Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Admins are often charged with finding out who knew what when in the most efficient and effective way possible to respond to requests concerning ongoing or potential litigation, internal investigations, and other scenarios. These requests are often urgent, involve multiple stakeholder teams, and have significant impact if not completed in a timely manner. Knowing how to find the right information is critical for admins to complete searches successfully and help their organizations to manage the risk and cost associated with eDiscovery requirements.
Tip
Get started with Microsoft Security Copilot to explore new ways to work smarter and faster using the power of AI. Learn more about Microsoft Security Copilot in Microsoft Purview.
When an eDiscovery request is submitted, often there's only partial information available for the admin to start to collect content that might be related to a particular investigation. The request might include user names, project titles, rough date ranges when the project was active, and not much more. From this information, the admin needs to create queries to find relevant content across Microsoft 365 services to determine the information needed for a particular project or subject. Understanding how information is stored and managed for these services help admins more efficiently find what they need quickly and in an effective manner.
Email, chat, meeting, and Microsoft 365 Copilot and Microsoft 365 Copilot Chat activity data (user prompts and Copilot responses) are all stored in Exchange Online. Many communication properties are available for searching items included in Exchange Online. Some properties such as From, Sent, Subject, and To are unique to certain items and aren't relevant when searching for files or documents in SharePoint and OneDrive. Including these types of properties when searching across workloads can sometimes lead to unexpected results.
For example, to find content related to specific users (User 1 and User 2), associated with a project called Tradewinds, and during January 2020 through January 2022, you might use a query with the following properties:
- Add User 1 and User 2's Exchange Online locations as data sources to the case
- Select User 1 and User 2's Exchange Online locations as data source.
- For Keyword, use Tradewinds
- For Date Range, use the January 1, 2020 to January 31, 2022 range
Important
For emails, when a keyword is used, we search subject, body, and many properties related to the participants. However, due to recipient expansion, search might not return expected results when using the alias or part of the alias. Therefore we recommend using the full UPN.
Searchable email properties
The following table lists the email message properties that can be searched by using the eDiscovery search tools in the Microsoft Purview portal.
Important
While email messages might have other properties supported in other Microsoft 365 services, only the email properties listed in this table are supported in eDiscovery search tools. Attempting to include other email messages properties in searches isn't supported.
The table includes an example of the property:value syntax for each property and a description of the search results returned by the examples. You can enter these property:value pairs in the keywords box for an eDiscovery search.
Note
When searching email properties, it's not possible to search for message headers. Header information isn't indexed for searches. Additionally, items in which the specified property is empty or blank aren't searchable. For example, using the property:value pair of subject:"" to search for email messages with an empty subject line returns zero results. This also applies when searching site and contact properties.
| Property | Property description | Examples | Search results returned by the examples |
|---|---|---|---|
| AttachmentNames | The names of files attached to an email message. | attachmentnames:annualreport.ppt |
Messages that have an attached file named annualreport.ppt. In the second example, using the wildcard character ( * ) returns messages with the word annual in the file name of an attachment.1 |
| Bcc | The Bcc field of an email message.1 | bcc:pilarp@contoso.com |
All examples return messages with Pilar Pinilla included in the Bcc field. (See Recipient Expansion) |
| Category | The categories to search. Categories can be defined by users by using Outlook or Outlook on the web (formerly known as Outlook Web App). The possible values are:
|
category:"Red Category" |
Messages that have been assigned the red category in the source mailboxes. |
| Cc | The Cc field of an email message.1 | cc:pilarp@contoso.com |
In both examples, messages with Pilar Pinilla specified in the Cc field. (See Recipient Expansion) |
| Folderid | The folder ID (GUID) of a specific mailbox folder in 48-character format. If you use this property, be sure to search the mailbox that the specified folder is located in. Only the specified folder is searched. Any subfolders in the folder isn't searched. To search subfolders, you need to use the Folderid property for the subfolder you want to search. | folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
The first example returns all items in the specified mailbox folder. The second example returns all items in the specified mailbox folder that were sent or received by garthf@contoso.com. |
| From | The sender of an email message.1 | from:pilarp@contoso.com |
Messages sent by the specified user. (See Recipient Expansion) |
| HasAttachment | Indicates whether a message has an attachment. Use the values true or false. | from:pilar@contoso.com AND hasattachment:true |
Messages sent by the specified user that have attachments. |
| Importance | The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. | importance:high |
Messages that are marked as high importance, medium importance, or low importance. |
| IsRead | Indicates whether messages have been read. Use the values true or false. | isread:true |
The first example returns messages with the IsRead property set to True. The second example returns messages with the IsRead property set to False. |
| ItemClass | Use this property to search specific third-party data types that your organization imported to Office 365. Use the following syntax for this property: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
The first example returns Facebook items that contain the word "contoso" in the Subject property. The second example returns Twitter items that were posted by Ann Beebe and that contain the keyword phrase "Northwind Traders". |
| Kind | The type of email message to search for. Possible values: contacts documentos correo electrónico externaldata faxes mensajería instantánea diarios reuniones microsoftteams (devuelve elementos de chats, reuniones y llamadas en Microsoft Teams) notas entradas fuentes rss tareas correo de voz |
kind:email |
El primer ejemplo devuelve mensajes de correo electrónico que cumplen los criterios de búsqueda. En el segundo ejemplo se devuelven mensajes de correo electrónico, conversaciones de mensajería instantánea (incluidas Skype Empresarial conversaciones y chats en Microsoft Teams) y mensajes de voz que cumplen los criterios de búsqueda. El tercer ejemplo devuelve elementos importados a buzones de Microsoft 365 de orígenes de datos de terceros, como Twitter, Facebook y Cisco Jabber que cumplen los criterios de búsqueda. Para obtener más información, consulte Archivado de datos de terceros en Office 365. |
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc.1 | participants:garthf@contoso.com |
Mensajes enviados por o enviados a garthf@contoso.com. El segundo ejemplo devuelve todos los mensajes enviados por o a un usuario en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Cantidad.Recibida | La fecha en la que un destinatario recibió un mensaje de correo electrónico. | received:2021-04-15 |
Mensajes recibidos el 15 de abril de 2021. El segundo ejemplo devuelve todos los mensajes recibidos entre el 1 de enero de 2021 y el 31 de marzo de 2021. |
| Recipientes | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc.1 | recipients:garthf@contoso.com |
Mensajes enviados a garthf@contoso.com. El segundo ejemplo devuelve los mensajes enviados a todos los destinatarios en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. | sent:2021-07-01 |
Mensajes que se enviaron en la fecha especificada o que se enviaron dentro del intervalo de fechas especificado. |
| Size | El tamaño de un elemento, en bytes. | size>26214400 |
Mensajes de más de 25 MB. El segundo ejemplo devuelve los mensajes que tienen un tamaño de entre 1 y 1 048 567 bytes (1 MB). |
| Asunto | El texto en la línea de asunto de un mensaje de correo electrónico.
Nota: Cuando se usa la propiedad Subject en una consulta, la búsqueda devuelve todos los mensajes en los que la línea de asunto contiene el texto que está buscando. En otras palabras, la consulta no devuelve solo los mensajes que tienen una coincidencia exacta. Por ejemplo, si busca |
subject:"Quarterly Financials" |
Mensajes que contienen la frase "Quarterly Financials" en cualquier parte del texto de la línea de asunto. El segundo ejemplo devuelve todos los mensajes que contienen la palabra northwind en la línea de asunto. |
| To | El campo Para de un mensaje de correo electrónico.1 | to:annb@contoso.com |
Todos los ejemplos devuelven mensajes en los que Ann Beebe está especificada en la línea Para. |
Nota:
1 Para el valor de una propiedad de destinatario, puede usar la dirección de correo electrónico (también denominada nombre principal de usuario (UPN)), el nombre para mostrar o el alias para especificar un usuario. Por ejemplo, puede usar annb@contoso.com, annb o "Ann Beebe" para especificar el usuario Ann Beebe.
Tipos de datos confidenciales que se pueden buscar
Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, almacenados en documentos en buzones de correo. Para ello, use la SensitiveType propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number" devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)" devuelve documentos que contienen un número de seguro social estadounidense.
Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de Microsoft Purview. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.
Expansión de destinatarios
Los buzones son almacenamiento flexible y algunos aspectos de la información del destinatario (especialmente para el remitente) los controlan los clientes que se conectan a un buzón. Los clientes pueden elegir las propiedades SMTP, Name o LegacyDN como dirección del remitente. Para compensar las variaciones en el comportamiento del cliente y cómo se almacenan los datos, la expansión de destinatarios de la búsqueda de exhibición de documentos electrónicos es una característica útil.
A menudo, los elementos enviados creados por algunos clientes solo almacenan el nombre del remitente, como John Doe, sin incluir la dirección SMTP como johndoe@contoso.com. Además, los elementos federados con sistemas heredados solo pueden almacenar LegacyExchangeDN, que es un identificador único que se usa en versiones anteriores de Exchange para representar un buzón o una lista de distribución. Los sistemas federados hacen referencia a mensajes o datos que se integran desde diferentes sistemas u organizaciones, lo que suele implicar sistemas heredados que usan formatos o identificadores antiguos.
La función de expansión de destinatarios resuelve el problema de no buscar lo suficientemente amplia ampliando la búsqueda para capturar el contenido almacenado con estas variaciones. Al consultar Microsoft Entra ID se expanden los valores especificados en el filtro de participantes. Esta expansión incluye la dirección de correo electrónico del usuario, UPN, alias, nombre para mostrar y LegacyExchangeDN. Esta expansión garantiza que las búsquedas conviertan una red más amplia, capturando todo el contenido relevante independientemente de cómo se almacene la información de los participantes y mejorará la precisión y la integridad de las búsquedas de exhibición de documentos electrónicos.
Al buscar en cualquiera de las propiedades de destinatario (From, To, Cc, Bcc, Participants y Recipients), Microsoft 365 intenta expandir la identidad de cada usuario buscándola en Microsoft Entra ID. Si el usuario se encuentra en Microsoft Entra ID, la consulta se expande para incluir la dirección de correo electrónico del usuario (o UPN), alias, nombre para mostrar y LegacyExchangeDN. Por ejemplo, una consulta como participants:ronnie@contoso.com se expande a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Para evitar la expansión del destinatario, agregue un carácter comodín (asterisco) al final de la dirección de correo electrónico y use un nombre de dominio reducido; por ejemplo, participants:"ronnie@contoso*" asegúrese de rodear la dirección de correo electrónico con comillas dobles.
Impedir la expansión de destinatarios en la consulta de búsqueda podría dar lugar a que los elementos pertinentes no se devuelvan en los resultados de la búsqueda. Email mensajes en Exchange se pueden guardar con diferentes formatos de texto en los campos de destinatario. La expansión de destinatarios está pensada para ayudar a mitigar este hecho devolviendo mensajes que podrían contener diferentes formatos de texto. Por lo tanto, evitar la expansión de destinatarios podría dar lugar a que la consulta de búsqueda no devuelva todos los elementos que podrían ser relevantes para la investigación.
La expansión de destinatarios no está diseñada para admitir escenarios que impliquen cambios en el nombre de usuario y el alias. Si el SMTP/UPN de un usuario ha cambiado, es posible que Microsoft Entra ID no encuentre al usuario, lo que da lugar a resultados de búsqueda incompletos. Además, LegacyExchangeDN, que rara vez cambia, podría no estar presente en el sustrato de todos los elementos de correo electrónico. La expansión de destinatarios solo controla los casos en los que el cliente usa LegacyExchangeDN en lugar de SMTP. Si la dirección SMTP cambia, pero LegacyExchangeDN no lo ha hecho, la expansión de destinatarios no ayuda y debe buscar y usar manualmente todas las variaciones de estas direcciones. Esto puede provocar que los usuarios crean erróneamente que la expansión de destinatarios detecta todas las variaciones, incluidos los cambios de nombre y SMTP.
En algunos escenarios, la expansión de destinatarios también puede provocar aciertos en elementos adicionales cuando se usan las búsquedas de la organización. Por ejemplo, el nombre para mostrar de un usuario podría formar parte del nombre para mostrar de otro usuario. Por ejemplo, un usuario podría tener un nombre para mostrar de John Doe y otro usuario podría tener un nombre para mostrar de John Doe Jr. Una búsqueda en toda la organización podría devolver resultados aciertos de ambos buzones. Considere la posibilidad de suprimir la expansión de destinatarios en este escenario agregando un punto al final de la dirección SMTP.
Nota:
Si necesita revisar o reducir los elementos devueltos por una consulta de búsqueda debido a la expansión de destinatarios, considere la posibilidad de usar características de eDiscovery premium. Puede buscar mensajes (aprovechando la expansión de destinatarios), agregarlos a un conjunto de revisión y, a continuación, usar consultas o filtros de conjuntos de revisiones para revisar o restringir los resultados.
Contenido almacenado en buzones de Exchange Online para eDiscovery
Un buzón de Exchange Online se usa principalmente para almacenar elementos relacionados con el correo electrónico, como mensajes, elementos de calendario, tareas y notas. Pero esto cambia a medida que más aplicaciones basadas en la nube también almacenan sus datos en el buzón de un usuario. Una ventaja de almacenar datos en un buzón es que puede usar las herramientas de búsqueda en eDiscovery para buscar, ver y exportar los datos de estas aplicaciones basadas en la nube.
Los datos de algunas de estas aplicaciones se almacenan en carpetas ocultas ubicadas en un subárbol de mensajes no predictivos (no IPM) en el buzón. Es posible que los datos de otras aplicaciones basadas en la nube no se almacenen en el buzón, pero están asociados al buzón y se devuelven en búsquedas (si esos datos coinciden con la consulta de búsqueda). Independientemente de si los datos basados en la nube se almacenan en o están asociados a un buzón de usuario, los datos no suelen ser visibles en un cliente de correo electrónico cuando un usuario abre su buzón.
En la tabla siguiente se enumeran las aplicaciones que almacenan o asocian datos a un buzón basado en la nube. The table also describes the type of content that each app produces.
| Microsoft 365 app | Description |
|---|---|
| Forms* | Forms and responses to a form are stored in files that are attached to email messages and stored in a hidden folder in the mailbox of the user who created the form. Forms created before April 2020 are stored as a PDF file. Forms created after 2020 are stored as a JSON file. Responses to a form are stored in a CSV file. When you export content from Forms in a PST file, this data is located in the ApplicationDataRoot folder in a subfolder named with the following globally unique identified (GUID): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Microsoft 365 Groups | Email messages, calendar items, contacts (People), notes, and tasks are stored in the mailbox that's associated with a Microsoft 365 group. |
| Microsoft 365 Copilot and Microsoft 365 Copilot Chat | All Copilot activity data (user prompts and Copilot responses) generated in supported Microsoft 365 apps and services is stored in custodian mailboxes. |
| Outlook/Exchange Online | Email messages, calendar items, contacts (People), notes, and tasks are stored in a user's mailbox. |
| People | Contacts in the People app (which are the same contacts as the ones accessible in Outlook) are stored in a user's mailbox. |
| Class Schedule | Plans created in Class Schedule are stored in the mailbox of the corresponding Microsoft 365 Group that is provisioned when a new plan is created. The alias for the group mailbox is the name of the plan. |
| Skype for Business | Conversations in Skype for Business are stored in the Conversation History folder in a user's mailbox. If the mailbox of a participant of a Skype meeting is placed on Litigation Hold or assigned to a retention policy, files attached to a meeting are retained in the participants mailbox. |
| Sway* | Sways are stored as an HTML file that is attached to an email message and stored in a hidden folder in the mailbox of the user who created the sway. When you export content from Sway in a PST file, this data is located in the ApplicationDataRoot folder in a subfolder named with the following GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Tasks | Tasks in the Tasks app (which are the same tasks as the ones accessible in Outlook) are stored in a user's mailbox. |
| Teams | Conversations that are part of a Teams channel are associated with the Teams mailbox. Conversations that are part of the Chat list in Teams (also called 1 x N chats) are associated with the mailbox of the users who participate in the chat. Also, summary information for meetings and calls in a Teams channel are associated with mailboxes of users who dialed into the meeting or call. So when searching for Teams content, you would search the Teams mailbox for content in channel conversations and search user mailboxes for content in 1 x N chats. |
| To-Do | Tasks (called to-dos, which are saved in to-do lists) in the To-Do app are stored in a user's mailbox. |
| Viva Engage | Conversations and comments within a Viva Engage community are associated with the Microsoft 365 group mailbox, as well as the user mailbox of the author and any named recipients (@ mentioned or Cc'ed users). Private messages sent outside of a Viva Engage community are stored in the mailbox of the users who participate in the private message. |
Note
* At this time, if a hold is placed on a mailbox using holds in eDiscovery cases, content from this app isn't preserved by the hold.