電子情報開示のキーワード クエリと検索条件

この記事では、 の電子情報開示検索ツールを使用して、メール アイテムで検索できる電子メールとドキュメントのプロパティ、Exchange Onlineでの Teams チャット会話のMicrosoft、SharePoint サイトとOneDrive for Business サイトに保存されているドキュメントについて説明します。Microsoft Purview コンプライアンス ポータル。

これには、コンテンツ検索、Microsoft Purview eDiscovery (Standard)、Microsoft Purview eDiscovery (Premium) (電子情報開示 (Premium) の電子情報開示検索はコレクションと呼ばれます) が含まれますセキュリティ & コンプライアンス PowerShell*-ComplianceSearch コマンドレットを使用して、これらのプロパティを検索することもできます。

この記事では、次についても説明します。

  • ブール検索演算子、検索条件、およびその他の検索クエリ技法を使用して、検索結果を絞り込む。
  • SharePoint および OneDrive for Business で機密情報の種類およびカスタムの機密情報の種類を検索する。
  • 組織外のユーザーと共有されているサイト コンテンツを検索します。

さまざまな電子情報開示検索を作成する手順については、次を参照してください。

注:

コンプライアンス ポータルの電子情報開示検索と、セキュリティ & コンプライアンス PowerShell の対応する *-ComplianceSearch コマンドレットでは、キーワード クエリ言語 (KQL) が使用されます。 詳細については、「キーワード クエリ言語 (KQL) 構文のリファレンス」を参照してください。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

検索可能なメール プロパティ

次の表に、コンプライアンス ポータルの電子情報開示検索ツールを使用するか、New-ComplianceSearch コマンドレットまたは Set-ComplianceSearch コマンドレットを使用して検索できる電子メール メッセージのプロパティを示します。 テーブルには、各 プロパティの property:value 構文の例と、例によって返される検索結果の説明が含まれています。 これらの property:value ペアは、電子情報開示検索の [キーワード] ボックスに入力できます。

注:

メール プロパティを検索するときは、指定されたプロパティが空のアイテムを検索することはできません。 たとえば、件名が空のメール メッセージを検索するときにsubject:"" というプロパティと値の組み合わせを使用した場合、結果は返されません。 これは、サイトと連絡先のプロパティの検索時にも当てはまります。

プロパティ プロパティの説明 例で返される検索結果
AttachmentNames メール メッセージに添付されているファイルの名前。 attachmentnames:annualreport.ppt

attachmentnames:annual*

という名前の添付ファイルを持つメッセージ annualreport.ppt。 2 番目の例では、ワイルドカード文字 ( * ) を使用すると、添付ファイルのファイル名に annual という単語を含むメッセージが返されます。1
Bcc メール メッセージの Bcc フィールド。1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

すべての例では、Bcc フィールドに Pilar Pinilla が含まれているメッセージが返されます。
(「受信者の拡張」を参照)
カテゴリ 検索するカテゴリ。 カテゴリは、ユーザーが Outlook または Outlook on the web (旧称: Outlook Web App) を使用して定義できます。 値は次のいずれかです。
  • green
  • orange
  • purple
  • red
  • yellow
category:"Red Category" ソース メールボックスの 赤い カテゴリが割り当てられているメッセージ。
Cc メール メッセージの Cc フィールド。1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

どちらの例でも、Cc フィールドに Pilar Pinilla が指定されたメッセージ。
(「受信者の拡張」を参照)
Folderid 48 文字形式の特定のメールボックス フォルダーのフォルダー ID (GUID)。 このプロパティを使う場合は、必ず指定したフォルダーが存在するメールボックスを検索するようにします。 指定したフォルダーのみが検索されます。 フォルダー内のサブフォルダーは検索されません。 サブフォルダーを検索するには、検索するサブフォルダーの Folderid プロパティを使用する必要があります。

Folderid プロパティの検索とスクリプトを使用して特定のメールボックスのフォルダー ID を取得する方法の詳細については、「対象となるコレクションのコンテンツ検索を使用する」を参照してください。

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

最初の例では、指定したメールボックス フォルダー内のすべてのアイテムが返されます。 2 番目の例では、 によって garthf@contoso.com送受信された指定されたメールボックス フォルダー内のすべてのアイテムを返します。
送信元 メール メッセージの送信者。1 from:pilarp@contoso.com

from:contoso.com

指定されたユーザーによって送信された、または指定されたドメインから送信されたメッセージ。
(「受信者の拡張」を参照)
HasAttachment メッセージに添付ファイルがあるかどうかを示します。 値 true または false を使用します。 from:pilar@contoso.com AND hasattachment:true 指定したユーザーによって送信された添付ファイルを含むメッセージ。
Importance 送信者がメッセージを送信するときに指定できる電子メール メッセージの重要度。 既定では、送信者が重要度を high または low に設定していない限り、メッセージは普通の重要度で送信されます。 importance:high

importance:medium

importance:low

高重要度、中重要度、または低重要度とマークされているメッセージ。
IsRead メッセージが既読か未読かを示します。 値 true または false を使用します。 isread:true

isread:false

最初の例では、IsRead プロパティを True に設定されているメッセージが返されます。 2 番目の例では、IsRead プロパティが False に設定されているメッセージが返されます。
ItemClass このプロパティは、組織が Office 365 にインポートした特定のサード パーティのデータ型を検索するときに使います。 このプロパティには、次の構文を使用します。 itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

最初の例では、Subject プロパティに "contoso" という単語が含まれる Facebook アイテムが返されます。 2 番目の例では、Ann Beebe によって投稿された、"Northwind Traders" というキーワード語句を含む Twitter アイテムが返されます。

ItemClass プロパティのサード パーティのデータ型に使用する値の完全な一覧については、「コンテンツ検索を使用して、Office 365にインポートされたサード パーティのデータを検索する」を参照してください。

Kind 検索するメール メッセージの種類。 可能な値:

contacts

docs

email

externaldata

faxes

im

journals

meetings

microsoftteams (Microsoft Teams のチャット、会議、通話のアイテムが返されます)

notes

posts

rssfeeds

tasks

voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

最初の例では、検索条件に一致するメール メッセージが返されます。 2 番目の例では、検索条件に一致するメール メッセージ、インスタント メッセージ、会話 (Skype for Business の会話と Microsoft Teams のチャットを含みます) ボイス メッセージが返されます。 3 番目の例は、サード パーティのデータ ソース (Twitter、Facebook、Cisco Jabber など) から Office 365 のメールボックスにインポートされたアイテムのうち、検索条件に一致して、返されたアイテムです。 詳細については、「Office 365 でサードパーティのデータをアーカイブする」を参照してください。
Participants メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。1 participants:garthf@contoso.com

participants:contoso.com

によって送信または に garthf@contoso.com送信されるメッセージ。 2 番目の例は、contoso.com ドメイン内のユーザーが送信元または送信先のすべてのメッセージを返します。
(「受信者の拡張」を参照)
受信済み 電子メール メッセージが受信者によって受信された日付。 received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

2021 年 4 月 15 日に受信されたメッセージ。 2 番目の例では、2021 年 1 月 1 日から 2021 年 3 月 31 日の間に受信したすべてのメッセージを返します。
Recipients メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。1 recipients:garthf@contoso.com

recipients:contoso.com

に garthf@contoso.com送信されるメッセージ。 2 番目の例では、contoso.com ドメイン内のすべての受信者に送信されたメッセージを返します。
(「受信者の拡張」を参照)
送信日時 送信者によって電子メール メッセージが送信された日付。 sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

指定された日付に送信された、または指定された日付範囲内に送信されたメッセージ。
Size アイテムのサイズ (バイト数)。 size>26214400

size:1..1048567

25 MB を超えるメッセージ。 2 番目の例では、1 ~ 1,048,567 バイト (1 MB) のサイズのメッセージが返されます。
Subject 電子メール メッセージの件名行に含まれるテキスト。

注: クエリで Subject プロパティを使用すると、検索するテキストが件名に含まれているすべてのメッセージが返されます。 つまり、完全一致のメッセージのみがクエリで返されるわけではありません。 たとえば、 を subject:"Quarterly Financials"検索すると、"四半期財務 2018" という件名のメッセージが結果に含まれます。

subject:"Quarterly Financials"

subject:northwind

件名行のテキストのいずれかの箇所に "Quarterly Financials" を含むメッセージ。 2 番目の例では、件名行に「northwind」の語が含まれているすべてのメッセージを返します。
To メール メッセージの To フィールド。1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

いずれの例も、To: 行に "Ann Beebe" が指定されているメッセージを返します。

注:

1 recipient プロパティの値には、メール アドレス (ユーザー プリンシパル名または UPN とも呼ばれます)、表示名、またはエイリアスを使用してユーザーを指定できます。 たとえば、、annb、または "Ann Beebe" を使用 annb@contoso.comして、ユーザー Ann Beebe を指定できます。

受信者の展開

受信者のいずれかのプロパティ (From、To、Cc、Bcc、Participants、Recipients) を検索すると、Office 365 では、Azure Active Directory (Azure AD) でユーザーを検索して、各ユーザーの ID の拡張を試みます。 ユーザーが Azure Active Directory で見つかった場合はクエリが拡張され、そのユーザーのメール アドレス (または UPN)、エイリアス、表示名、LegacyExchangeDN が含まれるようになります。 たとえば、participants:ronnie@contoso.com などのクエリは、participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>" に拡張されます。

受信者の拡張を防ぐには、メール アドレスの末尾にワイルドカード文字 (アスタリスク) を追加し、たとえば、短縮したドメイン名を使用します。 participants:"ronnie@contoso*" 必ず、二重引用符でメール アドレスを囲みます。

ただし、検索クエリで受信者の拡張を防ぐと、関連するアイテムが検索結果に返されない可能性があります。 Exchange のメール メッセージは、受信者フィールドに異なるテキスト形式で保存できます。 受信者の拡張は、異なるテキスト形式を含む可能性のあるメッセージを返して、この事実を軽減することを目的としています。 受信者の拡張を防ぐと、検索クエリが調査に関連する可能性のあるすべてのアイテムを返さない結果になる可能性があります。

注:

受信者の拡張のために検索クエリによって返されるアイテムを確認または削減する必要がある場合は、電子情報開示 (Premium) の使用を検討してください。 受信者の拡張を利用してメッセージを検索し、それをレビュー セットに追加し、レビュー セットのクエリまたはフィルターを使用して結果を確認または絞り込みます。 詳細については、「ケース用にデータを収集する」および「レビュー セットのデータのクエリ」を参照してください。

検索可能なサイト プロパティ

次の表に、Microsoft Purview コンプライアンス ポータルの電子情報開示検索ツールを使用するか、New-ComplianceSearch コマンドレットまたは Set-ComplianceSearch コマンドレットを使用して検索できる SharePoint プロパティと OneDrive for Business プロパティの一部を示します。 テーブルには、各 プロパティの property:value 構文の例と、例によって返される検索結果の説明が含まれています。

検索可能な SharePoint プロパティの完全な一覧については、「クロールされたプロパティと管理プロパティの概要」を参照してください。 [クエリ可能] 列で [はい] と示されているプロパティが検索可能です。

プロパティ プロパティの説明 例で返される検索結果
Author Office ドキュメントの作成者フィールド。ドキュメントがコピーされた場合でもこのフィールは保持されます。 たとえば、ユーザーがドキュメントを作成して別のユーザーにメールで送信し、そのユーザーがそのドキュメントを SharePoint にアップロードした場合、そのドキュメントでは引き続き元の作成者が保持されます。 このプロパティには、必ずユーザーの表示名を使用してください。 author:"Garth Fort" Garth Fort によって作成されたすべてのドキュメント。
ContentType Item、Document、Video など、アイテムの SharePoint コンテンツ タイプ。 contenttype:document すべてのドキュメントが返されます。
Created アイテムが作成された日付。 created>=2021-06-01 2021 年 6 月 1 日以降に作成されたすべてのアイテム。
CreatedBy アイテムを作成またはアップロードした人。 このプロパティには、必ずユーザーの表示名を使用してください。 createdby:"Garth Fort" Garth Fort によって作成またはアップロードされたすべてのアイテム。
DetectedLanguage アイテムの言語。 detectedlanguage:english すべての英語のアイテム。
DocumentLink SharePoint または OneDrive for Business サイトの特定のフォルダーのパス (URL)。 このプロパティを使う場合は、必ず指定したフォルダーが存在するサイトを検索するようにします。

documentlink プロパティに指定したフォルダーのサブフォルダーにあるアイテムを返すには、指定したフォルダーの URL に /* を追加する必要があります。例えば documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


documentlink プロパティの検索とスクリプトを使用して特定のサイト上のフォルダーのドキュメントリンク URL を取得する方法の詳細については、「 対象となるコレクションのコンテンツ検索を使用する」を参照してください。

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

最初の例では、指定した OneDrive for Business フォルダー内のすべてのアイテムが返されます。 2 番目の例では、指定したサイト フォルダー (およびすべてのサブフォルダー) に存在するドキュメントで、ファイル名に "confidential" という単語が含まれるものが返されます。
FileExtension ファイルの拡張子。例: docx、one、pptx、xlsx など。 fileextension:xlsx すべての Excel ファイル (Excel 2007 以降)
FileName ファイルの名前。 filename:"marketing plan"

filename:estimate

最初の例では、タイトルに "marketing plan" と完全一致する語句が含まれるファイルが返されます。 2 番目の例では、ファイル名に "estimate" という単語を含むファイルが返されます。
LastModifiedTime アイテムが最後に変更された日付。 lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

最初の例では、2021 年 5 月 1 日以降に変更された項目を返します。 2 番目の例では、2021 年 5 月 1 日から 2021 年 6 月 1 日の間に変更されたアイテムを返します。
ModifiedBy アイテムを最後に変更した人。 このプロパティには、必ずユーザーの表示名を使用してください。 modifiedby:"Garth Fort" Garth Fort によって最後に変更されたすべてのアイテム。
Path SharePoint または OneDrive for Business サイトの特定のサイトのパス (URL)。

指定したサイトからのみアイテムを返すには、URL の末尾に末尾 / を追加する必要があります。たとえば、 path: "https://contoso.sharepoint.com/sites/international/"

path プロパティで指定したサイト内のフォルダーにあるアイテムを返すには、URL の末尾に追加 /* する必要があります。たとえば、 path: "https://contoso.sharepoint.com/Shared Documents/*"

メモ: プロパティを Path 使用して OneDrive の場所を検索しても、検索結果に.png、.tiff、.wav ファイルなどのメディア ファイルは返されません。 OneDrive フォルダー内のメディア ファイルを検索するには、検索クエリで別のサイト プロパティを使用します。

path:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/"

path:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/*" AND filename:confidential

最初の例では、指定した OneDrive for Business サイト内のすべてのアイテムが返されます。 2 番目の例では、指定したサイト フォルダー (およびサイト内のフォルダー) に存在するドキュメントで、ファイル名に "confidential" という単語が含まれるものが返されます。
SharedWithUsersOWSUser 指定したユーザーと共有されているドキュメントで、そのユーザーの OneDrive for Business サイトの [自分と共有] ページに表示されるドキュメント。 これらは、組織内の他のユーザーによって指定したユーザーと明示的に共有されているドキュメントです。 SharedWithUsersOWSUser プロパティを使う検索クエリと一致するドキュメントをエクスポートすると、ドキュメントは、指定したユーザーとドキュメントを共有しているユーザーの元のコンテンツの場所からエクスポートされます。 詳細については、「組織内で共有されているサイト コンテンツの検索」を参照してください。 sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

どちらの例でも、Garth Fort と明示的に共有されていて、Garth Fort の OneDrive for Business アカウントの [自分と共有] ページに表示されるすべての内部ドキュメントが返されます。
Site 組織内のサイトかサイトのグループの URL。 site:"https://contoso-my.sharepoint.com"

site:"https://contoso.sharepoint.com/sites/teams"

最初の例では、組織内のすべてのユーザー向けの OneDrive for Business のサイトからアイテムが返されます。 2 番目の例では、すべてのチーム サイトからアイテムが返されます。
Size アイテムのサイズ (バイト数)。 size>=1

size:1..10000

最初の例では、1 バイトより大きいアイテムが返されます。 2 番目の例では、1 ~ 10,000 バイトのサイズのメッセージが返されます。
Title ドキュメントのタイトル。 Title プロパティは、Microsoft Office ドキュメントに 指定されているメタデータです。 ドキュメントのファイル名とは異なります。 title:"communication plan" Office ドキュメントの Title メタデータ プロパティに "communication plan" という語句が含まれるすべてのドキュメント。

検索可能な連絡先プロパティ

次の表に、インデックスが作成され、電子情報開示検索ツールを使用して検索できる連絡先プロパティの一覧を示します。 これらは、ユーザーのメールボックスの個人用アドレス帳内にある連絡先 (個人の連絡先とも呼ばれます) に対してユーザーが構成できるプロパティです。 連絡先を検索するには、検索対象のメールボックスを選び、キーワード クエリで 1 つまたは複数の連絡先プロパティを使います。

ヒント

スペースまたは特殊文字を含む値を検索するには、二重引用符 (" ") を使用して語句を含めます。たとえば、 businessaddress:"123 Main Street"です。

プロパティ プロパティの説明
BusinessAddress 会社住所プロパティの住所。 このプロパティは連絡先のプロパティ ページでは勤務先住所とも呼ばれます。
BusinessPhone 勤務先電話番号プロパティの電話番号。
CompanyName 会社プロパティの名前。
Department 部門プロパティの名前。
DisplayName 連絡先の表示名。 これは、連絡先の氏名プロパティの名前です。
EmailAddress 連絡先のメール アドレス プロパティのアドレス。 1 つの連絡先に複数のメール アドレスを追加できます。 このプロパティを使うと、連絡先のメール アドレスのいずれかに一致する連絡先が返されます。
FileAs 表題プロパティ。 このプロパティは、ユーザーの連絡先一覧での連絡先の表示方法を指定するために使います。 たとえば、連絡先を FirstName、LastName、LastName、FirstName と表示できます。
GivenName プロパティの名前。
HomeAddress いずれかの自宅住所プロパティの住所。
HomePhone いずれかの自宅電話番号プロパティの電話番号。
IMAddress IM アドレス プロパティ。通常は、インスタント メッセージングに使うメール アドレスです。
MiddleName ミドル ネーム プロパティの名前。
MobilePhone 携帯電話番号プロパティの電話番号。
Nickname ニックネーム プロパティの名前。
OfficeLocation オフィス プロパティまたはオフィスの場所プロパティの値。
OtherAddress その他住所プロパティの値。
Surname プロパティの名前。
Title 役職プロパティの名前。

検索演算子

ANDORNOT などのブール演算子は、検索クエリで特定の語を含めたり除去したりすることにより、検索をより詳細に定義するために役立ちます。 プロパティ演算子 (>=..など)、引用符、かっこ、ワイルドカードを使用するといった他の技法も、検索クエリを調整するのに役立ちます。 検索結果を絞り込んだり、その範囲を広げたりするために使用できる演算子を次の表に示します。

演算子 用途 説明
AND keyword1 AND keyword2 指定したすべてのキーワードまたは property:value 式を含む項目を返します。 たとえば、 from:"Ann Beebe" AND subject:northwind 件名行に northwind という単語を含む Ann Beebe によって送信されたすべてのメッセージが返されます。 2
+ keyword1 + keyword2 + keyword3 または keyword3 を含む項目と、 も含keyword2まれるkeyword1項目を返します。 したがって、この例は クエリ (keyword2 OR keyword3) AND keyword1と同じです。

(シンボルの後にスペースを+含む) クエリkeyword1 + keyword2、AND 演算子を使用する場合と同じではありません。 このクエリは と同じ "keyword1 + keyword2" であり、正確なフェーズ "keyword1 + keyword2"を持つ項目が返されます。

OR keyword1 OR keyword2 指定したキーワードまたは property:value 式の 1 つ以上を含む項目を返します。 2
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

NOT kind:im

キーワードまたは式で指定された項目を property:value 除外します。 2 番目の例では、Ann Beebe によって送信されたメッセージを除外します。 3 番目の例では、[会話の履歴] メールボックス フォルダーに保存されている、Skype for Business の会話などのインスタント メッセージの会話をすべて除外します。 2
- keyword1 -keyword2 NOT 演算子と同じです。 そのため、このクエリは を含む項目を返し、 を含 keyword1keyword2項目を除外します。
NEAR keyword1 NEAR(n) keyword2 互いに近くにある単語を含むアイテムを返します。n は、何単語離れているかを示します。 たとえば、best NEAR(5) worst は、"best" の近くの 5 つの単語の中に "worst" という単語があるアイテムを返します。 数値が指定されていない場合、既定の間隔は 8 単語です。 2
: property:value コロン (:)構文では、 property:value 検索対象のプロパティの値に指定した値が含まれていることを指定します。 たとえば、 recipients:garthf@contoso.com に送信された garthf@contoso.comメッセージを返します。
= property=value : 演算子と同じです。
< property<value 検索対象のプロパティが指定の値より小さいことを意味します。 1
> property>value 検索対象のプロパティが指定の値より大きいことを意味します。1
<= property<=value 検索対象のプロパティが特定の値以下であることを意味します。1
>= property>=value 検索対象のプロパティが特定の値以上であることを意味します。1
.. property:value1..value2 検索対象のプロパティが value1 以上で value2 以下であることを意味します。1
" " "fair value"

subject:"Quarterly Financials"

キーワード クエリ ([キーワード] ボックスにペアをproperty:value入力します) で、二重引用符 (" ") を使用して正確な語句または用語を検索します。 ただし、 件名 または 件名/タイトルの検索条件 を使用する場合は、これらの検索条件を使用すると引用符が自動的に追加されるため、値に二重引用符を追加しないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリからエラーが返されます。
* 猫*

subject:set*

キーワードまたはproperty:valueクエリの単語の末尾にワイルドカード文字 ( * ) が配置されるプレフィックス検索 (プレフィックス マッチングとも呼ばれます)。 プレフィックス検索では、単語の後に 0 個以上の文字が続く用語を含む結果が返されます。 たとえば、 title:set* 文書タイトルの "set"、"setup"、"setting" (および "set" で始まる単語) を含むドキュメントを返します。

メモ: プレフィックス検索のみを使用できます。たとえば、 cat*set* などです。 サフィックス検索 (*cat)、インフィックス検索 (c*t)、部分文字列検索 (*cat*) はサポートされていません。

また、プレフィックス検索にピリオド ( . ) を追加すると、返される結果が変更されます。 これは、ピリオドが停止語として扱われるためです。 たとえば、 cat* を検索し、 cat.* を検索すると、異なる結果が返されます。 プレフィックス検索ではピリオドを使用しないことをお勧めします。

( ) (fair OR free) AND from:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

かっこで囲んで、ブール型の語句、項目、 property:value キーワードをグループ化します。 たとえば、 (quarterly financials) 四半期ごとの単語と財務情報を含むアイテムを返します。

注:

1 この演算子は、日付や数値を含むプロパティに使用します。
2 ブール検索演算子は、大文字である必要があります (例: AND)。 小文字の演算子を使うと (and など)、検索クエリではキーワードとして扱われます。

検索条件

検索クエリに条件を追加して、検索を絞り込み、さらに絞り込まれた結果のセットを返すようにできます。 各条件によって、作成された KQL 検索クエリに句が追加され、ユーザーが検索を開始するとそのクエリが実行されます。

共通プロパティの条件

メール プロパティの条件

ドキュメント プロパティの条件

条件で使用される演算子

条件を使用するためのガイドライン

検索クエリでの条件の使用例

共通プロパティの条件

同じ検索でメールボックスとサイトを検索する場合は、共通プロパティを使って条件を作成します。 次の表に、条件を追加する場合に使用可能なプロパティを一覧表示します。

Condition 説明
日付 メールの場合、受信者によってメッセージが受信された日付か、送信者によってメッセージが送信された日付。 ドキュメントの場合、ドキュメントが最後に変更された日付。
送信者/作成者 メールの場合、メッセージの送信者。 ドキュメントの場合、Office ドキュメントから作成者フィールドに示されている人。 カンマで区切って、複数の名前を入力することができます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。
(「受信者の拡張」を参照)
サイズ (バイト単位) メールとドキュメントのいずれの場合も、アイテムのサイズ (バイト単位)。
件名/タイトル メールの場合、メッセージの件名行のテキスト。 ドキュメントの場合、ドキュメントのタイトル。 前述したように、Title プロパティは Microsoft Office ドキュメントに指定されたメタデータです。 複数のサブジェクト/タイトル値の名前をコンマで区切って入力できます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。

: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリによってエラーが返されます。

保持ラベル 電子メールとドキュメントの両方で、メッセージやドキュメントに自動的または手動で適用できる保持ラベル。 保持ラベルを使用すると、レコードを宣言し、ラベルで指定された保持ルールと削除ルールを適用することで、コンテンツのデータ ライフサイクルを管理するのに役立ちます。 保持ラベル名の一部を入力してワイルドカードを使うことも、完全なラベル名を入力することもできます。 アイテム保持ポリシーに関する詳細情報は、「アイテム保持ポリシーおよび保持ラベルの詳細」をご覧ください。

メール プロパティの条件

メールボックスまたはパブリック フォルダーを検索する場合は、メール プロパティを使用して条件を作成します。 条件で使用できるメール プロパティを次の表に一覧表示します。 これらのプロパティは、上で説明したメール プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。

Condition 説明
メッセージの種類 検索するメッセージの種類。 これは、Kind メール プロパティと同じプロパティです。 可能な値:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照)
Type メール アイテムのメッセージ クラス プロパティ。 これは、ItemClass メール プロパティと同じプロパティです。 また、複数値の条件です。 そのため、複数のメッセージ クラスを選択するには、 Ctrl キーを押しながら、条件に追加する 2 つ以上のメッセージ クラスをドロップダウン リストから選択します。 リストで選んだ各メッセージ クラスは、対応する検索クエリでは OR 演算子によって論理的に接続されます。

Exchange によって使われていて メッセージ クラス リストで選ぶことができるメッセージ クラス (およびそれに対応するメッセージ クラス ID) のリストについては、「アイテムの種類とメッセージ クラス」をご覧ください。

受信済み 電子メール メッセージが受信者によって受信された日付。 これは、Received メール プロパティと同じプロパティです。
Recipients メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照)
Sender 電子メール メッセージの差出人。
送信日時 送信者によって電子メール メッセージが送信された日付。 これは、Sent メール プロパティと同じプロパティです。
件名 電子メール メッセージの件名行に含まれるテキスト。

: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリによってエラーが返されます。

To [宛先] フィールドにある、メール メッセージの受信者。

ドキュメント プロパティの条件

SharePoint と OneDrive for Business sites サイトでドキュメントを検索する場合、ドキュメント プロパティを使用して条件を作成します。 次の表に、条件に使用できるドキュメント プロパティを示します。 これらのプロパティは、上で説明したサイト プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。

Condition 説明
Author Office ドキュメントの作成者フィールド。ドキュメントがコピーされた場合でもこのフィールは保持されます。 たとえば、ユーザーがドキュメントを作成して別のユーザーにメールで送信し、そのユーザーがそのドキュメントを SharePoint にアップロードした場合、そのドキュメントでは引き続き元の作成者が保持されます。
Title ドキュメントのタイトル。 Title プロパティは、Office ドキュメントに 指定されているメタデータです。 ドキュメントのファイル名とは異なります。
作成済み ドキュメントが作成された日付。
最終更新日時 ドキュメントが最後に変更された日付。
ファイルの種類 ファイルの拡張子。例: docx、one、pptx、xlsx など。 これは、FileExtension サイト プロパティと同じプロパティです。

メモ: 検索クエリに Equals 演算子または Equals 演算子を使用してファイルの種類の条件を含める場合、プレフィックス検索 (ファイルの種類の末尾にワイルドカード文字 ( * ) を含めて) を使用して、ファイルの種類のすべてのバージョンを返すことはできません。 この場合、ワイルドカードは無視されます。 たとえば、 条件 Equals any of doc*を含めた場合は、 の .doc 拡張子を持つファイルのみが返されます。 拡張子が の .docx ファイルは返されません。 ファイルの種類のすべてのバージョンを返すには、キーワード クエリで property:value ペアを使用しました。たとえば、 filetype:doc*です。

条件で使用する演算子

条件を追加するときに、条件のプロパティの種類に関連する演算子を選択できます。 次の表では、条件で使用される演算子について説明し、検索クエリで使用される演算子と同等の演算子を示します。

演算子 クエリの同等物 説明
After property>date 日付の条件で使用されます。 指定された日付の後に送信、受信、変更された項目を返します。
イベント前 property<date 日付の条件で使用されます。 指定された日付の前に送信、受信、変更された項目を返します。
Between date..date 日付条件およびサイズ条件で使用します。 日付条件で使用すると、指定された日付範囲内に送信、受信、変更された項目を返します。 サイズ条件で使用すると、サイズが指定範囲内にある項目を返します。
Contains any of (property:value) OR (property:value) 文字列値を指定するプロパティの条件で使用されます。 1 つ以上の指定された文字列の値の任意の部分が含まれる項目を返します。
Doesn't contain any of -property:value

NOT property:value

文字列値を指定するプロパティの条件で使用されます。 指定された文字列のどの部分も含まれない項目を返します。
Doesn't equal any of -property=value

NOT property=value

文字列値を指定するプロパティの条件で使用されます。 特定の文字列が含まれない項目を返します。
Equals size=value 指定されたサイズに等しい項目を返します。1
次のいずれかと等しい (property=value) OR (property=value) 文字列値を指定するプロパティの条件で使用されます。 指定した 1 つ以上の文字列値と一致する項目を返します。
Greater size>value 指定されたプロパティが指定された値より大きい項目を返します。1
Greater or equal size>=value 指定されたプロパティが指定された値以上の項目を返します。1
より小さい size<value 特定の値以上の項目を返します。1
Less or equal size<=value 特定の値以上の項目を返します。1
Not equal size<>value 指定したサイズと等しくないアイテムを返します。1

注:

1 この演算子は、Size プロパティを使う条件でのみ使うことができます。

条件を使用するためのガイドライン

検索条件を使用する際は、以下の点に留意してください。

  • 条件は、AND 演算子によってキーワードのクエリ (キーワード ボックスで指定される) と論理的に接続されます。 これは、結果に含まれるようにするためには、その項目が、キーワードのクエリと条件の両方を満たす必要があることを意味します。 このように、条件を使用して結果を絞り込むことができます。

  • 2 つ以上の固有の条件を検索クエリ (異なるプロパティを指定する条件) に追加する場合、それらの条件は AND 演算子によって論理的に接続されます。 これは、(キーワードのクエリに加えて) すべての条件が満たされる項目だけが返されることを意味します。

  • 同じプロパティに複数の条件を追加する場合、これらの条件は、OR 演算子によって論理的に接続されます。 これは、キーワードのクエリおよびいずれかの条件を満たす項目が返されることを意味します。 それで、同じ条件のグループが OR 演算子によって互いに接続され、その後、固有の条件のセットが AND 演算子によって接続されます。

  • 複数の値 (コンマまたはセミコロンによって区切られる) を単一の条件に追加する場合、その値は OR 演算子によって接続されます。 これは、条件のプロパティの指定された値のいずれかが項目に含まれる場合にその項目が返されることを意味します。

  • Contains ロジックと Equals ロジックで演算子を使用する条件は、単純な文字列検索でも同様の検索結果を返します。 単純な文字列検索は、ワイルドカードを含まない条件の文字列です)。 たとえば、 Equals any を使用する条件は、 Contains を使用する条件と同じ項目を返します。

  • キーワード ボックスおよび条件を使用して作成される検索クエリは、[検索] ページの、選択した検索の詳細ウィンドウに表示されます。 クエリでは、表記 (c:c) の右側にあるすべてのものが、クエリに追加される条件を示します。

  • 条件は、検索クエリにのみプロパティを追加します。演算子は追加されません。 このため、詳細ペインに表示されるクエリには、表記の右側に演算子が (c:c) 表示されません。 KQL は、クエリの実行時に (前述の規則に従って) 論理演算子を追加します。

  • ドラッグ アンド ドロップを使用して、条件を並び替えることができます。 条件のコントロールを選択し、上または下に移動します。

  • 前に説明したように、いくつかの条件プロパティを使用すると、複数の値を入力できます (セミコロンで区切られます)。 各値は OR 演算子によって論理的に接続され、クエリ (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)になります。 次の図は、複数の値を持つ条件の例を示しています。

    複数の値を持つ 1 つの条件。

    注:

    複数の条件を追加することはできません (同じプロパティの [条件の追加] を選択します。 代わりに、前の例に示すように、条件に複数の値 (セミコロンで区切られた値) を指定する必要があります。

検索クエリでの条件の使用例

次の例は、条件を使用した検索クエリの GUI ベースのバージョン、選択した検索の詳細ウィンドウに表示される検索クエリ構文 (Get-ComplianceSearch コマンドレットによっても返される)、対応する KQL クエリのロジックを示しています。

例 1

次の使用例は、クレジット カード番号を含み、2021 年 1 月 1 日より前に最後に変更された SharePoint サイトとOneDrive for Business サイト上のドキュメントを返します。

GUI:

検索条件の最初の例。

検索クエリ構文:

SensitiveType:"Credit Card Number"(c:c)(lastmodifiedtime<2021-01-01)

検索クエリ ロジック:

SensitiveType:"Credit Card Number" AND (lastmodifiedtime<2021-01-01)

前のスクリーンショットでは、検索 UI によってキーワード クエリと条件が AND 演算子によって接続されていることを示しています。

例 2

次の使用例は、2021 年 4 月 1 日より前に送信または作成されたキーワード "report" を含み、電子メール メッセージの件名フィールドまたはドキュメントの title プロパティに "northwind" という単語を含む電子メール アイテムまたはドキュメントを返します。 クエリは、他の検索条件に一致する Web ページを除外します。

GUI:

検索条件の 2 番目の例。

検索クエリ構文:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

検索クエリ ロジック:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

例 3

次の使用例は、2019 年 12 月 1 日から 2020 年 11 月 30 日の間に送信され、"電話" または "スマートフォン" で始まる単語を含むメール メッセージまたは予定表会議を返します。

GUI:

検索条件の 3 番目の例。

検索クエリ構文:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

検索クエリ ロジック:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

特殊文字

一部の特殊文字は検索インデックスに含まれていないため、検索できません。 これには、検索クエリの検索演算子を表す特殊文字も含まれます。 実際の検索クエリでは空白スペースに置き換えられるか、検索エラーの原因となる特殊文字の一覧を次に示します。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

外部ユーザーと共有されているサイト コンテンツの検索

コンプライアンス ポータルの電子情報開示検索ツールを使用して、組織外のユーザーと共有されている SharePoint サイトやOneDrive for Business サイトに保存されているドキュメントを検索することもできます。 これにより、組織外で共有されている重要な情報や機密情報を識別できます。 これを行うには、キーワード クエリで プロパティ ViewableByExternalUsers を使用します。 このプロパティは、次の共有方法のいずれかを使用して外部ユーザーと共有されているドキュメントまたはサイトを返します。

  • ユーザーが認証されたユーザーとして組織にサインインする必要がある共有への招待。
  • リンクを使って誰でも認証なしでリソースにアクセスできる匿名ゲスト リンク。

次に例を示します。

  • クエリ ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" は、組織外のユーザーと共有され、クレジット カード番号が含まれているすべてのアイテムを返します。
  • クエリ ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" は、外部ユーザーと共有されている組織内のすべてのチーム サイト上のドキュメントの一覧を返します。

ヒント

などの ViewableByExternalUsers:true AND ContentType:document 検索クエリは、検索結果に多数の .aspx ファイルを返す場合があります。 これらの (または他の種類のファイル) を排除するには、 プロパティを FileExtension 使用して、特定のファイルの種類 (例: ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx) を除外できます。

組織外のユーザーと共有されているコンテンツとして見なされるのは何ですか? 共有への招待を送信して共有されているか、公共の場所で共有されている、組織の SharePoint と OneDrive for Business のサイト内のドキュメント。 たとえば、次のユーザー アクティビティよって、コンテンツが外部ユーザーに表示されることになります。

  • ユーザーが組織外のユーザーとファイルやフォルダーを共有する。
  • ユーザーが共有ファイルへのリンクを作成し、組織外のユーザーに送信する。 外部ユーザーはこのリンクからファイルを表示 (または編集) できるようになります。
  • ユーザーが、共有ファイルを表示 (または編集) するための共有への招待やゲスト リンクを組織外のユーザーに送信する。

ViewableByExternalUsers プロパティを使用する際の問題

プロパティは ViewableByExternalUsers 、ドキュメントまたはサイトが外部ユーザーと共有されているかどうかの状態を表しますが、このプロパティの動作と反映されない内容に関する注意点がいくつかあります。 次のシナリオでは、 プロパティの ViewableByExternalUsers 値は更新されません。また、このプロパティを使用する検索クエリの結果が不正確になる可能性があります。

  • サイトまたは組織の外部共有をオフにするなど、共有ポリシーにおける変更。 外部アクセスが取り消されている可能性があるにもかかわらず、プロパティでは、以前に共有されたドキュメントが外部アクセス可能と示されます。
  • Office 365 グループまたは Microsoft 365 セキュリティ グループへの外部ユーザーの追加や削除など、グループ メンバーシップの変更。 グループがアクセスできるアイテムのプロパティは自動的に更新されません。
  • 外部ユーザーに共有招待状を送信した場合に、受信者が招待状をまだ承諾しておらず、そのためコンテンツにまだアクセスできない場合。

これらのシナリオでは、 ViewableByExternalUsers サイトまたはドキュメント ライブラリが再クロールされ、インデックスが再作成されるまで、プロパティは現在の共有状態を反映しません。

組織内で共有されているサイト コンテンツの検索

前に説明したように、 プロパティを SharedWithUsersOWSUser 使用して、組織内のユーザー間で共有されているドキュメントを検索できます。 ユーザーが組織内の別のユーザーとファイル (またはフォルダー) を共有すると、ファイルを共有されたユーザーの OneDrive for Business アカウントの [自分と共有] ページに、共有ファイルへのリンクが表示されます。 たとえば、Sara Davis と共有されているドキュメントを検索するには、 クエリ SharedWithUsersOWSUser:"sarad@contoso.com"を使用できます。 この検索の結果をエクスポートすると、(ドキュメントを Sara と共有したユーザーのコンテンツの場所にある) 元のドキュメントがダウンロードされます。

プロパティを使用する場合は、検索結果で返されるように、ドキュメントを特定のユーザーと明示的に共有する SharedWithUsersOWSUser 必要があります。 たとえば、ユーザーが OneDrive アカウントでドキュメントを共有している場合は、ドキュメントを任意のユーザー (組織外または組織内) と共有する、組織内のユーザーとのみ共有する、または特定のユーザーと共有するためのオプションがあります。 3 つの共有オプションを示す OneDrive の [共有 ] ウィンドウのスクリーンショットを次に示します。

SharedWithUsersOWSUser プロパティを使用する検索クエリによって、特定のユーザーと共有されているファイルのみが返されます。

3 番目のオプション ( 特定のユーザーと共有) を使用して共有されているドキュメントのみが、 プロパティを使用 SharedWithUsersOWSUser する検索クエリによって返されます。

Skype for Business の会話を検索

次のキーワード クエリを使用すると、特に Skype for Business の会話のコンテンツを検索できます。

kind:im

上の検索クエリは、Microsoft Teams からのチャットも返します。 これを回避するには、次のキーワード クエリを使用して、検索結果に Skype for Business の会話のみを含めるようにできます。

kind:im AND subject:conversation

Skype for Business の会話は 件名が "Conversation" という単語で始まるメール メッセージとして保存されるため、上のキーワード クエリでは Microsoft Teams のチャットが除外されます。

特定の日付範囲に行われた Skype for Business の会話を検索するには、次のキーワード クエリを使用します。

kind:im AND subject:conversation AND (received=startdate..enddate)

検索の文字制限

SharePoint サイトと OneDrive アカウントでコンテンツを検索する場合、検索クエリには 4,000 文字の制限があります。 検索クエリの文字数の合計の計算方法を次に示します。

  • キーワード検索クエリの文字 (ユーザー フィールドとフィルター フィールドの両方を含む) は、この制限に対してカウントされます。
  • 任意の場所プロパティの文字 (検索対象のすべての SharePoint サイトの URL や OneDrive の場所など) は、この制限に対してカウントされます。
  • 制限に対して検索カウントを実行しているユーザーに適用されるすべての検索アクセス許可フィルターの文字。

文字制限の詳細については、「 電子情報開示検索の制限」を参照してください。

注:

4,000 文字の制限は、コンテンツ検索、電子情報開示 (Standard)、電子情報開示 (Premium) に適用されます。

検索のヒントと秘訣

  • キーワード検索では大文字と小文字は区別されません。 たとえば、catCAT は同じ結果を返します。
  • ブール演算子の ANDORNOT、および NEAR は、大文字でなければなりません。
  • 2 つのキーワードまたは 2 つの property:value 式の間のスペースは、 AND の使用と同じです。 たとえば、 from:"Sara Davis" subject:reorganization 件名行に再編成という単語を含む、Sara Davis によって送信されたすべてのメッセージを返します。
  • property:value 形式に一致する構文を使用します。 値では大文字と小文字は区別されず、演算子の後にスペースを指定することはできません。 スペースがある場合、目的の値はフルテキスト検索になります。 たとえば、to: pilarp は、pilarp に送信されたメッセージではなく、"pilarp" によるキーワード検索を行います。
  • To、From、Cc、Recipients などの受信者プロパティを検索するとき、SMTP アドレス、別名、または表示名を使用して受信者を指定できます。 たとえば、、pilarp、または "Pilar Pinilla" を使用 pilarp@contoso.comできます。
  • プレフィックス検索のみを使用できます。たとえば、 cat*set* などです。 サフィックス検索 (*cat)、インフィックス検索 (c*t)、部分文字列検索 (*cat*) はサポートされていません。
  • 検索プロパティを検索するとき、検索値が複数の単語で構成される場合は、二重引用符 (" ") を使用します。 たとえば、 subject:budget Q1 は、件名行に budget を含み、メッセージ内またはいずれかのメッセージ プロパティ内のいずれかの場所に Q1 を含むメッセージを返します。 subject:"budget Q1" を使用すると、件名行に budget Q1 を含むすべてのメッセージが返されます。
  • 特定のプロパティ値でマークされているコンテンツを検索結果から除外するには、プロパティの名前の前にマイナス記号 (-) を置きます。 たとえば、 -from:"Sara Davis" は、Sara Davis によって送信されたすべてのメッセージを除外します。
  • メッセージの種類に基づいてアイテムをエクスポートできます。 たとえば、Skype の会話と Microsoft Teams のチャットをエクスポートするには、構文 kind:im を使用します。 メール メッセージだけを返すには、kind:email を使用します。 Microsoft Teams のチャット、会議、通話を返すには、kind:microsoftteams を使用します。
  • 前に説明したように、サイトを検索するときは、 プロパティを使用pathして指定されたサイト内のアイテムのみを返すときに、URL の末尾に末尾/を追加する必要があります。 末尾 /に を含めない場合は、同様のパス名を持つサイトのアイテムも返されます。 たとえば、 を使用path:sites/HelloWorldすると、 または sites/HelloWorld_West という名前sites/HelloWorld_Eastのサイトのアイテムも返されます。 HelloWorld サイトからのみ項目を返すには、 を使用 path:sites/HelloWorld/する必要があります。