Compartir vía


Búsqueda de contenido en buzones de correo en eDiscovery (versión preliminar)

A menudo, los administradores se encargan de averiguar quién sabía cuándo, de la manera más eficaz y eficaz posible, responder a las solicitudes relacionadas con litigios en curso o potenciales, investigaciones internas y otros escenarios. Estas solicitudes suelen ser urgentes, implican a varios equipos de partes interesadas y tienen un impacto significativo si no se completan a tiempo. Saber cómo encontrar la información adecuada es fundamental para que los administradores completen búsquedas correctamente y ayuden a sus organizaciones a administrar el riesgo y el costo asociados a los requisitos de eDiscovery.

Sugerencia

Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para la seguridad en Microsoft Purview.

Cuando se envía una solicitud de exhibición de documentos electrónicos, a menudo solo hay información parcial disponible para que el administrador empiece a recopilar contenido que pueda estar relacionado con una investigación determinada. La solicitud puede incluir nombres de empleados, títulos de proyecto, intervalos de fechas aproximadas cuando el proyecto estaba activo y no mucho más. A partir de esta información, el administrador debe crear consultas para encontrar contenido relevante en los servicios de Microsoft 365 a fin de determinar la información necesaria para un proyecto o asunto determinado. Comprender cómo se almacena y administra la información para estos servicios ayuda a los administradores a encontrar de forma más eficaz lo que necesitan de forma rápida y eficaz.

Email, chat, reunión y Microsoft 365 Copilot y datos de actividad de Microsoft Copilot (mensajes de usuario y respuestas de Copilot) se almacenan en Exchange Online. Hay muchas propiedades de comunicación disponibles para buscar elementos incluidos en Exchange Online. Algunas propiedades como From, Sent, Subject y To son exclusivas de determinados elementos y no son pertinentes al buscar archivos o documentos en SharePoint y OneDrive. Incluir estos tipos de propiedades al buscar en cargas de trabajo a veces puede dar lugar a resultados inesperados.

Por ejemplo, para buscar contenido relacionado con empleados específicos (usuario 1 y usuario 2), asociado a un proyecto denominado Tradewinds, y entre enero de 2020 y enero de 2022, puede usar una consulta con las siguientes propiedades:

  • Agregar las ubicaciones de Exchange Online del usuario 1 y el usuario 2 como orígenes de datos al caso
  • Seleccione ubicaciones de Exchange Online de usuario 1 y usuario 2 como origen de datos.
  • Para la palabra clave , use Tradewinds.
  • Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .

Importante

En el caso de los correos electrónicos, cuando se usa una palabra clave, buscamos asunto, cuerpo y muchas propiedades relacionadas con los participantes. Sin embargo, debido a la expansión del destinatario, es posible que la búsqueda no devuelva los resultados esperados al usar el alias o parte del alias. Por lo tanto, se recomienda usar el UPN completo.

Propiedades del correo electrónico que permiten búsquedas

En la tabla siguiente se enumeran las propiedades del mensaje de correo electrónico que se pueden buscar mediante las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview o mediante New-ComplianceSearch o el cmdlet Set-ComplianceSearch .

Importante

Aunque los mensajes de correo electrónico pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, solo se admiten las propiedades de correo electrónico enumeradas en esta tabla en las herramientas de búsqueda de eDiscovery. No se admite el intento de incluir otras propiedades de mensajes de correo electrónico en las búsquedas.

La tabla incluye un ejemplo de la sintaxis property:value para cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos. Puede escribir estos property:value pares en el cuadro palabras clave para una búsqueda de exhibición de documentos electrónicos.

Nota:

Al buscar propiedades de correo electrónico, no es posible buscar encabezados de mensaje. La información de encabezado no se indexa para las búsquedas. Además, los elementos en los que la propiedad especificada está vacía o en blanco no se pueden buscar. Por ejemplo, el uso del par property:value de subject:"" para buscar mensajes de correo electrónico con una línea de asunto vacía devolverá cero resultados. Esto también se aplica al buscar propiedades de sitio y contacto.

Propiedad Descripción de la propiedad Ejemplos Resultados de la búsqueda devueltos por los ejemplos
AttachmentNames Los nombres de los archivos adjuntos a un mensaje de correo electrónico. attachmentnames:annualreport.ppt

attachmentnames:annual*

Mensajes que tienen un archivo adjunto denominado annualreport.ppt. En el segundo ejemplo, el uso del carácter comodín ( * ) devuelve mensajes con la palabra anual en el nombre de archivo de un archivo adjunto. 1
Bcc Campo CCO de un mensaje de correo electrónico. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Todos los ejemplos devuelven mensajes con Pilar Pinilla incluido en el campo CCO.
(Consulte Expansión de destinatarios)
Categoría Las categorías para buscar. Los usuarios pueden definir categorías mediante Outlook o Outlook en la Web (anteriormente conocidas como Outlook Web App). Los valores posibles son:
  • azul
  • verde
  • naranja
  • púrpura
  • rojo
  • amarillo
category:"Red Category" Mensajes a los que se ha asignado la categoría roja en los buzones de origen.
Cc Campo Cc de un mensaje de correo electrónico. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

En ambos ejemplos, los mensajes con Pilar Pinilla especificados en el campo Cc.
(Consulte Expansión de destinatarios)
Folderid Identificador de carpeta (GUID) de una carpeta de buzón específica en formato de 48 caracteres. Si usa esta propiedad, asegúrese de buscar en el buzón en el que se encuentra la carpeta especificada. Solo se busca en la carpeta especificada. No se busca en las subcarpetas de la carpeta. Para buscar subcarpetas, debe usar la propiedad Folderid para la subcarpeta que desea buscar.

Para obtener más información sobre cómo buscar la propiedad Folderid y usar un script para obtener los identificadores de carpeta de un buzón específico, consulte búsquedas dirigidas.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

En el primer ejemplo se devuelven todos los elementos de la carpeta de buzón especificada. En el segundo ejemplo se devuelven todos los elementos de la carpeta de buzón de correo especificada que fueron enviados o recibidos por garthf@contoso.com.
From El remitente de un mensaje de correo electrónico.1 from:pilarp@contoso.com Mensajes enviados por el usuario especificado.
(Consulte Expansión de destinatarios)
HasAttachment Indica si un mensaje tiene datos adjuntos. Use los valores true o false. from:pilar@contoso.com AND hasattachment:true Mensajes enviados por el usuario especificado que tienen datos adjuntos.
Importancia La importancia de un mensaje de correo electrónico, que un remitente puede especificar al enviar un mensaje. De manera predeterminada, los mensajes se envían con importancia normal, a menos que el remitente establezca la importancia como alta o baja. importance:high

importance:medium

importance:low

Los mensajes que están marcados con importancia alta, importancia media o importancia baja.
IsRead Indica si se han leído los mensajes. Use los valores true o false. isread:true

isread:false

El primer ejemplo devuelve mensajes con la propiedad IsRead establecida en True. El segundo ejemplo devuelve mensajes con la propiedad IsRead establecida en False.
ItemClass Use esta propiedad para buscar tipos de datos de terceros específicos que la organización importó a Office 365. Use la sintaxis siguiente para esta propiedad: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

El primer ejemplo devuelve Facebook elementos que contienen la palabra "contoso" en la propiedad Subject. El segundo ejemplo devuelve elementos de Twitter publicados por Ann Beebe y que contienen la frase de palabra clave "Northwind Traders".
Tipo Tipo de mensaje de correo electrónico que se va a buscar. Posibles valores:

contactos

documentos

correo electrónico

externaldata

faxes

mensajería instantánea

diarios

reuniones

microsoftteams (devuelve elementos de chats, reuniones y llamadas en Microsoft Teams)

notas

entradas

fuentes rss

tareas

correo de voz

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

El primer ejemplo devuelve mensajes de correo electrónico que cumplen los criterios de búsqueda. En el segundo ejemplo se devuelven mensajes de correo electrónico, conversaciones de mensajería instantánea (incluidas Skype Empresarial conversaciones y chats en Microsoft Teams) y mensajes de voz que cumplen los criterios de búsqueda. El tercer ejemplo devuelve elementos importados a buzones de Microsoft 365 de orígenes de datos de terceros, como Twitter, Facebook y Cisco Jabber que cumplen los criterios de búsqueda. Para obtener más información, consulte Archivado de datos de terceros en Office 365.
Participantes Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc.1 participants:garthf@contoso.com

participants:contoso.com

Mensajes enviados por o enviados a garthf@contoso.com. El segundo ejemplo devuelve todos los mensajes enviados por o a un usuario en el dominio contoso.com.
(Consulte Expansión de destinatarios)
Cantidad.Recibida La fecha en la que un destinatario recibió un mensaje de correo electrónico. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

Mensajes recibidos el 15 de abril de 2021. El segundo ejemplo devuelve todos los mensajes recibidos entre el 1 de enero de 2021 y el 31 de marzo de 2021.
Recipientes Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

Mensajes enviados a garthf@contoso.com. El segundo ejemplo devuelve los mensajes enviados a todos los destinatarios en el dominio contoso.com.
(Consulte Expansión de destinatarios)
Sent La fecha en la que un remitente envió un mensaje de correo electrónico. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

Mensajes que se enviaron en la fecha especificada o que se enviaron dentro del intervalo de fechas especificado.
Size El tamaño de un elemento, en bytes. size>26214400

size:1..1048567

Mensajes de más de 25 MB. El segundo ejemplo devuelve los mensajes que tienen un tamaño de entre 1 y 1 048 567 bytes (1 MB).
Asunto El texto en la línea de asunto de un mensaje de correo electrónico.

Nota: Cuando se usa la propiedad Subject en una consulta, la búsqueda devuelve todos los mensajes en los que la línea de asunto contiene el texto que está buscando. En otras palabras, la consulta no devuelve solo los mensajes que tienen una coincidencia exacta. Por ejemplo, si busca subject:"Quarterly Financials", los resultados incluyen mensajes con el asunto "Quarterly Financials 2018".

subject:"Quarterly Financials"

subject:northwind

Mensajes que contienen la frase "Quarterly Financials" en cualquier parte del texto de la línea de asunto. El segundo ejemplo devuelve todos los mensajes que contienen la palabra northwind en la línea de asunto.
To El campo Para de un mensaje de correo electrónico.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Todos los ejemplos devuelven mensajes en los que Ann Beebe está especificada en la línea Para.

Nota:

1 Para el valor de una propiedad de destinatario, puede usar la dirección de correo electrónico (también denominada nombre principal de usuario (UPN)), el nombre para mostrar o el alias para especificar un usuario. Por ejemplo, puede usar annb@contoso.com, annb o "Ann Beebe" para especificar el usuario Ann Beebe.

Tipos de datos confidenciales que se pueden buscar

Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, almacenados en documentos en buzones de correo. Para ello, use la SensitiveType propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number" devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)" devuelve documentos que contienen un número de seguro social estadounidense.

Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de Microsoft Purview. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.

Expansión de destinatarios

Al buscar en cualquiera de las propiedades de destinatario (From, To, Cc, Bcc, Participants y Recipients), Microsoft 365 intenta expandir la identidad de cada usuario buscándola en Microsoft Entra ID. Si el usuario se encuentra en Microsoft Entra ID, la consulta se expande para incluir la dirección de correo electrónico del usuario (o UPN), alias, nombre para mostrar y LegacyExchangeDN. Por ejemplo, una consulta como participants:ronnie@contoso.com se expande a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Para evitar la expansión del destinatario, agregue un carácter comodín (asterisco) al final de la dirección de correo electrónico y use un nombre de dominio reducido; por ejemplo, participants:"ronnie@contoso*" asegúrese de rodear la dirección de correo electrónico con comillas dobles.

Impedir la expansión de destinatarios en la consulta de búsqueda puede dar lugar a que los elementos pertinentes no se devuelvan en los resultados de la búsqueda. Email mensajes en Exchange se pueden guardar con diferentes formatos de texto en los campos de destinatario. La expansión de destinatarios está pensada para ayudar a mitigar este hecho devolviendo mensajes que pueden contener diferentes formatos de texto. Por lo tanto, impedir la expansión de destinatarios puede dar lugar a que la consulta de búsqueda no devuelva todos los elementos que pueden ser relevantes para la investigación.

Nota:

Si necesita revisar o reducir los elementos devueltos por una consulta de búsqueda debido a la expansión de destinatarios, considere la posibilidad de usar características de eDiscovery premium. Puede buscar mensajes (aprovechando la expansión de destinatarios), agregarlos a un conjunto de revisión y, a continuación, usar consultas o filtros de conjuntos de revisiones para revisar o restringir los resultados.

Contenido almacenado en buzones de Exchange Online para eDiscovery

Un buzón de Exchange Online se usa principalmente para almacenar elementos relacionados con el correo electrónico, como mensajes, elementos de calendario, tareas y notas. Pero esto cambia a medida que más aplicaciones basadas en la nube también almacenan sus datos en el buzón de un usuario. Una ventaja de almacenar datos en un buzón es que puede usar las herramientas de búsqueda en búsqueda de contenido, Microsoft Purview eDiscovery (estándar) y eDiscovery (versión preliminar) para buscar, ver y exportar los datos de estas aplicaciones basadas en la nube.

Los datos de algunas de estas aplicaciones se almacenan en carpetas ocultas ubicadas en un subárbol de mensajes no predictivos (no IPM) en el buzón. Es posible que los datos de otras aplicaciones basadas en la nube no se almacenen en el buzón, pero están asociados al buzón y se devuelven en búsquedas (si esos datos coinciden con la consulta de búsqueda). Independientemente de si los datos basados en la nube se almacenan en o están asociados a un buzón de usuario, los datos no suelen ser visibles en un cliente de correo electrónico cuando un usuario abre su buzón.

En la tabla siguiente se enumeran las aplicaciones que almacenan o asocian datos a un buzón basado en la nube. En la tabla también se describe el tipo de contenido que genera cada aplicación.

Aplicación de Microsoft 365 Descripción
Forms* Forms y las respuestas a un formulario se almacenan en archivos adjuntos a mensajes de correo electrónico y almacenados en una carpeta oculta en el buzón del usuario que creó el formulario. Forms creada antes de abril de 2020 se almacenan como un archivo PDF. Forms creados después de 2020 se almacenan como un archivo JSON. Las respuestas a un formulario se almacenan en un archivo CSV. Al exportar contenido de Forms en un archivo PST, estos datos se encuentran en la carpeta ApplicationDataRoot de una subcarpeta denominada con el siguiente GUID (global unique identified): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87.
Grupos de Microsoft 365 Email mensajes, elementos de calendario, contactos (Personas), notas y tareas se almacenan en el buzón asociado a un grupo de Microsoft 365.
Microsoft 365 Copilot y Microsoft Copilot Todos los datos de actividad de Copilot (mensajes de usuario y respuestas de Copilot) generados en aplicaciones y servicios de Microsoft 365 admitidos se almacenan en buzones de correo de custodio.
Outlook/Exchange Online Email mensajes, elementos de calendario, contactos (Personas), notas y tareas se almacenan en el buzón de un usuario.
Contactos Los contactos de la aplicación Personas (que son los mismos contactos que los accesibles en Outlook) se almacenan en el buzón de un usuario.
Programación de clases Los planes creados en la programación de clases se almacenan en el buzón del grupo de Microsoft 365 correspondiente que se aprovisiona cuando se crea un nuevo plan. El alias del buzón de grupo es el nombre del plan.
Skype Empresarial Las conversaciones de Skype Empresarial se almacenan en la carpeta Historial de conversaciones del buzón de un usuario. Si el buzón de un participante de una reunión de Skype se coloca en suspensión por juicio o se asigna a una directiva de retención, los archivos adjuntos a una reunión se conservan en el buzón de los participantes.
Sway* Los Sways se almacenan como un archivo HTML que se adjunta a un mensaje de correo electrónico y se almacenan en una carpeta oculta en el buzón del usuario que creó el sway. Al exportar contenido de Sway en un archivo PST, estos datos se encuentran en la carpeta ApplicationDataRoot de una subcarpeta denominada con el siguiente GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba.
Tareas Las tareas de la aplicación Tareas (que son las mismas tareas que las accesibles en Outlook) se almacenan en el buzón de un usuario.
Teams Las conversaciones que forman parte de un canal de Teams están asociadas al buzón de Teams. Las conversaciones que forman parte de la lista chat en Teams (también denominadas chats de 1 x N) están asociadas al buzón de los usuarios que participan en el chat. Además, la información de resumen de reuniones y llamadas en un canal de Teams está asociada a buzones de los usuarios que llamaron a la reunión o llamada. Por lo tanto, al buscar contenido de Teams, buscaría contenido en el buzón de Teams en conversaciones de canal y buscaría contenido en los buzones de usuario en 1 x N chats.
To-Do Las tareas (llamadas tareas pendientes, que se guardan en listas de tareas pendientes) en la aplicación To-Do se almacenan en el buzón de un usuario.
Viva Engage Las conversaciones y comentarios dentro de una comunidad Viva Engage están asociados con el buzón de grupo de Microsoft 365, así como el buzón de usuario del autor y los destinatarios con nombre (usuarios mencionados o cc'ed). Los mensajes privados enviados fuera de una comunidad Viva Engage se almacenan en el buzón de los usuarios que participan en el mensaje privado.

Nota:

* En este momento, si se coloca una retención en un buzón mediante retenciones en casos de exhibición de documentos electrónicos (versión preliminar), el contenido de esta aplicación no se conserva mediante la suspensión.