Recherche de contenu dans des sites dans eDiscovery (préversion)
Lors de la recherche de documents et de fichiers situés dans des sites SharePoint ou OneDrive, il peut être judicieux d’ajuster l’approche de requête en fonction des métadonnées des documents et fichiers qui vous intéressent. Les fichiers et documents ont des propriétés pertinentes telles que Author, Created, CreatedBy, FileName, LastModifiedTime et Title. La plupart de ces propriétés ne sont pas pertinentes lors de la recherche de contenu de communication dans Exchange Online, et l’utilisation de ces propriétés peut entraîner des résultats inattendus si elles sont utilisées dans les documents et les communications. En outre, FileName et Title d’un document peuvent ne pas être identiques et l’utilisation de l’un ou de l’autre pour essayer de trouver un fichier avec un contenu spécifique peut entraîner des résultats différents ou inexacts. Gardez ces propriétés à l’esprit lors de la recherche de contenu de document et de fichier spécifique dans SharePoint et OneDrive.
Par exemple, pour rechercher du contenu lié aux documents créés par l’utilisateur 1, pour un projet appelé Tradewinds, pour des fichiers spécifiques nommés Financials et de janvier 2020 à janvier 2022, vous pouvez utiliser une requête avec les propriétés suivantes :
- Ajoutez l’utilisateur 1 comme source de données à la recherche.
- Sélectionnez le site OneDrive de l’utilisateur 1 comme emplacement d’intérêt.
- Ajoutez des groupes supplémentaires et leurs sites SharePoint associés liés au projet en tant que sources de données.
- Pour FileName, utilisez Financials
- Pour Mot clé, utilisez Tradewinds
- Pour Plage de dates, utilisez la plage du 1er janvier 2020 au 31 janvier 2022
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Le tableau suivant répertorie les propriétés SharePoint et OneDrive qui peuvent faire l’objet d’une recherche à l’aide des outils de recherche eDiscovery dans le portail Microsoft Purview ou à l’aide de l’applet de commande New-ComplianceSearch ou Set-ComplianceSearch .
Important
Bien que les documents et fichiers stockés sur SharePoint et OneDrive puissent avoir d’autres propriétés prises en charge dans d’autres services Microsoft 365, seules les propriétés de document et de fichier répertoriées dans ce tableau sont prises en charge dans les outils de recherche eDiscovery. La tentative d’inclure d’autres propriétés de document ou de fichier dans les recherches n’est pas prise en charge.
Il inclut un exemple de syntaxe property:value pour chaque propriété et une description des résultats de recherche renvoyés par ces exemples.
Propriété | Description de la propriété | Exemple | Résultats de recherche renvoyés par les exemples |
---|---|---|---|
Auteur | Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. | author:"Garth Fort" |
Tous les documents créés par Garth Fort. |
ContentType | Type de contenu SharePoint d’un élément, tel que Item, Document ou Video. | contenttype:document |
Tous les documents sont renvoyés. |
Créé | Date de création d’un élément. | created>=2021-06-01 |
Tous les éléments créés à partir du 1er juin 2021. |
CreatedBy | Personne qui a créé ou chargé un élément. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. | createdby:"Garth Fort" |
Tous les éléments créés ou chargés par Garth Fort. |
DetectedLanguage | Langue d’un élément. | detectedlanguage:english |
Tous les éléments en anglais. |
DocumentLink | Chemin d’accès (URL) d’un dossier spécifique sur un site SharePoint ou OneDrive. Si vous utilisez cette propriété, veillez à effectuer une recherche sur le site dans lequel se trouve le dossier spécifié. Nous vous recommandons d’utiliser cette propriété au lieu des propriétés Site et Path . Pour retourner des éléments situés dans les sous-dossiers du dossier que vous spécifiez pour la propriété documentlink, vous devez ajouter /* à l’URL du dossier spécifié . par exemple |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
Le premier exemple retourne tous les éléments du dossier OneDrive spécifié. Le deuxième exemple retourne des documents dans le dossier de site spécifié (et tous les sous-dossiers) qui contiennent le mot « confidentiel » dans le nom de fichier. |
FileExtension | Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. | fileextension:xlsx |
Tous les fichiers Excel (Excel 2007 et versions ultérieures) |
FileName | Nom d’un fichier. | filename:"marketing plan" |
Le premier exemple renvoie les fichiers contenant l’expression « marketing plan » (plan marketing) dans le titre. Le second exemple renvoie les fichiers contenant le mot « estimate » (devis) dans le nom du fichier. |
LastModifiedTime | Date à laquelle un élément a été modifié pour la dernière fois. | lastmodifiedtime>=2021-05-01 |
Le premier exemple retourne les éléments qui ont été modifiés à compter du 1er mai 2021. Le deuxième exemple retourne les éléments modifiés entre le 1er mai 2021 et le 1er juin 2021. |
ModifiedBy | Personne qui a apporté les dernières modifications. Veillez à utiliser le nom complet de l’utilisateur pour cette propriété. | modifiedby:"Garth Fort" |
Tous les éléments qui ont été modifiés en dernier par Garth Fort. |
SharedWithUsersOWSUser | Documents qui ont été partagés avec l’utilisateur spécifié et affichés dans la page Partagé avec moi dans le site OneDrive de l’utilisateur. Il s’agit de documents qui ont été explicitement partagés avec l’utilisateur spécifié par d’autres personnes de votre organization. Lorsque vous exportez des documents qui correspondent à une requête de recherche qui utilise la propriété SharedWithUsersOWSUser, les documents sont exportés à partir de l’emplacement de contenu d’origine de la personne qui a partagé le document avec l’utilisateur spécifié. Pour plus d’informations, consultez Recherche de contenu de site partagé dans votre organization. | sharedwithusersowsuser:garthf |
Les deux exemples retournent tous les documents internes qui ont été explicitement partagés avec Garth Fort et qui apparaissent dans la page Partagé avec moi dans le compte OneDrive de Garth Fort. |
Taille | Taille d'un élément, en octets. | size>=1 |
Le premier exemple renvoie les éléments dont la taille est supérieure à 1 octet. Le deuxième exemple renvoie les éléments dont la taille est comprise entre 1 et 10 000 octets. |
Titre | Titre du document. La propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Il est différent du nom de fichier du document. | title:"communication plan" |
Tout document qui contient l’expression « communication plan » (plan de communication) dans la propriété de métadonnées du titre d’un document Office. |
Vous pouvez utiliser les outils de recherche eDiscovery dans le portail Microsoft Purview pour rechercher des données sensibles, telles que des numéros de carte de crédit ou de sécurité sociale, stockées dans des documents sur des sites SharePoint et OneDrive. Pour ce faire, utilisez la SensitiveType
propriété et le nom (ou l’ID) d’un type d’informations sensibles dans une requête mot clé. Par exemple, la requête SensitiveType:"Credit Card Number"
retourne des documents qui contiennent un numéro de carte de crédit. La requête SensitiveType:"U.S. Social Security Number (SSN)"
retourne des documents qui contiennent un numéro de sécurité sociale américain.
Pour afficher la liste des types d’informations sensibles que vous pouvez rechercher, accédez à Classifications> de donnéesTypes d’informations sensibles dans le portail Microsoft Purview. Vous pouvez également utiliser l’applet de commande Get-DlpSensitiveInformationType dans Security & Compliance PowerShell pour afficher la liste des types d’informations sensibles.
Pour rechercher des types d’informations sensibles personnalisés, vous devez spécifier l’ID du type d’informations sensibles dans la
SensitiveType
propriété . L’utilisation du nom d’un type d’informations sensibles personnalisé (comme indiqué dans l’exemple pour les types d’informations sensibles intégrés dans la section précédente) ne retourne aucun résultat. Utilisez la colonne Publisher de la page Types d’informations sensibles dans le portail Microsoft Purview (ou la propriété Publisher dans PowerShell) pour faire la distinction entre les types d’informations sensibles intégrés et personnalisés. Les types de données sensibles intégrés ont une valeur pourMicrosoft Corporation
la propriété Publisher .Pour afficher le nom et l’ID des types de données sensibles personnalisés dans votre organization, exécutez la commande suivante dans Security & Compliance PowerShell :
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
Vous pouvez ensuite utiliser l’ID dans la
SensitiveType
propriété de recherche pour retourner des documents qui contiennent le type de données sensibles personnalisé ; par exemple,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
Vous ne pouvez pas utiliser les types d’informations sensibles et la
SensitiveType
propriété de recherche pour rechercher des données sensibles au repos dans Exchange Online boîtes aux lettres. Cela inclut les messages de conversation 1:1, les messages de conversation de groupe 1 :N et les conversations de canal d’équipe dans Microsoft Teams, car tout ce contenu est stocké dans des boîtes aux lettres. Toutefois, vous pouvez utiliser des stratégies de protection contre la perte de données (DLP) pour protéger les données sensibles des e-mails en transit. Pour plus d’informations, consultez En savoir plus sur la protection contre la perte de données et Rechercher et rechercher des données personnelles.
Il existe trois parties qui composent une requête de base : SensitiveType, plage de nombres et plage de confiance. Par exemple, SensitiveType :"<type> » est requis, et les deux |<plage de> nombres et |<la plage de> confiance est facultative.
Les requêtes commencent généralement par la propriété SensitiveType:"
et un nom de type d’informations provenant de l’inventaire des types d’informations sensibles, et se terminent par un "
. Vous pouvez également utiliser le nom d’un type d’informations sensibles personnalisé que vous avez créé pour votre organization. Par exemple, il se peut que vous recherchiez des documents qui contiennent des numéros de carte de crédit.
Dans un tel instance, vous utiliseriez le format suivant : SensitiveType:"Credit Card Number"
. Étant donné que vous n’avez pas inclus la plage de nombre ou la plage de confiance, la requête retourne chaque document dans lequel un numéro de carte de crédit est détecté. Il s'agit de la requête la plus simple que vous pouvez exécuter et qui renvoie le plus de résultats. Gardez à l'esprit que l'orthographe et l'espacement du type d'informations sensibles sont importants.
Les deux parties suivantes étant des plages, examinons rapidement à quoi ressemble une plage. Dans les requêtes SharePoint, une plage de base est représentée par deux nombres séparés par deux points, qui ressemblent à ceci : [number]..[number]
. Par instance, si 10..20
est utilisé, cette plage capture les nombres de 10 à 20. Il existe de nombreuses combinaisons de plages différentes et plusieurs sont abordées dans cet article.
Ajoutons une plage de comptage à la requête. Vous pouvez utiliser la plage de nombres pour définir le nombre d’occurrences d’informations sensibles qu’un document doit contenir avant d’être inclus dans les résultats de la requête. Par exemple, si vous souhaitez que votre requête retourne uniquement les documents qui contiennent exactement cinq numéros de carte de crédit, utilisez la commande suivante : SensitiveType:"Credit Card Number|5"
. La plage de nombre peut également vous aider à identifier les documents qui présentent un degré élevé de risque. Par exemple, votre organisation peut examiner les documents comportant cinq numéros de carte de crédit ou plus avec un risque élevé. Pour rechercher des documents correspondant à ce critère, vous devez utiliser la requête suivante : SensitiveType:"Credit Card Number|5.."
. Vous pouvez également trouver des documents avec cinq numéros de carte de crédit ou moins à l’aide de cette requête : SensitiveType:"Credit Card Number|..5"
.
Enfin, la plage de confiance est le niveau de confiance auquel le type d'informations sensibles détecté correspond réellement. Les valeurs de la plage de confiance fonctionnent de la même manière que celles de la plage de nombre. Vous pouvez créer une requête sans y inclure de plage de nombre. Par exemple, pour rechercher des documents avec un nombre quelconque de nombres de carte de crédit, tant que la plage de confiance est supérieure ou égal à 85 %, vous devez utiliser la requête suivante : SensitiveType:"Credit Card Number|*|85.."
.
Important
L’astérisque ( *
) est un caractère générique qui signifie que toute valeur fonctionne. Vous pouvez utiliser le caractère générique ( *
) dans la plage de comptage ou dans la plage de confiance, mais pas dans un type sensible.
Les requêtes dans SharePoint contiennent également la propriété LastSensitiveContentScan, qui peut vous aider à rechercher des fichiers analysés dans une période spécifique. Pour obtenir des exemples de requêtes avec la LastSensitiveContentScan
propriété , consultez exemples de requêtes complexes dans la section suivante.
Vous pouvez utiliser des propriétés de recherche SharePoint eDiscovery telles que Author
ou FileExtension
. Vous pouvez utiliser des opérateurs pour créer des requêtes complexes. Pour obtenir la liste des propriétés et opérateurs disponibles, consultez le billet de blog Utilisation des propriétés et opérateurs de recherche avec eDiscovery .
Les exemples suivants utilisent différents types sensibles, propriétés et opérateurs pour illustrer comment vous pouvez affiner vos requêtes afin de trouver exactement ce que vous recherchez.
Requête | Explication |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
Le nom peut sembler étrange, car il est si long, mais il s’agit du nom correct pour ce type sensible. Veillez à utiliser les noms exacts de l’inventaire des types d’informations sensibles. Vous pouvez également utiliser le nom d’un type d’informations sensibles personnalisé que vous avez créé pour votre organization. |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
Cela retourne des documents dont au moins une correspondance correspond au type sensible « Numéro de carte de crédit ». Les valeurs de chaque plage sont les valeurs minimales et maximales respectives. Un moyen plus simple d’écrire cette requête est SensitiveType:"Credit Card Number" , mais où est le plaisir dans cela ? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
Cette opération renvoie les documents avec 5 à 25 numéros de carte de crédit qui ont été numérisés entre le 11 août 2018 et le 13 août 2018. |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
Cette opération renvoie les documents avec 5 à 25 numéros de carte de crédit qui ont été numérisés entre le 11 août 2018 et le 13 août 2018. Les fichiers avec une extension XLSX ne sont pas inclus dans les résultats de la requête.
FileExtension est l’une des nombreuses propriétés que vous pouvez inclure dans une requête. Pour plus d’informations, consultez Utilisation des propriétés et opérateurs de recherche avec eDiscovery. |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
Cela renvoie les documents contenant un numéro de carte de crédit ou un numéro de sécurité sociale. |
Toutes les requêtes ne sont pas égales. Le tableau suivant fournit des exemples de requêtes qui ne fonctionnent pas dans SharePoint et explique pourquoi.
Requête non prise en charge | Reason |
---|---|
SensitiveType:"Credit Card Number|.." |
Vous devez ajouter au moins un nombre. |
SensitiveType:"NotARule" |
« NotARule » n’est pas un nom de type sensible valide. Seuls les noms de l’inventaire des types d’informations sensibles fonctionnent dans les requêtes eDiscovery. |
SensitiveType:"Credit Card Number|0" |
Zéro n’est pas valide comme valeur minimale ou valeur maximale dans une plage. |
SensitiveType:"Credit Card Number" |
Cela peut être difficile à voir, mais il y a un espace blanc supplémentaire entre « Crédit » et « Carte » qui rend la requête non valide. Utilisez des noms de types sensibles exacts à partir de l’inventaire des types d’informations sensibles. |
SensitiveType:"Credit Card Number|1. .3" |
La partie à deux périodes ne doit pas être séparée par un espace. |
SensitiveType:"Credit Card Number| |1..|80.." |
Il y a trop de séparateurs de canal (|). Suivez plutôt ce format : SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
Étant donné que les valeurs de confiance représentent un pourcentage, elles ne peuvent pas dépasser 100. Choisissez plutôt un nombre compris entre 1 et 100. |
Vous pouvez également utiliser les outils de recherche eDiscovery dans le portail Microsoft Purview pour rechercher des documents stockés sur des sites SharePoint et OneDrive qui ont été partagés avec des personnes extérieures à votre organization. Ainsi, vous pouvez identifier les informations sensibles ou confidentielles qui sont partagées en dehors de votre organisation. Pour ce faire, utilisez la ViewableByExternalUsers
propriété dans une requête mot clé. Cette propriété renvoie des documents ou des sites qui ont été partagés avec des utilisateurs externes à l’aide de l’une des méthodes de partage suivantes :
- Invitation de partage qui oblige les utilisateurs à se connecter à votre organization en tant qu’utilisateur authentifié.
- Lien invité anonyme, qui permet à toute personne disposant de ce lien d’accéder à la ressource sans avoir à être authentifiée.
Voici quelques exemples :
- La requête
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
retourne tous les éléments qui ont été partagés avec des personnes extérieures à votre organization et qui contiennent un numéro de carte de crédit. - La requête
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
retourne une liste de documents sur tous les sites d’équipe dans le organization qui ont été partagés avec des utilisateurs externes.
Conseil
Une requête de recherche telle que ViewableByExternalUsers:true AND ContentType:document
peut retourner un grand nombre de fichiers .aspx dans les résultats de la recherche. Pour éliminer ces types (ou d’autres types de fichiers), vous pouvez utiliser la FileExtension
propriété pour exclure des types de fichiers spécifiques , par exemple ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
.
Qu’est-ce qui est considéré comme du contenu partagé avec des personnes extérieures à votre organisation ? Documents dans les sites SharePoint et OneDrive de votre organization qui sont partagés par l’envoi d’une invitation de partage ou qui sont partagés dans des emplacements publics. Par exemple, les activités utilisateur suivantes produisent du contenu visible par les utilisateurs externes :
- Un utilisateur partage un fichier ou un dossier avec une personne extérieure à votre organisation.
- Un utilisateur crée et envoie un lien vers un fichier partagé à une personne extérieure à votre organisation. Ce lien permet à l’utilisateur externe d’ouvrir (ou de modifier) le fichier.
- Un utilisateur envoie une invitation de partage ou un lien invité à une personne extérieure à votre organisation pour ouvrir (ou modifier) un fichier partagé.
Bien que la ViewableByExternalUsers
propriété représente le status de partage d’un document ou d’un site avec des utilisateurs externes, il existe des mises en garde sur ce que cette propriété fait et ne reflète pas. Dans les scénarios suivants, la valeur de la ViewableByExternalUsers
propriété n’est pas mise à jour et les résultats d’une requête de recherche qui utilise cette propriété peuvent être inexacts.
- Modifications apportées à la stratégie de partage, telles que la désactivation du partage externe pour un site ou pour le organization. La propriété affiche toujours les documents précédemment partagés comme étant accessibles en externe, même si l’accès externe a peut-être été révoqué.
- Modifications apportées à l’appartenance à un groupe, telles que l’ajout ou la suppression d’utilisateurs externes dans des groupes de sécurité Groupes Microsoft 365 ou Microsoft 365. La propriété n’est pas automatiquement mise à jour pour les éléments auxquels le groupe a accès.
- Envoi d’invitations de partage à des utilisateurs externes pour lesquels le destinataire n’a pas accepté l’invitation et n’a donc pas encore accès au contenu.
Dans ces scénarios, la ViewableByExternalUsers
propriété ne reflète pas le partage actuel status tant que le site ou la bibliothèque de documents n’est pas réindexé et réindexé.
Vous pouvez utiliser la SharedWithUsersOWSUser
propriété pour rechercher des documents qui ont été partagés entre des personnes de votre organization. Lorsqu’une personne partage un fichier (ou dossier) avec un autre utilisateur à l’intérieur de votre organization, un lien vers le fichier partagé s’affiche sur la page Partagé avec moi dans le compte OneDrive de la personne avec laquelle le fichier a été partagé. Par exemple, pour rechercher les documents qui ont été partagés avec Sara Davis, vous pouvez utiliser la requête SharedWithUsersOWSUser:"sarad@contoso.com"
. Si vous exportez les résultats de cette recherche, les documents d’origine (situés à l’emplacement du contenu de la personne qui a partagé les documents avec Sara) sont téléchargés.
Les documents doivent être explicitement partagés avec un utilisateur spécifique pour être retournés dans les résultats de recherche lors de l’utilisation de la SharedWithUsersOWSUser
propriété . Par exemple, lorsqu’une personne partage un document dans son compte OneDrive, elle a la possibilité de le partager avec n’importe qui (à l’intérieur ou à l’extérieur du organization), de le partager uniquement avec des personnes à l’intérieur du organization ou de le partager avec une personne spécifique.
Seuls les documents partagés à l’aide de la troisième option (partagés avec des personnes spécifiques) sont retournés par une requête de recherche qui utilise la SharedWithUsersOWSUser
propriété .
Vous pouvez utiliser la requête mot clé suivante pour rechercher spécifiquement du contenu dans Skype Entreprise conversations :
kind:im
La requête de recherche précédente retourne également des conversations à partir de Microsoft Teams. Pour éviter cela, vous pouvez limiter les résultats de la recherche afin d’inclure uniquement les conversations Skype Entreprise à l’aide de la requête mot clé suivante :
kind:im AND subject:conversation
La requête mot clé précédente exclut les conversations dans Microsoft Teams, car Skype Entreprise conversations sont enregistrées en tant que messages électroniques avec une ligne Objet qui commence par le mot « Conversation ».
Pour rechercher Skype Entreprise conversations qui se sont produites dans une plage de dates spécifique, utilisez la requête mot clé suivante :
kind:im AND subject:conversation AND (received=startdate..enddate)
Pour plus d’informations sur les limites de caractères, consultez Limites de recherche eDiscovery.