchbedingungen und anderen Suchabfragetechniken, um Ihre Suchergebnisse zu verfeinern.
  • Suchen nach vertraulichen Datentypen und benutzerdefinierten vertraulichen Datentypen in SharePoint und OneDrive for Business.
  • Suchen nach Websiteinhalten, die für Benutzer außerhalb Ihrer Organisation freigegeben werden.

Eine schrittweise Anleitung zum Erstellen verschiedener eDiscovery-Suchvorgänge finden Sie unter:

Hinweis

eDiscovery-Suchvorgänge im Complianceportal und den entsprechenden *-ComplianceSearch-Cmdlets in Security & Compliance PowerShell verwenden die Keyword Query Language (KQL). Ausführlichere Informationen finden Sie unter Syntaxreferenz zur Schlüsselwortabfragesprache.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Durchsuchbare E-Mail-Eigenschaften

In der folgenden Tabelle sind E-Mail-Nachrichteneigenschaften aufgeführt, die mithilfe der eDiscovery-Suchtools im Complianceportal oder mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch durchsucht werden können. Die Tabelle enthält ein Beispiel für die Property:value-Syntax für jede Eigenschaft und eine Beschreibung der von den Beispielen zurückgegebenen Suchergebnisse. Sie können diese property:value Paare in das Feld Schlüsselwörter für eine eDiscovery-Suche eingeben.

Hinweis

Beim Durchsuchen von E-Mail-Eigenschaften ist es nicht möglich, nach Elementen zu suchen, in denen die angegebene Eigenschaft leer oder leer ist. Wenn Sie beispielsweise das property:value-Paar von subject:"" verwenden, um nach E-Mail-Nachrichten mit einer leeren Betreffzeile zu suchen, wird null Ergebnisse zurückgegeben. Dies gilt auch für die Suche nach Website- und Kontakteigenschaften.

Eigenschaft Beschreibung der Eigenschaft Beispiele Von den Beispielen zurückgegebene Suchergebnisse
AttachmentNames Die Namen der an eine E-Mail angefügten Dateien. attachmentnames:annualreport.ppt

attachmentnames:annual*

Nachrichten mit einer angefügten Datei namensannualreport.ppt. Im zweiten Beispiel gibt die Verwendung des Platzhalterzeichens ( * ) Nachrichten mit dem Wort annual im Dateinamen einer Anlage zurück. 1
Bcc Das Bcc-Feld einer E-Mail-Nachricht. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Alle Beispiele geben Nachrichten mit Pilar Pinilla zurück, die im Feld Bcc enthalten sind.
(Siehe Empfängererweiterung)
Kategorie Die Kategorien, nach denen gesucht wird. Kategorien können von Benutzern mithilfe von Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) definiert werden. Die folgenden Werte sind möglich:
  • blau
  • grün
  • orange
  • violett
  • rot
  • gelb
category:"Red Category" Nachrichten, denen die rote Kategorie in den Quellpostfächern zugewiesen wurde.
Cc Das Cc-Feld einer E-Mail-Nachricht. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

In beiden Beispielen werden Nachrichten mit Pilar Pinilla im Feld Cc angegeben.
(Siehe Empfängererweiterung)
Folderid Die Ordner-ID (GUID) eines bestimmten Postfachordners im 48-Zeichen-Format. Wenn Sie diese Eigenschaft verwenden, müssen Sie das Postfach durchsuchen, in dem sich der angegebene Ordner befindet. Es wird nur der angegebene Ordner durchsucht. Alle Unterordner im Ordner werden nicht durchsucht. Zum Durchsuchen von Unterordnern müssen Sie die Folderid-Eigenschaft für den Zu durchsuchenden Unterordner verwenden.

Weitere Informationen zum Suchen nach der Folderid-Eigenschaft und zum Verwenden eines Skripts zum Abrufen der Ordner-IDs für ein bestimmtes Postfach finden Sie unter Verwenden der Inhaltssuche für gezielte Sammlungen.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

Im ersten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben. Im zweiten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben, die von garthf@contoso.comgesendet oder empfangen wurden.
Von Der Absender einer E-Mail-Nachricht.1 from:pilarp@contoso.com

from:contoso.com

Nachrichten, die vom angegebenen Benutzer oder einer bestimmten Domäne gesendet wurden.
(Siehe Empfängererweiterung)
HasAttachment Gibt an, ob eine Nachricht über eine Anlage verfügt. Verwenden Sie die Werte true oder false. from:pilar@contoso.com AND hasattachment:true Vom angegebenen Benutzer gesendete Nachrichten mit Anlagen.
Wichtigkeit Die Wichtigkeit einer E-Mail-Nachricht, die ein Absender festlegen kann, wenn er eine Nachricht sendet. Standardmäßig werden Nachrichten mit normaler Wichtigkeit gesendet, außer wenn der Absender die Wichtigkeit auf Hoch oder Niedrig setzt. importance:high

importance:medium

importance:low

Nachrichten, deren Wichtigkeit auf "Hoch", "Mittel" bzw. "Niedrig" eingestellt ist.
IsRead Gibt an, ob Nachrichten gelesen wurden. Verwenden Sie die Werte true oder false. isread:true

isread:false

Im ersten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf True festgelegt ist. Im zweiten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf False festgelegt ist.
ItemClass Verwenden Sie diese Eigenschaft, um bestimmte Datentypen von Drittanbietern zu durchsuchen, die Ihre Organisation in Office 365 importiert hat. Verwenden Sie die folgende Syntax für diese Eigenschaft: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

Im ersten Beispiel werden Facebook-Elemente zurückgegeben, die das Wort "contoso" in der Subject-Eigenschaft enthalten. Das zweite Beispiel gibt Twitter-Elemente zurück, die von Ann Beebe gepostet wurden und die den Schlüsselwortausdruck "Northwind Traders" enthalten.

Eine vollständige Liste der Werte, die für Datentypen von Drittanbietern für die ItemClass-Eigenschaft verwendet werden sollen, finden Sie unter Verwenden der Inhaltssuche zum Durchsuchen von Drittanbieterdaten, die in Office 365 importiert wurden.

Art Der Typ der zu suchden E-Mail-Nachricht. Mögliche Werte:

contacts

docs

email

externaldata

faxes

im

journals

meetings

microsoftteams (gibt Elemente aus Chats, Besprechungen und Anrufen in Microsoft Teams zurück)

notes

posts

rssfeeds

tasks

voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

Im ersten Beispiel werden E-Mail-Nachrichten zurückgegeben, die die Suchkriterien erfüllen. Im zweiten Beispiel werden E-Mail-Nachrichten, Chatunterhaltungen (einschließlich Skype for Business Unterhaltungen und Chats in Microsoft Teams) und Sprachnachrichten zurückgegeben, die die Suchkriterien erfüllen. Das dritte Beispiel gibt Elemente zurück, die aus Datenquellen von Drittanbietern wie Twitter, Facebook und Cisco Jabber in Postfächer in Microsoft 365 importiert wurden, die die Suchkriterien erfüllen. Weitere Informationen finden Sie unter Archivieren von Drittanbieterdaten in Office 365.
Teilnehmer Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc.1 participants:garthf@contoso.com

participants:contoso.com

Nachrichten, die von oder an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die von oder an einen Benutzer in der Domäne contoso.com gesendet wurden.
(Siehe Empfängererweiterung)
Auszahlung Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

Nachrichten, die am 15. April 2021 empfangen wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die zwischen dem 1. Januar 2021 und dem 31. März 2021 empfangen wurden.
Empfänger Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

Nachrichten, die an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden Nachrichten zurückgegeben, die an einen beliebigen Empfänger in der Domäne contoso.com geschickt wurden.
(Siehe Empfängererweiterung)
Gesendet Das Datum, an dem eine E-Mail vom Absender gesendet wurde. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

Nachrichten, die am angegebenen Tag oder im angegebenen Datumsbereich gesendet wurden.
Größe Die Größe eines Elements in Byte. size>26214400

size:1..1048567

Nachrichten mit mehr als 25 MB. Im zweiten Beispiel werden Nachrichten von 1 bis 1.048.567 Bytes (1 MB) zurückgegeben.
Betreff Der Text in der Betreffzeile einer E-Mail.

Hinweis: Wenn Sie die Subject-Eigenschaft in einer Abfrage verwenden, gibt die Suche alle Nachrichten zurück, in denen die Betreffzeile den gesuchten Text enthält. Anders ausgedrückt: Die Abfrage gibt nicht nur die Nachrichten zurück, die eine genaue Übereinstimmung aufweisen. Wenn Sie beispielsweise nach suchen subject:"Quarterly Financials", enthalten Ihre Ergebnisse Nachrichten mit dem Betreff "Quartalsfinanzen 2018".

subject:"Quarterly Financials"

subject:northwind

Nachrichten, die den Ausdruck "Vierteljährliche Finanzen" an einer beliebigen Stelle im Text der Betreffzeile enthalten. Im zweiten Beispiel werden alle Nachrichten mit dem Wort "northwind" in der Betreffzeile zurückgegeben.
An Das Feld „An" einer E-Mail-Nachricht.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

In allen Beispielen wegen Nachrichten zurückgegeben, in deren Zeile "An" der Name "Ann Beebe" angegeben ist.

Hinweis

1 Für den Wert einer Empfängereigenschaft können Sie eine E-Mail-Adresse (auch als Benutzerprinzipalname oder UPN bezeichnet), Anzeigenamen oder Alias verwenden, um einen Benutzer anzugeben. Sie können beispielsweise , annb oder "Ann Beebe" verwenden annb@contoso.com, um den Benutzer Ann Beebe anzugeben.

Empfängererweiterung

Beim Durchsuchen einer der Empfängereigenschaften (From, To, Cc, Bcc, Participants und Recipients) versucht Microsoft 365, die Identität jedes Benutzers zu erweitern, indem er in Azure Active Directory (Azure AD) nachschaut. Wenn der Benutzer in Azure AD gefunden wird, wird die Abfrage erweitert, um die E-Mail-Adresse (oder den UPN), den Alias, den Anzeigenamen und legacyExchangeDN des Benutzers einzuschließen. Beispielsweise wird eine Abfrage wie participants:ronnie@contoso.com auf participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"erweitert.

Um die Empfängererweiterung zu verhindern, fügen Sie am Ende der E-Mail-Adresse ein Platzhalterzeichen (Sternchen) hinzu, und verwenden Sie einen reduzierten Domänennamen. Achten Sie beispielsweise darauf, participants:"ronnie@contoso*" die E-Mail-Adresse in doppelte Anführungszeichen einzuschließen.

Beachten Sie jedoch, dass das Verhindern der Empfängererweiterung in der Suchabfrage dazu führen kann, dass relevante Elemente in den Suchergebnissen nicht zurückgegeben werden. Email Nachrichten in Exchange können in unterschiedlichen Textformaten in den Empfängerfeldern gespeichert werden. Die Empfängererweiterung soll dazu beitragen, diese Tatsache zu entschärfen, indem Nachrichten zurückgegeben werden, die möglicherweise unterschiedliche Textformate enthalten. Das Verhindern der Empfängererweiterung kann daher dazu führen, dass die Suchabfrage nicht alle Elemente zurückgibt, die für Ihre Untersuchung relevant sein könnten.

Hinweis

Wenn Sie die elemente überprüfen oder reduzieren müssen, die von einer Suchabfrage aufgrund der Empfängererweiterung zurückgegeben werden, sollten Sie die Verwendung von eDiscovery (Premium) in Betracht ziehen. Sie können nach Nachrichten suchen (indem Sie die Empfängererweiterung nutzen), sie einem Überprüfungssatz hinzufügen und dann Überprüfungssatzabfragen oder Filter verwenden, um die Ergebnisse zu überprüfen oder einzugrenzen. Weitere Informationen finden Sie unter Sammeln von Daten für einen Fall und Abfragen der Daten in einem Überprüfungssatz.

Durchsuchbare Websiteeigenschaften

In der folgenden Tabelle sind einige der SharePoint- und OneDrive for Business Eigenschaften aufgeführt, die mithilfe der eDiscovery-Suchtools im Microsoft Purview-Complianceportal oder mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch durchsucht werden können. Die Tabelle enthält ein Beispiel für die Property:value-Syntax für jede Eigenschaft und eine Beschreibung der von den Beispielen zurückgegebenen Suchergebnisse.

Eine vollständige Liste der SharePoint-Eigenschaften, die durchsucht werden können, finden Sie unter Übersicht über durchforstete und verwaltete Eigenschaften in SharePoint. Eigenschaften, die in der Spalte Abfragbar mit Ja gekennzeichnet sind, können durchsucht werden.

Eigenschaft Beschreibung der Eigenschaft Beispiel Von den Beispielen zurückgegebene Suchergebnisse
Ursprung Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. author:"Garth Fort" Alle Dokumente, die von Garth Fort erstellt wurden.
ContentType Der SharePoint-Inhaltstyp eines Elements, z. B. Element, Dokument oder Video. contenttype:document Alle Dokumente würden zurückgegeben.
Erstellt Das Datum, an dem ein Element erstellt wird. created>=2021-06-01 Alle Elemente, die am oder nach dem 1. Juni 2021 erstellt wurden.
CreatedBy Die Person, die ein Element erstellt oder hochgeladen hat. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. createdby:"Garth Fort" Alle Elemente, die von Garth Fort erstellt oder hochgeladen wurden.
DetectedLanguage Die Sprache eines Elements. detectedlanguage:english Alle Elemente in Englisch.
DocumentLink Der Pfad (URL) eines bestimmten Ordners auf einer SharePoint- oder OneDrive for Business-Website. Wenn Sie diese Eigenschaft verwenden, stellen Sie sicher, dass Sie die Website durchsuchen, in der sich der angegebene Ordner befindet.

Um Elemente zurückzugeben, die sich in Unterordnern des Ordners befinden, den Sie für die documentlink-Eigenschaft angeben, müssen Sie der URL des angegebenen Ordners /* hinzufügen. Zum Beispiel documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Weitere Informationen zum Suchen nach der documentlink-Eigenschaft und zum Verwenden eines Skripts zum Abrufen der Documentlink-URLs für Ordner auf einer bestimmten Website finden Sie unter Verwenden der Inhaltssuche für gezielte Sammlungen.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

Im ersten Beispiel werden alle Elemente im angegebenen OneDrive for Business Ordner zurückgegeben. Im zweiten Beispiel werden Dokumente im angegebenen Websiteordner (und in allen Unterordnern) zurückgegeben, die das Wort "confidential" im Dateinamen enthalten.
Fileextension Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. fileextension:xlsx Alle Excel-Dateien (Excel 2007 und höher)
FileName Der Name einer Datei. filename:"marketing plan"

filename:estimate

Im ersten Beispiel werden Dateien mit dem genauen Ausdruck "Marketingplan" im Titel zurückgegeben. Im zweiten Beispiel werden Dateien mit dem Wort "estimate" im Dateinamen zurückgegeben.
LastModifiedTime Das Datum, an dem ein Element zuletzt geändert wurde. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

Im ersten Beispiel werden Elemente zurückgegeben, die am oder nach dem 1. Mai 2021 geändert wurden. Im zweiten Beispiel werden Elemente zurückgegeben, die zwischen dem 1. Mai 2021 und dem 1. Juni 2021 geändert wurden.
ModifiedBy Die Person, die ein Element zuletzt geändert hat. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. modifiedby:"Garth Fort" Alle Elemente, die zuletzt von Garth Fort geändert wurden.
Pfad Der Pfad (URL) einer bestimmten Website in einer SharePoint- oder OneDrive for Business-Website.

Um Elemente nur von der angegebenen Website zurückzugeben, müssen Sie die nachgestellte / am Ende der URL hinzufügen, z. B. path: "https://contoso.sharepoint.com/sites/international/"

Um Elemente zurückzugeben, die sich in Ordnern der Website befinden, die Sie in der Path-Eigenschaft angeben, müssen Sie am Ende der URL hinzufügen /* , z. B. path: "https://contoso.sharepoint.com/Shared Documents/*"

Hinweis: Die Verwendung der Path -Eigenschaft zum Durchsuchen von OneDrive-Speicherorten gibt keine Mediendateien wie .png-, TIFF- oder WAV-Dateien in den Suchergebnissen zurück. Verwenden Sie eine andere Websiteeigenschaft in Ihrer Suchabfrage, um in OneDrive-Ordnern nach Mediendateien zu suchen.

path:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/"

path:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/*" AND filename:confidential

Im ersten Beispiel werden alle Elemente in der angegebenen OneDrive for Business Website zurückgegeben. Das zweite Beispiel gibt Dokumente in der angegebenen Website (und Ordner auf der Website) zurück, die das Wort "vertraulich" im Dateinamen enthalten.
SharedWithUsersOWSUser Dokumente, die für den angegebenen Benutzer freigegeben wurden und auf der Seite Für mich freigegeben auf der OneDrive for Business Website des Benutzers angezeigt werden. Dies sind Dokumente, die von anderen Personen in Ihrer Organisation explizit für den angegebenen Benutzer freigegeben wurden. Wenn Sie Dokumente exportieren, die einer Suchabfrage entsprechen, die die SharedWithUsersOWSUser-Eigenschaft verwendet, werden die Dokumente aus dem ursprünglichen Inhaltsspeicherort der Person exportiert, die das Dokument für den angegebenen Benutzer freigegeben hat. Weitere Informationen finden Sie unter Suchen nach in Ihrer Organisation freigegebenen Websiteinhalten. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

Beide Beispiele geben alle internen Dokumente zurück, die explizit mit Garth Fort geteilt wurden und die auf der Seite Für mich freigegeben im OneDrive for Business-Konto von Garth Fort angezeigt werden.
Website Die URL einer Website oder Gruppe von Websites in Ihrer Organisation. site:"https://contoso-my.sharepoint.com"

site:"https://contoso.sharepoint.com/sites/teams"

Im ersten Beispiel werden Elemente aus den OneDrive for Business Websites für alle Benutzer in der Organisation zurückgegeben. Im zweiten Beispiel werden Elemente von allen Teamwebsites zurückgegeben.
Size Die Größe eines Elements in Byte. size>=1

size:1..10000

Im ersten Beispiel werden Elemente zurückgegeben, die größer als 1 Byte sind. Im zweiten Beispiel werden Elemente zwischen 1 und 10.000 Bytes zurückgegeben.
Titel Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Er unterscheidet sich vom Dateinamen des Dokuments. title:"communication plan" Jedes Dokument, das den Ausdruck "Kommunikationsplan" in der Title-Metadateneigenschaft eines Office-Dokuments enthält.

Durchsuchbare Kontakteigenschaften

In der folgenden Tabelle sind die Kontakteigenschaften aufgeführt, die indiziert sind und nach denen Sie mithilfe der eDiscovery-Suchtools suchen können. Dies sind die Eigenschaften, die Benutzern zur Verfügung stehen, um die Kontakte (auch als persönliche Kontakte bezeichnet) zu konfigurieren, die sich im persönlichen Adressbuch des Postfachs eines Benutzers befinden. Um nach Kontakten zu suchen, können Sie die zu durchsuchenden Postfächer auswählen und dann eine oder mehrere Kontakteigenschaften in der Schlüsselwortabfrage verwenden.

Tipp

Wenn Sie nach Werten suchen möchten, die Leerzeichen oder Sonderzeichen enthalten, verwenden Sie doppelte Anführungszeichen (" "), um den Ausdruck zu enthalten. Beispiel: businessaddress:"123 Main Street".

Eigenschaft Beschreibung der Eigenschaft
BusinessAddress Die Adresse in der Eigenschaft Geschäftsadresse . Die Eigenschaft wird auch als Arbeitsadresse auf der Seite mit den Kontakteigenschaften bezeichnet.
BusinessPhone Die Telefonnummer in einer der Eigenschaften von Geschäftstelefonnummern .
CompanyName Der Name in der Company-Eigenschaft .
Abteilung Der Name in der Department-Eigenschaft .
DisplayName Der Anzeigename des Kontakts. Dies ist der Name in der Eigenschaft Vollständiger Name des Kontakts.
EmailAddress Die Adresse für eine beliebige E-Mail-Adresseigenschaft für den Kontakt. Benutzer können mehrere E-Mail-Adressen für einen Kontakt hinzufügen. Die Verwendung dieser Eigenschaft würde Kontakte zurückgeben, die mit einer der E-Mail-Adressen des Kontakts übereinstimmen.
FileAs Die Datei als - Eigenschaft. Diese Eigenschaft wird verwendet, um anzugeben, wie der Kontakt in der Kontaktliste des Benutzers aufgeführt wird. Beispielsweise kann ein Kontakt als FirstName, LastName oder LastName,FirstName aufgeführt werden.
GivenName Der Name in der Eigenschaft Vorname .
HomeAddress Die Adresse in einer der Home-Adresseigenschaften .
HomePhone Die Telefonnummer in einer der Eigenschaften der Home-Telefonnummer .
IMAddress Die Chatadresseneigenschaft, bei der es sich in der Regel um eine E-Mail-Adresse handelt, die für Chatnachrichten verwendet wird.
MiddleName Der Name in der Eigenschaft "Middle name".
MobilePhone Die Telefonnummer in der Eigenschaft Mobiltelefonnummer .
Spitzname Der Name in der Nickname-Eigenschaft .
OfficeLocation Der Wert in der Office- oder Office-Standorteigenschaft .
OtherAddress Der Wert für die Eigenschaft Other address.
Nachname Der Name in der Eigenschaft Nachname .
Titel Der Titel in der Eigenschaft "Job title ".

Suchoperatoren

Boolesche Suchoperatoren wie AND, OR und NOT helfen Ihnen, präzisere Suchvorgänge zu definieren, indem sie bestimmte Wörter in die Suchabfrage ein- oder ausschließen. Andere Techniken, z. B. die Verwendung von Eigenschaftenoperatoren (z >= . B. oder ..), Anführungszeichen, Klammern und Wildcards, helfen Ihnen, eine Suchabfrage zu verfeinern. In der folgenden Tabelle sind die Operatoren aufgeführt, die Sie zum Einschränken oder Erweitern von Suchergebnissen verwenden können.

Operator Verwendung Beschreibung
UND Wort1 AND Wort2 Gibt Elemente zurück, die alle angegebenen Schlüsselwörter oder property:value Ausdrücke enthalten. Würde beispielsweise alle von Ann Beebe gesendeten Nachrichten zurückgeben, from:"Ann Beebe" AND subject:northwind die das Wort northwind in der Betreffzeile enthielten. 2
+ Schlüsselwort1 + Schlüsselwort2 + Schlüsselwort3 Gibt Elemente zurück, die entwederkeyword2 oder keyword3 enthalten und die ebenfalls enthaltenkeyword1. Daher entspricht dieses Beispiel der Abfrage (keyword2 OR keyword3) AND keyword1.

Die Abfrage keyword1 + keyword2 (mit einem Leerzeichen hinter dem + Symbol) ist nicht identisch mit der Verwendung des AND-Operators . Diese Abfrage entspricht "keyword1 + keyword2" und gibt Elemente mit der genauen Phase "keyword1 + keyword2"zurück.

ODER Wort1 OR Wort2 Gibt Elemente zurück, die mindestens eins der angegebenen Schlüsselwörter oder property:value Ausdrücke enthalten. 2
NOT Wort1 NOT Wort2

NOT Von:"Ann Beebe"

NOT kind:im

Schließt Elemente aus, die durch ein Schlüsselwort oder einen property:value Ausdruck angegeben werden. Im zweiten Beispiel werden von Ann Beebe gesendete Nachrichten ausgeschlossen. Im dritten Beispiel werden alle Chatunterhaltungen ausgeschlossen, z. B. Skype for Business Unterhaltungen, die im Postfachordner Unterhaltungsverlauf gespeichert werden. 2
- Wort1 - Wort2 Identisch mit dem Operator NOT. Diese Abfrage gibt also Elemente zurück, die elemente enthalten keyword1 und ausschließen, die enthalten keyword2.
NEAR Wort1 NEAR(n) Wort2 Gibt Elemente mit Wörtern zurück, die sich nah sind, wobei "n" der Anzahl der Wörter entspricht, die den Abstand zwischen den gesuchten Wörtern darstellen. Beispielsweise gibt jedes Element zurück, best NEAR(5) worst bei dem das Wort "worst" innerhalb von fünf Wörtern von "best" liegt. Wenn keine Anzahl angegeben wird, wird der Standardabstand von 8 Wörtern verwendet. 2
: Eigenschaftswert Der Doppelpunkt (:) in der property:value Syntax gibt an, dass der Wert der gesuchten Eigenschaft den angegebenen Wert enthält. Gibt beispielsweise recipients:garthf@contoso.com jede an gesendete Nachricht zurück garthf@contoso.com.
= Eigenschaft=Wert Dasselbe wie der Operator : .
< Eigenschaft<Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner ist als der angegebene Wert. 1
> Eigenschaft>Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer ist als der angegebene Wert.1
<= Eigenschaft<=Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner gleich dem angegebenen Wert ist.1
>= Eigenschaft>=Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich dem angegebenen Wert ist.1
.. property:value1.. Value2 Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich Wert1 und kleiner gleich Wert2 ist.1
" " "fair Value"

Betreff: „Vierteljährliche Finanzdaten“

Verwenden Sie in einer Schlüsselwortabfrage (in der Sie das property:value Paar in das Feld Schlüsselwort eingeben) doppelte Anführungszeichen (" "), um nach einem genauen Ausdruck oder Begriff zu suchen. Wenn Sie jedoch die SuchbedingungBetreff oder Betreff/Titel verwenden, fügen Sie dem Wert keine doppelten Anführungszeichen hinzu, da bei Verwendung dieser Suchbedingungen automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
* Katze*

subject:set*

Präfixsuchen (auch als Präfixabgleich bezeichnet), bei denen ein Platzhalterzeichen ( * ) am Ende eines Worts in Schlüsselwörtern oder property:value Abfragen platziert wird. Bei Präfixsuchen gibt die Suche Ergebnisse mit Begriffen zurück, die das Wort gefolgt von null oder mehr Zeichen enthalten. Beispielsweise gibt Dokumente zurück, title:set* die das Wort "set", "setup" und "setting" (und andere Wörter, die mit "set" beginnen) im Dokumenttitel enthalten.

Hinweis: Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.

Außerdem ändert das Hinzufügen eines Punkts ( . ) zu einer Präfixsuche die zurückgegebenen Ergebnisse. Das liegt daran, dass ein Punkt als Stoppwort behandelt wird. Wenn Sie z. B. nach cat* suchen und nach cat.* suchen, werden unterschiedliche Ergebnisse zurückgegeben. Es wird empfohlen, keinen Punkt in einer Präfixsuche zu verwenden.

( ) (fair OR frei) AND (Von:contoso.com)

(IPO OR Initiale) AND (Aktien OR Anteile)

(Vierteljährliche Finanzdaten)

Klammern gruppieren boolesche Ausdrücke, property:value Elemente und Schlüsselwörter. Gibt beispielsweise Elemente zurück, (quarterly financials) die die Wörter vierteljährlich und finanzwert enthalten.

Hinweis

1 Verwenden Sie diesen Operator für Eigenschaften mit Datums- oder numerischen Werten.
2 Boolesche Suchoperatoren müssen Großbuchstaben enthalten; z. B. AND. Wenn Sie einen Kleinbuchstabenoperator wie und verwenden, wird dieser in der Suchabfrage als Schlüsselwort behandelt.

Suchbedingungen

Sie können einer Suchabfrage Bedingungen hinzufügen, um eine Suche einzugrenzen und einen optimierteren Satz von Ergebnissen zurückzugeben. Jede Bedingung fügt eine Klausel zu der KQL-Suchabfrage hinzu, die beim Starten der Suche erstellt und ausgeführt wird.

Bedingungen für allgemeine Eigenschaften

Bedingungen für E-Mail-Eigenschaften

Bedingungen für Dokumenteigenschaften

Mit Bedingungen verwendete Operatoren

Richtlinien für die Verwendung von Bedingungen

Beispiele

Bedingungen für allgemeine Eigenschaften

Erstellen Sie eine Bedingung mit allgemeinen Eigenschaften, wenn Sie Postfächer und Websites in derselben Suche durchsuchen. In der folgenden Tabelle sind die verfügbaren Eigenschaften aufgeführt, die beim Hinzufügen einer Bedingung verwendet werden sollen.

Bedingung Beschreibung
Datum Bei E-Mails: Das Datum, an dem die Nachricht vom Empfänger empfangen oder vom Absender gesendet wurde. Bei Dokumenten das Datum, an dem ein Dokument zuletzt geändert wurde.
Absender/Autor Bei E-Mails: Die Person, die eine Nachricht gesendet hat. Bei Dokumenten die im Feld "Autor" angegebene Person aus Office-Dokumenten. Sie können mehrere Namen eingeben, getrennt durch Kommas. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.
(Siehe Empfängererweiterung)
Größe (in Bytes) Sowohl bei E-Mails als auch bei Dokumenten die Größe des Elements (in Bytes).
Betreff/Titel Bei E-Mails: Der Text in der Betreffzeile einer Nachricht. Bei Dokumenten der Titel des Dokuments. Wie bereits erläutert, handelt es sich bei der Title-Eigenschaft um Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Sie können den Namen mehrerer Betreff-/Titelwerte durch Kommas getrennt eingeben. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.

Aufbewahrungsbezeichnung Sowohl für E-Mails als auch für Dokumente aufbewahrungsbezeichnungen, die automatisch oder manuell auf Nachrichten und Dokumente angewendet werden können. Aufbewahrungsbezeichnungen können verwendet werden, um Datensätze zu deklarieren und Ihnen bei der Verwaltung des Datenlebenszyklus von Inhalten zu helfen, indem Aufbewahrungs- und Löschregeln erzwungen werden, die durch die Bezeichnung angegeben werden. Sie können einen Teil des Aufbewahrungsbezeichnungsnamens eingeben und einen Wildcard verwenden oder den vollständigen Bezeichnungsnamen eingeben. Weitere Informationen zu Aufbewahrungsbezeichnungen finden Sie unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.

Bedingungen für E-Mail-Eigenschaften

Erstellen Sie eine Bedingung mithilfe von E-Mail-Eigenschaften beim Durchsuchen von Postfächern oder öffentlichen Ordnern. In der folgenden Tabelle sind die E-Mail-Eigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen E-Mail-Eigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Nachrichtenart Der Nachrichtentyp, nach dem gesucht wird. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Art“. Mögliche Werte:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Teilnehmer Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc. (Siehe Empfängererweiterung)
Typ Die Nachrichtenklasseneigenschaft für ein E-Mail-Element. Dies ist dieselbe Eigenschaft wie die ItemClass-E-Mail-Eigenschaft. Es handelt sich auch um eine mehrwertige Bedingung. Wenn Sie also mehrere Nachrichtenklassen auswählen möchten, halten Sie die STRG-TASTE gedrückt, und wählen Sie dann zwei oder mehr Nachrichtenklassen in der Dropdownliste aus, die Sie der Bedingung hinzufügen möchten. Jede Nachrichtenklasse, die Sie in der Liste auswählen, wird durch den OR-Operator in der entsprechenden Suchabfrage logisch verbunden.

Eine Liste der Nachrichtenklassen (und deren entsprechende Nachrichtenklassen-ID), die von Exchange verwendet werden und die Sie in der Nachrichtenklassenliste auswählen können, finden Sie unter Elementtypen und Nachrichtenklassen.

Auszahlung Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Empfangen“.
Empfänger Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc. (Siehe Empfängererweiterung)
Absender Der Absender einer E-Mail-Nachricht.
Gesendet Das Datum, an dem eine E-Mail vom Absender gesendet wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Gesendet“.
Betreff Der Text in der Betreffzeile einer E-Mail.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.

An Der Empfänger einer E-Mail-Nachricht im Feld An.

Bedingungen für Dokumenteigenschaften

Erstellen Sie eine Bedingung mithilfe von Dokumenteigenschaften, wenn Sie auf SharePoint- und OneDrive for Business-Websites nach Dokumenten suchen. In der folgenden Tabelle sind die Dokumenteigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen Standorteigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Ursprung Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei.
Titel Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Office-Dokumenten angegeben sind. Er unterscheidet sich vom Dateinamen des Dokuments.
Erstellt Das Datum, an dem ein Dokument erstellt wird.
Zuletzt geändert Das Datum, an dem ein Dokument zuletzt geändert wurde.
Dateityp Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. Dies ist dieselbe Eigenschaft wie die FileExtension-Websiteeigenschaft.

Hinweis: Wenn Sie eine Dateitypbedingung mit dem Operator Equals oder Equals any von in eine Suchabfrage einschließen, können Sie keine Präfixsuche (durch Einschließen des Wildcardzeichens ( * ) am Ende des Dateityps) verwenden, um alle Versionen eines Dateityps zurückzugeben. Wenn Sie dies tun, wird der Wildcard ignoriert. Wenn Sie beispielsweise die Bedingung Equals any of doc*einschließen, werden nur Dateien mit der Erweiterung zurückgegeben .doc . Dateien mit der Erweiterung werden .docx nicht zurückgegeben. Um alle Versionen eines Dateityps zurückzugeben, wurde das Paar property:value in einer Schlüsselwortabfrage verwendet. Beispiel: filetype:doc*.

Mit Bedingungen verwendete Operatoren

Beim Hinzufügen einer Bedingung können Sie einen Operator auswählen, der für den Typ der Eigenschaft für die Bedingung relevant ist. Die folgende Tabelle enthält die mit Bedingungen verwendeten Operatoren und die dazugehörigen Entsprechungen, die in der Suchabfrage verwendet werden.

Operator Entsprechung in der Abfrage Beschreibung
Nach dem Ereignis property>date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die nach dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Vor dem Ereignis property<date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die vor dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Between date..date Wird mit Datums- und Größenbedingungen verwendet. Bei Verwendung mit einer Datumsbedingung werden Elemente zurückgegeben, die innerhalb des angegebenen Datumsbereichs gesendet, empfangen oder geändert wurden. Bei Verwendung mit einer Größenbedingung werden Elemente zurückgegeben, deren Größe innerhalb des angegebenen Bereichs liegt.
Contains any of (property:value) OR (property:value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die mindestens einen Teil der angegebenen Zeichenfolgenwerte enthalten.
Doesn't contain any of -property:value

NOT property:value

Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die keinen Teil des angegebenen Zeichenfolgenwerts enthalten.
Doesn't equal any of -property=value

NOT property=value

Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die die angegebene Zeichenfolge nicht enthalten.
Gleich size=value Gibt Elemente zurück, die der angegebenen Größe entsprechen. 1
Equals any of (property=value) OR (property=value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die eine Übereinstimmung mit einem oder mehreren angegebenen Zeichenfolgenwerten sind.
Größer size>value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer als der angegebene Wert ist. 1
Greater or equal size>=value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer oder gleich dem angegebenen Wert ist. 1
Weniger size<value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Less or equal size<=value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Not equal size<>value Gibt Elemente zurück, die nicht der angegebenen Größe entsprechen. 1

Hinweis

1 Dieser Operator ist nur für Bedingungen verfügbar, die die Size-Eigenschaft verwenden.

Richtlinien für die Verwendung von Bedingungen

Beachten Sie Folgendes bei der Verwendung von Suchbedingungen:

  • Eine Bedingung ist logisch mit der Schlüsselwortabfrage (im Feld „Schlüsselwort“ angegeben) durch den AND-Operator verknüpft. Dies bedeutet, dass Elemente sowohl die Schlüsselwortabfrage als auch die Bedingung erfüllen muss, damit sie in die Suchergebnisse aufgenommen werden. Auf diese Weise können die Suchergebnisse mithilfe von Bedingungen weiter eingegrenzt werden.

  • Wenn Sie zwei oder mehr eindeutige Bedingungen (Bedingungen, die unterschiedliche Eigenschaften angeben) zu einer Suchabfrage hinzufügen, werden diese Suchkriterien mit dem AND-Operator logisch verknüpft. Das bedeutet, dass nur Elemente zurückgegeben werden, die neben der Schlüsselwortabfrage allen Bedingungen entsprechen.

  • Wenn Sie mehr als eine Bedingung für die gleiche Eigenschaft hinzufügen, werden diese Bedingungen mit dem OR-Operator logisch verknüpft. Das bedeutet, dass Elemente zurückgegeben werden, die der Schlüsselwortabfrage entsprechen und eine der Bedingungen erfüllen. Bedingungen, die sich auf die gleichen Eigenschaften beziehen, werden mit dem OR-Operator und die eindeutigen Bedingungen werden mit dem AND-Operator miteinander verknüpft.

  • Wenn Sie mehrere Werte (durch Kommas oder Semikolons getrennt) zu einer Bedingung hinzufügen, werden diese Werte mit dem OR-Operator verknüpft. Das bedeutet, es werden Elemente zurückgegeben, die einen der angegebenen Werte für die Eigenschaft in der Bedingung enthalten.

  • Jede Bedingung, die einen Operator mit der Logik Contains und Equals verwendet, gibt ähnliche Suchergebnisse für einfache Zeichenfolgensuchen zurück. Eine einfache Zeichenfolgensuche ist eine Zeichenfolge in der Bedingung, die keinen Wildcard enthält. Beispielsweise gibt eine Bedingung, die Equals any von verwendet, die gleichen Elemente wie eine Bedingung zurück, die Contains any von verwendet.

  • Die Suchabfrage, die mithilfe des Felds und der Bedingungen für Schlüsselwörter erstellt wird, wird auf der Seite Suchen im Detailbereich für die ausgewählte Suche angezeigt. In einer Abfrage gibt alles rechts neben der Notation (c:c) Bedingungen an, die der Abfrage hinzugefügt werden.

  • Bedingungen fügen der Suchabfrage nur Eigenschaften hinzu. Sie fügen keine Operatoren hinzu. Aus diesem Grund zeigt die im Detailbereich angezeigte Abfrage keine Operatoren rechts neben der (c:c) Notation an. KQL fügt die logischen Operatoren (entsprechend den bereits erläuterten Regeln) beim Ausführen der Abfrage hinzu.

  • Sie können das Drag-and-Drop-Steuerelement verwenden, um die Reihenfolge der Bedingungen zu ändern. Wählen Sie das Steuerelement für eine Bedingung aus, und verschieben Sie es nach oben oder unten.

  • Wie bereits erläutert, ermöglichen einige Bedingungseigenschaften das Eingeben mehrerer Werte (durch Semikolons getrennt). Jeder Wert ist durch den OR-Operator logisch verbunden und führt zu der Abfrage (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). Die folgende Abbildung zeigt ein Beispiel für eine Bedingung mit mehreren Werten.

    Eine Bedingung mit mehreren Werten.

    Hinweis

    Sie können nicht mehrere Bedingungen hinzufügen (indem Sie Bedingung für dieselbe Eigenschaft hinzufügen auswählen. Stattdessen müssen Sie mehrere Werte für die Bedingung angeben (durch Semikolons getrennt), wie im vorherigen Beispiel gezeigt.

Beispiele

Die folgenden Beispiele zeigen die GUI-basierte Version einer Suchabfrage mit Bedingungen, die Im Detailbereich der ausgewählten Suche angezeigte Suchabfragesyntax (die auch vom Cmdlet Get-ComplianceSearch zurückgegeben wird) und die Logik der entsprechenden KQL-Abfrage.

Beispiel 1

In diesem Beispiel werden Dokumente auf SharePoint- und OneDrive for Business-Websites zurückgegeben, die eine Kreditkartennummer enthalten und zuletzt vor dem 1. Januar 2021 geändert wurden.

GUI:

Erstes Beispiel für Suchbedingungen.

Suchabfragesyntax:

SensitiveType:"Credit Card Number"(c:c)(lastmodifiedtime<2021-01-01)

Suchabfragelogik:

SensitiveType:"Credit Card Number" AND (lastmodifiedtime<2021-01-01)

Beachten Sie im vorherigen Screenshot, dass die Suchbenutzeroberfläche verstärkt, dass die Schlüsselwortabfrage und -bedingung durch den AND-Operator verbunden sind.

Beispiel 2

In diesem Beispiel werden E-Mail-Elemente oder -Dokumente zurückgegeben, die das Schlüsselwort "report" enthalten, die vor dem 1. April 2021 gesendet oder erstellt wurden und die das Wort "northwind" im Betrefffeld von E-Mail-Nachrichten oder in der title-Eigenschaft von Dokumenten enthalten. Die Abfrage schließt Webseiten aus, die die anderen Suchkriterien erfüllen.

GUI:

Zweites Beispiel für Suchbedingungen.

Suchabfragesyntax:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Suchabfragelogik:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Beispiel 3

In diesem Beispiel werden E-Mail-Nachrichten oder Kalenderbesprechungen zurückgegeben, die zwischen dem 1. Dezember 2019 und dem 30. November 2020 gesendet wurden und Wörter enthalten, die mit "Telefon" oder "Smartphone" beginnen.

GUI:

Drittes Beispiel für Suchbedingungen.

Suchabfragesyntax:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Suchabfragelogik:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Sonderzeichen

Einige Sonderzeichen sind nicht im Suchindex enthalten und daher nicht durchsuchbar. Dies schließt auch die Sonderzeichen ein, die Suchoperatoren in der Suchabfrage darstellen. Hier finden Sie eine Liste von Sonderzeichen, die entweder durch ein Leerzeichen in der tatsächlichen Suchabfrage ersetzt werden oder einen Suchfehler verursachen.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Suchen nach Websiteinhalten, die für externe Benutzer freigegeben sind

Sie können auch eDiscovery-Suchtools im Complianceportal verwenden, um nach Dokumenten zu suchen, die auf SharePoint gespeichert sind, und OneDrive for Business Websites, die für Personen außerhalb Ihrer Organisation freigegeben wurden. Dies kann Ihnen helfen, vertrauliche oder proprietäre Informationen zu identifizieren, die außerhalb Ihrer Organisation freigegeben werden. Dazu können Sie die ViewableByExternalUsers -Eigenschaft in einer Schlüsselwortabfrage verwenden. Diese Eigenschaft gibt Dokumente oder Websites zurück, die mit einer der folgenden Freigabemethoden für externe Benutzer freigegeben wurden:

  • Eine Freigabe-Einladung, bei der sich Benutzer als authentifizierter Benutzer bei Ihrer Organisation anmelden müssen.
  • Ein anonymer Gastlink, über den jeder Benutzer mit diesem Link auf die Ressource zugreifen kann, ohne authentifiziert werden zu müssen.

Hier sind einige Beispiele:

  • Die Abfrage ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" gibt alle Elemente zurück, die für Personen außerhalb Ihrer Organisation freigegeben wurden und eine Kreditkartennummer enthalten.
  • Die Abfrage ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" gibt eine Liste von Dokumenten auf allen Teamwebsites in der Organisation zurück, die für externe Benutzer freigegeben wurden.

Tipp

Eine Suchabfrage wie ViewableByExternalUsers:true AND ContentType:document kann viele ASPX-Dateien in den Suchergebnissen zurückgeben. Um diese (oder andere Dateitypen) zu beseitigen, können Sie die FileExtension -Eigenschaft verwenden, um bestimmte Dateitypen auszuschließen, z. B ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx. .

Was wird als Inhalt betrachtet, der für Personen außerhalb Ihrer Organisation freigegeben wird? Dokumente in den SharePoint- und OneDrive for Business Websites Ihrer Organisation, die durch Senden einer Freigabeaufladung freigegeben oder an öffentlichen Speicherorten freigegeben werden. Die folgenden Benutzeraktivitäten führen beispielsweise zu Inhalten, die von externen Benutzern angezeigt werden können:

  • Ein Benutzer gibt eine Datei oder einen Ordner für eine Person außerhalb Ihrer Organisation weiter.
  • Ein Benutzer erstellt und sendet einen Link zu einer freigegebenen Datei an eine Person außerhalb Ihrer Organisation. Über diesen Link kann der externe Benutzer die Datei anzeigen (oder bearbeiten).
  • Ein Benutzer sendet eine Freigabe-Einladung oder einen Gastlink an eine Person außerhalb Ihrer Organisation, um eine freigegebene Datei anzuzeigen (oder zu bearbeiten).

Probleme bei der Verwendung der ViewableByExternalUsers-Eigenschaft

Während die ViewableByExternalUsers -Eigenschaft den Status darstellt, ob ein Dokument oder eine Website für externe Benutzer freigegeben wird, gibt es einige Einschränkungen hinsichtlich der Funktionsweise dieser Eigenschaft und nicht. In den folgenden Szenarien wird der Wert der ViewableByExternalUsers Eigenschaft nicht aktualisiert, und die Ergebnisse einer Suchabfrage, die diese Eigenschaft verwendet, sind möglicherweise ungenau.

  • Änderungen an der Freigaberichtlinie, z. B. das Deaktivieren der externen Freigabe für eine Website oder für die Organisation. Die -Eigenschaft zeigt weiterhin an, dass zuvor freigegebene Dokumente extern zugänglich sind, obwohl der externe Zugriff möglicherweise widerrufen wurde.
  • Änderungen an der Gruppenmitgliedschaft, z. B. das Hinzufügen oder Entfernen externer Benutzer zu Microsoft 365-Gruppen oder Microsoft 365-Sicherheitsgruppen. Die -Eigenschaft wird nicht automatisch für Elemente aktualisiert, auf die die Gruppe Zugriff hat.
  • Senden von Freigabe-Einladungen an externe Benutzer, bei denen der Empfänger die Einladung nicht angenommen hat und daher noch keinen Zugriff auf den Inhalt hat.

In diesen Szenarien spiegelt die ViewableByExternalUsers Eigenschaft den aktuellen Freigabestatus erst wieder, wenn die Website oder Dokumentbibliothek neu durchforstet und neu indiziert wird.

Suchen nach in Ihrer Organisation freigegebenen Websiteinhalten

Wie bereits erläutert, können Sie die SharedWithUsersOWSUser -Eigenschaft verwenden, um nach Dokumenten zu suchen, die von Personen in Ihrer Organisation freigegeben wurden. Wenn eine Person eine Datei (oder einen Ordner) für einen anderen Benutzer in Ihrer Organisation freigibt, wird auf der Seite Für mich freigegeben im OneDrive for Business Konto der Person, für die die Datei freigegeben wurde, ein Link zu der freigegebenen Datei angezeigt. Um beispielsweise nach den Dokumenten zu suchen, die für Sara Davis freigegeben wurden, können Sie die Abfrage SharedWithUsersOWSUser:"sarad@contoso.com"verwenden. Wenn Sie die Ergebnisse dieser Suche exportieren, werden die Originaldokumente (die sich am Inhaltsspeicherort der Person befinden, die die Dokumente für Sara freigegeben hat) heruntergeladen.

Dokumente müssen explizit für einen bestimmten Benutzer freigegeben werden, damit sie bei Verwendung der -Eigenschaft in den SharedWithUsersOWSUser Suchergebnissen zurückgegeben werden. Wenn eine Person beispielsweise ein Dokument in ihrem OneDrive-Konto freigibt, hat sie die Möglichkeit, es für alle Personen (innerhalb oder außerhalb der Organisation) freizugeben, es nur für Personen innerhalb der Organisation freizugeben oder es für eine bestimmte Person freizugeben. Hier ist ein Screenshot des Fensters "Freigeben " in OneDrive mit den drei Freigabeoptionen.

Nur Dateien, die für bestimmte Personen freigegeben wurden, werden von einer Suchabfrage zurückgegeben, die die SharedWithUsersOWSUser-Eigenschaft verwendet.

Nur Dokumente, die mithilfe der dritten Option (für bestimmte Personen freigegeben) freigegeben werden, werden von einer Suchabfrage zurückgegeben, die die SharedWithUsersOWSUser -Eigenschaft verwendet.

Suchen nach Skype for Business Unterhaltungen

Sie können die folgende Schlüsselwortabfrage verwenden, um speziell nach Inhalten in Skype for Business Unterhaltungen zu suchen:

kind:im

Die vorherige Suchabfrage gibt auch Chats aus Microsoft Teams zurück. Um dies zu verhindern, können Sie die Suchergebnisse einschränken, um nur Skype for Business Unterhaltungen einzuschließen, indem Sie die folgende Schlüsselwortabfrage verwenden:

kind:im AND subject:conversation

Die vorherige Schlüsselwortabfrage schließt Chats in Microsoft Teams aus, da Skype for Business Unterhaltungen als E-Mail-Nachrichten mit einer Betreffzeile gespeichert werden, die mit dem Wort "Unterhaltung" beginnt.

Verwenden Sie die folgende Schlüsselwortabfrage, um nach Skype for Business Unterhaltungen zu suchen, die innerhalb eines bestimmten Datumsbereichs aufgetreten sind:

kind:im AND subject:conversation AND (received=startdate..enddate)

Zeichenbeschränkungen für Suchvorgänge

Bei der Suche nach Inhalten in SharePoint-Websites und OneDrive-Konten gilt eine Beschränkung von 4.000 Zeichen für Suchabfragen. So wird die Gesamtanzahl der Zeichen in der Suchabfrage berechnet:

  • Die Zeichen in der Schlüsselwortsuchabfrage (einschließlich Benutzer- und Filterfeldern) gelten für diesen Grenzwert.
  • Die Zeichen in einer beliebigen Standorteigenschaft (z. B. die URLs für alle durchsuchten SharePoint-Websites oder OneDrive-Speicherorte) gelten für diesen Grenzwert.
  • Die Zeichen in allen Suchberechtigungsfiltern, die auf den Benutzer angewendet werden, der die Suchanzahl gegen den Grenzwert ausführt.

Weitere Informationen zu Zeichenbeschränkungen finden Sie unter Grenzwerte für die eDiscovery-Suche.

Hinweis

Der Grenzwert von 4.000 Zeichen gilt für die Inhaltssuche, eDiscovery (Standard) und eDiscovery (Premium).

Tipps und Tricks für die Suche

  • Bei Schlüsselwortsuchen wird die Groß-/Kleinschreibung nicht beachtet. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.
  • Die booleschen Operatoren AND, OR, NOT und NEAR müssen Großbuchstaben enthalten.
  • Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei property:value Ausdrücken entspricht der Verwendung von AND. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten zurück, from:"Sara Davis" subject:reorganization die das Wort Reorganisation in der Betreffzeile enthalten.
  • Verwenden Sie eine Syntax, die dem property:value Format entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn ein Leerzeichen vorhanden ist, ist der beabsichtigte Wert eine Volltextsuche. Sucht beispielsweise to: pilarp nach "pilarp" als Schlüsselwort und nicht nach Nachrichten, die an pilarp gesendet wurden.
  • Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können z. B. , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.
  • Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.
  • Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Gibt z. B subject:budget Q1 . Nachrichten zurück, die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Die Verwendung von subject:"budget Q1" gibt alle Nachrichten zurück, die das Budget Q1 an einer beliebigen Stelle in der Betreffzeile enthalten.
  • Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Schließt beispielsweise -from:"Sara Davis" alle von Sara Davis gesendeten Nachrichten aus.
  • Sie können Elemente basierend auf dem Nachrichtentyp exportieren. Verwenden Sie beispielsweise die Syntax kind:im, um Skype-Unterhaltungen und -Chats in Microsoft Teams zu exportieren. Um nur E-Mail-Nachrichten zurückzugeben, verwenden kind:emailSie . Verwenden Sie kind:microsoftteams, um Chats, Besprechungen und Anrufe in Microsoft Teams zurückzugeben.
  • Wie zuvor erläutert, müssen Sie beim Durchsuchen von Websites die nachgestellte / am Ende der URL hinzufügen, wenn Sie die path -Eigenschaft verwenden, um nur Elemente in einer angegebenen Website zurückzugeben. Wenn Sie die nachgestellten /nicht einschließen, werden auch Elemente von einer Website mit einem ähnlichen Pfadnamen zurückgegeben. Wenn Sie z. B. verwenden path:sites/HelloWorld , werden auch Elemente von Websites mit dem Namen sites/HelloWorld_East oder sites/HelloWorld_West zurückgegeben. Um Elemente nur von der HelloWorld-Website zurückzugeben, müssen Sie verwenden path:sites/HelloWorld/.