Schlüsselwortabfragen und Suchbedingungen für eDiscovery

  • Artikel

In diesem Artikel werden die verfügbaren Eigenschaften beschrieben, um mithilfe der eDiscovery-Suchtools im Microsoft Purview-Complianceportal inhalte in Exchange Online und In SharePoint und OneDrive for Business gespeicherten Dokumente und Dateien zu finden.

Dies umfasst die Inhaltssuche, Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium) (eDiscovery-Suchvorgänge in eDiscovery (Premium) werden als Sammlungen bezeichnet). Sie können auch die Cmdlets *-ComplianceSearch in Security & Compliance PowerShell verwenden, um nach diesen Eigenschaften zu suchen.

In diesem Artikel wird außerdem Folgendes beschrieben:

  • Verwenden von booleschen Suchoperatoren, Suchbedingungen und anderen Suchabfragetechniken, um Ihre Suchergebnisse zu verfeinern.
  • Suche nach Kommunikationen verschiedener Typen, die sich auf bestimmte Mitarbeiter und Projekte während eines bestimmten Zeitraums beziehen.
  • Suchen nach Websiteinhalten, die sich auf ein bestimmtes Projekt, Mitarbeiter und/oder Themen während eines bestimmten Zeitraums beziehen.

Eine schritt-für-Schritt-Anleitung zum Erstellen verschiedener eDiscovery-Suchvorgänge finden Sie unter:

Hinweis

eDiscovery-Suchvorgänge im Complianceportal und den entsprechenden *-ComplianceSearch-Cmdlets in Security & Compliance PowerShell verwenden die Keyword Query Language (KQL). Ausführlichere Informationen finden Sie unter Syntaxreferenz zur Schlüsselwortabfragesprache.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Tipps und Tricks für die Suche

  • Die Zeitzone für alle Suchvorgänge ist Coordinated Universal Time (UTC). Das Ändern von Zeitzonen für Ihre organization wird derzeit nicht unterstützt. Anzeigeeinstellungen für Zeitzonen in der Suchansicht gelten nur für Werte in der Datenspalte und wirken sich nicht auf Zeitstempel für gesammelte Elemente aus.
  • Bei Schlüsselwortsuchen wird die Groß-/Kleinschreibung nicht beachtet. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.
  • Die booleschen Operatoren AND, OR, NOT und NEAR müssen Großbuchstaben enthalten.
  • Die Verwendung von Anführungszeichen stoppt Wildcards und alle Vorgänge innerhalb der Anführungszeichen.
  • Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei property:value Ausdrücken entspricht der Verwendung von OR. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten oder Nachrichten zurück, from:"Sara Davis" subject:reorganization die das Wort Reorganisation in der Betreffzeile enthalten. Die Verwendung einer Mischung aus Leerzeichen und OR-Bedingungen in einer einzelnen Abfrage kann jedoch zu unerwarteten Ergebnissen führen. Es wird empfohlen, entweder Leerzeichen oder OR in einer einzelnen Abfrage zu verwenden.
  • Verwenden Sie eine Syntax, die dem property:value Format entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn ein Leerzeichen vorhanden ist, ist der beabsichtigte Wert eine Volltextsuche. Sucht beispielsweise to: pilarp nach "pilarp" als Schlüsselwort (keyword) und nicht nach Nachrichten, die an pilarp gesendet werden.
  • Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können beispielsweise , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.
  • Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.
  • Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt Nachrichten zurück, subject:budget Q1 die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Die Verwendung von subject:"budget Q1" gibt alle Nachrichten zurück, die das Budget Q1 an einer beliebigen Stelle in der Betreffzeile enthalten.
  • Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Schließt beispielsweise -from:"Sara Davis" alle von Sara Davis gesendeten Nachrichten aus.
  • Sie können Elemente basierend auf dem Nachrichtentyp exportieren. Verwenden Sie beispielsweise die Syntax kind:im, um Skype-Unterhaltungen und -Chats in Microsoft Teams zu exportieren. Um nur E-Mail-Nachrichten zurückzugeben, verwenden kind:emailSie . Verwenden Sie kind:microsoftteams, um Chats, Besprechungen und Anrufe in Microsoft Teams zurückzugeben.
  • Beim Durchsuchen von Websites müssen Sie die nachgestellte / am Ende der URL hinzufügen, wenn Sie die path -Eigenschaft verwenden, um nur Elemente in einer angegebenen Website zurückzugeben. Wenn Sie die nachgestellten /nicht einschließen, werden auch Elemente von einer Website mit einem ähnlichen Pfadnamen zurückgegeben. Wenn Sie z. B. verwenden path:sites/HelloWorld , werden auch Elemente von Websites mit dem Namen sites/HelloWorld_East oder sites/HelloWorld_West zurückgegeben. Um Elemente nur von der HelloWorld-Website zurückzugeben, müssen Sie verwenden path:sites/HelloWorld/.
  • Die Abfragesprache Land/Region muss in Ihrer Suchabfrage definiert werden, bevor Inhalte gesammelt werden.
  • Beim Durchsuchen der Ordner Gesendet nach E-Mails wird die Verwendung der SMTP-Adresse für den Absender nicht unterstützt. Elemente im Ordner Gesendet enthalten nur Anzeigenamen.

Suchen von Inhalten in Exchange Online

Administratoren sind häufig damit beauftragt, herauszufinden, wer was wann wusste, auf die effizienteste und effektivste Weise, um auf Anfragen zu laufenden oder potenziellen Rechtsstreitigkeiten, internen Untersuchungen und anderen Szenarien zu reagieren. Diese Anforderungen sind häufig dringend, umfassen mehrere Stakeholderteams und haben erhebliche Auswirkungen, wenn sie nicht rechtzeitig abgeschlossen werden. Zu wissen, wie sie die richtigen Informationen finden, ist wichtig für Administratoren, um Suchvorgänge erfolgreich abzuschließen und ihren Organisationen dabei zu helfen, das Risiko und die Kosten im Zusammenhang mit den eDiscovery-Anforderungen zu verwalten.

Wenn eine eDiscovery-Anforderung übermittelt wird, stehen dem Administrator häufig nur teilweise Informationen zur Verfügung, um mit dem Sammeln von Inhalten zu beginnen, die sich möglicherweise auf eine bestimmte Untersuchung beziehen. Die Anforderung kann Mitarbeiternamen, Projekttitel, grobe Datumsbereiche zum Zeitpunkt der Aktiven des Projekts und nicht viel mehr enthalten. Anhand dieser Informationen muss der Administrator Abfragen erstellen, um relevante Inhalte in Microsoft 365-Diensten zu finden, um die informationen zu ermitteln, die für ein bestimmtes Projekt oder Thema erforderlich sind. Das Verständnis, wie Informationen für diese Dienste gespeichert und verwaltet werden, hilft Administratoren dabei, das, was sie benötigen, schnell und effektiv zu finden.

Email-, Chat-, Besprechungs- und Microsoft Copilot für Microsoft 365-Aktivitätsdaten (Benutzereingabeaufforderungen und Copilot-Antworten) werden alle in Exchange Online gespeichert. Viele Kommunikationseigenschaften sind für die Suche nach Elementen verfügbar, die in Exchange Online enthalten sind. Einige Eigenschaften wie From, Sent, Subject und To sind für bestimmte Elemente eindeutig und bei der Suche nach Dateien oder Dokumenten in SharePoint und OneDrive for Business nicht relevant. Das Einschließen dieser Typen von Eigenschaften bei der Suche über Workloads hinweg kann manchmal zu unerwarteten Ergebnissen führen.

Um z. B. Inhalte im Zusammenhang mit bestimmten Mitarbeitern (Benutzer 1 und Benutzer 2) zu finden, die einem Projekt mit dem Namen Tradewinds zugeordnet sind, und während Januar 2020 bis Januar 2022 können Sie eine Abfrage mit den folgenden Eigenschaften verwenden:

  • Fügen Sie dem Fall die Exchange Online Speicherorte von Benutzer 1 und Benutzer 2 als Datenquellen hinzu.
  • Wählen Sie Benutzer 1 und die Exchange Online Speicherorte von Benutzer 2 als Sammlungsspeicherorte aus.
  • Verwenden Sie für Das SchlüsselwortTradewinds.
  • Verwenden Sie für Datumsbereich den Bereich vom 1. Januar 2020 bis zum 31. Januar 2022 .

Wichtig

Bei E-Mails, wenn ein Schlüsselwort (keyword) verwendet wird, suchen wir nach Betreff, Text und vielen Eigenschaften, die sich auf die Teilnehmer beziehen. Aufgrund der Empfängererweiterung gibt die Suche jedoch möglicherweise keine erwarteten Ergebnisse zurück, wenn der Alias oder ein Teil des Alias verwendet wird. Daher wird empfohlen, den vollständigen UPN zu verwenden.

Durchsuchbare E-Mail-Eigenschaften

In der folgenden Tabelle sind die E-Mail-Nachrichteneigenschaften aufgeführt, die mithilfe der eDiscovery-Suchtools im Complianceportal oder mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch durchsucht werden können.

Wichtig

Während E-Mail-Nachrichten möglicherweise andere Eigenschaften aufweisen, die in anderen Microsoft 365-Diensten unterstützt werden, werden nur die in dieser Tabelle aufgeführten E-Mail-Eigenschaften in eDiscovery-Suchtools unterstützt. Der Versuch, andere E-Mail-Nachrichteneigenschaften in Suchvorgänge einzuschließen, wird nicht unterstützt.

Die Tabelle enthält ein Beispiel für die Property:value-Syntax für jede Eigenschaft und eine Beschreibung der von den Beispielen zurückgegebenen Suchergebnisse. Sie können diese property:value Paare in das Feld Schlüsselwörter für eine eDiscovery-Suche eingeben.

Hinweis

Beim Durchsuchen von E-Mail-Eigenschaften ist es nicht möglich, nach Nachrichtenkopfzeilen zu suchen. Headerinformationen sind für Auflistungen nicht indiziert. Darüber hinaus können Elemente, in denen die angegebene Eigenschaft leer oder leer ist, nicht durchsucht werden. Wenn Sie beispielsweise das property:value-Paar von subject:"" verwenden, um nach E-Mail-Nachrichten mit einer leeren Betreffzeile zu suchen, wird null Ergebnisse zurückgegeben. Dies gilt auch für die Suche nach Website- und Kontakteigenschaften.

Eigenschaft Beschreibung der Eigenschaft Beispiele Von den Beispielen zurückgegebene Suchergebnisse
AttachmentNames Die Namen der an eine E-Mail angefügten Dateien. attachmentnames:annualreport.ppt

attachmentnames:annual*

 Nachrichten mit einer angefügten Datei namensannualreport.ppt. Im zweiten Beispiel gibt die Verwendung des Platzhalterzeichens ( * ) Nachrichten mit dem Wort annual im Dateinamen einer Anlage zurück. 1
Bcc Das Bcc-Feld einer E-Mail-Nachricht. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

 Alle Beispiele geben Nachrichten mit Pilar Pinilla zurück, die im Feld Bcc enthalten sind.
(Siehe Empfängererweiterung)
Kategorie Die Kategorien, nach denen gesucht wird. Kategorien können von Benutzern mithilfe von Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) definiert werden. Die folgenden Werte sind möglich:
  • blau
  • grün
  • orange
  • violett
  • rot
  • gelb
 category:"Red Category" Nachrichten, denen die rote Kategorie in den Quellpostfächern zugewiesen wurde.
Cc Das Cc-Feld einer E-Mail-Nachricht. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

 In beiden Beispielen werden Nachrichten mit Pilar Pinilla im Feld Cc angegeben.
(Siehe Empfängererweiterung)
Folderid Die Ordner-ID (GUID) eines bestimmten Postfachordners im 48-Zeichen-Format. Wenn Sie diese Eigenschaft verwenden, müssen Sie das Postfach durchsuchen, in dem sich der angegebene Ordner befindet. Es wird nur der angegebene Ordner durchsucht. Alle Unterordner im Ordner werden nicht durchsucht. Zum Durchsuchen von Unterordnern müssen Sie die Folderid-Eigenschaft für den Zu durchsuchenden Unterordner verwenden.

Weitere Informationen zum Suchen nach der Folderid-Eigenschaft und zum Verwenden eines Skripts zum Abrufen der Ordner-IDs für ein bestimmtes Postfach finden Sie unter Verwenden der Inhaltssuche für gezielte Sammlungen.

 folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

 Im ersten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben. Im zweiten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben, die von garthf@contoso.comgesendet oder empfangen wurden.
Von Der Absender einer E-Mail-Nachricht.1 from:pilarp@contoso.com Vom angegebenen Benutzer gesendete Nachrichten.
(Siehe Empfängererweiterung)
HasAttachment Gibt an, ob eine Nachricht über eine Anlage verfügt. Verwenden Sie die Werte true oder false. from:pilar@contoso.com AND hasattachment:true Vom angegebenen Benutzer gesendete Nachrichten mit Anlagen.
Importance Die Wichtigkeit einer E-Mail-Nachricht, die ein Absender festlegen kann, wenn er eine Nachricht sendet. Standardmäßig werden Nachrichten mit normaler Wichtigkeit gesendet, außer wenn der Absender die Wichtigkeit auf Hoch oder Niedrig setzt. importance:high

importance:medium

importance:low

 Nachrichten, deren Wichtigkeit auf "Hoch", "Mittel" bzw. "Niedrig" eingestellt ist.
IsRead Gibt an, ob Nachrichten gelesen wurden. Verwenden Sie die Werte true oder false. isread:true

isread:false

 Im ersten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf True festgelegt ist. Im zweiten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf False festgelegt ist.
ItemClass Verwenden Sie diese Eigenschaft, um bestimmte Datentypen von Drittanbietern zu durchsuchen, die Ihre organization in Office 365 importiert haben. Verwenden Sie die folgende Syntax für diese Eigenschaft: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

 Im ersten Beispiel werden Facebook Elemente zurückgegeben, die das Wort "contoso" in der Subject-Eigenschaft enthalten. Das zweite Beispiel gibt Twitter-Elemente zurück, die von Ann Beebe gepostet wurden und die den Schlüsselwort (keyword) Ausdruck "Northwind Traders" enthalten.

Eine vollständige Liste der Werte, die für Datentypen von Drittanbietern für die ItemClass-Eigenschaft verwendet werden sollen, finden Sie unter Verwenden der Inhaltssuche zum Durchsuchen von Daten von Drittanbietern, die in Office 365 importiert wurden.
Art Der Typ der zu suchden E-Mail-Nachricht. Mögliche Werte:

contacts

docs

email

externaldata

faxes

im

journals

meetings

microsoftteams (gibt Elemente aus Chats, Besprechungen und Anrufen in Microsoft Teams zurück)

notes

posts

rssfeeds

tasks

voicemail

 kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

 Im ersten Beispiel werden E-Mail-Nachrichten zurückgegeben, die die Suchkriterien erfüllen. Das zweite Beispiel gibt E-Mail-Nachrichten, Chatunterhaltungen (einschließlich Skype for Business Unterhaltungen und Chats in Microsoft Teams) und Sprachnachrichten zurück, die die Suchkriterien erfüllen. Im dritten Beispiel werden Elemente zurückgegeben, die aus Datenquellen von Drittanbietern wie Twitter, Facebook und Cisco Jabber in Postfächer in Microsoft 365 importiert wurden, die die Suchkriterien erfüllen. Weitere Informationen finden Sie unter Archivieren von Drittanbieterdaten in Office 365.
Teilnehmer Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc.1 participants:garthf@contoso.com

participants:contoso.com

 Nachrichten, die von oder an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die von oder an einen Benutzer in der Domäne contoso.com gesendet wurden.
(Siehe Empfängererweiterung)
Auszahlung Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

 Nachrichten, die am 15. April 2021 empfangen wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die zwischen dem 1. Januar 2021 und dem 31. März 2021 empfangen wurden.
Empfänger Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

 Nachrichten, die an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden Nachrichten zurückgegeben, die an einen beliebigen Empfänger in der Domäne contoso.com geschickt wurden.
(Siehe Empfängererweiterung)
Gesendet Das Datum, an dem eine E-Mail vom Absender gesendet wurde. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

 Nachrichten, die am angegebenen Tag oder im angegebenen Datumsbereich gesendet wurden.
Größe Die Größe eines Elements in Byte. size>26214400

size:1..1048567

 Nachrichten mit mehr als 25 MB. Im zweiten Beispiel werden Nachrichten von 1 bis 1.048.567 Bytes (1 MB) zurückgegeben.
Betreff Der Text in der Betreffzeile einer E-Mail.

Hinweis: Wenn Sie die Subject-Eigenschaft in einer Abfrage verwenden, gibt die Suche alle Nachrichten zurück, in denen die Betreffzeile den gesuchten Text enthält. Anders ausgedrückt: Die Abfrage gibt nicht nur die Nachrichten zurück, die eine genaue Übereinstimmung aufweisen. Wenn Sie beispielsweise nach subject:"Quarterly Financials"suchen, enthalten Ihre Ergebnisse Nachrichten mit dem Betreff "Vierteljährliche Finanzen 2018".

 subject:"Quarterly Financials"

subject:northwind

 Nachrichten, die den Ausdruck "Vierteljährliche Finanzen" an einer beliebigen Stelle im Text der Betreffzeile enthalten. Im zweiten Beispiel werden alle Nachrichten mit dem Wort "northwind" in der Betreffzeile zurückgegeben.
An Das Feld „An" einer E-Mail-Nachricht.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

 In allen Beispielen wegen Nachrichten zurückgegeben, in deren Zeile "An" der Name "Ann Beebe" angegeben ist.

Hinweis

1 Für den Wert einer Empfängereigenschaft können Sie eine E-Mail-Adresse (auch als Benutzerprinzipalname oder UPN bezeichnet), Anzeigenamen oder Alias verwenden, um einen Benutzer anzugeben. Sie können beispielsweise , annb oder "Ann Beebe" verwenden annb@contoso.com, um den Benutzer Ann Beebe anzugeben.

Empfängererweiterung

Beim Durchsuchen einer der Empfängereigenschaften (From, To, Cc, Bcc, Participants und Recipients) versucht Microsoft 365, die Identität jedes Benutzers zu erweitern, indem er in Microsoft Entra ID nachschlagen wird. Wenn der Benutzer in Microsoft Entra ID gefunden wird, wird die Abfrage erweitert, um die E-Mail-Adresse (oder upN), den Alias, den Anzeigenamen und legacyExchangeDN des Benutzers einzuschließen. Beispielsweise wird eine Abfrage wie participants:ronnie@contoso.com auf participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"erweitert.

Um die Empfängererweiterung zu verhindern, fügen Sie am Ende der E-Mail-Adresse ein Karte Zeichen (Sternchen) hinzu, und verwenden Sie einen reduzierten Domänennamen. Achten Sie beispielsweise darauf, participants:"ronnie@contoso*" die E-Mail-Adresse in doppelte Anführungszeichen einzuschließen.

Beachten Sie jedoch, dass das Verhindern der Empfängererweiterung in der Suchabfrage dazu führen kann, dass relevante Elemente in den Suchergebnissen nicht zurückgegeben werden. Email Nachrichten in Exchange können in unterschiedlichen Textformaten in den Empfängerfeldern gespeichert werden. Die Empfängererweiterung soll dazu beitragen, diese Tatsache zu entschärfen, indem Nachrichten zurückgegeben werden, die möglicherweise unterschiedliche Textformate enthalten. Das Verhindern der Empfängererweiterung kann daher dazu führen, dass die Suchabfrage nicht alle Elemente zurückgibt, die für Ihre Untersuchung relevant sein könnten.

Hinweis

Wenn Sie die elemente überprüfen oder reduzieren müssen, die von einer Suchabfrage aufgrund der Empfängererweiterung zurückgegeben werden, sollten Sie die Verwendung von eDiscovery (Premium) in Betracht ziehen. Sie können nach Nachrichten suchen (indem Sie die Empfängererweiterung nutzen), sie einem Überprüfungssatz hinzufügen und dann Überprüfungssatzabfragen oder Filter verwenden, um die Ergebnisse zu überprüfen oder einzugrenzen. Weitere Informationen finden Sie unter Sammeln von Daten für einen Fall und Abfragen der Daten in einem Überprüfungssatz.

Suchen von Inhalten in SharePoint und OneDrive

Bei der Suche nach Dokumenten und Dateien, die sich in SharePoint oder OneDrive for Business befinden, kann es sinnvoll sein, den Abfrageansatz basierend auf den Metadaten für die relevanten Dokumente und Dateien anzupassen. Dateien und Dokumente verfügen über relevante Eigenschaften wie Author, Created, CreatedBy, FileName, LastModifiedTime und Title. Die meisten dieser Eigenschaften sind bei der Suche nach Kommunikationsinhalten in Exchange Online nicht relevant, und die Verwendung dieser Eigenschaften kann zu unerwarteten Ergebnissen führen, wenn sie sowohl in Dokumenten als auch in der Kommunikation verwendet werden. Darüber hinaus sind FileName und Title eines Dokuments möglicherweise nicht identisch, und die Verwendung eines oder eines anderen, um eine Datei mit bestimmten Inhalten zu finden, kann zu unterschiedlichen oder ungenauen Ergebnissen führen. Beachten Sie diese Eigenschaften bei der Suche nach bestimmten Dokument- und Dateiinhalten in SharePoint und OneDrive for Business.

Um z. B. Inhalte im Zusammenhang mit Dokumenten zu suchen, die von Benutzer 1 erstellt wurden, für ein Projekt mit dem Namen Tradewinds für bestimmte Dateien mit dem Namen Financials und von Januar 2020 bis Januar 2022 können Sie eine Abfrage mit den folgenden Eigenschaften verwenden:

  • Hinzufügen der OneDrive for Business Website von Benutzer 1 als Datenquellen zum Fall
  • Auswählen der OneDrive for Business Website von Benutzer 1 als Sammlungsspeicherort
  • Hinzufügen zusätzlicher SharePoint-Websitespeicherorte im Zusammenhang mit dem Projekt als Sammlungsspeicherorte
  • Verwenden Sie für FileNamedie Verwendung von Finanzdaten.
  • Verwenden Sie für Das SchlüsselwortTradewinds.
  • Verwenden Sie für Datumsbereich den Bereich vom 1. Januar 2020 bis zum 31. Januar 2022 .

Durchsuchbare Websiteeigenschaften

In der folgenden Tabelle sind die SharePoint- und OneDrive for Business Eigenschaften aufgeführt, die mithilfe der eDiscovery-Suchtools im Microsoft Purview-Complianceportal oder mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch durchsucht werden können.

Wichtig

Dokumente und Dateien, die in SharePoint und OneDrive for Business gespeichert sind, verfügen möglicherweise über andere Eigenschaften, die in anderen Microsoft 365-Diensten unterstützt werden, aber nur die in dieser Tabelle aufgeführten Dokument- und Dateieigenschaften werden in eDiscovery-Suchtools unterstützt. Der Versuch, andere Dokument- oder Dateieigenschaften in Suchvorgänge einzuschließen, wird nicht unterstützt.

Die Tabelle enthält ein Beispiel für die property:value-Syntax für jede Eigenschaft und eine Beschreibung der für jedes Beispiel zurückgegebenen Suchergebnisse.

Eigenschaft Beschreibung der Eigenschaft Beispiel Von den Beispielen zurückgegebene Suchergebnisse
Ursprung Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. author:"Garth Fort" Alle Dokumente, die von Garth Fort erstellt wurden.
ContentType Der SharePoint-Inhaltstyp eines Elements, z. B. Element, Dokument oder Video. contenttype:document Alle Dokumente würden zurückgegeben.
Erstellt Das Datum, an dem ein Element erstellt wird. created>=2021-06-01 Alle Elemente, die am oder nach dem 1. Juni 2021 erstellt wurden.
CreatedBy Die Person, die ein Element erstellt oder hochgeladen hat. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. createdby:"Garth Fort" Alle Elemente, die von Garth Fort erstellt oder hochgeladen wurden.
DetectedLanguage Die Sprache eines Elements. detectedlanguage:english Alle Elemente in Englisch.
DocumentLink Der Pfad (URL) eines bestimmten Ordners auf einer SharePoint- oder OneDrive for Business-Website. Wenn Sie diese Eigenschaft verwenden, stellen Sie sicher, dass Sie die Website durchsuchen, in der sich der angegebene Ordner befindet. Es wird empfohlen, diese Eigenschaft anstelle der Eigenschaften Site und Path zu verwenden.

Um Elemente zurückzugeben, die sich in Unterordnern des Ordners befinden, den Sie für die documentlink-Eigenschaft angeben, müssen Sie der URL des angegebenen Ordners /* hinzufügen. Zum Beispiel documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Weitere Informationen zum Suchen nach der documentlink-Eigenschaft und zum Verwenden eines Skripts zum Abrufen der Documentlink-URLs für Ordner auf einer bestimmten Website finden Sie unter Verwenden der Inhaltssuche für gezielte Sammlungen.

 documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

 Im ersten Beispiel werden alle Elemente im angegebenen OneDrive for Business Ordner zurückgegeben. Im zweiten Beispiel werden Dokumente im angegebenen Websiteordner (und in allen Unterordnern) zurückgegeben, die das Wort "confidential" im Dateinamen enthalten.
Fileextension Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. fileextension:xlsx Alle Excel-Dateien (Excel 2007 und höher)
FileName Der Name einer Datei. filename:"marketing plan"

filename:estimate

 Im ersten Beispiel werden Dateien mit dem genauen Ausdruck "Marketingplan" im Titel zurückgegeben. Im zweiten Beispiel werden Dateien mit dem Wort "estimate" im Dateinamen zurückgegeben.
LastModifiedTime Das Datum, an dem ein Element zuletzt geändert wurde. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

 Im ersten Beispiel werden Elemente zurückgegeben, die am oder nach dem 1. Mai 2021 geändert wurden. Im zweiten Beispiel werden Elemente zurückgegeben, die zwischen dem 1. Mai 2021 und dem 1. Juni 2021 geändert wurden.
ModifiedBy Die Person, die ein Element zuletzt geändert hat. Achten Sie darauf, den Anzeigenamen des Benutzers für diese Eigenschaft zu verwenden. modifiedby:"Garth Fort" Alle Elemente, die zuletzt von Garth Fort geändert wurden.
SharedWithUsersOWSUser Dokumente, die für den angegebenen Benutzer freigegeben und auf der Seite Für mich freigegeben auf der OneDrive for Business Website des Benutzers angezeigt wurden. Dies sind Dokumente, die von anderen Personen in Ihrem organization explizit für den angegebenen Benutzer freigegeben wurden. Wenn Sie Dokumente exportieren, die einer Suchabfrage entsprechen, die die SharedWithUsersOWSUser-Eigenschaft verwendet, werden die Dokumente aus dem ursprünglichen Inhaltsspeicherort der Person exportiert, die das Dokument für den angegebenen Benutzer freigegeben hat. Weitere Informationen finden Sie unter Suchen nach Websiteinhalten, die in Ihrem organization freigegeben wurden. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

 Beide Beispiele geben alle internen Dokumente zurück, die explizit mit Garth Fort geteilt wurden und auf der Seite Für mich freigegeben im OneDrive for Business-Konto von Garth Fort angezeigt werden.
Größe Die Größe eines Elements in Byte. size>=1

size:1..10000

 Im ersten Beispiel werden Elemente zurückgegeben, die größer als 1 Byte sind. Im zweiten Beispiel werden Elemente zwischen 1 und 10.000 Bytes zurückgegeben.
Titel Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Microsoft Office-Dokumenten angegeben werden. Er unterscheidet sich vom Dateinamen des Dokuments. title:"communication plan" Jedes Dokument, das den Ausdruck "Kommunikationsplan" in der Title-Metadateneigenschaft eines Office-Dokuments enthält.

Durchsuchbare Kontakteigenschaften

In der folgenden Tabelle sind die Kontakteigenschaften aufgeführt, die indiziert sind und nach denen Sie mithilfe der eDiscovery-Suchtools suchen können. Dies sind die Eigenschaften, die Benutzern zur Verfügung stehen, um die Kontakte (auch als persönliche Kontakte bezeichnet) zu konfigurieren, die sich im persönlichen Adressbuch des Postfachs eines Benutzers befinden. Um nach Kontakten zu suchen, können Sie die zu durchsuchenden Postfächer auswählen und dann eine oder mehrere Kontakteigenschaften in der Schlüsselwort (keyword) Abfrage verwenden.

Tipp

Wenn Sie nach Werten suchen möchten, die Leerzeichen oder Sonderzeichen enthalten, verwenden Sie doppelte Anführungszeichen (" "), um den Ausdruck zu enthalten. Beispiel: businessaddress:"123 Main Street".

Eigenschaft Beschreibung der Eigenschaft
BusinessAddress Die Adresse in der Eigenschaft Geschäftsadresse . Die Eigenschaft wird auch als Arbeitsadresse auf der Seite mit den Kontakteigenschaften bezeichnet.
BusinessPhone Die Telefonnummer in einer der Eigenschaften von Geschäftstelefonnummern .
CompanyName Der Name in der Company-Eigenschaft .
Department Der Name in der Department-Eigenschaft .
DisplayName Der Anzeigename des Kontakts. Dies ist der Name in der Eigenschaft Vollständiger Name des Kontakts.
EmailAddress Die Adresse für eine beliebige E-Mail-Adresseigenschaft für den Kontakt. Benutzer können mehrere E-Mail-Adressen für einen Kontakt hinzufügen. Die Verwendung dieser Eigenschaft würde Kontakte zurückgeben, die mit einer der E-Mail-Adressen des Kontakts übereinstimmen.
FileAs Die Datei als - Eigenschaft. Diese Eigenschaft wird verwendet, um anzugeben, wie der Kontakt in der Kontaktliste des Benutzers aufgeführt wird. Beispielsweise kann ein Kontakt als FirstName, LastName oder LastName,FirstName aufgeführt werden.
GivenName Der Name in der Eigenschaft Vorname .
HomeAddress Die Adresse in einer der Home-Adresseigenschaften .
HomePhone Die Telefonnummer in einer der Eigenschaften der Home-Telefonnummer .
IMAddress Die Chatadresseneigenschaft, bei der es sich in der Regel um eine E-Mail-Adresse handelt, die für Chatnachrichten verwendet wird.
MiddleName Der Name in der Eigenschaft "Middle name".
MobilePhone Die Telefonnummer in der Eigenschaft Mobiltelefonnummer .
Spitzname Der Name in der Nickname-Eigenschaft .
OfficeLocation Der Wert in der Office- oder Office-Standorteigenschaft .
OtherAddress Der Wert für die Eigenschaft Other address.
Nachname Der Name in der Eigenschaft Nachname .
Titel Der Titel in der Eigenschaft "Job title ".

Suchoperatoren

Boolesche Suchoperatoren wie AND, OR und NOT helfen Ihnen, präzisere Suchvorgänge zu definieren, indem sie bestimmte Wörter in die Suchabfrage ein- oder ausschließen. Andere Techniken, z. B. die Verwendung von Eigenschaftenoperatoren (z >= . B. oder ..), Anführungszeichen, Klammern und Wildcards, helfen Ihnen, eine Suchabfrage zu verfeinern. In der folgenden Tabelle sind die Operatoren aufgeführt, die Sie zum Einschränken oder Erweitern von Suchergebnissen verwenden können.

Operator Verwendung Beschreibung
UND Wort1 AND Wort2 Gibt Elemente zurück, die alle angegebenen Schlüsselwörter oder property:value Ausdrücke enthalten. Würde beispielsweise alle von Ann Beebe gesendeten Nachrichten zurückgeben, from:"Ann Beebe" AND subject:northwind die das Wort northwind in der Betreffzeile enthielten. 2
+ Schlüsselwort1 + Schlüsselwort2 + Schlüsselwort3 Gibt Elemente zurück, die entwederkeyword2 oder keyword3 enthalten und die ebenfalls enthaltenkeyword1. Daher entspricht dieses Beispiel der Abfrage (keyword2 OR keyword3) AND keyword1.

Die Abfrage keyword1 + keyword2 (mit einem Leerzeichen hinter dem + Symbol) ist nicht identisch mit der Verwendung des AND-Operators . Diese Abfrage entspricht "keyword1 + keyword2" und gibt Elemente mit der genauen Phase "keyword1 + keyword2"zurück.
ODER Wort1 OR Wort2 Gibt Elemente zurück, die mindestens eins der angegebenen Schlüsselwörter oder property:value Ausdrücke enthalten. 2
NOT Wort1 NOT Wort2

NOT Von:"Ann Beebe"

NOT kind:im

 Schließt elemente aus, die von einem Schlüsselwort (keyword) oder einem property:value Ausdruck angegeben werden. Im zweiten Beispiel werden von Ann Beebe gesendete Nachrichten ausgeschlossen. Im dritten Beispiel werden alle Chatunterhaltungen ausgeschlossen, z. B. Skype for Business Unterhaltungen, die im Postfachordner Unterhaltungsverlauf gespeichert werden. 2
NEAR Wort1 NEAR(n) Wort2 Gibt Elemente mit Wörtern zurück, die sich nahe beieinander befinden. In der Syntax keyword1 NEAR(n) keyword2 entspricht n der Anzahl der Wörter einschließlich keyword1 und keyword2. Um z. B. Instanzen zu identifizieren, in denen der Begriff "best " innerhalb von drei Wörtern mit dem schlechtesten ist (Beispielsatz", "Das Beste ist das Gegenteil von dem schlechtesten") ist, verwenden Sie die beste NEAR(5) schlechteste. Dadurch werden alle Elemente zurückgegeben, bei denen drei oder weniger Wörter zwischen dem besten (Schlüsselwort1) und dem schlechtesten Wort (keyword2) liegen. Die Angabe von 5 im Syntaxbeispiel enthält die 2 Schlüsselwörter, und der Unterschied zwischen drei Wörtern ist die NEAR-Spanne. Wenn keine Zahl angegeben ist, ist der Standardwert n 8. 2
: Eigenschaftswert Der Doppelpunkt (:) in der property:value Syntax gibt an, dass der Wert der gesuchten Eigenschaft den angegebenen Wert enthält. Gibt beispielsweise recipients:garthf@contoso.com jede an gesendete Nachricht zurück garthf@contoso.com.
= Eigenschaft=Wert Identisch mit dem : Operator.
< Eigenschaft<Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner ist als der angegebene Wert. 1
> Eigenschaft>Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer ist als der angegebene Wert.1
<= Eigenschaft<=Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner gleich dem angegebenen Wert ist.1
>= Eigenschaft>=Wert Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich dem angegebenen Wert ist.1
.. property:value1.. Value2 Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich Wert1 und kleiner gleich Wert2 ist.1
" " "fair Value"

Betreff: „Vierteljährliche Finanzdaten“

 Verwenden Sie in einer Schlüsselwort (keyword) Abfrage (in der Sie das property:value Paar in das Feld Schlüsselwort eingeben) doppelte Anführungszeichen (" "), um nach einem genauen Ausdruck oder Begriff zu suchen. Wenn Sie jedoch die SuchbedingungBetreff oder Betreff/Titel verwenden, fügen Sie dem Wert keine doppelten Anführungszeichen hinzu, da bei Verwendung dieser Suchbedingungen automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
* Katze*

subject:set*

 Präfixsuchen (auch als Präfixabgleich bezeichnet), bei denen ein Platzhalterzeichen ( * ) in Schlüsselwörtern oder property:value Abfragen am Ende eines Worts platziert wird. Bei Präfixsuchen gibt die Suche Ergebnisse mit Begriffen zurück, die das Wort gefolgt von null oder mehr Zeichen enthalten. Beispielsweise gibt Dokumente zurück, title:set* die das Wort "set", "setup" und "setting" (und andere Wörter, die mit "set" beginnen) im Dokumenttitel enthalten.

Hinweis: Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.

Außerdem ändert das Hinzufügen eines Punkts ( . ) zu einer Präfixsuche die zurückgegebenen Ergebnisse. Das liegt daran, dass ein Punkt als Stoppwort behandelt wird. Wenn Sie z. B. nach cat* suchen und nach cat.* suchen, werden unterschiedliche Ergebnisse zurückgegeben. Es wird empfohlen, keinen Punkt in einer Präfixsuche zu verwenden.
( ) (fair OR frei) AND (Von:contoso.com)

(IPO OR Initiale) AND (Aktien OR Anteile)

(Vierteljährliche Finanzdaten)

 Klammern gruppieren boolesche Ausdrücke, property:value Elemente und Schlüsselwörter. Gibt z. B. Elemente zurück, (quarterly financials) die die Wörter vierteljährlich und finanzwert enthalten.

Hinweis

1 Verwenden Sie diesen Operator für Eigenschaften mit Datums- oder numerischen Werten.
2 Boolesche Suchoperatoren müssen Großbuchstaben enthalten; z. B. AND. Wenn Sie einen Kleinbuchstabenoperator wie und verwenden, wird dieser in der Suchabfrage als Schlüsselwort (keyword) behandelt.

Suchbedingungen

Sie können einer Suchabfrage Bedingungen hinzufügen, um eine Suche einzugrenzen und einen optimierteren Satz von Ergebnissen zurückzugeben. Jede Bedingung fügt eine Klausel zu der KQL-Suchabfrage hinzu, die beim Starten der Suche erstellt und ausgeführt wird.

Bedingungen für allgemeine Eigenschaften

Erstellen Sie eine Bedingung mit allgemeinen Eigenschaften, wenn Sie Postfächer und Websites in derselben Suche durchsuchen. In der folgenden Tabelle sind die verfügbaren Eigenschaften aufgeführt, die beim Hinzufügen einer Bedingung verwendet werden sollen.

Bedingung Beschreibung
Datum Bei E-Mails das Datum, an dem eine Nachricht erstellt oder aus einer PST-Datei importiert wurde. Bei Dokumenten das Datum, an dem ein Dokument zuletzt geändert wurde.

Wenn Sie für einen bestimmten Zeitraum nach E-Mail-Nachrichten suchen, sollten Sie die Bedingungen Empfangene Nachricht und Gesendet verwenden, wenn Sie nicht sicher sind, ob die E-Mail-Nachrichten importiert wurden, anstatt in Exchange nativ erstellt zu werden.
Absender/Autor Bei E-Mails: Die Person, die eine Nachricht gesendet hat. Bei Dokumenten die im Feld "Autor" angegebene Person aus Office-Dokumenten. Sie können mehrere Namen eingeben, getrennt durch Kommas. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.
(Siehe Empfängererweiterung)
Größe (in Bytes) Sowohl bei E-Mails als auch bei Dokumenten die Größe des Elements (in Bytes).
Betreff/Titel Bei E-Mails: Der Text in der Betreffzeile einer Nachricht. Bei Dokumenten der Titel des Dokuments. Wie bereits erläutert, handelt es sich bei der Title-Eigenschaft um Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Sie können den Namen mehrerer Betreff-/Titelwerte durch Kommas getrennt eingeben. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
Aufbewahrungsbezeichnung Sowohl für E-Mails als auch für Dokumente aufbewahrungsbezeichnungen, die automatisch oder manuell auf Nachrichten und Dokumente angewendet werden können. Aufbewahrungsbezeichnungen können verwendet werden, um Datensätze zu deklarieren und Ihnen bei der Verwaltung des Datenlebenszyklus von Inhalten zu helfen, indem Aufbewahrungs- und Löschregeln erzwungen werden, die durch die Bezeichnung angegeben werden. Sie können einen Teil des Aufbewahrungsbezeichnungsnamens eingeben und einen Wildcard verwenden oder den vollständigen Bezeichnungsnamen eingeben. Weitere Informationen zu Aufbewahrungsbezeichnungen finden Sie unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.

Bedingungen für E-Mail-Eigenschaften

Erstellen Sie eine Bedingung mithilfe von E-Mail-Eigenschaften beim Durchsuchen von Postfächern oder öffentlichen Ordnern in Exchange Online. In der folgenden Tabelle sind die E-Mail-Eigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen E-Mail-Eigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Nachrichtenart Der Nachrichtentyp, nach dem gesucht wird. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Art“. Mögliche Werte:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Teilnehmer Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc. (Siehe Empfängererweiterung)
Typ Die Nachrichtenklasseneigenschaft für ein E-Mail-Element. Dies ist dieselbe Eigenschaft wie die ItemClass-E-Mail-Eigenschaft. Es handelt sich auch um eine mehrwertige Bedingung. Wenn Sie also mehrere Nachrichtenklassen auswählen möchten, halten Sie die STRG-TASTE gedrückt, und wählen Sie dann zwei oder mehr Nachrichtenklassen in der Dropdownliste aus, die Sie der Bedingung hinzufügen möchten. Jede Nachrichtenklasse, die Sie in der Liste auswählen, wird durch den OR-Operator in der entsprechenden Suchabfrage logisch verbunden.

Eine Liste der Nachrichtenklassen (und deren entsprechende Nachrichtenklassen-ID), die von Exchange verwendet werden und die Sie in der Nachrichtenklassenliste auswählen können, finden Sie unter Elementtypen und Nachrichtenklassen.
Auszahlung Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Empfangen“.
Empfänger Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc. (Siehe Empfängererweiterung)
Absender Der Absender einer E-Mail-Nachricht.
Gesendet Das Datum, an dem eine E-Mail vom Absender gesendet wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Gesendet“.
Betreff Der Text in der Betreffzeile einer E-Mail.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
An Der Empfänger einer E-Mail-Nachricht im Feld An.

Bedingungen für Dokumenteigenschaften

Erstellen Sie eine Bedingung mithilfe von Dokumenteigenschaften, wenn Sie auf SharePoint- und OneDrive for Business-Websites nach Dokumenten suchen. In der folgenden Tabelle sind die Dokumenteigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen Standorteigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Ursprung Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei.
Titel Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Office-Dokumenten angegeben sind. Er unterscheidet sich vom Dateinamen des Dokuments.
Erstellt Das Datum, an dem ein Dokument erstellt wird.
Zuletzt geändert Das Datum, an dem ein Dokument zuletzt geändert wurde.
Dateityp Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. Dies ist dieselbe Eigenschaft wie die FileExtension-Websiteeigenschaft.

Hinweis: Wenn Sie eine Dateitypbedingung mit dem Operator Equals oder Equals any von in eine Suchabfrage einschließen, können Sie keine Präfixsuche (durch Einschließen des Wildcardzeichens ( * ) am Ende des Dateityps) verwenden, um alle Versionen eines Dateityps zurückzugeben. Wenn Sie dies tun, wird der Wildcard ignoriert. Wenn Sie beispielsweise die Bedingung Equals any of doc*einschließen, werden nur Dateien mit der Erweiterung zurückgegeben .doc . Dateien mit der Erweiterung werden .docx nicht zurückgegeben. Um alle Versionen eines Dateityps zurückzugeben, wurde das Eigenschaft:Wert-Paar in einer Schlüsselwort (keyword) Abfrage verwendet, filetype:doc*z. B. .

Mit Bedingungen verwendete Operatoren

Beim Hinzufügen einer Bedingung können Sie einen Operator auswählen, der für den Typ der Eigenschaft für die Bedingung relevant ist. Die folgende Tabelle enthält die mit Bedingungen verwendeten Operatoren und die dazugehörigen Entsprechungen, die in der Suchabfrage verwendet werden.

Operator Entsprechung in der Abfrage Beschreibung
Nach property>date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die nach dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Vor property<date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die vor dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Between date..date Wird mit Datums- und Größenbedingungen verwendet. Bei Verwendung mit einer Datumsbedingung werden Elemente zurückgegeben, die innerhalb des angegebenen Datumsbereichs gesendet, empfangen oder geändert wurden. Bei Verwendung mit einer Größenbedingung werden Elemente zurückgegeben, deren Größe innerhalb des angegebenen Bereichs liegt.
Contains any of (property:value) OR (property:value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die mindestens einen Teil der angegebenen Zeichenfolgenwerte enthalten.
Doesn't contain any of -property:value

NOT property:value

 Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die keinen Teil des angegebenen Zeichenfolgenwerts enthalten.
Doesn't equal any of -property=value

NOT property=value

 Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die die angegebene Zeichenfolge nicht enthalten.
Gleich size=value Gibt Elemente zurück, die der angegebenen Größe entsprechen. 1
Equals any of (property=value) OR (property=value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die eine Übereinstimmung mit einem oder mehreren angegebenen Zeichenfolgenwerten sind.
Größer size>value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer als der angegebene Wert ist. 1
Greater or equal size>=value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer oder gleich dem angegebenen Wert ist. 1
Weniger size<value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Less or equal size<=value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Not equal size<>value Gibt Elemente zurück, die nicht der angegebenen Größe entsprechen. 1

Hinweis

1 Dieser Operator ist nur für Bedingungen verfügbar, die die Size-Eigenschaft verwenden.

Richtlinien für die Verwendung von Bedingungen

Beachten Sie Folgendes bei der Verwendung von Suchbedingungen:

  • Eine Bedingung ist logisch mit der Schlüsselwortabfrage (im Feld „Schlüsselwort“ angegeben) durch den AND-Operator verknüpft. Dies bedeutet, dass Elemente sowohl die Schlüsselwortabfrage als auch die Bedingung erfüllen muss, damit sie in die Suchergebnisse aufgenommen werden. Auf diese Weise können die Suchergebnisse mithilfe von Bedingungen weiter eingegrenzt werden.

  • Wenn Sie zwei oder mehr eindeutige Bedingungen (Bedingungen, die unterschiedliche Eigenschaften angeben) zu einer Suchabfrage hinzufügen, werden diese Suchkriterien mit dem AND-Operator logisch verknüpft. Das bedeutet, dass nur Elemente zurückgegeben werden, die neben der Schlüsselwortabfrage allen Bedingungen entsprechen.

  • Wenn Sie mehr als eine Bedingung für die gleiche Eigenschaft hinzufügen, werden diese Bedingungen mit dem OR-Operator logisch verknüpft. Das bedeutet, dass Elemente zurückgegeben werden, die der Schlüsselwortabfrage entsprechen und eine der Bedingungen erfüllen. Bedingungen, die sich auf die gleichen Eigenschaften beziehen, werden mit dem OR-Operator und die eindeutigen Bedingungen werden mit dem AND-Operator miteinander verknüpft.

  • Wenn Sie mehrere Werte (durch Kommas oder Semikolons getrennt) zu einer Bedingung hinzufügen, werden diese Werte mit dem OR-Operator verknüpft. Das bedeutet, es werden Elemente zurückgegeben, die einen der angegebenen Werte für die Eigenschaft in der Bedingung enthalten.

  • Jede Bedingung, die einen Operator mit der Logik Contains und Equals verwendet, gibt ähnliche Suchergebnisse für einfache Zeichenfolgensuchen zurück. Eine einfache Zeichenfolgensuche ist eine Zeichenfolge in der Bedingung, die keinen Wildcard enthält. Beispielsweise gibt eine Bedingung, die Equals any von verwendet, die gleichen Elemente wie eine Bedingung zurück, die Contains any von verwendet.

  • Die Suchabfrage, die mithilfe des Felds und der Bedingungen für Schlüsselwörter erstellt wird, wird auf der Seite Suchen im Detailbereich für die ausgewählte Suche angezeigt. In einer Abfrage gibt alles rechts neben der Notation (c:c) Bedingungen an, die der Abfrage hinzugefügt werden. (c:c) sollte nicht in manuell eingeteilten Abfragen verwendet werden und ist nicht gleich AND oder OR.

  • Bedingungen fügen der Suchabfrage nur Eigenschaften hinzu. Sie fügen keine Operatoren hinzu. Aus diesem Grund zeigt die im Detailbereich angezeigte Abfrage keine Operatoren rechts neben der (c:c) Notation an. KQL fügt die logischen Operatoren (entsprechend den bereits erläuterten Regeln) beim Ausführen der Abfrage hinzu.

  • Sie können das Drag-and-Drop-Steuerelement verwenden, um die Reihenfolge der Bedingungen zu ändern. Wählen Sie das Steuerelement für eine Bedingung aus, und verschieben Sie es nach oben oder unten.

  • Wie bereits erläutert, ermöglichen einige Bedingungseigenschaften das Eingeben mehrerer Werte (durch Semikolons getrennt). Jeder Wert ist durch den OR-Operator logisch verbunden und führt zu der Abfrage (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). Die folgende Abbildung zeigt ein Beispiel für eine Bedingung mit mehreren Werten.

    Eine Bedingung mit mehreren Werten.

    Hinweis

    Sie können nicht mehrere Bedingungen hinzufügen (indem Sie Bedingung für dieselbe Eigenschaft hinzufügen auswählen). Stattdessen müssen Sie mehrere Werte für die Bedingung angeben (durch Semikolons getrennt), wie im vorherigen Beispiel gezeigt.

Beispiele

Die folgenden Beispiele zeigen die GUI-basierte Version einer Suchabfrage mit Bedingungen, die Im Detailbereich der ausgewählten Suche angezeigte Suchabfragesyntax (die auch vom Cmdlet Get-ComplianceSearch zurückgegeben wird) und die Logik der entsprechenden KQL-Abfrage.

Beispiel 1

In diesem Beispiel werden E-Mail-Elemente oder -Dokumente zurückgegeben, die die Schlüsselwort (keyword) "Report" enthalten, die vor dem 1. April 2021 gesendet oder erstellt wurden und die das Wort "northwind" im Betrefffeld von E-Mail-Nachrichten oder in der title-Eigenschaft von Dokumenten enthalten. Die Abfrage schließt Webseiten aus, die die anderen Suchkriterien erfüllen.

GUI:

Zweites Beispiel für Suchbedingungen.

Suchabfragesyntax:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Suchabfragelogik:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Beispiel 2

In diesem Beispiel werden E-Mail-Nachrichten oder Kalenderbesprechungen zurückgegeben, die zwischen dem 1. Dezember 2019 und dem 30. November 2020 gesendet wurden und Wörter enthalten, die mit "Telefon" oder "Smartphone" beginnen.

GUI:

Drittes Beispiel für Suchbedingungen.

Suchabfragesyntax:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Suchabfragelogik:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Sonderzeichen

Einige Sonderzeichen sind nicht im Suchindex enthalten und daher nicht durchsuchbar. Dies schließt auch die Sonderzeichen ein, die Suchoperatoren in der Suchabfrage darstellen. Hier finden Sie eine Liste von Sonderzeichen, die entweder durch ein Leerzeichen in der tatsächlichen Suchabfrage ersetzt werden oder einen Suchfehler verursachen.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Durchsuchbare vertrauliche Datentypen

Sie können eDiscovery-Suchtools im Complianceportal verwenden, um nach vertraulichen Daten wie Kredit- Karte nummern oder Sozialversicherungsnummern zu suchen, die in Dokumenten auf SharePoint- und OneDrive for Business-Websites gespeichert sind. Dazu können Sie die SensitiveType -Eigenschaft und den Namen (oder die ID) eines vertraulichen Informationstyps in einer Schlüsselwort (keyword) Abfrage verwenden. Die Abfrage SensitiveType:"Credit Card Number" gibt z. B. Dokumente zurück, die eine Gutschrift Karte Nummer enthalten. Die Abfrage SensitiveType:"U.S. Social Security Number (SSN)" gibt Dokumente zurück, die eine US-Sozialversicherungsnummer enthalten.

Eine Liste der Typen vertraulicher Informationen, nach denen Sie suchen können, finden Sie im Complianceportal unter Datenklassifizierungen>Vertrauliche Informationstypen . Alternativ können Sie das Cmdlet Get-DlpSensitiveInformationType in Security & Compliance PowerShell verwenden, um eine Liste vertraulicher Informationstypen anzuzeigen.

Einschränkungen bei der Suche nach vertraulichen Datentypen

  • Um nach benutzerdefinierten Typen vertraulicher Informationen zu suchen, müssen Sie die ID des Typs vertraulicher Informationen in der SensitiveType -Eigenschaft angeben. Die Verwendung des Namens eines benutzerdefinierten vertraulichen Informationstyps (wie im Beispiel für integrierte Typen vertraulicher Informationen im vorherigen Abschnitt gezeigt) gibt keine Ergebnisse zurück. Verwenden Sie die Spalte Verleger auf der Seite Typen vertraulicher Informationen im Complianceportal (oder die Publisher-Eigenschaft in PowerShell), um zwischen integrierten und benutzerdefinierten Typen vertraulicher Informationen zu unterscheiden. Integrierte vertrauliche Datentypen weisen den Wert für Microsoft Corporation die Publisher-Eigenschaft auf.

    Führen Sie den folgenden Befehl in Security & Compliance PowerShell aus, um den Namen und die ID für die benutzerdefinierten vertraulichen Datentypen in Ihrem organization anzuzeigen:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id

    Anschließend können Sie die ID in der SensitiveType Sucheigenschaft verwenden, um Dokumente zurückzugeben, die den benutzerdefinierten vertraulichen Datentyp enthalten. Beispiel: SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Sie können keine Typen vertraulicher Informationen und die SensitiveType Sucheigenschaft verwenden, um in Exchange Online Postfächern nach vertraulichen Daten zu suchen. Dies umfasst 1:1-Chatnachrichten, 1:N-Gruppenchatnachrichten und Teamkanalunterhaltungen in Microsoft Teams, da alle diese Inhalte in Postfächern gespeichert werden. Sie können jedoch Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) verwenden, um vertrauliche E-Mail-Daten während der Übertragung zu schützen. Weitere Informationen finden Sie unter Informationen zur Verhinderung von Datenverlust und Suchen nach und Suchen nach personenbezogenen Daten.

Suchen nach Websiteinhalten, die für externe Benutzer freigegeben sind

Sie können auch eDiscovery-Suchtools im Complianceportal verwenden, um nach Dokumenten zu suchen, die auf SharePoint gespeichert sind, und OneDrive for Business Websites, die für Personen außerhalb Ihrer organization freigegeben wurden. Dies kann Ihnen helfen, vertrauliche oder proprietäre Informationen zu identifizieren, die außerhalb Ihrer organization freigegeben werden. Dazu können Sie die ViewableByExternalUsers -Eigenschaft in einer Schlüsselwort (keyword) Abfrage verwenden. Diese Eigenschaft gibt Dokumente oder Websites zurück, die mit einer der folgenden Freigabemethoden für externe Benutzer freigegeben wurden:

  • Eine Freigabe-Einladung, bei der sich Benutzer bei Ihrem organization als authentifizierter Benutzer anmelden müssen.
  • Ein anonymer Gastlink, über den jeder Benutzer mit diesem Link auf die Ressource zugreifen kann, ohne authentifiziert werden zu müssen.

Hier sind einige Beispiele:

  • Die Abfrage ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" gibt alle Elemente zurück, die für Personen außerhalb Ihres organization freigegeben wurden und eine Gutschrift Karte Nummer enthalten.
  • Die Abfrage ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" gibt eine Liste der Dokumente auf allen Teamwebsites im organization zurück, die für externe Benutzer freigegeben wurden.

Tipp

Eine Suchabfrage wie ViewableByExternalUsers:true AND ContentType:document kann viele .aspx Dateien in den Suchergebnissen zurückgeben. Um diese (oder andere Dateitypen) zu beseitigen, können Sie die FileExtension -Eigenschaft verwenden, um bestimmte Dateitypen auszuschließen, z. B ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx. .

Was gilt als Inhalt, der für Personen außerhalb Ihrer organization freigegeben wird? Dokumente in Den SharePoint- und OneDrive for Business Websites Ihres organization, die durch Senden einer Freigabeaufladung freigegeben werden oder die an öffentlichen Speicherorten freigegeben sind. Die folgenden Benutzeraktivitäten führen beispielsweise zu Inhalten, die von externen Benutzern angezeigt werden können:

  • Ein Benutzer gibt eine Datei oder einen Ordner für eine Person außerhalb Ihrer organization.
  • Ein Benutzer erstellt und sendet einen Link zu einer freigegebenen Datei an eine Person außerhalb Ihrer organization. Über diesen Link kann der externe Benutzer die Datei anzeigen (oder bearbeiten).
  • Ein Benutzer sendet eine Freigabe-Einladung oder einen Gastlink an eine Person außerhalb Ihres organization, um eine freigegebene Datei anzuzeigen (oder zu bearbeiten).

Probleme bei der Verwendung der ViewableByExternalUsers-Eigenschaft

Während die ViewableByExternalUsers -Eigenschaft die status darstellt, ob ein Dokument oder eine Website für externe Benutzer freigegeben wird, gibt es einige Einschränkungen hinsichtlich der Funktionsweise dieser Eigenschaft und nicht. In den folgenden Szenarien wird der Wert der ViewableByExternalUsers Eigenschaft nicht aktualisiert, und die Ergebnisse einer Suchabfrage, die diese Eigenschaft verwendet, sind möglicherweise ungenau.

  • Änderungen an der Freigaberichtlinie, z. B. das Deaktivieren der externen Freigabe für eine Website oder für die organization. Die -Eigenschaft zeigt weiterhin an, dass zuvor freigegebene Dokumente extern zugänglich sind, obwohl der externe Zugriff möglicherweise widerrufen wurde.
  • Änderungen an der Gruppenmitgliedschaft, z. B. das Hinzufügen oder Entfernen externer Benutzer zu Microsoft 365-Gruppen oder Microsoft 365-Sicherheitsgruppen. Die -Eigenschaft wird nicht automatisch für Elemente aktualisiert, auf die die Gruppe Zugriff hat.
  • Senden von Freigabe-Einladungen an externe Benutzer, bei denen der Empfänger die Einladung nicht angenommen hat und daher noch keinen Zugriff auf den Inhalt hat.

In diesen Szenarien spiegelt die -Eigenschaft erst dann ViewableByExternalUsers den aktuellen Freigabe-status wider, wenn die Website oder Dokumentbibliothek erneut durchforstet und neu indiziert wird.

Suchen nach In Ihrem organization freigegebenen Websiteinhalten

Wie bereits erläutert, können Sie die SharedWithUsersOWSUser -Eigenschaft verwenden, um nach Dokumenten zu suchen, die von Personen in Ihrem organization freigegeben wurden. Wenn eine Person eine Datei (oder einen Ordner) für einen anderen Benutzer in Ihrem organization freigibt, wird auf der Seite Für mich freigegeben im OneDrive for Business Konto der Person, für die die Datei freigegeben wurde, ein Link zu der freigegebenen Datei angezeigt. Um beispielsweise nach den Dokumenten zu suchen, die für Sara Davis freigegeben wurden, können Sie die Abfrage SharedWithUsersOWSUser:"sarad@contoso.com"verwenden. Wenn Sie die Ergebnisse dieser Suche exportieren, werden die Originaldokumente (die sich am Inhaltsspeicherort der Person befinden, die die Dokumente für Sara freigegeben hat) heruntergeladen.

Dokumente müssen explizit für einen bestimmten Benutzer freigegeben werden, damit sie bei Verwendung der -Eigenschaft in den SharedWithUsersOWSUser Suchergebnissen zurückgegeben werden. Wenn eine Person beispielsweise ein Dokument in ihrem OneDrive-Konto freigibt, hat sie die Möglichkeit, es für alle (innerhalb oder außerhalb des organization) freizugeben, es nur für Personen innerhalb des organization freizugeben oder es für eine bestimmte Person freizugeben. Hier ist ein Screenshot des Fensters "Freigeben " in OneDrive mit den drei Freigabeoptionen.

Nur Dateien, die für bestimmte Personen freigegeben wurden, werden von einer Suchabfrage zurückgegeben, die die SharedWithUsersOWSUser-Eigenschaft verwendet.

Nur Dokumente, die mithilfe der dritten Option (freigegeben für bestimmte Personen) freigegeben werden, werden von einer Suchabfrage zurückgegeben, die die SharedWithUsersOWSUser -Eigenschaft verwendet.

Suchen nach Skype for Business Unterhaltungen

Sie können die folgende Schlüsselwort (keyword) Abfrage verwenden, um speziell nach Inhalten in Skype for Business Unterhaltungen zu suchen:

kind:im

Die vorherige Suchabfrage gibt auch Chats von Microsoft Teams zurück. Um dies zu verhindern, können Sie die Suchergebnisse einschränken, um nur Skype for Business Unterhaltungen einzuschließen, indem Sie die folgende Schlüsselwort (keyword) Abfrage verwenden:

kind:im AND subject:conversation

Die vorherige Schlüsselwort (keyword) Abfrage schließt Chats in Microsoft Teams aus, da Skype for Business Unterhaltungen als E-Mail-Nachrichten mit einer Betreffzeile gespeichert werden, die mit dem Wort "Unterhaltung" beginnt.

Um nach Skype for Business Unterhaltungen zu suchen, die innerhalb eines bestimmten Datumsbereichs aufgetreten sind, verwenden Sie die folgende Schlüsselwort (keyword) Abfrage:

kind:im AND subject:conversation AND (received=startdate..enddate)

Zeichenbeschränkungen für Suchvorgänge

Bei der Suche nach Inhalten in SharePoint-Websites und OneDrive-Konten gilt eine Beschränkung von 4.000 Zeichen für Suchabfragen. So wird die Gesamtanzahl der Zeichen in der Suchabfrage berechnet:

  • Die Zeichen in Schlüsselwort (keyword) Suchabfrage (einschließlich Benutzer- und Filterfeldern) gelten für diesen Grenzwert.
  • Die Zeichen in einer beliebigen Standorteigenschaft (z. B. die URLs für alle durchsuchten SharePoint-Websites oder OneDrive-Speicherorte) gelten für diesen Grenzwert.
  • Die Zeichen in allen Suchberechtigungsfiltern, die auf den Benutzer angewendet werden, der die Suchanzahl gegen den Grenzwert ausführt.

Weitere Informationen zu Zeichenbeschränkungen finden Sie unter Grenzwerte für die eDiscovery-Suche.

Hinweis

Der Grenzwert von 4.000 Zeichen gilt für die Inhaltssuche, eDiscovery (Standard) und eDiscovery (Premium).