Ricerca di contenuto nei siti in eDiscovery (anteprima)
Quando si cercano documenti e file che si trovano nei siti di SharePoint o OneDrive, può essere opportuno modificare l'approccio alla query in base ai metadati per i documenti e i file di interesse. I file e i documenti hanno proprietà rilevanti, ad esempio Author, Created, CreatedBy, FileName, LastModifiedTime e Title. La maggior parte di queste proprietà non è rilevante quando si cercano contenuti delle comunicazioni in Exchange Online; inoltre, l'uso di queste proprietà può causare risultati imprevisti se si utilizzano le suddette nei documenti e nelle comunicazioni. Inoltre, FileName e Title di un documento potrebbero non essere uguali e l'uso di una o dell'altra proprietà per cercare un file con contenuto specifico potrebbe portare a risultati diversi o imprecisi. Tenere presenti queste proprietà durante la ricerca di contenuto di documenti e file specifici in SharePoint e OneDrive.
Ad esempio, per trovare contenuti correlati ai documenti creati dall'Utente 1, per un progetto denominato Tradewinds, per file specifici denominati Financials e per il periodo compreso tra gennaio 2020 e gennaio 2022, è possibile usare una query con le proprietà seguenti:
- Aggiungere l'utente 1 come origine dati alla ricerca.
- Selezionare il sito di OneDrive dell'utente 1 come posizione di interesse.
- Aggiungere altri gruppi e i siti di SharePoint associati correlati al progetto come origini dati.
- Per FileName usare Financials
- Per Keyword, usare Tradewinds
- Per Date range, usare l'intervallo dal January 1 2020 a January 31 2022
Suggerimento
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Nella tabella seguente sono elencate le proprietà di SharePoint e OneDrive in cui è possibile eseguire ricerche usando gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview o usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch .
Importante
Anche se i documenti e i file archiviati in SharePoint e OneDrive possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà dei documenti e dei file elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà di documenti o file nelle ricerche non è supportato.
Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi.
Proprietà | Descrizione proprietà | Esempio | Risultati di ricerca restituiti dagli esempi |
---|---|---|---|
Author | Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | author:"Garth Fort" |
Tutti i documenti creati da Garth Fort. |
ContentType | Il tipo di contenuti di SharePoint di un elemento, come Item (Elemento), Document (Documento) o Video (Video). | contenttype:document |
Vengono restituiti tutti i documenti. |
Creazione | La data di creazione di un elemento. | created>=2021-06-01 |
Tutti gli elementi creati a partire dal 1° giugno 2021. |
CreatedBy | L'utente che ha creato o caricato un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | createdby:"Garth Fort" |
Tutti gli elementi creati o caricati da Garth Fort. |
DetectedLanguage | La lingua di un elemento. | detectedlanguage:english |
Tutti gli elementi in lingua inglese. |
DocumentLink | Percorso (URL) di una cartella specifica in un sito di SharePoint o OneDrive. Se si utilizza questa proprietà, assicurarsi di cercare nel sito in cui si trova la cartella specificata. È consigliabile usare questa proprietà anziché quelle Site e Path. Per restituire gli elementi che si trovano nelle sottocartelle della cartella specificata per la proprietà documentlink, è necessario aggiungere /* all'URL della cartella specificata, per esempio |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
Il primo esempio restituisce tutti gli elementi nella cartella di OneDrive specificata. Il secondo esempio restituisce i documenti presenti nella cartella del sito specificata (e tutte le sottocartelle) che contengono la parola "confidential" nel nome del file. |
FileExtension | Estensione di un file; ad esempio docx, one, pptx o xlsx. | fileextension:xlsx |
Tutti i file Excel (Excel 2007 e versioni successive) |
FileName | Il nome di un file. | filename:"marketing plan" |
Il primo esempio restituisce i file con la frase esatta "marketing plan" nel titolo. Il secondo esempio restituisce i file con la parola "estimate" nel nome file. |
LastModifiedTime | La data dell'ultima modifica di un elemento. | lastmodifiedtime>=2021-05-01 |
Il primo esempio restituisce gli elementi che sono stati modificati a partire dal 1° maggio 2021. Il secondo esempio restituisce gli elementi modificati tra il 1° maggio 2021 e il 1° giugno 2021. |
ModifiedBy | L'autore dell'ultima modifica di un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | modifiedby:"Garth Fort" |
Tutti gli elementi in cui l’ultima modifica è stata apportata da Garth Fort. |
SharedWithUsersOWSUser | Documenti condivisi con l'utente specificato e visualizzati nella pagina Condivisi con l'utente corrente nel sito di OneDrive dell'utente. Si tratta di documenti che sono stati condivisi in modo esplicito con l'utente specificato da altre persone dell'organizzazione. Quando si esportano documenti che corrispondono a una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser, i documenti vengono esportati dal percorso del contenuto originale della persona che ha condiviso il documento con l'utente specificato. Per altre informazioni, vedere Ricerca di contenuti dei siti condivisi all'interno dell'organizzazione. | sharedwithusersowsuser:garthf |
Entrambi gli esempi restituiscono tutti i documenti interni condivisi in modo esplicito con Garth Fort e visualizzati nella pagina Condivisi con l'utente corrente nell'account OneDrive di Garth Fort. |
Dimensioni | Le dimensioni di un elemento, in byte. | size>=1 |
Il primo esempio restituisce gli elementi di dimensioni maggiori di 1 byte. Il secondo esempio restituisce gli elementi di dimensioni comprese tra 1 e 10.000 byte. |
Titolo | Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È qualcosa di diverso dal nome file del documento. | title:"communication plan" |
Qualsiasi documento contenente la frase "communication plan" nella proprietà di metadati Title di un documento di Office. |
È possibile usare gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview per cercare dati sensibili, ad esempio numeri di carta di credito o numeri di previdenza sociale, archiviati in documenti nei siti di SharePoint e OneDrive. A tale scopo, usare la proprietà SensitiveType
e il nome (o ID) di un tipo di informazioni sensibili in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number"
restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)"
restituisce i documenti che contengono un numero di previdenza sociale degli Stati Uniti.
Per visualizzare un elenco dei tipi di informazioni riservate che è possibile cercare, passare a Classificazioni> dei datiTipi di informazioni sensibili nel portale Microsoft Purview. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in PowerShell Security & Compliance per visualizzare un elenco di tipi di informazioni riservate.
Per cercare tipi di informazioni sensibili personalizzati, è necessario specificare l'ID del tipo di informazioni sensibili nella proprietà
SensitiveType
. L'uso del nome di un tipo di informazioni sensibili personalizzato (come illustrato nell'esempio per i tipi di informazioni sensibili predefiniti nella sezione precedente) non restituisce alcun risultato. Usare la colonna Server di pubblicazione nella pagina Tipi di informazioni sensibili nel portale di Microsoft Purview (o nella proprietà Publisher in PowerShell) per distinguere tra tipi di informazioni sensibili predefiniti e personalizzati. I tipi di dati sensibili predefiniti hanno un valoreMicrosoft Corporation
per la proprietà Publisher.Per visualizzare il nome e l'ID per i tipi di dati sensibili personalizzati nell'organizzazione, eseguire il comando seguente in PowerShell sicurezza & conformità:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
È quindi possibile utilizzare l'ID nella proprietà di ricerca
SensitiveType
per restituire i documenti che contengono il tipo di dati sensibili personalizzato, ad esempioSensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
Non è possibile usare i tipi di informazioni riservate e la proprietà di ricerca
SensitiveType
per cercare i dati sensibili inattivi nelle cassette postali di Exchange Online. Sono inclusi messaggi di chat 1:1, i messaggi di chat di gruppo 1:N e conversazioni del canale del team in Microsoft Teams, in quanto tutti questi contenuti sono archiviati nelle cassette postali. Tuttavia, è possibile usare i criteri di prevenzione della perdita dei dati (DLP) per proteggere i dati e-mail sensibili in movimento. Per altre informazioni, vedere Informazioni sulla prevenzione della perdita di dati e Cercare e trovare dati personali.
Esistono tre parti che costituiscono una query di base: SensitiveType, intervallo di conteggio e intervallo di confidenza. Ad esempio, SensitiveType:"<type>" è obbligatorio e sia |<intervallo> count e |<l'intervallo di> confidenza è facoltativo.
Le query iniziano in genere con la proprietà SensitiveType:"
e un nome del tipo di informazioni dall'inventario dei tipi di informazioni sensibili e terminano con un "
oggetto . È anche possibile usare il nome di un tipo di informazioni sensibili personalizzato creato per l'organizzazione. Ad esempio, è possibile cercare documenti che includono numeri di carta di credito.
In un'istanza di questo tipo si userebbe il formato seguente: SensitiveType:"Credit Card Number"
. Poiché non è stato incluso l'intervallo di conteggio o l'intervallo di confidenza, la query restituisce ogni documento in cui viene rilevato un numero di carta di credito. Questa è la query più semplice da eseguire e restituisce il maggior numero di risultati. Ricordare che vengono presi in considerazione sia l'ortografia che il numero di spazi.
Entrambe le due parti successive sono intervalli, quindi esaminiamo rapidamente l'aspetto di un intervallo. Nelle query di SharePoint un intervallo di base è rappresentato da due numeri separati da due punti, simile al seguente: [number]..[number]
. Ad esempio, se 10..20
viene usato, tale intervallo acquisisce numeri compresi tra 10 e 20. Esistono molte combinazioni di intervalli diverse e molte sono trattate in questo articolo.
Aggiungere un intervallo di conteggio alla query. È possibile usare l'intervallo count per definire il numero di occorrenze di informazioni riservate che un documento deve contenere prima di essere incluso nei risultati della query. Ad esempio, se si desidera che la query restituisca solo i documenti che contengono esattamente cinque numeri di carta di credito, utilizzare il comando seguente: SensitiveType:"Credit Card Number|5"
. L'intervallo di conteggio consente anche di identificare i documenti a rischio elevato. Ad esempio, l'organizzazione potrebbe considerare a rischio i documenti con 5 o più numeri di carta di credito. Per trovare i documenti che si adattano a questo criterio, usare questa query: SensitiveType:"Credit Card Number|5.."
. In alternativa, è possibile trovare documenti con cinque o meno numeri di carta di credito usando questa query: SensitiveType:"Credit Card Number|..5"
.
Infine, intervallo di confidenza consiste nel livello di confidenza con il quale il tipo di informazione riservata identificata rappresenta effettivamente una corrispondenza. I valori relativi all'intervallo di confidenza funzionano in modo analogo all'intervallo di conteggio. È possibile creare una query senza includere un intervallo di conteggio. Ad esempio, per cercare i documenti con un numero qualsiasi di numeri di carta di credito, purché l'intervallo di confidenza sia dell'85% o superiore, usare questa query: SensitiveType:"Credit Card Number|*|85.."
.
Importante
L'asterisco ( *
) è un carattere jolly che indica che qualsiasi valore funziona. È possibile usare il carattere jolly ( *
) nell'intervallo count o nell'intervallo di confidenza, ma non in un tipo sensibile.
Le query in SharePoint contengono anche la proprietà LastSensitiveContentScan, che consente di cercare i file analizzati entro un intervallo di tempo specifico. Per esempi di query con la LastSensitiveContentScan
proprietà , vedere Esempi di query complesse nella sezione successiva.
È possibile usare le proprietà di ricerca di SharePoint eDiscovery, ad Author
esempio o FileExtension
. È possibile utilizzare gli operatori per creare query complesse. Per l'elenco delle proprietà e degli operatori disponibili, vedere il post di blog Using Search Properties and Operators with eDiscovery (Uso delle proprietà e degli operatori di ricerca con eDiscovery ).
Negli esempi seguenti vengono usati diversi tipi sensibili, proprietà e operatori per illustrare come è possibile perfezionare le query per trovare esattamente ciò che si sta cercando.
Query | Spiegazione |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
Il nome potrebbe sembrare strano perché è così lungo, ma è il nome corretto per quel tipo sensibile. Assicurarsi di usare nomi esatti dell'inventario dei tipi di informazioni riservate. È anche possibile usare il nome di un tipo di informazioni sensibili personalizzato creato per l'organizzazione. |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
In questo modo vengono restituiti documenti con almeno una corrispondenza con il tipo sensibile "Numero carta di credito". I valori per ogni intervallo sono i rispettivi valori minimo e massimo. Un modo più semplice per scrivere questa query è SensitiveType:"Credit Card Number" , ma dov'è il divertimento? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
Vengono restituiti i documenti con numeri di carta di credito da 5 a 25 analizzati dall'11 agosto 2018 al 13 agosto 2018. |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
Vengono restituiti i documenti con numeri di carta di credito da 5 a 25 analizzati dall'11 agosto 2018 al 13 agosto 2018. I file con estensione XLSX non sono inclusi nei risultati della query.
FileExtension è una delle molte proprietà che è possibile includere in una query. Per altre informazioni, vedere Uso di proprietà e operatori di ricerca con eDiscovery. |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
In questo modo vengono restituiti i documenti che contengono sia un numero di carta di credito che un numero di previdenza sociale. |
Non tutte le query vengono create allo stesso modo. La tabella seguente fornisce esempi di query che non funzionano in SharePoint e ne descrive il motivo.
Query non supportate | Motivo |
---|---|
SensitiveType:"Credit Card Number|.." |
Aggiungere almeno un numero. |
SensitiveType:"NotARule" |
"NotARule" non è un nome di tipo sensibile valido. Nelle query di eDiscovery funzionano solo i nomi nell'inventario dei tipi di informazioni riservate . |
SensitiveType:"Credit Card Number|0" |
Zero non è valido come valore minimo o massimo in un intervallo. |
SensitiveType:"Credit Card Number" |
Potrebbe essere difficile da vedere, ma c'è spazio vuoto aggiuntivo tra "Credito" e "Carta" che rende la query non valida. Usare nomi di tipo sensibili esatti dall'inventario dei tipi di informazioni sensibili. |
SensitiveType:"Credit Card Number|1. .3" |
La parte a due punti non deve essere separata da uno spazio. |
SensitiveType:"Credit Card Number| |1..|80.." |
Vengono utilizzate troppe barre verticali come delimitatore (|). Seguire invece questo formato: SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
Poiché i valori di confidenza rappresentano una percentuale, non possono superare 100. Scegliere un numero compreso tra 1 e 100. |
È anche possibile usare gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview per cercare i documenti archiviati nei siti di SharePoint e OneDrive condivisi con persone esterne all'organizzazione. Ciò consente di identificare informazioni proprietarie o sensibili condivise all'esterno dell'organizzazione. È possibile effettuare questa operazione utilizzando la proprietà ViewableByExternalUsers
in una query con parole chiave. Questa proprietà restituisce documenti o siti condivisi con utenti esterni usando uno dei metodi di condivisione seguenti:
- Un invito alla condivisione che richiede agli utenti di accedere all'organizzazione come utenti autenticati.
- Un collegamento guest anonimo, che consente a chiunque sia in possesso di questo link di accedere alla risorsa senza eseguire l'autenticazione.
Ecco alcuni esempi:
- La query
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
restituisce tutti gli elementi che sono stati condivisi con utenti all'esterno dell'organizzazione e che contengono un numero di carta di credito. - La query
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
restituisce un elenco di documenti su tutti i siti dei team nell'organizzazione che sono stati condivisi con utenti esterni.
Suggerimento
Una query di ricerca come ViewableByExternalUsers:true AND ContentType:document
può restituire molti file con estensione .aspx nei risultati della ricerca. Per eliminare questi o altri tipi di file, è possibile utilizzare la proprietà FileExtension
per escludere tipi di file specifici; ad esempio ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
.
Cosa è considerato un contenuto condiviso con persone esterne all'organizzazione? Documenti nei siti di SharePoint e OneDrive dell'organizzazione condivisi inviando un invito alla condivisione o condivisi in posizioni pubbliche. Ad esempio, le attività degli utenti seguenti producono dei contenuti visualizzabili da utenti esterni:
- Un utente condivide un file o una cartella con una persona esterna all'organizzazione.
- Un utente crea e invia un collegamento a un file condiviso a una persona esterna all'organizzazione. Questo collegamento consente all'utente esterno di visualizzare (o modificare) il file.
- Un utente invia un invito alla condivisione o un collegamento guest a una persona esterna all'organizzazione per visualizzare (o modificare) un file condiviso.
Anche se la proprietà ViewableByExternalUsers
indica se un documento o un sito è stato condiviso con utenti esterni, esistono alcune avvertenze su ciò che questa proprietà riflette o meno. Negli scenari seguenti, il valore della proprietà ViewableByExternalUsers
non verrà aggiornato e i risultati di una query di ricerca che usa questa proprietà potrebbero non essere accurati.
- Modifiche ai criteri di condivisione, ad esempio la disattivazione della condivisione esterna per un sito o per l'organizzazione. La proprietà mostrerà comunque i documenti condivisi in precedenza come accessibili esternamente, anche se l'accesso esterno potrebbe essere stato revocato.
- Modifiche all'appartenenza a gruppi, ad esempio l'aggiunta o la rimozione di utenti esterni ai Gruppi di Microsoft 365 o ai gruppi di Sicurezza di Modifiche 365. La proprietà non verrà aggiornata automaticamente per gli elementi a cui il gruppo ha accesso.
- Invio di inviti di condivisione a utenti esterni in cui il destinatario non ha accettato l'invito e per cui non ha pertanto ancora accesso al contenuto.
In questi scenari, la proprietà ViewableByExternalUsers
non rifletterà lo stato di condivisione corrente fino a quando il sito o la raccolta documenti non viene sottoposta di nuovo a ricerca o indicizzazione.
È possibile utilizzare la SharedWithUsersOWSUser
proprietà in modo da cercare i documenti che sono stati condivisi tra gli utenti dell'organizzazione. Quando una persona condivide un file (o una cartella) con un altro utente all'interno dell'organizzazione, un collegamento al file condiviso viene visualizzato nella pagina Condivisi con me nell'account OneDrive della persona con cui è stato condiviso il file. Ad esempio, per cercare i documenti condivisi con Sara Davis, è possibile usare la query SharedWithUsersOWSUser:"sarad@contoso.com"
. Se si esportano i risultati di questa ricerca, vengono scaricati i documenti originali (che si trovano nella posizione del contenuto della persona che ha condiviso i documenti con Sara).
Perché siano restituiti nei risultati della ricerca quando si usa la proprietà SharedWithUsersOWSUser
, i documenti devono essere condivisi in modo esplicito con un utente specifico. Ad esempio, quando una persona condivide un documento nel proprio account OneDrive, ha la possibilità di condividerlo con chiunque (all'interno o all'esterno dell'organizzazione), solo con persone all'interno dell'organizzazione o con una persona specifica.
Solo i documenti condivisi tramite la terza opzione (condivisa con utenti specifici) vengono restituiti da una query di ricerca che utilizza la SharedWithUsersOWSUser
proprietà .
È possibile usare la query con parole chiave seguente per cercare in modo specifico il contenuto nelle conversazioni Skype for Business:
kind:im
La query di ricerca precedente restituisce anche chat di Microsoft Teams. Per evitare questo errore, è possibile limitare i risultati della ricerca in modo da includere solo conversazioni Skype for Business usando la query con parole chiave seguente:
kind:im AND subject:conversation
La query con parole chiave precedente esclude le chat in Microsoft Teams perché le conversazioni Skype for Business vengono salvate come messaggi e-mail con una riga dell'oggetto che inizia con la parola "Conversazione".
Per cercare conversazioni Skype for Business che hanno avuto luogo entro un intervallo di date specifico, usare la query con parole chiave seguente:
kind:im AND subject:conversation AND (received=startdate..enddate)
Per altre informazioni sui limiti dei caratteri, vedere Limiti delle ricerche di eDiscovery.