Requêtes par mot clé et conditions de recherche pour eDiscovery

  • Article

Cet article décrit les propriétés disponibles pour vous aider à trouver du contenu dans les e-mails et les conversations dans Exchange Online et les documents et fichiers stockés sur SharePoint et OneDrive Entreprise à l’aide des outils de recherche eDiscovery dans le portail de conformité Microsoft Purview.

Cela inclut la recherche de contenu, Microsoft Purview eDiscovery (Standard) et Microsoft Purview eDiscovery (Premium) (les recherches eDiscovery dans eDiscovery (Premium) sont appelées collections). Vous pouvez également utiliser les applets de commande *-ComplianceSearch dans Security & Compliance PowerShell pour rechercher ces propriétés.

Cet article décrit également :

  • Utilisation d’opérateurs de recherche booléens, de conditions de recherche et d’autres techniques de requête de recherche pour affiner vos résultats de recherche.
  • Recherche de communications de différents types liés à des employés et des projets spécifiques pendant une période donnée.
  • Recherche de contenu de site lié à un projet, à des employés et/ou à des sujets spécifiques pendant une période spécifique.

Pour obtenir des instructions pas à pas sur la création de différentes recherches eDiscovery, consultez :

Remarque

Les recherches eDiscovery dans le portail de conformité et les applets de commande *-ComplianceSearch correspondantes dans Security & Compliance PowerShell utilisent le langage KQL (Keyword Query Language). Pour plus d’informations, consultez Informations de référence sur la syntaxe du langage de requête de mot clé.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Conseils et astuces pour la recherche

  • Le fuseau horaire de toutes les recherches est le temps universel coordonné (UTC). La modification des fuseaux horaires pour votre organization n’est actuellement pas prise en charge. Les paramètres d’affichage de fuseau horaire dans l’affichage de recherche s’appliquent uniquement aux valeurs de la colonne Données et n’affectent pas les horodatages sur les éléments collectés.
  • Les recherches par mot clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.
  • Les opérateurs booléens AND, OR, NOT et NEAR doivent être en majuscules.
  • L’utilisation de guillemets arrête les caractères génériques et toutes les opérations à l’intérieur des guillemets.
  • Un espace entre deux mots clés ou deux property:value expressions est identique à l’utilisation de OR. Par exemple, from:"Sara Davis" subject:reorganization retourne tous les messages envoyés par Sara Davis ou les messages qui contiennent le mot réorganisation dans la ligne d’objet. Toutefois, l’utilisation d’une combinaison d’espaces et de conditions OR dans une seule requête peut entraîner des résultats inattendus. Nous vous recommandons d’utiliser des espaces ou OU dans une seule requête.
  • Utilisez une syntaxe qui correspond au property:value format. Les valeurs ne respectent pas la casse et ne peuvent pas avoir d’espace après l’opérateur. S’il existe un espace, votre valeur prévue est une recherche en texte intégral. Par exempleto: pilarp, recherche « pilarp » comme mot clé, plutôt que pour les messages envoyés à pilarp.
  • Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d'affichage pour désigner un destinataire. Par exemple, vous pouvez utiliser pilarp@contoso.com, pilarp ou « Pilar Pinilla ».
  • Vous ne pouvez utiliser que des recherches de préfixe ; par exemple, cat* ou set*. Les recherches de suffixe (*cat), les recherches infix (c*t) et les recherches de sous-chaînes (*cat*) ne sont pas prises en charge.
  • Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple, subject:budget Q1 retourne des messages qui contiennent le budget dans la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans l’une des propriétés du message. L’utilisation subject:"budget Q1" de renvoie tous les messages qui contiennent le budget Q1 n’importe où dans la ligne d’objet.
  • Pour exclure de vos résultats de recherche du contenu marqué avec une certaine valeur de propriété, placez un signe moins (-) avant le nom de la propriété. Par exemple, -from:"Sara Davis" exclut tous les messages envoyés par Sara Davis.
  • Vous pouvez exporter des éléments en fonction du type de message. Par exemple, pour exporter des conversations et des conversations Skype dans Microsoft Teams, utilisez la syntaxe kind:im. Pour renvoyer uniquement les messages électroniques, vous devez utiliser kind:email. Pour retourner des conversations, des réunions et des appels dans Microsoft Teams, utilisez kind:microsoftteams.
  • Lors de la recherche de sites, vous devez ajouter la fin / de l’URL lors de l’utilisation de la path propriété pour renvoyer uniquement les éléments d’un site spécifié. Si vous n’incluez pas la fin /, les éléments d’un site avec un nom de chemin d’accès similaire sont également retournés. Par exemple, si vous utilisez path:sites/HelloWorld , les éléments des sites nommés sites/HelloWorld_East ou sites/HelloWorld_West sont également retournés. Pour renvoyer des éléments uniquement à partir du site HelloWorld, vous devez utiliser path:sites/HelloWorld/.
  • Le pays/région de la langue de requête doit être défini dans votre requête de recherche avant de collecter du contenu.
  • Lors de la recherche d’e-mails dans les dossiers envoyés , l’utilisation de l’adresse SMTP de l’expéditeur n’est pas prise en charge. Les éléments du dossier Envoyé contiennent uniquement des noms d’affichage.

Recherche de contenu dans Exchange Online

Les administrateurs sont souvent chargés de savoir qui savait quoi quand de la manière la plus efficace et efficace possible pour répondre aux demandes concernant les litiges en cours ou potentiels, les enquêtes internes et d’autres scénarios. Ces demandes sont souvent urgentes, impliquent plusieurs équipes de parties prenantes et ont un impact significatif si elles ne sont pas effectuées en temps voulu. Il est essentiel de savoir comment trouver les informations appropriées pour permettre aux administrateurs d’effectuer des recherches et d’aider leur organisation à gérer les risques et les coûts associés aux exigences eDiscovery.

Lorsqu’une demande eDiscovery est envoyée, l’administrateur ne dispose souvent que d’informations partielles pour commencer à collecter du contenu pouvant être lié à une investigation particulière. La demande peut inclure des noms d’employés, des titres de projet, des plages de dates approximatives lorsque le projet était actif, et pas beaucoup plus. À partir de ces informations, l’administrateur doit créer des requêtes pour rechercher du contenu pertinent dans les services Microsoft 365 afin de déterminer les informations nécessaires pour un projet ou un sujet particulier. Comprendre comment les informations sont stockées et gérées pour ces services aide les administrateurs à trouver rapidement et efficacement ce dont ils ont besoin.

les données d’activité Email, de conversation, de réunion et de Microsoft Copilot pour Microsoft 365 (invites utilisateur et réponses Copilot) sont toutes stockées dans Exchange Online. De nombreuses propriétés de communication sont disponibles pour la recherche d’éléments inclus dans Exchange Online. Certaines propriétés telles que From, Sent, Subject et To sont propres à certains éléments et ne sont pas pertinentes lors de la recherche de fichiers ou de documents dans SharePoint et OneDrive Entreprise. L’inclusion de ces types de propriétés lors de la recherche entre les charges de travail peut parfois entraîner des résultats inattendus.

Par exemple, pour rechercher du contenu lié à des employés spécifiques (utilisateur 1 et utilisateur 2), associé à un projet appelé Tradewinds, et entre janvier 2020 et janvier 2022, vous pouvez utiliser une requête avec les propriétés suivantes :

  • Ajouter les emplacements Exchange Online de l’utilisateur 1 et de l’utilisateur 2 en tant que sources de données au cas
  • Sélectionnez Les emplacements de Exchange Online de l’utilisateur 1 et de l’utilisateur 2 comme emplacements de collecte
  • Pour Mot clé, utilisez Tradewinds
  • Pour Plage de dates, utilisez la plage du 1er janvier 2020 au 31 janvier 2022

Importante

Pour les e-mails, lorsqu’un mot clé est utilisé, nous recherchons l’objet, le corps et de nombreuses propriétés liées aux participants. Toutefois, en raison de l’expansion du destinataire, la recherche peut ne pas retourner les résultats attendus lors de l’utilisation de l’alias ou d’une partie de l’alias. Par conséquent, nous vous recommandons d’utiliser l’UPN complet.

Propriétés de messagerie utilisables dans une requête

Le tableau suivant répertorie les propriétés des messages électroniques qui peuvent faire l’objet d’une recherche à l’aide des outils de recherche eDiscovery dans le portail de conformité ou à l’aide de l’applet de commande New-ComplianceSearch ou Set-ComplianceSearch .

Importante

Bien que les e-mails puissent avoir d’autres propriétés prises en charge dans d’autres services Microsoft 365, seules les propriétés de messagerie répertoriées dans ce tableau sont prises en charge dans les outils de recherche eDiscovery. La tentative d’inclure d’autres propriétés de courrier électronique dans les recherches n’est pas prise en charge.

Le tableau inclut un exemple de la syntaxe property :value pour chaque propriété et une description des résultats de recherche retournés par les exemples. Vous pouvez entrer ces property:value paires dans la zone mots clés pour une recherche eDiscovery.

Remarque

Lors de la recherche de propriétés d’e-mail, il n’est pas possible de rechercher des en-têtes de message. Les informations d’en-tête ne sont pas indexées pour les collections. En outre, les éléments dans lesquels la propriété spécifiée est vide ou vide ne peuvent pas faire l’objet d’une recherche. Par exemple, l’utilisation de la paire property :value de subject :" » pour rechercher des messages électroniques avec une ligne d’objet vide ne renvoie aucun résultat. Cela s’applique également lors de la recherche de propriétés de site et de contact.

Propriété Description de la propriété Exemples Résultats de recherche renvoyés par les exemples
AttachmentNames Nom des fichiers joints à un message électronique. attachmentnames:annualreport.ppt

attachmentnames:annual*

 Messages qui ont un fichier joint nommé annualreport.ppt. Dans le deuxième exemple, l’utilisation du caractère générique ( * ) retourne des messages avec le mot annual dans le nom de fichier d’une pièce jointe. 1
Cci Champ Cci d’un e-mail. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

 Tous les exemples retournent des messages avec Pilar Pinilla inclus dans le champ Cci.
(Voir Extension de destinataire)
Catégorie Catégories à rechercher. Les catégories peuvent être définies par les utilisateurs à l’aide d’Outlook ou Outlook sur le web (anciennement Outlook Web App). Les valeurs possibles sont les suivantes :
  • blue
  • green
  • orange
  • purple
  • red
  • yellow
 category:"Red Category" Messages auxquels la catégorie rouge a été affectée dans les boîtes aux lettres sources.
Cc Champ Cc d’un e-mail. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

 Dans les deux exemples, les messages avec Pilar Pinilla spécifiés dans le champ Cc.
(Voir Extension de destinataire)
Folderid ID de dossier (GUID) d’un dossier de boîte aux lettres spécifique au format 48 caractères. Si vous utilisez cette propriété, veillez à effectuer une recherche dans la boîte aux lettres dans laquelle se trouve le dossier spécifié. Seul le dossier spécifié fait l’objet d’une recherche. Les sous-dossiers du dossier ne feront pas l’objet d’une recherche. Pour rechercher des sous-dossiers, vous devez utiliser la propriété Folderid pour le sous-dossier que vous souhaitez rechercher.

Pour plus d’informations sur la recherche de la propriété Folderid et l’utilisation d’un script pour obtenir les ID de dossier d’une boîte aux lettres spécifique, consultez Utiliser la recherche de contenu pour les collections ciblées.

 folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

 Le premier exemple retourne tous les éléments du dossier de boîte aux lettres spécifié. Le deuxième exemple retourne tous les éléments du dossier de boîte aux lettres spécifié qui ont été envoyés ou reçus par garthf@contoso.com.
From Expéditeur d'un message électronique.1 from:pilarp@contoso.com Messages envoyés par l’utilisateur spécifié.
(Voir Extension de destinataire)
HasAttachment Indique si un message contient une pièce jointe. Utilisez les valeurs true ou false. from:pilar@contoso.com AND hasattachment:true Messages envoyés par l’utilisateur spécifié qui ont des pièces jointes.
Importance Importance d'un message électronique, que l'expéditeur peut préciser lors de l'envoi. Par défaut, les messages sont envoyés avec une importance normale, à moins que l'expéditeur préfère une importance haute ou faible. importance:high

importance:medium

importance:low

 Messages marqués comme ayant une importance haute, normale ou faible.
IsRead Indique si les messages ont été lus. Utilisez les valeurs true ou false. isread:true

isread:false

 Le premier exemple retourne des messages avec la propriété IsRead définie sur True. Le deuxième exemple retourne des messages avec la propriété IsRead définie sur False.
ItemClass Utilisez cette propriété pour rechercher des types de données tiers spécifiques que votre organization importé dans Office 365. Utilisez la syntaxe suivante pour cette propriété : itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

 Le premier exemple retourne Facebook éléments qui contiennent le mot « contoso » dans la propriété Subject. Le deuxième exemple renvoie des éléments Twitter qui ont été publiés par Ann Beebe et qui contiennent l’expression mot clé « Northwind Traders ».

Pour obtenir la liste complète des valeurs à utiliser pour les types de données tiers pour la propriété ItemClass, consultez Utiliser la recherche de contenu pour rechercher des données tierces importées dans Office 365.
Kind Type de message électronique à rechercher. Valeurs possibles :

contacts

docs

email

Externaldata

faxes

im

journals

meetings

microsoftteams (retourne des éléments à partir de conversations, de réunions et d’appels dans Microsoft Teams)

notes

posts

rssfeeds

tasks

voicemail

 kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

 Le premier exemple retourne des messages électroniques qui répondent aux critères de recherche. Le deuxième exemple renvoie les messages électroniques, les conversations de messagerie instantanée (y compris les conversations Skype Entreprise et les conversations dans Microsoft Teams) et les messages vocaux qui répondent aux critères de recherche. Le troisième exemple retourne des éléments qui ont été importés dans des boîtes aux lettres dans Microsoft 365 à partir de sources de données tierces, telles que Twitter, Facebook et Cisco Jabber qui répondent aux critères de recherche. Pour plus d’informations, consultez Archivage de données tierces dans Office 365.
Participants Tous les champs de personnes dans un e-mail. Ces champs sont From, To, Cc et Bcc.1 participants:garthf@contoso.com

participants:contoso.com

 Messages envoyés par ou envoyés à garthf@contoso.com. Le deuxième exemple renvoie tous les messages envoyés à ou par un utilisateur du domaine contoso.com.
(Voir Extension de destinataire)
Received Date à laquelle un message électronique a été reçu par un destinataire. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

 Messages reçus le 15 avril 2021. Le deuxième exemple retourne tous les messages reçus entre le 1er janvier 2021 et le 31 mars 2021.
Recipients Tous les champs de destinataire dans un e-mail. Ces champs sont To, Cc et Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

 Messages envoyés à garthf@contoso.com. Le deuxième exemple renvoie les messages envoyés à tous les destinataires du domaine contoso.com.
(Voir Extension de destinataire)
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

 Messages envoyés à la date indiquée ou entre les dates spécifiées.
Size Taille d'un élément, en octets. size>26214400

size:1..1048567

 Messages de plus de 25 Mo. Le deuxième exemple renvoie les messages dont la taille est comprise entre 1 et 1 048 567 octets (1 Mo).
Sujet Texte de la ligne d’objet d’un message électronique.

Note: Lorsque vous utilisez la propriété Subject dans une requête, la recherche renvoie tous les messages dans lesquels la ligne d’objet contient le texte que vous recherchez. En d’autres termes, la requête ne retourne pas uniquement les messages qui ont une correspondance exacte. Par exemple, si vous recherchez subject:"Quarterly Financials", vos résultats incluent des messages avec l’objet « Quarterly Financials 2018 ».

 subject:"Quarterly Financials"

subject:northwind

 Messages qui contiennent l’expression « Quarterly Financials » n’importe où dans le texte de la ligne d’objet. Le deuxième exemple renvoie tous les messages contenant le mot « northwind » dans la ligne d'objet.
To Champ À d'un message électronique.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

 Tous les exemples renvoient les messages dans lesquels « Ann Beebe » est indiqué sur la ligne À.

Remarque

1 Pour la valeur d’une propriété de destinataire, vous pouvez utiliser l’adresse e-mail (également appelée nom d’utilisateur principal ou UPN), le nom d’affichage ou l’alias pour spécifier un utilisateur. Par exemple, vous pouvez utiliser annb@contoso.com, annb ou « Ann Beebe » pour spécifier l’utilisateur Ann Beebe.

Extension du destinataire

Lors de la recherche dans l’une des propriétés du destinataire (From, To, Cc, Cci, Participants et Destinataires), Microsoft 365 tente de développer l’identité de chaque utilisateur en les recherchant dans Microsoft Entra ID. Si l’utilisateur est trouvé dans Microsoft Entra ID, la requête est développée pour inclure l’adresse de messagerie (ou UPN) de l’utilisateur, son alias, son nom d’affichage et LegacyExchangeDN. Par exemple, une requête telle que participants:ronnie@contoso.com se développe en participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Pour empêcher l’expansion du destinataire, ajoutez un caractère carte générique (astérisque) à la fin de l’adresse e-mail et utilisez un nom de domaine réduit ; par exemple, participants:"ronnie@contoso*" veillez à entourer l’adresse e-mail de guillemets doubles.

Toutefois, n’oubliez pas que la prévention de l’expansion du destinataire dans la requête de recherche peut entraîner le non-retour des éléments pertinents dans les résultats de la recherche. Email messages dans Exchange peuvent être enregistrés avec différents formats de texte dans les champs du destinataire. L’extension de destinataire est destinée à atténuer ce fait en retournant des messages qui peuvent contenir des formats de texte différents. Par conséquent, la prévention de l’expansion des destinataires peut entraîner que la requête de recherche ne retourne pas tous les éléments qui peuvent être pertinents pour votre investigation.

Remarque

Si vous avez besoin d’examiner ou de réduire les éléments retournés par une requête de recherche en raison de l’expansion du destinataire, envisagez d’utiliser eDiscovery (Premium). Vous pouvez rechercher des messages (en tirant parti de l’extension des destinataires), les ajouter à un jeu de révision, puis utiliser des requêtes ou des filtres d’ensemble de révision pour examiner ou affiner les résultats. Pour plus d’informations, consultez Collecter des données pour un cas et Interroger les données dans un jeu de révision.

Recherche de contenu dans SharePoint et OneDrive

Lors de la recherche de documents et de fichiers situés dans SharePoint ou OneDrive Entreprise, il peut être judicieux d’ajuster l’approche de requête en fonction des métadonnées des documents et fichiers qui vous intéressent. Les fichiers et documents ont des propriétés pertinentes telles que Author, Created, CreatedBy, FileName, LastModifiedTime et Title. La plupart de ces propriétés ne sont pas pertinentes lors de la recherche de contenu de communication dans Exchange Online, et l’utilisation de ces propriétés peut entraîner des résultats inattendus si elles sont utilisées dans les documents et les communications. En outre, FileName et Title d’un document peuvent ne pas être identiques et l’utilisation de l’un ou de l’autre pour essayer de trouver un fichier avec un contenu spécifique peut entraîner des résultats différents ou inexacts. Gardez ces propriétés à l’esprit lors de la recherche de contenu de document et de fichier spécifique dans SharePoint et OneDrive Entreprise.

Par exemple, pour rechercher du contenu lié aux documents créés par l’utilisateur 1, pour un projet appelé Tradewinds, pour des fichiers spécifiques nommés Financials et de janvier 2020 à janvier 2022, vous pouvez utiliser une requête avec les propriétés suivantes :

  • Ajouter le site OneDrive Entreprise de l’utilisateur 1 en tant que sources de données au cas
  • Sélectionner le site OneDrive Entreprise de l’utilisateur 1 comme emplacement de collection
  • Ajouter des emplacements de site SharePoint supplémentaires liés au projet en tant qu’emplacements de collection
  • Pour FileName, utilisez Financials
  • Pour Mot clé, utilisez Tradewinds
  • Pour Plage de dates, utilisez la plage du 1er janvier 2020 au 31 janvier 2022

Propriétés de site utilisables dans une requête

Le tableau suivant répertorie les propriétés SharePoint et OneDrive Entreprise qui peuvent faire l’objet d’une recherche à l’aide des outils de recherche eDiscovery dans le portail de conformité Microsoft Purview ou à l’aide de l’applet de commande New-ComplianceSearch ou Set-ComplianceSearch.

Importante

Bien que les documents et fichiers stockés sur SharePoint et OneDrive Entreprise puissent avoir d’autres propriétés prises en charge dans d’autres services Microsoft 365, seules les propriétés de document et de fichier répertoriées dans ce tableau sont prises en charge dans les outils de recherche eDiscovery. La tentative d’inclure d’autres propriétés de document ou de fichier dans les recherches n’est pas prise en charge.

Il inclut un exemple de syntaxe property:value pour chaque propriété et une description des résultats de recherche renvoyés par ces exemples.

Propriété Description de la propriété Exemple Résultats de recherche renvoyés par les exemples
Auteur Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. author:"Garth Fort" Tous les documents créés par Garth Fort.
ContentType Type de contenu SharePoint d’un élément, tel que Item, Document ou Video. contenttype:document Tous les documents sont renvoyés.
Créé Date de création d’un élément. created>=2021-06-01 Tous les éléments créés à partir du 1er juin 2021.
CreatedBy Personne qui a créé ou chargé un élément. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. createdby:"Garth Fort" Tous les éléments créés ou chargés par Garth Fort.
DetectedLanguage Langue d’un élément. detectedlanguage:english Tous les éléments en anglais.
DocumentLink Chemin d’accès (URL) d’un dossier spécifique sur un site SharePoint ou OneDrive Entreprise. Si vous utilisez cette propriété, veillez à effectuer une recherche sur le site dans lequel se trouve le dossier spécifié. Nous vous recommandons d’utiliser cette propriété au lieu des propriétés Site et Path .

Pour retourner des éléments situés dans les sous-dossiers du dossier que vous spécifiez pour la propriété documentlink, vous devez ajouter /* à l’URL du dossier spécifié . par exemple, documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Pour plus d’informations sur la recherche de la propriété documentlink et l’utilisation d’un script pour obtenir les URL documentlink pour les dossiers d’un site spécifique, consultez Utiliser la recherche de contenu pour les collections ciblées.

 documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

 Le premier exemple retourne tous les éléments du dossier OneDrive Entreprise spécifié. Le deuxième exemple retourne des documents dans le dossier de site spécifié (et tous les sous-dossiers) qui contiennent le mot « confidentiel » dans le nom de fichier.
FileExtension Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. fileextension:xlsx Tous les fichiers Excel (Excel 2007 et versions ultérieures)
FileName Nom d’un fichier. filename:"marketing plan"

filename:estimate

 Le premier exemple renvoie les fichiers contenant l’expression « marketing plan » (plan marketing) dans le titre. Le second exemple renvoie les fichiers contenant le mot « estimate » (devis) dans le nom du fichier.
LastModifiedTime Date à laquelle un élément a été modifié pour la dernière fois. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

 Le premier exemple retourne les éléments qui ont été modifiés à compter du 1er mai 2021. Le deuxième exemple retourne les éléments modifiés entre le 1er mai 2021 et le 1er juin 2021.
ModifiedBy Personne qui a apporté les dernières modifications. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. modifiedby:"Garth Fort" Tous les éléments qui ont été modifiés en dernier par Garth Fort.
SharedWithUsersOWSUser Documents qui ont été partagés avec l’utilisateur spécifié et affichés dans la page Partagé avec moi dans le site OneDrive Entreprise de l’utilisateur. Il s’agit de documents qui ont été explicitement partagés avec l’utilisateur spécifié par d’autres personnes de votre organization. Lorsque vous exportez des documents qui correspondent à une requête de recherche qui utilise la propriété SharedWithUsersOWSUser, les documents sont exportés à partir de l’emplacement de contenu d’origine de la personne qui a partagé le document avec l’utilisateur spécifié. Pour plus d’informations, consultez Recherche de contenu de site partagé dans votre organization. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

 Les deux exemples retournent tous les documents internes qui ont été explicitement partagés avec Garth Fort et qui apparaissent dans la page Partagé avec moi dans le compte OneDrive Entreprise de Garth Fort.
Taille Taille d'un élément, en octets. size>=1

size:1..10000

 Le premier exemple renvoie les éléments dont la taille est supérieure à 1 octet. Le deuxième exemple renvoie les éléments dont la taille est comprise entre 1 et 10 000 octets.
Titre Titre du document. La propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Il est différent du nom de fichier du document. title:"communication plan" Tout document qui contient l’expression « communication plan » (plan de communication) dans la propriété de métadonnées du titre d’un document Office.

Propriétés des contacts pouvant faire l’objet d’une recherche

Le tableau suivant répertorie les propriétés de contact qui sont indexées et que vous pouvez rechercher à l’aide des outils de recherche eDiscovery. Il s’agit des propriétés que les utilisateurs peuvent configurer pour les contacts (également appelés contacts personnels) qui se trouvent dans le carnet d’adresses personnel de la boîte aux lettres d’un utilisateur. Pour rechercher des contacts, vous pouvez sélectionner les boîtes aux lettres à rechercher, puis utiliser une ou plusieurs propriétés de contact dans la requête mot clé.

Conseil

Pour rechercher des valeurs qui contiennent des espaces ou des caractères spéciaux, utilisez des guillemets doubles (« ») pour contenir l’expression ; par exemple, businessaddress:"123 Main Street".

Propriété Description de la propriété
BusinessAddress Adresse dans la propriété Adresse de l’entreprise . La propriété est également appelée adresse professionnelle dans la page des propriétés du contact.
BusinessPhone Numéro de téléphone dans l’une des propriétés numéro de téléphone professionnel .
CompanyName Nom dans la propriété Company .
Service Nom dans la propriété Department .
DisplayName Nom complet du contact. Il s’agit du nom dans la propriété Nom complet du contact.
EmailAddress Adresse de n’importe quelle propriété d’adresse e-mail pour le contact. Les utilisateurs peuvent ajouter plusieurs adresses e-mail pour un contact. L’utilisation de cette propriété renvoie les contacts qui correspondent à l’une des adresses e-mail du contact.
FileAs Propriété File as . Cette propriété est utilisée pour spécifier la façon dont le contact est répertorié dans la liste de contacts de l’utilisateur. Par exemple, un contact peut être répertorié comme FirstName,LastName ou LastName,FirstName.
GivenName Nom dans la propriété First Name .
HomeAddress Adresse dans l’une des propriétés d’adresse de la maison .
HomePhone Numéro de téléphone dans l’une des propriétés numéro de téléphone personnel .
IMAddress Propriété d’adresse de messagerie instantanée, qui est généralement une adresse e-mail utilisée pour la messagerie instantanée.
MiddleName Nom dans la propriété Middle name.
MobilePhone Numéro de téléphone dans la propriété Numéro de téléphone mobile .
Nickname Nom dans la propriété Surnom .
OfficeLocation Valeur dans la propriété Emplacement Office ou Office .
OtherAddress Valeur de la propriété Autre adresse.
Surname Nom dans la propriété Last name.
Titre Titre dans la propriété Titre du travail .

Opérateurs de recherche

Les opérateurs de recherche booléenne, tels que AND, OR et NOT, vous aident à définir des recherches plus précises en incluant ou en excluant des mots spécifiques dans la requête de recherche. D’autres techniques, telles que l’utilisation d’opérateurs de propriété (tels que >= ou ..), des guillemets, des parenthèses et des caractères génériques, vous aident à affiner une requête de recherche. Le tableau suivant répertorie les opérateurs disponibles pour restreindre ou élargir les résultats de recherche.

Opérateur Utilisation Description
AND keyword1 AND keyword2 Retourne des éléments qui incluent tous les mots clés ou property:value expressions spécifiés. Par exemple, from:"Ann Beebe" AND subject:northwind renvoie tous les messages envoyés par Ann Beebe qui contiennent le mot northwind dans la ligne d’objet. 2
+ keyword1 + keyword2 + keyword3 Retourne les éléments qui contiennentkeyword2 ou keyword3et qui contiennent keyword1également . Par conséquent, cet exemple est équivalent à la requête (keyword2 OR keyword3) AND keyword1.

La requête keyword1 + keyword2 (avec un espace après le + symbole) n’est pas identique à l’utilisation de l’opérateur AND . Cette requête équivaudrait à "keyword1 + keyword2" et retournerait des éléments avec la phase "keyword1 + keyword2"exacte.
OR keyword1 OR keyword2 Retourne des éléments qui incluent un ou plusieurs mots clés ou property:value expressions spécifiés. 2
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

NOT kind :im

 Exclut les éléments spécifiés par un mot clé ou une property:value expression. Dans le deuxième exemple, exclut les messages envoyés par Ann Beebe. Le troisième exemple exclut toutes les conversations de messagerie instantanée, telles que les conversations Skype Entreprise enregistrées dans le dossier boîte aux lettres Historique des conversations. 2
NEAR keyword1 NEAR(n) keyword2 Retourne des éléments avec des mots proches les uns des autres. Dans la syntaxe keyword1 NEAR(n) keyword2 , n est égal au nombre de mots inclus de keyword1 et keyword2. Par exemple, pour identifier les instances où le terme le mieux se trouve à moins de 3 mots du pire (exemple de phrase, « Le meilleur est opposé au pire »), vous utiliseriez le meilleur NEAR(5) pire. Cela retourne tous les éléments où il y a 3 mots ou moins entre le meilleur (mot clé1) et le pire (mot clé2). La spécification de 5 dans l’exemple de syntaxe inclut les 2 mots clés et la différence de 3 mots entre eux est l’étendue NEAR. Si aucun nombre n’est spécifié, la valeur n par défaut est 8. 2
: property:value Le signe deux-points (:) dans la property:value syntaxe spécifie que la valeur de la propriété recherchée contient la valeur spécifiée. Par exemple, recipients:garthf@contoso.com retourne tout message envoyé à garthf@contoso.com.
= property=value Identique à l’opérateur : .
< property<value Indique que la propriété recherchée est inférieure à la valeur spécifiée. 1
> property>value Indique que la propriété recherchée est supérieure à la valeur spécifiée.1
<= property<=value Indique que la propriété recherchée est inférieure ou égale à la valeur spécifiée.1
>= property>=value Indique que la propriété recherchée est supérieure ou égale à la valeur spécifiée.1
.. property :value1.. value2 Indique que la propriété recherchée est supérieure ou égale à value1 et inférieure ou égale à value2.1
" " "fair value"

subject:"Quarterly Financials"

 Dans une requête mot clé (où vous tapez la property:value paire dans la zone Mot clé), utilisez des guillemets doubles (« ») pour rechercher une expression ou un terme exact. Toutefois, si vous utilisez la condition de rechercheSubject ou Subject/Title, n’ajoutez pas de guillemets doubles à la valeur, car les guillemets sont automatiquement ajoutés lors de l’utilisation de ces conditions de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.
* Chat*

subject :set*

 Recherche de préfixe (également appelée correspondance de préfixe) où un caractère générique ( * ) est placé à la fin d’un mot dans des mots clés ou property:value des requêtes. Dans les recherches de préfixes, la recherche retourne des résultats avec des termes qui contiennent le mot suivi de zéro ou plusieurs caractères. Par exemple, title:set* retourne des documents qui contiennent les mots « set », « setup » et « setting » (et d’autres mots commençant par « set ») dans le titre du document.

Note: Vous ne pouvez utiliser que des recherches de préfixe ; par exemple, cat* ou set*. Les recherches de suffixe (*cat), les recherches infix (c*t) et les recherches de sous-chaînes (*cat*) ne sont pas prises en charge.

En outre, l’ajout d’un point ( . ) à une recherche de préfixe modifie les résultats retournés. C’est parce qu’un point est traité comme un mot vide. Par exemple, la recherche de cat* et la recherche de cat.* retournent des résultats différents. Nous vous recommandons de ne pas utiliser un point dans une recherche de préfixe.
( ) (fair OR free) AND from:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

 Les parenthèses regroupent des expressions booléennes, property:value des éléments et des mots clés. Par exemple, (quarterly financials) retourne des éléments qui contiennent les mots trimestriel et financier.

Remarque

1 Utilisez cet opérateur pour les propriétés ayant des valeurs de date ou des valeurs numériques.
2 Les opérateurs booléens doivent être en majuscules, par exemple AND. Si vous utilisez un opérateur en minuscules, tel que et, il sera traité comme un mot clé dans la requête de recherche.

Conditions de recherche

Vous pouvez ajouter des conditions à une requête de recherche pour affiner une recherche et retourner un ensemble de résultats plus affiné. Chaque condition ajoute une clause à la requête de recherche KQL qui est créée et exécutée lorsque vous démarrez la recherche.

Conditions de propriétés communes

Créez une condition avec des propriétés communes lorsque vous recherchez des boîtes aux lettres et des sites dans la même recherche. Le tableau suivant répertorie les propriétés disponibles à utiliser lors de l’ajout d’une condition.

Condition Description
Date Pour le courrier électronique, date à laquelle un message a été créé ou importé à partir d’un fichier PST. Pour les documents, date de la dernière modification d’un document.

Si vous recherchez des messages électroniques pour une période spécifique, vous devez utiliser les conditions de message Reçu et Envoyé si vous ne savez pas si les messages électroniques ont été importés au lieu d’être créés en mode natif dans Exchange.
Expéditeur/auteur Pour la messagerie électronique, personne ayant envoyé le message. Pour les documents, personne mentionnée dans le champ Auteur des documents Office. Vous pouvez saisir plusieurs noms, séparés par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.
(Voir Extension de destinataire)
Taille (en octets) Pour la messagerie électronique et les documents, taille de l’élément (en octets).
Objet/Titre Pour la messagerie électronique, texte de la ligne d’objet d’un message. Pour les documents, titre du document. Comme expliqué précédemment, la propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Vous pouvez taper le nom de plusieurs valeurs d’objet/titre, séparées par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.
Étiquette de rétention Pour les e-mails et les documents, des étiquettes de rétention qui peuvent être appliquées automatiquement ou manuellement aux messages et documents. Les étiquettes de rétention peuvent être utilisées pour déclarer des enregistrements et vous aider à gérer le cycle de vie des données du contenu en appliquant des règles de rétention et de suppression spécifiées par l’étiquette. Vous pouvez taper une partie du nom de l’étiquette de rétention et utiliser un caractère générique ou taper le nom complet de l’étiquette. Pour plus d’informations sur les étiquettes de rétention, consultez En savoir plus sur les stratégies de rétention et les étiquettes de rétention.

Conditions pour les propriétés de messagerie

Créez une condition à l’aide des propriétés de messagerie lors de la recherche de boîtes aux lettres ou de dossiers publics dans Exchange Online. Le tableau suivant répertorie les propriétés d’e-mail que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés d’e-mail décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Type de message Type de message à rechercher. Il s’agit de la même propriété que la propriété de messagerie Kind. Valeurs possibles :
  • contacts
  • docs
  • email
  • Externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants Tous les champs de personnes dans un e-mail. Ces champs sont From, To, Cc et Cci. (Voir Extension de destinataire)
Type Propriété de classe de message pour un élément de messagerie. Il s’agit de la même propriété que la propriété d’e-mail ItemClass. Il s’agit également d’une condition à valeurs multiples. Par conséquent, pour sélectionner plusieurs classes de message, maintenez la touche Ctrl enfoncée , puis sélectionnez au moins deux classes de message dans la liste déroulante que vous souhaitez ajouter à la condition. Chaque classe de message que vous sélectionnez dans la liste est connectée logiquement par l’opérateur OR dans la requête de recherche correspondante.

Pour obtenir la liste des classes de message (et leur ID de classe de message correspondant) utilisées par Exchange et que vous pouvez sélectionner dans la liste Classe de message , voir Types d’éléments et classes de message.
Received Date à laquelle un message électronique a été reçu par un destinataire. Il s’agit de la même propriété que la propriété de messagerie Received.
Recipients Tous les champs de destinataire dans un e-mail. Ces champs sont To, Cc et Cci. (Voir Extension de destinataire)
Expéditeur Expéditeur d’un message électronique.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. Il s’agit de la même propriété que la propriété de messagerie Sent.
Sujet Texte de la ligne d’objet d’un message électronique.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.
À Destinataire d’un message électronique dans le champ À.

Conditions des propriétés de document

Créez une condition à l’aide des propriétés de document lors de la recherche de documents sur SharePoint et OneDrive Entreprise sites. Le tableau suivant répertorie les propriétés de document que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés de site décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Auteur Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine.
Titre Titre du document. Cette propriété correspond aux métadonnées spécifiées dans les documents Office. Il est différent du nom de fichier du document.
Créé Date de création d’un document.
Dernière modification Date de la dernière modification apportée à un document.
Type de fichier Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. Il s’agit de la même propriété que la propriété de site FileExtension.

Note: Si vous incluez une condition de type de fichier à l’aide de l’opérateur Égal ou Égal à l’un des opérateurs dans une requête de recherche, vous ne pouvez pas utiliser une recherche de préfixe (en incluant le caractère générique ( * ) à la fin du type de fichier) pour renvoyer toutes les versions d’un type de fichier. Si vous le faites, le caractère générique sera ignoré. Par exemple, si vous incluez la condition Equals any of doc*, seuls les fichiers avec une extension de .doc sont retournés. Les fichiers avec une extension de .docx ne seront pas retournés. Pour retourner toutes les versions d’un type de fichier, utilisez la paire propriété :value dans une requête mot clé , par exemple. filetype:doc*

Opérateurs utilisés avec des conditions

Lorsque vous ajoutez une condition, vous pouvez sélectionner un opérateur pertinent par rapport au type de propriété pour la condition. Le tableau suivant décrit les opérateurs qui sont utilisés avec les conditions et répertorie l’équivalent utilisé dans la requête de recherche.

Opérateur Équivalent dans la requête Description
Après property>date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés après la date spécifiée.
Avant property<date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés avant la date spécifiée.
Between date..date Utilisé avec les conditions de date et de taille. Lorsqu’il est utilisé avec une condition de date, renvoie les éléments qui ont été envoyés, reçus ou modifiés dans la plage de dates spécifiée. Lorsqu’il est utilisé avec une condition de taille, renvoie les éléments dont la taille est comprise dans la plage spécifiée.
Contient l’un des éléments (property:value) OR (property:value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui contiennent une partie d’une ou plusieurs valeurs de chaîne spécifiées.
Ne contient pas -property:value

NOT property:value

 Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent aucune partie de la valeur de chaîne spécifiée.
N’est pas égal à -property=value

NOT property=value

 Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent pas la chaîne spécifique.
Égal à size=value Retourne les éléments qui sont égaux à la taille spécifiée. 1
Est égal à l’un des éléments (property=value) OR (property=value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Retourne des éléments qui correspondent à une ou plusieurs valeurs de chaîne spécifiées.
Plus size>value Retourne les éléments pour lesquels la propriété spécifiée est supérieure à la valeur spécifiée. 1
Supérieur ou égal size>=value Retourne les éléments pour lesquels la propriété spécifiée est supérieure ou égale à la valeur spécifiée. 1
Moins size<value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Inférieur ou égal size<=value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Différent de size<>value Retourne les éléments qui n’ont pas la taille spécifiée. 1

Remarque

1 Cet opérateur est disponible uniquement pour les conditions qui utilisent la propriété Size.

Instructions relatives à l’utilisation des conditions

Gardez les points suivants à l’esprit lorsque vous utilisez des critères de recherche.

  • Une condition est connectée à la requête de mot-clé (spécifiée dans la zone de mot-clé) sur le plan logique par l’opérateur AND. Cela signifie que les éléments doivent satisfaire la requête de mot-clé et la condition pour être inclus dans les résultats. C’est ainsi que les conditions contribuent à affiner vos résultats.

  • Si vous ajoutez au moins deux conditions uniques à une requête de recherche (des conditions qui spécifient des propriétés différentes), celles-ci sont connectées sur le plan logique par l’opérateur ET. Cela signifie que seuls les éléments qui répondent à toutes les conditions (en plus des requêtes de mot-clé) sont renvoyés.

  • Si vous ajoutez plusieurs conditions pour la même propriété, celles-ci sont connectées sur le plan logique par l’opérateur OR. Cela signifie que les éléments renvoyés sont ceux qui satisfont la requête de mot-clé et l’une des conditions. Par conséquent, les groupes de mêmes conditions sont connectés par l’opérateur OR et les ensembles de conditions uniques sont connectés par l’opérateur AND.

  • Si vous ajoutez plusieurs valeurs (séparées par des virgules ou des points-virgules) à une condition unique, ces valeurs sont connectées par l’opérateur OU. Les éléments renvoyés sont ceux qui contiennent l’une des valeurs spécifiées pour la propriété dans la condition.

  • Toute condition qui utilise un opérateur avec la logique Contains et Equals retourne des résultats de recherche similaires pour les recherches de chaînes simples. Une recherche de chaîne simple est une chaîne dans la condition qui n’inclut pas de caractère générique). Par exemple, une condition qui utilise Equals any de retourne les mêmes éléments qu’une condition qui utilise Contains any of.

  • La requête de recherche créée à l’aide de la zone de mots clés et des conditions s’affiche dans la page Rechercher , dans le volet d’informations de la recherche sélectionnée. Dans une requête, tout ce qui se trouve à droite de la notation (c:c) indique des conditions qui sont ajoutées à la requête. (c:c) ne doit pas être utilisé dans les requêtes avec activation manuelle et n’est pas égal à AND ou OR.

  • Les conditions ajoutent uniquement des propriétés à la requête de recherche ; ils n’ajoutent pas d’opérateurs. C’est pourquoi la requête affichée dans le volet de détails n’affiche pas les opérateurs à droite de la (c:c) notation. KQL ajoute les opérateurs logiques (selon les règles expliquées précédemment) lors de l’exécution de la requête.

  • Vous pouvez utiliser le contrôle glisser-déplacer pour resséquencer l’ordre des conditions. Sélectionnez le contrôle d’une condition et déplacez-le vers le haut ou vers le bas.

  • Comme expliqué précédemment, certaines propriétés de condition vous permettent de taper plusieurs valeurs (séparées par des points-virgules). Chaque valeur est logiquement connectée par l’opérateur OR et génère la requête (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). L’illustration suivante montre un exemple de condition avec plusieurs valeurs.

    Une condition avec plusieurs valeurs.

    Remarque

    Vous ne pouvez pas ajouter plusieurs conditions (en sélectionnant Ajouter une condition pour la même propriété). Au lieu de cela, vous devez fournir plusieurs valeurs pour la condition (séparées par des points-virgules), comme indiqué dans l’exemple précédent.

Exemples

Les exemples suivants illustrent la version basée sur l’interface graphique utilisateur d’une requête de recherche avec des conditions, la syntaxe de requête de recherche affichée dans le volet d’informations de la recherche sélectionnée (qui est également retournée par l’applet de commande Get-ComplianceSearch ) et la logique de la requête KQL correspondante.

Exemple 1

Cet exemple montre comment renvoyer des éléments de courrier électronique ou des documents qui contiennent le mot clé « rapport », qui ont été envoyés ou créés avant le 1er avril 2021 et qui contiennent le mot « northwind » dans le champ d’objet des messages électroniques ou dans la propriété title des documents. La requête exclut les pages Web qui répondent à d’autres critères de recherche.

Interface graphique utilisateur :

Deuxième exemple de conditions de recherche.

Syntaxe de requête de recherche :

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Logique de requête de recherche :

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Exemple 2

Cet exemple renvoie des messages électroniques ou des réunions de calendrier qui ont été envoyés entre le 1er décembre 2019 et le 30 novembre 2020 et qui contiennent des mots commençant par « téléphone » ou « smartphone ».

Interface graphique utilisateur :

Troisième exemple de conditions de recherche.

Syntaxe de requête de recherche :

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Logique de requête de recherche :

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Caractères spéciaux

Certains caractères spéciaux ne sont pas inclus dans l’index de recherche et ne peuvent donc pas faire l’objet d’une recherche. Cela inclut également les caractères spéciaux qui représentent les opérateurs de recherche dans la requête de recherche. Voici une liste de caractères spéciaux qui sont remplacés par un espace vide dans la requête de recherche réelle ou qui provoquent une erreur de recherche.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Types de données sensibles utilisables dans une requête

Vous pouvez utiliser les outils de recherche eDiscovery dans le portail de conformité pour rechercher des données sensibles, telles que des numéros de carte de crédit ou de sécurité sociale, qui sont stockées dans des documents sur des sites SharePoint et OneDrive Entreprise. Pour ce faire, utilisez la SensitiveType propriété et le nom (ou l’ID) d’un type d’informations sensibles dans une requête mot clé. Par exemple, la requête SensitiveType:"Credit Card Number" retourne des documents qui contiennent un numéro de carte de crédit. La requête SensitiveType:"U.S. Social Security Number (SSN)" retourne des documents qui contiennent un numéro de sécurité sociale américain.

Pour afficher la liste des types d’informations sensibles que vous pouvez rechercher, accédez à Classifications> de donnéesTypes d’informations sensibles dans le portail de conformité. Vous pouvez également utiliser l’applet de commande Get-DlpSensitiveInformationType dans Security & Compliance PowerShell pour afficher la liste des types d’informations sensibles.

Limitations de la recherche de types de données sensibles

  • Pour rechercher des types d’informations sensibles personnalisés, vous devez spécifier l’ID du type d’informations sensibles dans la SensitiveType propriété . L’utilisation du nom d’un type d’informations sensibles personnalisé (comme indiqué dans l’exemple pour les types d’informations sensibles intégrés dans la section précédente) ne retourne aucun résultat. Utilisez la colonne Serveur de publication de la page Types d’informations sensibles dans le portail de conformité (ou la propriété Publisher dans PowerShell) pour faire la distinction entre les types d’informations sensibles intégrés et personnalisés. Les types de données sensibles intégrés ont une valeur pour Microsoft Corporation la propriété Publisher .

    Pour afficher le nom et l’ID des types de données sensibles personnalisés dans votre organization, exécutez la commande suivante dans Security & Compliance PowerShell :

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id

    Vous pouvez ensuite utiliser l’ID dans la SensitiveType propriété de recherche pour retourner des documents qui contiennent le type de données sensibles personnalisé ; par exemple, SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Vous ne pouvez pas utiliser les types d’informations sensibles et la SensitiveType propriété de recherche pour rechercher des données sensibles au repos dans Exchange Online boîtes aux lettres. Cela inclut les messages de conversation 1 :1, les messages de conversation de groupe 1 :N et les conversations de canal d’équipe dans Microsoft Teams, car tout ce contenu est stocké dans des boîtes aux lettres. Toutefois, vous pouvez utiliser des stratégies de protection contre la perte de données (DLP) pour protéger les données sensibles des e-mails en transit. Pour plus d’informations, consultez En savoir plus sur la protection contre la perte de données et Rechercher et rechercher des données personnelles.

Rechercher du contenu de site partagé avec des utilisateurs externes

Vous pouvez également utiliser les outils de recherche eDiscovery dans le portail de conformité pour rechercher des documents stockés sur SharePoint et OneDrive Entreprise sites qui ont été partagés avec des personnes extérieures à votre organization. Ainsi, vous pouvez identifier les informations sensibles ou confidentielles qui sont partagées en dehors de votre organisation. Pour ce faire, utilisez la ViewableByExternalUsers propriété dans une requête mot clé. Cette propriété renvoie des documents ou des sites qui ont été partagés avec des utilisateurs externes à l’aide de l’une des méthodes de partage suivantes :

  • Invitation de partage qui oblige les utilisateurs à se connecter à votre organization en tant qu’utilisateur authentifié.
  • Lien invité anonyme, qui permet à toute personne disposant de ce lien d’accéder à la ressource sans avoir à être authentifiée.

Voici quelques exemples :

  • La requête ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" retourne tous les éléments qui ont été partagés avec des personnes extérieures à votre organization et qui contiennent un numéro de carte de crédit.
  • La requête ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" retourne une liste de documents sur tous les sites d’équipe dans le organization qui ont été partagés avec des utilisateurs externes.

Conseil

Une requête de recherche telle que ViewableByExternalUsers:true AND ContentType:document peut retourner un grand nombre de fichiers .aspx dans les résultats de la recherche. Pour éliminer ces types (ou d’autres types de fichiers), vous pouvez utiliser la FileExtension propriété pour exclure des types de fichiers spécifiques , par exemple ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

Qu’est-ce qui est considéré comme du contenu partagé avec des personnes extérieures à votre organisation ? Les documents dans les sites SharePoint et OneDrive Entreprise de votre organization qui sont partagés par l’envoi d’une invitation de partage ou qui sont partagés dans des emplacements publics. Par exemple, les activités utilisateur suivantes produisent du contenu visible par les utilisateurs externes :

  • Un utilisateur partage un fichier ou un dossier avec une personne extérieure à votre organisation.
  • Un utilisateur crée et envoie un lien vers un fichier partagé à une personne extérieure à votre organisation. Ce lien permet à l’utilisateur externe d’ouvrir (ou de modifier) le fichier.
  • Un utilisateur envoie une invitation de partage ou un lien invité à une personne extérieure à votre organisation pour ouvrir (ou modifier) un fichier partagé.

Problèmes liés à l’utilisation de la propriété ViewableByExternalUsers

Bien que la ViewableByExternalUsers propriété représente le status de partage d’un document ou d’un site avec des utilisateurs externes, il existe des mises en garde sur ce que cette propriété fait et ne reflète pas. Dans les scénarios suivants, la valeur de la ViewableByExternalUsers propriété n’est pas mise à jour et les résultats d’une requête de recherche qui utilise cette propriété peuvent être inexacts.

  • Modifications apportées à la stratégie de partage, telles que la désactivation du partage externe pour un site ou pour le organization. La propriété affiche toujours les documents précédemment partagés comme étant accessibles en externe, même si l’accès externe a peut-être été révoqué.
  • Modifications apportées à l’appartenance à un groupe, telles que l’ajout ou la suppression d’utilisateurs externes dans des groupes de sécurité Groupes Microsoft 365 ou Microsoft 365. La propriété n’est pas automatiquement mise à jour pour les éléments auxquels le groupe a accès.
  • Envoi d’invitations de partage à des utilisateurs externes pour lesquels le destinataire n’a pas accepté l’invitation et n’a donc pas encore accès au contenu.

Dans ces scénarios, la ViewableByExternalUsers propriété ne reflète pas le partage actuel status tant que le site ou la bibliothèque de documents n’est pas réindexé et réindexé.

Recherche de contenu de site partagé dans votre organization

Comme expliqué précédemment, vous pouvez utiliser la SharedWithUsersOWSUser propriété pour rechercher des documents qui ont été partagés entre des personnes de votre organization. Lorsqu’une personne partage un fichier (ou dossier) avec un autre utilisateur à l’intérieur de votre organization, un lien vers le fichier partagé apparaît sur la page Partagé avec moi dans le compte OneDrive Entreprise de la personne avec laquelle le fichier a été partagé. Par exemple, pour rechercher les documents qui ont été partagés avec Sara Davis, vous pouvez utiliser la requête SharedWithUsersOWSUser:"sarad@contoso.com". Si vous exportez les résultats de cette recherche, les documents d’origine (situés dans l’emplacement du contenu de la personne qui a partagé les documents avec Sara) sont téléchargés.

Les documents doivent être explicitement partagés avec un utilisateur spécifique pour être retournés dans les résultats de recherche lors de l’utilisation de la SharedWithUsersOWSUser propriété . Par exemple, lorsqu’une personne partage un document dans son compte OneDrive, elle a la possibilité de le partager avec n’importe qui (à l’intérieur ou à l’extérieur du organization), de le partager uniquement avec des personnes à l’intérieur du organization ou de le partager avec une personne spécifique. Voici une capture d’écran de la fenêtre Partager dans OneDrive qui montre les trois options de partage.

Seuls les fichiers partagés avec des personnes spécifiques sont retournés par une requête de recherche qui utilise la propriété SharedWithUsersOWSUser.

Seuls les documents partagés à l’aide de la troisième option (partagés avec des personnes spécifiques) sont retournés par une requête de recherche qui utilise la SharedWithUsersOWSUser propriété .

Recherche de conversations Skype Entreprise

Vous pouvez utiliser la requête mot clé suivante pour rechercher spécifiquement du contenu dans Skype Entreprise conversations :

kind:im

La requête de recherche précédente retourne également des conversations à partir de Microsoft Teams. Pour éviter cela, vous pouvez limiter les résultats de la recherche afin d’inclure uniquement les conversations Skype Entreprise à l’aide de la requête mot clé suivante :

kind:im AND subject:conversation

La requête mot clé précédente exclut les conversations dans Microsoft Teams, car Skype Entreprise conversations sont enregistrées en tant que messages électroniques avec une ligne Objet qui commence par le mot « Conversation ».

Pour rechercher Skype Entreprise conversations qui se sont produites dans une plage de dates spécifique, utilisez la requête mot clé suivante :

kind:im AND subject:conversation AND (received=startdate..enddate)

Limites de caractères pour les recherches

Il existe une limite de 4 000 caractères pour les requêtes de recherche lors de la recherche de contenu dans des sites SharePoint et des comptes OneDrive. Voici comment le nombre total de caractères dans la requête de recherche est calculé :

  • Les caractères dans mot clé requête de recherche (y compris les champs utilisateur et filtre) sont comptabilisés par rapport à cette limite.
  • Les caractères de n’importe quelle propriété d’emplacement (telles que les URL de tous les sites SharePoint ou des emplacements OneDrive recherchés) sont comptabilisés par rapport à cette limite.
  • Caractères dans tous les filtres d’autorisations de recherche appliqués à l’utilisateur exécutant le nombre de recherches par rapport à la limite.

Pour plus d’informations sur les limites de caractères, consultez Limites de recherche eDiscovery.

Remarque

La limite de 4 000 caractères s’applique à la recherche de contenu, à eDiscovery (Standard) et à eDiscovery (Premium).