英語で読む

次の方法で共有


条件ビルダーを使用して電子情報開示 (プレビュー) で検索クエリを作成する

条件ビルダーは、電子情報開示 (プレビュー) で検索クエリを作成するときに使いやすい検索エクスペリエンスを提供します。 検索およびレビュー セットで条件ビルダーを使用して、単純で複雑なキーワード (keyword) クエリ、演算子 (AND、OR) を使用したクエリ、またはその両方を作成して、organization内の項目を識別します。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

条件ビルダーの使用

検索のクエリとカスタムの条件付きフィルター処理を作成するには、次のコントロールを使用します。

  • キーワード: この一般的な条件は、クエリの最初の条件として常に使用でき、検索タスクをすばやく開始するのに役立ちます。 キーワード条件は Equal 演算子のみをサポートし、値フィールドを空白のままにしてクエリから除外できます。 キーワード条件を追加するには、[条件の追加] を選択し、[キーワード] を選択します
  • [条件の追加]: 検索の特定のデータ ソースの条件を追加できます。 クエリに条件を追加するには、[条件の 追加] を選択して、使用可能な条件の一覧を表示します。 各条件値を選択すると、クエリに新しい条件が追加されます。 必要に応じて AND/OR 演算子を選択します。
  • AND/OR: これらの条件付き論理演算子を使用すると、特定の条件に適用されるクエリ操作を選択できます。 これらの演算子を使用すると、クエリに接続された複数の条件を使用できます。
  • 演算子の選択: 選択した条件に応じて、条件と互換性のある演算子を選択できます。 たとえば、 Date 条件が選択されている場合、使用可能な演算子は BeforeAfter、Between ですSize (バイト単位) 条件が選択されている場合、使用可能な演算子は、より大きい大きいか等しいか、より小さい等しいか、Between、Equal です
  • : 選択した条件に応じて、条件に対応する値を値の詳細ペインで使用するか、インラインで追加できます。 値に関連付けられている条件の種類に応じて、選択した条件に関連付けられている値を定義、フィルター処理、または検索するためのオプションが表示されます。 たとえば、条件として [送信者] を選択した場合は、organizationまたは外部ユーザーで特定のユーザーを検索して追加できます。 条件として [サイズ (バイト単位)] を選択すると、サイズの数値を値として入力するオプションが表示されます。 値が空白の場合は、値が必要であることを通知するために、値フィールドの罫線が赤で表示されます。
  • フィルター条件を削除する: 個々の条件を削除するには、各フィルターラインの右側にある削除アイコンを選択します。
  • 下書きとして保存: 現在の条件セットを下書きとして保存するには、クエリのドロップダウンから [ 下書きとして保存 ] を選択します。
  • 破棄: 条件やデータ ソースなど、検索に加えられた変更を破棄するには、[下書きとして保存] ドロップダウンから [破棄] を選択します。

条件を使用するためのガイドライン

検索条件を使用する際は、以下の点に留意してください。

  • 条件は、AND 演算子と OR 演算子によってキーワード (keyword) クエリ (キーワード (keyword) ボックスで指定) に論理的に接続されます。 これは、結果に含まれるようにするためには、その項目が、キーワードのクエリと条件の両方を満たす必要があることを意味します。
  • 検索クエリに 2 つ以上の一意の条件 (異なるプロパティを指定する条件) を追加すると、それらの条件は AND 演算子と OR 演算子によって論理的に接続されます。 これは、(キーワードのクエリに加えて) すべての条件が満たされる項目だけが返されることを意味します。
  • 同じプロパティに複数の条件を追加する場合、これらの条件は、OR 演算子によって論理的に接続されます。 これは、キーワードのクエリおよびいずれかの条件を満たす項目が返されることを意味します。 それで、同じ条件のグループが OR 演算子によって互いに接続され、その後、固有の条件のセットが AND 演算子によって接続されます。
  • 複数の値 (コンマまたはセミコロンによって区切られる) を単一の条件に追加する場合、その値は OR 演算子によって接続されます。 これは、条件のプロパティの指定された値のいずれかが項目に含まれる場合にその項目が返されることを意味します。
  • Contains ロジックと Equals ロジックで演算子を使用する条件は、単純な文字列検索でも同様の検索結果を返します。 単純な文字列検索は、ワイルドカードを含まない条件の文字列です)。 たとえば、 次のいずれかを使用 する条件は、 Contains を使用する条件と同じ項目を返します。
  • キーワード ボックスおよび条件を使用して作成される検索クエリは、[検索] ページの、選択した検索の詳細ウィンドウに表示されます。 クエリでは、表記 (c:c) の右側にあるすべてのものが、クエリに追加される条件を示します。 (c:c) は、手動で入力されたクエリでは使用しないでください。 AND または OR と等しくありません。
  • 条件は、検索クエリにのみプロパティを追加します。演算子は追加されません。 このため、詳細ウィンドウに表示されるクエリには、 (c:c) 表記の右側に演算子が表示されません。 KQL は、クエリの実行時に (前述の規則に従って) 論理演算子を追加します。
  • ドラッグ アンド ドロップを使用して、条件を並び替えることができます。 条件のコントロールを選択し、上または下に移動します。
  • 一部の条件プロパティでは、複数の値を (セミコロンで区切って) 入力できます。 各値は OR 演算子によって論理的に接続され、クエリが (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)されます。 次の図は、複数の値を持つ条件の例を示しています。

条件の検索と選択

条件ビルダーで [ 条件の追加] を選択すると、[ポップアップを 追加する条件の選択 ] ウィンドウが表示され、特定の条件で検索クエリを絞り込むことができます。 次のセクションのオプションを使用して、該当する条件を選択できます。

エリアで条件をフィルター処理する

メールボックスとサイトのプロパティの条件ビューをすばやくフィルター処理して、検索クエリの特定の条件を見つけるのに役立ちます。 次のグローバル グループで使用可能な条件をフィルター処理します。

  • すべて: すべての条件と条件グループが表示されます。
  • 共通: メールボックスとサイトの両方に適用される条件のみをフィルター処理して表示します。
  • Exchange メールボックス: メールボックスに適用される条件のみをフィルター処理して表示します。
  • SharePoint サイトと OneDrive サイト: SharePoint サイトと OneDrive サイトに適用される条件のみをフィルター処理して表示します。

条件ピッカー

特定の条件をすばやく検索するには、[ 探しているものを教えてください ] フィールドを使用して条件の名前を入力します。 結果の範囲は、グローバル グループのフィルターに自動的に設定されます。 たとえば、Type (または条件名に用語の種類を含む) という名前の条件を検索するには、グローバル フィルターとして [すべて] を選択し、[探しているものを通知する] フィールドに「type」と入力します。 条件ビューは、用語 の種類を含むすべての条件グループのすべての条件を返します。 該当する条件を選択して、検索クエリに追加します。

条件ピッカーの例。

シナリオの例

電子情報開示管理者は、2024 年 9 月 15 日から 2024 年 10 月 15 日の間に送信された、 コンプライアンス監査のキーワードを含む User1 から User4 に送信されたメールを検索するためのクエリを作成する必要があります。 この例では、管理者は新しいクエリ ビルダーを使用して次のクエリを作成します。

  1. 最初のフィルターでは、管理者は [キーワード] 条件、Equal 演算子、コンプライアンス監査をキーワード (keyword)として使用します。
  2. 次に、管理者は [条件の追加] を選択し、[送信者] を選択し、[任意の演算子を含む] を選択し、[の詳細] ウィンドウで使用可能なユーザーの一覧から [User1] を選択します。 これには、外部ユーザーを含めることができます。
  3. 次に、管理者は [条件の追加] を選択し、[対象] フィルター選択し、[任意の演算子を含む] を選択し、[の詳細] ウィンドウで使用可能なユーザーの一覧から [User4] を選択します。 これには、外部ユーザーを含めることができます。
  4. 日付範囲を定義するには、管理者が [ 条件の追加] を選択し、[ 日付] を選択し、[ Between ] 演算子を選択してから、[ ] の開始日と終了日を選択します。
  5. 最後に、管理者は [ クエリの実行 ] を選択して、該当する結果を返します。

条件ビルダーの例。

検索条件の使用

検索クエリに条件を追加して、検索を絞り込み、さらに絞り込まれた結果のセットを返すようにできます。 各条件によって、作成された KQL 検索クエリに句が追加され、ユーザーが検索を開始するとそのクエリが実行されます。

特殊文字

一部の特殊文字は検索インデックスに含まれていないため、検索できません。 これには、検索クエリの検索演算子を表す特殊文字も含まれます。 実際の検索クエリでは空白スペースに置き換えられるか、検索エラーの原因となる特殊文字の一覧を次に示します。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

共通プロパティの条件

同じ検索でメールボックスとサイトを検索する場合は、共通プロパティを使って条件を作成します。 次の表に、条件を追加する場合に使用可能なプロパティを一覧表示します。

Condition 説明
コンテンツの種類 Exchange アイテムと SharePoint アイテムの両方に適用され、コンテンツの種類またはカテゴリを参照します。

たとえば、 ContentKind:SharePointDocumentContentKind:Copilot などです。
コンテンツ ソース アプリケーション コンテンツが発生したアプリケーションまたはサービスを識別します。

たとえば、 ContentSourceApplication:OneDriveForBusinessContentSourceApplication:SharePoint などです。
Date 電子メールの場合、PST ファイルからメッセージが作成またはインポートされた日付。 ドキュメントの場合、ドキュメントが最後に変更された日付。

特定の期間のメール メッセージを検索する場合は、Exchange でネイティブに作成されるのではなく、メール メッセージがインポートされた可能性があるかどうかわからない場合は、 メッセージの受信送信 の条件を使用する必要があります。
識別子 電子メールの場合は、特定のメッセージの ID。 メッセージ ID は、監査レコード、データ損失防止 (DLP) アラート、またはセット メタデータの確認に含まれ、個々のメッセージの特定の検索を作成できます。

Microsoft Teamsメッセージの場合は、チャットまたはリアクションの ID。 ChatThreadID は、監査レコード、データ損失防止 (DLP) アラート、またはレビュー セットメタデータに含まれており、個々のチャットまたはリアクションの特定の検索を作成できます。
送信者/作成者 メールの場合、メッセージの送信者。 ドキュメントの場合、Office ドキュメントから作成者フィールドに示されている人。 カンマで区切って、複数の名前を入力することができます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。
(「受信者の拡張」を参照)
サイズ (バイト単位) メールとドキュメントのいずれの場合も、アイテムのサイズ (バイト単位)。
件名/タイトル メールの場合、メッセージの件名行のテキスト。 ドキュメントの場合、ドキュメントのタイトル。 Title プロパティは、Microsoft Office ドキュメントで指定されたメタデータです。 複数のサブジェクト/タイトル値の名前をコンマで区切って入力できます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。

: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリからエラーが返されます。

保持ラベル 電子メールとドキュメントの両方で、保持ラベルがメッセージとドキュメントに適用されます。 保持ラベルを使用すると、レコードを宣言し、ラベルで指定された保持ルールと削除ルールを適用することで、コンテンツのデータ ライフサイクルを管理するのに役立ちます。 アイテム保持ポリシーに関する詳細情報は、「アイテム保持ポリシーおよび保持ラベルの詳細」をご覧ください。
機密情報の種類 (SIT) 電子メールとドキュメントの両方で、メッセージとドキュメントに含まれる機密情報の種類。 SID はパターンベースの分類子であり、社会保障、信用カード、銀行口座番号などの機密情報を検出して、機密性の高い項目を識別します。 SID の詳細については、「 機密情報の種類の詳細」を参照してください。
機密ラベル 電子メールとドキュメントの両方で、秘密度ラベルがメッセージとドキュメントに適用されます。 秘密度ラベルを使用すると、organizationのデータを分類して保護しながら、ユーザーの生産性と共同作業能力が妨げられないことを確認できます。 秘密度ラベルの詳細については、「秘密 度ラベルについて」を参照してください。

メール プロパティの条件

Exchange Onlineでメールボックスまたはパブリック フォルダーを検索するときに、メール プロパティを使用して条件を作成します。 条件で使用できるメール プロパティを次の表に一覧表示します。 これらのプロパティは、上で説明したメール プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。

Condition 説明
メッセージの種類 検索するメッセージの種類。 これは、Kind メール プロパティと同じプロパティです。 可能な値:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照)
Received 電子メール メッセージが受信者によって受信された日付。 これは、Received メール プロパティと同じプロパティです。
Recipients メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照)
Sender 電子メール メッセージの差出人。
送信日時 送信者によって電子メール メッセージが送信された日付。 これは、Sent メール プロパティと同じプロパティです。
件名 電子メール メッセージの件名行に含まれるテキスト。

: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリからエラーが返されます。

To [宛先] フィールドにある、メール メッセージの受信者。
トピック 電子メール スレッドまたは会話で説明されているメインの件名またはテーマの概要。
Type メール アイテムのメッセージ クラス プロパティ。 これは、ItemClass メール プロパティと同じプロパティです。 また、複数値の条件です。 そのため、複数のメッセージ クラスを選択するには、 Ctrl キーを押しながら、条件に追加する 2 つ以上のメッセージ クラスをドロップダウン リストから選択します。 一覧で選択した各メッセージ クラスは、対応する検索クエリの OR 演算子によって論理的に接続されます。

Exchange によって使われていて メッセージ クラス リストで選ぶことができるメッセージ クラス (およびそれに対応するメッセージ クラス ID) のリストについては、「アイテムの種類とメッセージ クラス」をご覧ください。

ドキュメント プロパティの条件

SharePoint サイトと OneDrive サイトでドキュメントを検索するときに、ドキュメント プロパティを使用して条件を作成します。 次の表に、条件に使用できるドキュメント プロパティを示します。 これらのプロパティは、上で説明したサイト プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。

Condition 説明
Author Office ドキュメントの作成者フィールド。ドキュメントがコピーされた場合でもこのフィールは保持されます。 たとえば、ユーザーがドキュメントを作成して別のユーザーにメールで送信し、そのユーザーがそのドキュメントを SharePoint にアップロードした場合、そのドキュメントでは引き続き元の作成者が保持されます。
作成済み ドキュメントが作成された日付。
ファイルの種類 ファイルの拡張子。例: docx、one、pptx、xlsx など。 これは、FileExtension サイト プロパティと同じプロパティです。

手記: 検索クエリに Equals 演算子または Equals 演算子を使用してファイルの種類の条件を含める場合、プレフィックス検索 (ファイルの種類の末尾にワイルドカード文字 ( * ) を含めて) を使用して、ファイルの種類のすべてのバージョンを返すことはできません。 この場合、ワイルドカードは無視されます。 たとえば、条件 Equals any of doc*を含めた場合、 .doc の拡張子を持つファイルのみが返されます。 .docxの拡張子を持つファイルは返されません。 ファイルの種類のすべてのバージョンを返すには、キーワード (keyword) クエリで property:value ペアを使用します(たとえば、filetype:doc*)。

最終更新日時 ドキュメントが最後に変更された日付。
Path SharePoint サイト内のファイルまたはフォルダーの URL または場所。
Title ドキュメントのタイトル。 Title プロパティは、Office ドキュメントに 指定されているメタデータです。 ドキュメントのファイル名とは異なります。

条件で使用する演算子

条件を追加するときに、条件のプロパティの種類に関連する演算子を選択できます。 次の表では、条件で使用される演算子について説明し、検索クエリで使用される演算子と同等の演算子を示します。

演算子 クエリの同等物 説明
After property>date 日付の条件で使用されます。 指定された日付の後に送信、受信、変更された項目を返します。
イベント前 property<date 日付の条件で使用されます。 指定された日付の前に送信、受信、変更された項目を返します。
Between date..date 日付条件およびサイズ条件で使用します。 日付条件で使用すると、指定された日付範囲内に送信、受信、変更された項目を返します。 サイズ条件で使用すると、サイズが指定範囲内にある項目を返します。
Contains any of (property:value) OR (property:value) 文字列値を指定するプロパティの条件で使用されます。 1 つ以上の指定された文字列の値の任意の部分が含まれる項目を返します。
Doesn't contain any of -property:value

NOT property:value

文字列値を指定するプロパティの条件で使用されます。 指定された文字列のどの部分も含まれない項目を返します。
Doesn't equal any of -property=value

NOT property=value

文字列値を指定するプロパティの条件で使用されます。 特定の文字列が含まれない項目を返します。
Equals size=value 指定されたサイズに等しい項目を返します。1
次のいずれかと等しい (property=value) OR (property=value) 文字列値を指定するプロパティの条件で使用されます。 指定した 1 つ以上の文字列値と一致する項目を返します。
Greater size>value 指定されたプロパティが指定された値より大きい項目を返します。1
Greater or equal size>=value 指定されたプロパティが指定された値以上の項目を返します。1
より小さい size<value 特定の値以上の項目を返します。1
Less or equal size<=value 特定の値以上の項目を返します。1
Not equal size<>value 指定したサイズと等しくないアイテムを返します。1

注意

1 この演算子は、Size プロパティを使う条件でのみ使うことができます。