eDiscovery에 대한 키워드 쿼리 및 검색 조건

아티클
11/28/2023

이 문서에서는 Microsoft Purview 규정 준수 포털 eDiscovery 검색 도구를 사용하여 SharePoint에 저장된 Exchange Online 및 문서 및 파일에서 전자 메일 및 채팅에서 콘텐츠를 찾고 비즈니스용 OneDrive 데 사용할 수 있는 속성을 설명합니다.

여기에는 콘텐츠 검색, Microsoft Purview eDiscovery(표준) 및 Microsoft Purview eDiscovery(프리미엄)(eDiscovery(프리미엄)의 eDiscovery 검색이 컬렉션이라고 함)이 포함됩니다. 보안 & 준수 PowerShell의 *-ComplianceSearch cmdlet을 사용하여 이러한 속성을 검색할 수도 있습니다.

이 문서에서는 다음을 설명합니다.

부울 검색 연산자, 검색 조건 및 기타 검색 쿼리 기술을 사용하여 검색 결과를 구체화합니다.
특정 기간 동안 특정 직원 및 프로젝트와 관련된 다양한 유형의 통신을 검색합니다.
특정 기간 동안 특정 프로젝트, 직원 및/또는 주체와 관련된 사이트 콘텐츠를 검색합니다.

다양한 eDiscovery 검색을 만드는 방법에 대한 단계별 지침은 다음을 참조하세요.

참고

eDiscovery는 규정 준수 포털에서 검색하고 보안 & 준수 PowerShell의 해당 *-ComplianceSearch cmdlet은 KQL(키워드 쿼리 언어)을 사용합니다. 자세한 내용은 키워드 쿼리 언어 구문 참조를 참조하세요.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

검색 팁과 트릭

모든 검색의 표준 시간대는 UTC(협정 세계시)입니다. organization 대한 표준 시간대 변경은 현재 지원되지 않습니다. 검색 보기의 표준 시간대 표시 설정은 데이터 열의 값에만 적용되며 수집된 항목의 타임스탬프는 영향을 주지 않습니다.
키워드 검색은 대/소문자를 구분하지 않습니다. 예를 들어 cat 및 CAT은 같은 결과를 반환합니다.
부울 연산자 AND, OR, NOT 및 NEAR 는 대문자여야 합니다.
따옴표를 사용하면 와일드 카드와 따옴표 내의 모든 작업이 중지됩니다.
두 키워드 또는 두 property:value 식 사이의 공간은 OR을 사용하는 것과 같습니다. 예를 들어 은 from:"Sara Davis" subject:reorganization Sara Davis에서 보낸 모든 메시지 또는 제목 줄에 재구성이라는 단어가 포함된 메시지를 반환합니다. 그러나 단일 쿼리에서 공백과 OR 조건부를 혼합하면 예기치 않은 결과가 발생할 수 있습니다. 단일 쿼리에서 공백 또는 OR 을 사용하는 것이 좋습니다.
형식과 일치하는 property:value 구문을 사용합니다. 값은 대/소문자를 구분하지 않으며 연산자 뒤의 공백을 가질 수 없습니다. 공간이 있는 경우 의도한 값은 전체 텍스트 검색입니다. 예를 들어 to: pilarp "pilarp"은 pilarp로 전송된 메시지가 아닌 키워드(keyword) 검색합니다.
받는 사람 속성(예: To, From, Cc 또는 Recipients)을 검색하는 경우 SMTP 주소, 별칭 또는 표시 이름을 사용하여 받는 사람을 나타낼 수 있습니다. 예를 들어 , pilarp 또는 "Pilar Pinilla"를 사용할 pilarp@contoso.com수 있습니다.
접두사 검색만 사용할 수 있습니다. 예를 들어 cat* 또는 set*입니다. 접미사 검색(*cat), 접두사 검색(c*t) 및 부분 문자열 검색(*cat*)은 지원되지 않습니다.
속성을 검색하는 경우 검색 값이 어려 단어로 구성되어 있으면 큰따옴표(" ")를 사용합니다. 예를 들어 는 subject:budget Q1 제목 줄에 예산 이 포함되고 메시지의 아무 곳이나 메시지 속성에서 Q1 이 포함된 메시지를 반환합니다. 를 사용하면 subject:"budget Q1" 제목 줄의 아무 곳이나 예산 Q1 이 포함된 모든 메시지가 반환됩니다.
검색 결과에서 특정 속성 값으로 표시된 콘텐츠를 제외하려면 속성 이름 앞에 빼기 기호(-)를 추가합니다. 예를 들어 는 -from:"Sara Davis" Sara Davis가 보낸 모든 메시지를 제외합니다.
메시지 유형에 따라 항목을 내보낼 수 있습니다. 예를 들어 Microsoft Teams에서 Skype 대화 및 채팅을 내보내려면 구문을 kind:im사용합니다. 전자 메일 메시지만 반환하려면 를 사용합니다 kind:email. Microsoft Teams에서 채팅, 모임 및 통화를 반환하려면 를 사용합니다 kind:microsoftteams.
사이트를 검색할 때 속성을 사용하여 path 지정된 사이트의 항목만 반환할 때 URL 끝에 후행 / 을 추가해야 합니다. 후행 /를 포함하지 않으면 비슷한 경로 이름을 가진 사이트의 항목도 반환됩니다. 예를 들어 를 사용하는 path:sites/HelloWorld 경우 또는 sites/HelloWorld_West 라는 sites/HelloWorld_East 사이트의 항목도 반환됩니다. HelloWorld 사이트에서만 항목을 반환하려면 를 사용해야 path:sites/HelloWorld/합니다.
쿼리 언어 국가/지역은 콘텐츠를 수집하기 전에 검색 쿼리에 정의해야 합니다.
보낸 사람 폴더에서 전자 메일을 검색할 때 보낸 사람의 SMTP 주소를 사용하는 것은 지원되지 않습니다. 보낸 사람 폴더의 항목에는 표시 이름만 포함됩니다.

Exchange Online 콘텐츠 찾기

관리자는 진행 중이거나 잠재적인 소송, 내부 조사 및 기타 시나리오와 관련된 요청에 응답할 수 있는 가장 효율적이고 효과적인 방법으로 언제 무엇을 알고 있는지 파악해야 하는 경우가 많습니다. 이러한 요청은 종종 긴급하고, 여러 관련자 팀이 참여하며, 적시에 완료되지 않은 경우 상당한 영향을 미칩니다. 올바른 정보를 찾는 방법을 아는 것은 관리자가 검색을 성공적으로 완료하고 조직이 eDiscovery 요구 사항과 관련된 위험 및 비용을 관리하는 데 도움이 되는 데 중요합니다.

eDiscovery 요청이 제출되면 관리자가 특정 조사와 관련된 콘텐츠 수집을 시작할 수 있는 부분 정보만 있는 경우가 많습니다. 요청에는 직원 이름, 프로젝트 제목, 프로젝트가 활성화된 대략적인 날짜 범위 등이 포함될 수 있습니다. 이 정보에서 관리자는 특정 프로젝트 또는 주체에 필요한 정보를 확인하기 위해 Microsoft 365 서비스에서 관련 콘텐츠를 찾기 위해 쿼리를 만들어야 합니다. 이러한 서비스에 대한 정보가 저장되고 관리되는 방식을 이해하면 관리자가 필요한 항목을 빠르고 효과적인 방식으로 보다 효율적으로 찾을 수 있습니다.

Email, 채팅, 모임 및 Microsoft 365용 Microsoft Copilot 활동 데이터(사용자 프롬프트 및 Copilot 응답)는 모두 Exchange Online 저장됩니다. Exchange Online 포함된 항목을 검색하는 데 많은 통신 속성을 사용할 수 있습니다. 보낸 사람, 보낸 사람, 제목 및 받는 사람 등의 일부 속성은 특정 항목에 고유하며 SharePoint 및 비즈니스용 OneDrive 파일 또는 문서를 검색할 때는 관련이 없습니다. 워크로드에서 검색할 때 이러한 유형의 속성을 포함하면 예기치 않은 결과가 발생할 수 있습니다.

예를 들어 Tradewinds라는 프로젝트와 연결된 특정 직원(사용자 1 및 사용자 2)과 관련된 콘텐츠를 찾으려면 2020년 1월부터 2022년 1월까지 다음 속성이 포함된 쿼리를 사용할 수 있습니다.

사용자 1 및 사용자 2의 Exchange Online 위치를 사례에 데이터 원본으로 추가
사용자 1 및 사용자 2의 Exchange Online 위치를 컬렉션 위치로 선택합니다.
키워드의 경우 Tradewinds를 사용합니다.
날짜 범위의 경우 2020년 1월 1일부터 2022년 1월 31일까지 범위를 사용합니다.

중요

전자 메일의 경우 키워드(keyword) 사용하는 경우 참가자와 관련된 주제, 본문 및 많은 속성을 검색합니다. 그러나 받는 사람 확장으로 인해 별칭 또는 별칭의 일부를 사용할 때 검색에서 예상된 결과를 반환하지 못할 수 있습니다. 따라서 전체 UPN을 사용하는 것이 좋습니다.

검색 가능한 전자 메일 속성

다음 표에서는 규정 준수 포털에서 eDiscovery 검색 도구를 사용하거나 New-ComplianceSearch 또는 Set-ComplianceSearch cmdlet을 사용하여 검색할 수 있는 전자 메일 메시지 속성을 나열합니다.

중요

전자 메일 메시지에는 다른 Microsoft 365 서비스에서 지원되는 다른 속성이 있을 수 있지만 이 표에 나열된 전자 메일 속성만 eDiscovery 검색 도구에서 지원됩니다. 검색에 다른 전자 메일 메시지 속성을 포함하려는 시도는 지원되지 않습니다.

이 표에는 각 속성의 property:value 구문 예제와 예제에서 반환되는 검색 결과에 대한 설명이 나와 있습니다. eDiscovery 검색을 위해 키워드 상자에 이러한 property:value 쌍을 입력할 수 있습니다.

참고

전자 메일 속성을 검색할 때 메시지 헤더를 검색할 수 없습니다. 머리글 정보는 컬렉션에 대해 인덱싱되지 않습니다. 또한 지정된 속성이 비어 있거나 비어 있는 항목은 검색할 수 없습니다. 예를 들어 제목:"의 property:value 쌍을 사용하여 빈 제목 줄이 있는 전자 메일 메시지를 검색하면 결과가 0이 반환됩니다. 이는 사이트 및 연락처 속성을 검색할 때도 적용됩니다.

속성	속성 설명	예	예제에서 반환된 검색 결과
AttachmentNames	전자 메일 메시지에 첨부되는 파일의 이름입니다.	`attachmentnames:annualreport.ppt` `attachmentnames:annual*`	라는 첨부 파일이 있는 메시지는 annualreport.ppt. 두 번째 예제에서 와일드카드 문자( * )를 사용하면 첨부 파일 이름에 연간 단어가 포함된 메시지가 반환됩니다. ¹
숨은 참조	전자 메일 메시지의 숨은 참조 필드입니다. ¹	`bcc:pilarp@contoso.com` `bcc:pilarp` `bcc:"Pilar Pinilla"`	모든 예제는 숨은 참조 필드에 포함된 Pilar Pinilla 를 사용하여 메시지를 반환합니다. (받는 사람 확장 참조)
범주	검색할 범주입니다. 범주는 Outlook 또는 웹용 Outlook(이전의 Outlook Web App)을 사용하여 사용자가 정의할 수 있습니다. 가능한 값은 다음과 같습니다. 블루 녹색 오렌지 보라색 빨간색 노란색	`category:"Red Category"`	원본 사서함에 빨간색 범주가 할당된 메시지입니다.
Cc	전자 메일 메시지의 참조 필드입니다. ¹	`cc:pilarp@contoso.com` `cc:"Pilar Pinilla"`	두 예제 모두 참조 필드에 Pilar Pinilla 가 지정된 메시지입니다. (받는 사람 확장 참조)
Folderid	48자 형식의 특정 사서함 폴더의 폴더 ID(GUID)입니다. 이 속성을 사용하는 경우 지정된 폴더가 있는 사서함을 검색해야 합니다. 지정된 폴더만 검색됩니다. 폴더의 하위 폴더는 검색되지 않습니다. 하위 폴더를 검색하려면 검색하려는 하위 폴더에 Folderid 속성을 사용해야 합니다. Folderid 속성을 검색하고 스크립트를 사용하여 특정 사서함에 대한 폴더 ID를 가져오는 방법에 대한 자세한 내용은 대상 컬렉션에 대한 콘텐츠 검색 사용을 참조하세요.	`folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000` `folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com`	첫 번째 예제에서는 지정된 사서함 폴더의 모든 항목을 반환합니다. 두 번째 예제에서는 에서 보내거나 받은 garthf@contoso.com지정된 사서함 폴더의 모든 항목을 반환합니다.
시작	전자 메일 메시지의 보낸 사람입니다. ¹	`from:pilarp@contoso.com`	지정된 사용자가 보낸 메시지입니다. (받는 사람 확장 참조)
HasAttachment	메시지에 첨부 파일이 있는지 여부를 나타냅니다. true 또는 false 값을 사용합니다.	`from:pilar@contoso.com AND hasattachment:true`	첨부 파일이 있는 지정된 사용자가 보낸 메시지입니다.
중요도	보낸 사람이 메시지를 보낼 때 지정할 수 있는 전자 메일 메시지의 중요도입니다. 기본적으로 보낸 사람이 중요도를 높음 또는 낮음으로 설정하지 않았다면 메시지는 보통 중요도로 전송됩니다.	`importance:high` `importance:medium` `importance:low`	높음 중요도, 보통 중요도 또는 낮은 중요도로 표시된 메시지입니다.
IsRead	메시지를 읽었는지 여부를 나타냅니다. true 또는 false 값을 사용합니다.	`isread:true` `isread:false`	첫 번째 예제에서는 IsRead 속성이 True로 설정된 메시지를 반환합니다. 두 번째 예제에서는 IsRead 속성이 False로 설정된 메시지를 반환합니다.
ItemClass	이 속성을 사용하여 organization 가져온 특정 타사 데이터 형식을 검색하여 Office 365. 이 속성에 대해 다음 구문을 사용합니다. `itemclass:ipm.externaldata.<third-party data type>*`	`itemclass:ipm.externaldata.Facebook* AND subject:contoso` `itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"`	첫 번째 예제에서는 subject 속성에 "contoso"라는 단어가 포함된 Facebook 항목을 반환합니다. 두 번째 예제에서는 Ann Beebe가 게시하고 "Northwind Traders"라는 키워드(keyword) 문구가 포함된 Twitter 항목을 반환합니다. ItemClass 속성에 대한 타사 데이터 형식에 사용할 값의 전체 목록은 콘텐츠 검색을 사용하여 Office 365 가져온 타사 데이터 검색을 참조하세요.
종류	검색할 전자 메일 메시지의 유형입니다. 사용 가능한 값: 연락처 문서 전자 메일 externaldata 팩스 Im 저널 회의 microsoftteams(Microsoft Teams의 채팅, 모임 및 통화에서 항목을 반환함) 노트 게시물 rssfeeds 작업 음성	`kind:email` `kind:email OR kind:im OR kind:voicemail` `kind:externaldata`	첫 번째 예제에서는 검색 조건을 충족하는 전자 메일 메시지를 반환합니다. 두 번째 예제에서는 전자 메일 메시지, 인스턴트 메시징 대화(Microsoft Teams의 비즈니스용 Skype 대화 및 채팅 포함) 및 검색 조건을 충족하는 음성 메시지를 반환합니다. 세 번째 예제에서는 검색 조건을 충족하는 Twitter, Facebook 및 Cisco Jabber와 같은 타사 데이터 원본에서 Microsoft 365의 사서함으로 가져온 항목을 반환합니다. 자세한 내용은 Office 365 타사 데이터 보관을 참조하세요.
참가자	전자 메일 메시지의 모든 사람 필드입니다. 이러한 필드는 From, To, Cc 및 Bcc.1입니다.	`participants:garthf@contoso.com` `participants:contoso.com`	에 의해 전송되거나 로 전송된 garthf@contoso.com메시지 두 번째 예제에서는 contoso.com 도메인의 사용자가 보냈거나 이 사용자에게로 보낸 모든 메시지를 반환합니다. (받는 사람 확장 참조)
수신됨	받는 사람이 전자 메일 메시지를 받은 날짜입니다.	`received:2021-04-15` `received>=2021-01-01 AND received<=2021-03-31`	2021년 4월 15일에 받은 메시지입니다. 두 번째 예제에서는 2021년 1월 1일부터 2021년 3월 31일 사이에 받은 모든 메시지를 반환합니다.
받는 사람	전자 메일 메시지의 모든 받는 사람 필드입니다. 이러한 필드는 To, Cc 및 Bcc.1입니다.	`recipients:garthf@contoso.com` `recipients:contoso.com`	에 garthf@contoso.com보낸 메시지입니다. 두 번째 예제에서는 contoso.com 도메인에 있는 모든 받는 사람에게 전송된 메시지를 반환합니다. (받는 사람 확장 참조)
전송	보낸 사람이 전자 메일 메시지를 보낸 날짜입니다.	`sent:2021-07-01` `sent>=2021-06-01 AND sent<=2021-07-01`	지정된 날짜 또는 지정된 날짜 범위 내에서 전송된 메시지입니다.
Size	항목의 크기(바이트)입니다.	`size>26214400` `size:1..1048567`	25MB보다 큰 메시지입니다. 두 번째 예제에서는 1 ~ 1,048,567바이트(1MB) 크기의 메시지를 반환합니다.
제목	전자 메일 메시지 제목 줄의 텍스트입니다. 참고: 쿼리에서 Subject 속성을 사용하는 경우 검색은 제목 줄에 검색하려는 텍스트가 포함된 모든 메시지를 반환합니다. 즉, 쿼리는 정확히 일치하는 메시지만 반환하지 않습니다. 예를 들어 를 검색 `subject:"Quarterly Financials"`하는 경우 결과에는 "Quarterly Financials 2018"이라는 제목의 메시지가 포함됩니다.	`subject:"Quarterly Financials"` `subject:northwind`	제목 줄 텍스트의 아무 곳이나 "분기별 재무"라는 문구가 포함된 메시지입니다. 두 번째 예제에서는 제목 줄에 단어 northwind가 포함된 모든 메시지를 반환합니다.
받는 사람	전자 메일 메시지의 To 필드입니다. ¹	`to:annb@contoso.com` `to:annb` `to:"Ann Beebe"`	모든 예제에서 받는 사람: 줄에 Ann Beebe가 지정된 메시지를 반환합니다.

참고

¹ 받는 사람 속성 값의 경우 전자 메일 주소( 사용자 계정 이름 또는 UPN이라고도 함), 표시 이름 또는 별칭을 사용하여 사용자를 지정할 수 있습니다. 예를 들어 , annb 또는 "Ann Beebe"를 사용하여 annb@contoso.com사용자 Ann Beebe를 지정할 수 있습니다.

받는 사람 확장

받는 사람 속성(From, To, Cc, Bcc, Participants 및 Recipients)을 검색할 때 Microsoft 365는 Microsoft Entra ID 조회하여 각 사용자의 ID를 확장하려고 시도합니다. 사용자가 Microsoft Entra ID 있는 경우 사용자의 메일 주소(또는 UPN), 별칭, 표시 이름 및 LegacyExchangeDN을 포함하도록 쿼리가 확장됩니다. 예를 들어 와 같은 participants:ronnie@contoso.com 쿼리는 로 확장됩니다 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

받는 사람 확장을 방지하려면 전자 메일 주소 끝에 야생 카드 문자(별표)를 추가하고 축소된 도메인 이름을 사용합니다. 예를 들어 participants:"ronnie@contoso*" 전자 메일 주소를 큰따옴표로 묶어야 합니다.

그러나 검색 쿼리에서 받는 사람 확장을 방지하면 관련 항목이 검색 결과에 반환되지 않을 수 있습니다. Exchange의 Email 메시지는 받는 사람 필드에 다른 텍스트 형식으로 저장할 수 있습니다. 받는 사람 확장은 다른 텍스트 형식을 포함할 수 있는 메시지를 반환하여 이 사실을 완화하는 데 도움이 됩니다. 따라서 받는 사람 확장을 방지하면 검색 쿼리가 조사와 관련된 모든 항목을 반환하지 않을 수 있습니다.

참고

받는 사람 확장으로 인해 검색 쿼리에서 반환되는 항목을 검토하거나 줄여야 하는 경우 eDiscovery(프리미엄)를 사용하는 것이 좋습니다. 메시지를 검색하고(받는 사람 확장을 활용) 검토 집합에 추가한 다음 검토 집합 쿼리 또는 필터를 사용하여 결과를 검토하거나 범위를 좁힐 수 있습니다. 자세한 내용은 사례에 대한 데이터 수집 및 검토 집합의 데이터 쿼리를 참조하세요.

SharePoint 및 OneDrive에서 콘텐츠 찾기

SharePoint 또는 비즈니스용 OneDrive 있는 문서 및 파일을 검색할 때 관심 있는 문서 및 파일에 대한 메타데이터에 따라 쿼리 접근 방식을 조정하는 것이 합리적일 수 있습니다. 파일 및 문서에는 Author, Created, CreatedBy, FileName, LastModifiedTime 및 Title과 같은 관련 속성이 있습니다. 이러한 속성의 대부분은 Exchange Online 통신 콘텐츠를 검색할 때 관련이 없으며, 이러한 속성을 사용하면 문서와 통신 모두에서 사용되는 경우 예기치 않은 결과가 발생할 수 있습니다. 또한 파일 이름 및 문서의 제목 은 동일하지 않을 수 있으며, 하나 또는 다른 파일을 사용하여 특정 콘텐츠가 있는 파일을 찾으려고 하면 다른 결과가 발생하거나 부정확할 수 있습니다. SharePoint 및 비즈니스용 OneDrive 특정 문서 및 파일 콘텐츠를 검색할 때 이러한 속성을 염두에 두어야 합니다.

예를 들어 User 1에서 만든 문서, Tradewinds라는 프로젝트의 경우 Financials라는 특정 파일, 2020년 1월부터 2022년 1월까지의 문서와 관련된 콘텐츠를 찾으려면 다음 속성이 포함된 쿼리를 사용할 수 있습니다.

사용자 1의 비즈니스용 OneDrive 사이트를 사례에 데이터 원본으로 추가
사용자 1의 비즈니스용 OneDrive 사이트를 컬렉션 위치로 선택합니다.
프로젝트와 관련된 SharePoint 사이트 위치를 컬렉션 위치로 추가
FileName의 경우 재무를 사용합니다.
키워드의 경우 Tradewinds를 사용합니다.
날짜 범위의 경우 2020년 1월 1일부터 2022년 1월 31일까지 범위를 사용합니다.

검색 가능한 사이트 속성

다음 표에는 Microsoft Purview 규정 준수 포털 eDiscovery 검색 도구를 사용하거나 New-ComplianceSearch 또는 Set-ComplianceSearch cmdlet을 사용하여 검색할 수 있는 SharePoint 및 비즈니스용 OneDrive 속성이 나와 있습니다.

중요

SharePoint 및 비즈니스용 OneDrive 저장된 문서 및 파일에는 다른 Microsoft 365 서비스에서 지원되는 다른 속성이 있을 수 있지만 이 표에 나열된 문서 및 파일 속성만 eDiscovery 검색 도구에서 지원됩니다. 검색에 다른 문서 또는 파일 속성을 포함하려는 시도는 지원되지 않습니다.

이 표에는 각 속성의 property:value 구문 예제와 예제에서 반환되는 검색 결과에 대한 설명이 나와 있습니다.

속성	속성 설명	예제	예제에서 반환된 검색 결과
만든 이	문서를 복사하는 경우 유지되는 Office 문서의 만든 이 필드입니다. 예를 들어 사용자가 문서를 만들고 다른 사람에게 전자 메일을 보낸 다음 SharePoint에 업로드하는 경우 문서는 여전히 원래 작성자를 유지합니다. 이 속성에 대한 사용자의 표시 이름을 사용해야 합니다.	`author:"Garth Fort"`	Garth Fort가 만든 모든 문서입니다.
Contenttype	항목, 문서 또는 비디오와 같은 항목의 SharePoint 콘텐츠 형식입니다.	`contenttype:document`	모든 문서가 반환됩니다.
만든 날짜	항목을 만든 날짜입니다.	`created>=2021-06-01`	2021년 6월 1일 또는 그 이후에 만들어진 모든 항목입니다.
CreatedBy	항목을 만들었거나 업로드한 사람입니다. 이 속성에 대한 사용자의 표시 이름을 사용해야 합니다.	`createdby:"Garth Fort"`	Garth Fort가 만들었거나 업로드한 모든 항목입니다.
DetectedLanguage	항목의 언어입니다.	`detectedlanguage:english`	영어로된 모든 항목입니다.
DocumentLink	SharePoint 또는 비즈니스용 OneDrive 사이트에 있는 특정 폴더의 경로(URL)입니다. 이 속성을 사용하는 경우 지정된 폴더가 있는 사이트를 검색해야 합니다. 사이트 및 경로 속성 대신 이 속성을 사용하는 것이 좋습니다. documentlink 속성에 대해 지정한 폴더의 하위 폴더에 있는 항목을 반환하려면 지정된 폴더의 URL에 /를 추가해야 합니다. 예를 들어 `documentlink: "https://contoso.sharepoint.com/Shared Documents/"` documentlink 속성을 검색하고 스크립트를 사용하여 특정 사이트의 폴더에 대한 문서 링크 URL을 가져오는 방법에 대한 자세한 내용은 대상 컬렉션에 콘텐츠 검색 사용을 참조하세요.	`documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"` `documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential`	첫 번째 예제에서는 지정된 비즈니스용 OneDrive 폴더의 모든 항목을 반환합니다. 두 번째 예제에서는 파일 이름에 "confidential"이라는 단어가 포함된 지정된 사이트 폴더(및 모든 하위 폴더)의 문서를 반환합니다.
FileExtension	파일의 확장자입니다. 예를 들어 docx, one, pptx 또는 xlsx입니다.	`fileextension:xlsx`	모든 Excel 파일(Excel 2007 이상)
파일	파일의 이름입니다.	`filename:"marketing plan"` `filename:estimate`	첫 번째 예제에서는 제목에 "marketing plan"이 정확히 포함된 제목을 반환합니다. 두 번째 예제에서는 파일 이름에 "estimate"라는 단어가 들어 있는 파일을 반환합니다.
LastModifiedTime	항목을 마지막으로 변경한 날짜입니다.	`lastmodifiedtime>=2021-05-01` `lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01`	첫 번째 예제에서는 2021년 5월 1일 또는 그 이후에 변경된 항목을 반환합니다. 두 번째 예제에서는 2021년 5월 1일부터 2021년 6월 1일 사이에 변경된 항목을 반환합니다.
ModifiedBy	항목을 마지막으로 변경한 사람입니다. 이 속성에 대한 사용자의 표시 이름을 사용해야 합니다.	`modifiedby:"Garth Fort"`	Garth Fort가 마지막으로 변경한 모든 항목입니다.
SharedWithUsersOWSUser	지정한 사용자와 공유되고 사용자의 비즈니스용 OneDrive 사이트의 공유한 항목 페이지에 표시된 문서입니다. 이러한 문서는 organization 다른 사용자가 지정한 사용자와 명시적으로 공유한 문서입니다. SharedWithUsersOWSUser 속성을 사용하는 검색 쿼리와 일치하는 문서를 내보낼 때 문서는 지정된 사용자와 문서를 공유한 사용자의 원래 콘텐츠 위치에서 내보냅니다. 자세한 내용은 organization 내에서 공유된 사이트 콘텐츠 검색을 참조하세요.	`sharedwithusersowsuser:garthf` `sharedwithusersowsuser:"garthf@contoso.com"`	두 예제 모두 Garth Fort와 명시적으로 공유되었으며 Garth Fort의 비즈니스용 OneDrive 계정의 공유 페이지에 표시되는 모든 내부 문서를 반환합니다.
Size	항목의 크기(바이트)입니다.	`size>=1` `size:1..10000`	첫 번째 예제에서는 1바이트 보다 큰 항목을 반환합니다. 두 번째 예제에서는 1부터 10,000바이트 크기의 항목을 반환합니다.
제목	문서의 제목입니다. Title 속성은 Microsoft Office 문서에 지정된 메타데이터입니다. 문서의 파일 이름과 다릅니다.	`title:"communication plan"`	Office 문서의 Title 메타데이터 속성에 "communication plan"이 포함된 문서입니다.

검색 가능한 연락처 속성

다음 표에서는 인덱싱되고 eDiscovery 검색 도구를 사용하여 검색할 수 있는 연락처 속성을 나열합니다. 사용자 사서함의 개인 주소록에 있는 연락처(개인 연락처라고도 함)에 대해 사용자가 구성할 수 있는 속성입니다. 연락처를 검색하려면 검색할 사서함을 선택한 다음, 키워드(keyword) 쿼리에서 하나 이상의 연락처 속성을 사용할 수 있습니다.

팁

공백 또는 특수 문자가 포함된 값을 검색하려면 큰따옴표(" ")를 사용하여 구를 포함합니다. 예를 들면 입니다 businessaddress:"123 Main Street".

속성	속성 설명
BusinessAddress	비즈니스 주소 속성의 주소 입니다. 이 속성을 연락처 속성 페이지에서 회사 주소라고도 합니다.
BusinessPhone	비즈니스 전화 번호 속성의 전화 번호입니다.
Companyname	회사 속성의 이름입니다.
부서	Department 속성의 이름입니다.
DisplayName	연락처의 표시 이름입니다. 연락처의 전체 이름 속성에 있는 이름입니다.
EmailAddress	연락처의 전자 메일 주소 속성에 대한 주소입니다. 사용자는 연락처에 대한 여러 전자 메일 주소를 추가할 수 있습니다. 이 속성을 사용하면 연락처의 전자 메일 주소와 일치하는 연락처가 반환됩니다.
FileAs	File as 속성입니다. 이 속성은 사용자의 연락처 목록에 대화 상대가 나열되는 방법을 지정하는 데 사용됩니다. 예를 들어 연락처를 FirstName, LastName 또는LastName,FirstName으로 나열할 수 있습니다.
GivenName	이름 속성의 이름입니다.
HomeAddress	홈 주소 속성의 주소입니다.
HomePhone	홈 전화 번호 속성의 전화 번호입니다.
IMAddress	메신저 주소 속성은 일반적으로 인스턴트 메시징에 사용되는 전자 메일 주소입니다.
MiddleName	중간 이름 속성의 이름입니다.
MobilePhone	휴대폰 번호 속성의 전화 번호입니다.
별명	애칭 속성의 이름입니다.
OfficeLocation	Office 또는 Office 위치 속성의 값입니다.
OtherAddress	기타 주소 속성의 값입니다.
성	성 속성의 이름입니다.
제목	Job Title 속성의 제목입니다.

검색 연산자

AND, OR 및 NOT과 같은 부울 검색 연산자는 검색 쿼리에 특정 단어를 포함하거나 제외하여 보다 정확한 검색을 정의하는 데 도움이 됩니다. 속성 연산자(예: >= 또는 ..), 따옴표, 괄호 및 와일드카드 사용과 같은 기타 기술은 검색 쿼리를 구체화하는 데 도움이 됩니다. 다음 표에서는 검색 결과를 좁히거나 넓히는 데 사용할 수 있는 연산자를 설명합니다.

연산자	사용 현황	설명
그리고	keyword1 AND keyword2	지정된 키워드 또는 `property:value` 식을 모두 포함하는 항목을 반환합니다. 예를 들어 는 `from:"Ann Beebe" AND subject:northwind` 제목 줄에 northwind라는 단어가 포함된 Ann Beebe가 보낸 모든 메시지를 반환합니다. ²
+	keyword1 + keyword2 + keyword3	또는 `keyword3` 및 이 포함된 `keyword2` 항목을 반환합니다`keyword1`. 따라서 이 예제는 쿼리 `(keyword2 OR keyword3) AND keyword1`와 동일합니다. 쿼리 `keyword1 + keyword2` (기호 뒤의 + 공백 포함)는 AND 연산자를 사용하는 것과 다릅니다. 이 쿼리는 와 동일 `"keyword1 + keyword2"` 하며 정확한 단계 `"keyword1 + keyword2"`인 항목을 반환합니다.
또는	keyword1 OR keyword2	지정된 키워드 또는 `property:value` 식을 하나 이상 포함하는 항목을 반환합니다. ²
NOT	keyword1 NOT keyword2 NOT from:"Ann Beebe" NOT kind:im	키워드(keyword) 또는 `property:value` 식으로 지정된 항목을 제외합니다. 두 번째 예제에서는 Ann Beebe가 보낸 메시지를 제외합니다. 세 번째 예제에서는 대화 기록 사서함 폴더에 저장된 비즈니스용 Skype 대화와 같은 인스턴트 메시징 대화를 제외합니다. ²
근처	keyword1 NEAR(n) keyword2	서로 가까이 있는 단어가 있는 항목을 반환합니다. keyword1 NEAR(n) keyword2 구문에서 n은 keyword1 및 keyword2를 포함하는 단어의 수와 같습니다. 예를 들어 최 적이라는 용어가 최악의 단어 3단어(예: 'Best는 최악의 경우와 반대입니다.')에 속하는 인스턴스를 식별하려면 가장 좋은 NEAR(5) 최악의 단어를 사용합니다. 그러면 best (keyword1)와 worst (keyword2) 사이에 3개 이하의 단어가 있는 모든 항목이 반환됩니다. 구문 예제에서 5 를 지정하면 키워드 2개와 단어 3개 차이는 NEAR 범위입니다. 숫자를 지정하지 않으면 기본 n 값은 8입니다. ²
:	property:value	구문의 콜론(:) `property:value` 검색되는 속성의 값에 지정된 값이 포함되도록 지정합니다. 예를 들어 는 `recipients:garthf@contoso.com` 로 전송된 모든 메시지를 반환합니다 garthf@contoso.com.
=	property=value	연산자와 `:` 동일합니다.
<	속성<값	검색 중인 속성이 지정된 값보다 작음을 나타냅니다. ¹
>	속성>값	검색 중인 속성이 지정된 값보다 큽니다. ¹
<=	property<=value	검색 중인 속성이 특정 값보다 작거나 같음임을 나타냅니다. ¹
>=	property>=value	검색되는 속성이 특정 값보다 크거나 같음을 나타냅니다. ¹
..	property:value1.. Value2	검색되는 속성이 value1보다 크거나 같고 value2보다 작거나 같음임을 나타냅니다. ¹
" "	"fair value" subject:"Quarterly Financials"	키워드 상자에 쌍을 입력 `property:value` 하는 키워드(keyword) 쿼리에서 큰따옴표(" ")를 사용하여 정확한 구 또는 용어를 검색합니다. 그러나 제목 또는 제목/제목검색 조건을 사용하는 경우 이러한 검색 조건을 사용할 때 따옴표가 자동으로 추가되므로 큰따옴표를 값에 추가하지 마세요. 값에 따옴표를 추가하면 두 쌍의 큰따옴표가 조건 값에 추가되고 검색 쿼리에서 오류를 반환합니다.
*	고양이* subject:set*	접두사 검색( 접두사 일치라고도 함). 여기서 와일드카드 문자( * )는 단어 끝에 키워드 또는 `property:value` 쿼리로 배치됩니다. 접두사 검색에서 검색은 단어가 포함된 용어와 0개 이상의 문자가 포함된 결과를 반환합니다. 예를 들어 는 `title:set` 문서 제목에 "set", "setup", "setting"(및 "set"으로 시작하는 다른 단어)이 포함된 문서를 반환합니다. 참고:* 접두사 검색만 사용할 수 있습니다. 예를 들어 cat* 또는 set입니다. 접미사 검색(cat), 접두사 검색(*ct) 및 부분 문자열 검색(cat*)은 지원되지 않습니다. 또한 접두사 검색에 마침표( . )를 추가하면 반환되는 결과가 변경됩니다. 마침표가 중지 단어로 취급되었기 때문입니다. 예를 들어 cat 를 검색하고 cat.* 를 검색하면 다른 결과가 반환됩니다. 접두사 검색에서 마침표는 사용하지 않는 것이 좋습니다.
( )	(fair OR free) AND (from:contoso.com) (IPO OR initial) AND (stock OR shares) (quarterly financials)	괄호는 부울 구, `property:value` 항목 및 키워드를 함께 그룹화합니다. 예를 들어 은 `(quarterly financials)` 분기별 및 재무라는 단어가 포함된 항목을 반환합니다.

참고

¹ 날짜 또는 숫자 값이 있는 속성에는 이 연산자 를 사용합니다.
² 부울 검색 연산자는 대문자여야 합니다. 예를 들면 AND입니다. 및 같은 소문자 연산자를 사용하는 경우 검색 쿼리에서 키워드(keyword) 처리됩니다.

검색 조건

검색 쿼리에 조건을 추가하여 검색 범위를 좁혀 보다 구체화된 결과 집합을 반환할 수 있습니다. 각 조건은 검색을 시작할 때 생성 및 실행되는 KQL 검색 쿼리에 절을 추가합니다.

공용 속성에 대한 조건
메일 속성에 대한 조건
문서 속성에 대한 조건
조건과 함께 사용되는 연산자
조건 사용에 대한 지침
예제

공용 속성에 대한 조건

동일한 검색에서 사서함 및 사이트를 검색할 때 공용 속성을 사용하는 조건을 만듭니다. 다음 표에서는 조건을 추가할 때 사용할 수 있는 속성을 나열합니다.

조건	설명
날짜	전자 메일의 경우 메시지를 만들거나 PST 파일에서 가져온 날짜입니다. 문서의 경우 문서가 마지막으로 수정된 날짜입니다. 특정 기간 동안 전자 메일 메시지를 검색하는 경우 Exchange에서 고유하게 만든 것이 아니라 전자 메일 메시지를 가져왔는지 확실하지 않은 경우 받은 메시지 및 보낸 사람 조건을 사용해야 합니다.
보낸 사람/작성자	전자 메일의 경우 메시지를 보낸 사람입니다. 문서의 경우 Office 문서의 만든 이 필드에 지정된 사람입니다. 여러 개의 이름을 쉼표로 구분하여 입력할 수 있습니다. 두 개 이상의 값은 OR 연산자를 사용하여 논리적으로 연결됩니다. (받는 사람 확장 참조)
크기(바이트)	전자 메일 및 문서의 경우 항목의 크기(바이트)입니다.
제목/제목	전자 메일의 경우 메시지 제목 줄의 텍스트입니다. 문서의 경우 문서 제목입니다. 앞에서 설명한 것처럼 Title 속성은 Microsoft Office 문서에 지정된 메타데이터입니다. 둘 이상의 제목/제목 값의 이름을 쉼표로 구분하여 입력할 수 있습니다. 두 개 이상의 값은 OR 연산자를 사용하여 논리적으로 연결됩니다. 참고: 이 검색 조건을 사용할 때 따옴표가 자동으로 추가되므로 이 조건의 값에 큰따옴표를 포함하지 마세요. 값에 따옴표를 추가하면 두 쌍의 큰따옴표가 조건 값에 추가되고 검색 쿼리에서 오류를 반환합니다.
보존 레이블	전자 메일과 문서 모두에 대해 메시지 및 문서에 자동으로 또는 수동으로 적용할 수 있는 보존 레이블입니다. 보존 레이블을 사용하여 레코드를 선언하고 레이블에 지정된 보존 및 삭제 규칙을 적용하여 콘텐츠의 데이터 수명 주기를 관리할 수 있습니다. 보존 레이블 이름의 일부를 입력하고 와일드카드를 사용하거나 전체 레이블 이름을 입력할 수 있습니다. 보존 레이블에 대한 자세한 내용은 보존 정책 및 보존 레이블에 대해 알아보기를 참조하세요.

메일 속성에 대한 조건

Exchange Online 사서함 또는 공용 폴더를 검색할 때 메일 속성을 사용하여 조건을 만듭니다. 다음 표에서 조건을 사용할 수 있는 전자 메일 속성을 나열 합니다. 이러한 속성은 이전에 설명한 전자 메일 속성의 하위 집합입니다. 이러한 설명은 편의를 위해 반복됩니다.

조건	설명
메시지 종류	검색할 메시지의 유형입니다. Kind 전자 메일 속성과 같은 속성입니다. 사용 가능한 값: 연락처 문서 전자 메일 externaldata 팩스 Im 저널 회의 microsoftteams 노트 게시물 rssfeeds 작업 음성
참가자	전자 메일 메시지의 모든 사람 필드입니다. 이러한 필드는 From, To, Cc 및 숨은 참조입니다. (받는 사람 확장 참조)
유형	전자 메일 항목의 메시지 클래스 속성입니다. ItemClass 전자 메일 속성과 동일한 속성입니다. 다중 값 조건이기도 합니다. 따라서 여러 메시지 클래스를 선택하려면 Ctrl 키를 누른 다음 조건에 추가할 드롭다운 목록에서 두 개 이상의 메시지 클래스를 선택합니다. 목록에서 선택한 각 메시지 클래스는 해당 검색 쿼리의 OR 연산자에 의해 논리적으로 연결됩니다. Exchange에서 사용하고 메시지 클래스 목록에서 선택할 수 있는 메시지 클래스(및 해당 메시지 클래스 ID)의 목록은 항목 유형 및 메시지 클래스를 참조하세요.
수신됨	받는 사람이 전자 메일 메시지를 받은 날짜입니다. Received 전자 메일 속성과 같은 속성입니다.
받는 사람	전자 메일 메시지의 모든 받는 사람 필드입니다. 이러한 필드는 받는 사람, 참조 및 숨은 참조입니다. (받는 사람 확장 참조)
보낸 사람	전자 메일 메시지의 보낸 사람입니다.
전송	보낸 사람이 전자 메일 메시지를 보낸 날짜입니다. Sent 전자 메일 속성과 같은 속성입니다.
제목	전자 메일 메시지 제목 줄의 텍스트입니다. 참고: 이 검색 조건을 사용할 때 따옴표가 자동으로 추가되므로 이 조건의 값에 큰따옴표를 포함하지 마세요. 값에 따옴표를 추가하면 두 쌍의 큰따옴표가 조건 값에 추가되고 검색 쿼리에서 오류를 반환합니다.
받는 사람	받는 사람 필드에 있는 전자 메일 메시지의 받는 사람입니다.

문서 속성에 대한 조건

SharePoint 및 비즈니스용 OneDrive 사이트에서 문서를 검색할 때 문서 속성을 사용하여 조건을 만듭니다. 다음 표에서는 조건에 사용할 수 있는 문서 속성 목록을 제공합니다. 이러한 속성은 이전에 설명한 사이트 속성의 하위 집합입니다. 이러한 설명은 편의를 위해 반복됩니다.

조건	설명
만든 이	문서를 복사하는 경우 유지되는 Office 문서의 만든 이 필드입니다. 예를 들어 사용자가 문서를 만들고 다른 사람에게 전자 메일을 보낸 다음 SharePoint에 업로드하는 경우 문서는 여전히 원래 작성자를 유지합니다.
제목	문서의 제목입니다. Title 속성은 Office 문서에 지정된 메타데이터입니다. 문서의 파일 이름과 다릅니다.
만든 날짜	문서를 만든 날짜입니다.
마지막으로 수정한 날짜	문서를 마지막으로 변경한 날짜입니다.
파일 형식	파일의 확장자입니다. 예를 들어 docx, one, pptx 또는 xlsx입니다. FileExtension 사이트 속성과 같은 속성입니다. 참고: 검색 쿼리에서 Equals 또는 Equals 연산자를 사용하여 파일 형식 조건을 포함하는 경우 파일 형식의 끝에 와일드카드 문자(* )를 포함하여 접두사 검색을 사용하여 파일 형식의 모든 버전을 반환할 수 없습니다. 이렇게 하면 와일드카드가 무시됩니다. 예를 들어 조건을 `Equals any of doc`포함하는 경우 확장이 인 `.doc` 파일만 반환됩니다. 확장이 인 파일은 `.docx` 반환되지 않습니다. 파일 형식의 모든 버전을 반환하려면 키워드(keyword) 쿼리에서 property:value* 쌍(예: `filetype:doc*`)을 사용했습니다.

조건과 함께 사용되는 연산자

조건을 추가할 때 조건에 대한 속성 유형과 관련된 연산자를 선택할 수 있습니다. 다음 표에서는 조건과 함께 사용되는 연산자를 설명하고 검색 쿼리에 사용되는 것과 동일한 연산자를 제공합니다.

연산자	연산자와 동일한 쿼리	설명
이후	`property>date`	날짜 조건과 함께 사용됩니다. 지정된 날짜 이후에 전송, 수신 또는 수정된 항목을 반환합니다.
Before	`property<date`	날짜 조건과 함께 사용됩니다. 지정된 날짜 이전에 전송, 수신 또는 수정된 항목을 반환합니다.
사이	`date..date`	날짜 및 크기 조건과 함께 사용됩니다. 날짜 조건과 함께 사용될 경우 지정된 날짜 범위 내에서 전송, 수신 또는 수정된 항목을 반환합니다. 크기 조건과 함께 사용될 경우 해당 크기가 지정된 범위 내에 속하는 항목을 반환합니다.
Contains any of	`(property:value) OR (property:value)`	문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 하나 이상의 지정된 문자열 값의 일부를 포함하는 항목을 반환합니다.
Doesn't contain any of	`-property:value` `NOT property:value`	문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 지정된 문자열 값의 어떤 부분도 포함하지 않는 항목을 반환합니다.
Doesn't equal any of	`-property=value` `NOT property=value`	문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 특정 문자열을 포함하지 않는 항목을 반환합니다.
같음	`size=value`	지정된 크기와 같은 항목을 반환합니다. ¹
Equals any of	`(property=value) OR (property=value)`	문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 하나 이상의 지정된 문자열 값과 일치하는 항목을 반환합니다.
큰	`size>value`	지정된 속성이 지정된 값보다 큰 항목을 반환합니다. ¹
Greater or equal	`size>=value`	지정된 속성이 지정된 값보다 크거나 같은 항목을 반환합니다. ¹
덜	`size<value`	특정 값보다 크거나 같은 항목을 반환합니다. ¹
Less or equal	`size<=value`	특정 값보다 크거나 같은 항목을 반환합니다. ¹
Not equal	`size<>value`	지정된 크기와 같지 않은 항목을 반환합니다. ¹

참고

¹ 이 연산자는 Size 속성을 사용하는 조건에서만 사용할 수 있습니다.

조건 사용에 대한 지침

검색 조건을 사용할 때 다음에 유의하세요.

조건은 AND 연산자를 사용하여 키워드 쿼리(키워드 상자에 지정)에 논리적으로 연결됩니다. 즉, 결과에 포함되려면 항목이 키워드 쿼리와 조건을 모두 만족해야 합니다. 이 방법을 통해 결과를 좁힐 수 있습니다.
검색 쿼리에 둘 이상의 고유한 조건(다양한 속성을 지정하는 조건)을 추가하는 경우 해당 조건이 AND 연산자에 의해 논리적으로 연결됩니다. 즉, 모든 조건(및 키워드 쿼리)을 만족하는 항목만 반환됩니다.
동일한 속성에 대해 둘 이상의 조건을 추가하면 해당 조건은 OR 연산자에 의해 논리적으로 연결됩니다. 즉, 키워드 쿼리와 조건 중 하나를 만족하는 항목이 반환됩니다. 따라서 동일한 조건 그룹이 OR 연산자에 의해 서로 연결된 후 고유한 조건 집합이 AND 연산자로 연결됩니다.
단일 조건에 여러 값을 추가하면(쉼표나 세미콜론으로 구분) 해당 값이 OR 연산자로 연결됩니다. 즉, 조건의 속성에 대해 지정된 값을 하나라도 포함하는 항목이 반환됩니다.
Contains 및 Equals 논리가 있는 연산자를 사용하는 모든 조건은 간단한 문자열 검색에 대해 유사한 검색 결과를 반환합니다. 단순 문자열 검색은 와일드카드를 포함하지 않는 조건의 문자열입니다.) 예를 들어 Equals를 사용하는 조건은 Contains를 사용하는 조건과 동일한 항목을 반환 합니다.
키워드 상자 및 조건을 사용하여 만든 검색 쿼리는 검색 페이지의 선택한 검색에 대한 세부 정보 창에 표시됩니다. 쿼리에서 표기법 (c:c) 오른쪽에 있는 모든 항목은 쿼리에 추가되는 조건을 나타냅니다. (c:c) 수동으로 인계된 쿼리에는 사용하지 않아야 하며 AND 또는 OR와 같지 않습니다.
조건은 검색 쿼리에 속성만 추가합니다. 연산자를 추가하지 않습니다. 따라서 세부 정보 창에 표시되는 쿼리가 표기법 오른쪽에 연산자를 (c:c) 표시하지 않습니다. KQL은 쿼리를 실행할 때 논리 연산자를 추가합니다(이전에 설명한 규칙을 따름).
끌어서 놓기 컨트롤을 사용하여 조건 순서를 다시 지정할 수 있습니다. 조건에 대한 컨트롤을 선택하고 위 또는 아래로 이동합니다.
앞에서 설명한 것처럼 일부 조건 속성을 사용하면 여러 값(세미콜론으로 구분)을 입력할 수 있습니다. 각 값은 OR 연산자에 의해 논리적으로 연결되고 쿼리 (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)가 발생합니다. 다음 그림에서는 여러 값이 있는 조건의 예를 보여 줍니다.

참고

동일한 속성에 대한 조건 추가를 선택하여 여러 조건을 추가할 수 없습니다. 대신 이전 예제와 같이 조건에 대한 여러 값(세미콜론으로 구분)을 제공해야 합니다.

예제

다음 예제에서는 조건이 있는 검색 쿼리의 GUI 기반 버전, 선택한 검색의 세부 정보 창에 표시되는 검색 쿼리 구문( Get-ComplianceSearch cmdlet에서도 반환됨) 및 해당 KQL 쿼리의 논리를 보여 줍니다.

예 1

이 예제에서는 2021년 4월 1일 이전에 보내거나 만든 키워드(keyword) "report"가 포함된 전자 메일 항목 또는 문서를 반환하며, 전자 메일 메시지의 제목 필드 또는 문서의 제목 속성에 "northwind"라는 단어가 포함되어 있습니다. 이 쿼리는 다른 검색 조건에 맞는 웹 페이지를 제외합니다.

GUI:

검색 조건의 두 번째 예입니다.

쿼리 구문 검색:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

쿼리 논리 검색:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

예 2

이 예제에서는 2019년 12월 1일부터 2020년 11월 30일 사이에 보낸 전자 메일 메시지 또는 일정 모임을 반환하며 "휴대폰" 또는 "스마트폰"으로 시작하는 단어가 포함되어 있습니다.

GUI:

검색 조건의 세 번째 예입니다.

쿼리 구문 검색:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

쿼리 논리 검색:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

특수 문자

일부 특수 문자는 검색 인덱스 에 포함되지 않으므로 검색할 수 없습니다. 여기에는 검색 쿼리의 검색 연산자를 나타내는 특수 문자도 포함됩니다. 다음은 실제 검색 쿼리의 빈 공간으로 대체되거나 검색 오류가 발생하는 특수 문자 목록입니다.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

검색 가능한 중요한 데이터 형식

규정 준수 포털에서 eDiscovery 검색 도구를 사용하여 SharePoint 및 비즈니스용 OneDrive 사이트의 문서에 저장된 신용 카드 번호 또는 사회 보장 번호와 같은 중요한 데이터를 검색할 수 있습니다. 이 작업은 키워드(keyword) 쿼리에서 SensitiveType 중요한 정보 형식의 속성 및 이름(또는 ID)을 사용하여 수행할 수 있습니다. 예를 들어 쿼리 SensitiveType:"Credit Card Number" 는 신용 카드 번호를 포함하는 문서를 반환합니다. 쿼리 SensitiveType:"U.S. Social Security Number (SSN)" 는 미국 사회 보장 번호를 포함하는 문서를 반환합니다.

검색할 수 있는 중요한 정보 유형 목록을 보려면 규정 준수 포털에서 데이터 분류 중요한>정보 유형 으로 이동합니다. 또는 보안 & 준수 PowerShell에서 Get-DlpSensitiveInformationType cmdlet을 사용하여 중요한 정보 유형 목록을 표시할 수 있습니다.

중요한 데이터 형식 검색에 대한 제한 사항

사용자 지정 중요한 정보 유형을 검색하려면 속성에서 중요한 정보 형식의 ID를 SensitiveType 지정해야 합니다. 이전 섹션의 기본 제공 중요한 정보 유형 예제와 같이 사용자 지정 중요한 정보 형식의 이름을 사용하면 결과가 반환되지 않습니다. 규정 준수 포털의 중요한 정보 유형 페이지(또는 PowerShell의 Publisher 속성)에 있는 게시자 열을 사용하여 기본 제공 정보 유형과 사용자 지정 중요한 정보 유형을 구분합니다. 기본 제공 중요한 데이터 형식의 값 Microsoft Corporation 은 Publisher 속성입니다.

organization 사용자 지정 중요한 데이터 형식의 이름과 ID를 표시하려면 보안 & 준수 PowerShell에서 다음 명령을 실행합니다.
```
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
```
그런 다음 검색 속성의 ID를 SensitiveType 사용하여 사용자 지정 중요한 데이터 형식이 포함된 문서를 반환할 수 있습니다. 예를 들면 다음과 같습니다. SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
중요한 정보 유형 및 SensitiveType 검색 속성을 사용하여 Exchange Online 사서함에서 미사용 데이터를 검색할 수 없습니다. 여기에는 이 모든 콘텐츠가 사서함에 저장되므로 1:1 채팅 메시지, 1:N 그룹 채팅 메시지 및 Microsoft Teams의 팀 채널 대화가 포함됩니다. 그러나 DLP(데이터 손실 방지) 정책을 사용하여 전송 중인 중요한 전자 메일 데이터를 보호할 수 있습니다. 자세한 내용은 데이터 손실 방지에 대해 알아보기 및 개인 데이터 검색 및 찾기를 참조하세요.

외부 사용자와 공유되는 사이트 콘텐츠 검색

규정 준수 포털에서 eDiscovery 검색 도구를 사용하여 SharePoint에 저장된 문서 및 organization 외부 사용자와 공유된 비즈니스용 OneDrive 사이트를 검색할 수도 있습니다. 이렇게 하면 조직 외부에서 공유되는 중요한 정보나 비공개 정보를 확인할 수 있습니다. 키워드(keyword) 쿼리에서 ViewableByExternalUsers 속성을 사용하여 이 작업을 수행할 수 있습니다. 이 속성은 다음 공유 방법 중 하나를 사용하여 외부 사용자와 공유된 문서 또는 사이트를 반환합니다.

사용자가 인증된 사용자로 organization 로그인해야 하는 공유 초대입니다.
이 링크를 가진 모든 사용자가 인증할 필요 없이 리소스에 액세스할 수 있는 익명 게스트 링크입니다.

다음은 몇 가지 예입니다.

쿼리 ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" 는 organization 외부 사용자와 공유된 모든 항목을 반환하고 신용 카드 번호를 포함합니다.
쿼리 ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" 는 외부 사용자와 공유된 organization 모든 팀 사이트의 문서 목록을 반환합니다.

팁

와 같은 ViewableByExternalUsers:true AND ContentType:document 검색 쿼리는 검색 결과에 많은 .aspx 파일을 반환할 수 있습니다. 이러한 파일(또는 다른 형식의 파일)을 FileExtension 제거하려면 속성을 사용하여 특정 파일 형식(예 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx: )을 제외할 수 있습니다.

조직 외부의 사용자와 공유되는 것으로 간주되는 콘텐츠는 무엇인가요? 공유 초대를 보내거나 공용 위치에서 공유되는 organization SharePoint 및 비즈니스용 OneDrive 사이트의 문서입니다. 예를 들어 다음과 같은 사용자 활동은 외부 사용자가 콘텐츠를 볼 수 있도록 만듭니다.

사용자가 조직 외부의 사람과 파일 또는 폴더를 공유합니다.
사용자가 공유 파일을 만든 후 조직 외부의 사람에게 공유 파일에 대한 링크를 보냅니다. 이 링크를 사용하여 외부 사용자를 파일을 보거나 편집할 수 있습니다.
사용자가 조직 외부의 사람에게 공유 파일을 보거나 편집할 수 있는 공유 초대 메일 또는 게스트 링크를 보냅니다.

ViewableByExternalUsers 속성 사용 문제

속성은 ViewableByExternalUsers 문서 또는 사이트가 외부 사용자와 공유되는지 여부에 대한 상태 나타내지만 이 속성이 수행하는 작업과 반영되지 않는 사항에 대한 몇 가지 주의 사항이 있습니다. 다음 시나리오에서는 속성 값이 ViewableByExternalUsers 업데이트되지 않으며 이 속성을 사용하는 검색 쿼리의 결과가 정확하지 않을 수 있습니다.

사이트 또는 organization 대한 외부 공유 해제와 같은 공유 정책 변경 외부 액세스가 해지된 경우에도 속성은 이전에 공유된 문서를 외부에서 액세스할 수 있는 것으로 계속 표시합니다.
Microsoft 365 그룹 또는 Microsoft 365 보안 그룹에 외부 사용자 추가 또는 제거와 같은 그룹 멤버 자격 변경 그룹에 액세스할 수 있는 항목에 대해 속성이 자동으로 업데이트되지 않습니다.
받는 사람이 초대를 수락하지 않아 아직 콘텐츠에 액세스할 수 없는 외부 사용자에게 공유 초대를 보냅니다.

이러한 시나리오에서 속성은 ViewableByExternalUsers 사이트 또는 문서 라이브러리를 다시 크롤링하고 다시 인덱싱할 때까지 현재 공유 상태 반영하지 않습니다.

organization 내에서 공유된 사이트 콘텐츠 검색

앞에서 설명한 대로 속성을 사용하여 SharedWithUsersOWSUser organization 사용자 간에 공유된 문서를 검색할 수 있습니다. 사용자가 organization 내의 다른 사용자와 파일(또는 폴더)을 공유하면 공유 파일에 대한 링크가 공유된 사용자의 비즈니스용 OneDrive 계정에 있는 공유한 사용자 페이지에 표시됩니다. 예를 들어 Sara Davis와 공유된 문서를 검색하려면 쿼리 SharedWithUsersOWSUser:"sarad@contoso.com"를 사용할 수 있습니다. 이 검색 결과를 내보내면 원본 문서(Sara와 문서를 공유한 사람의 콘텐츠 위치에 있음)가 다운로드됩니다.

속성을 사용할 SharedWithUsersOWSUser 때 검색 결과에 반환하려면 특정 사용자와 문서를 명시적으로 공유해야 합니다. 예를 들어 OneDrive 계정에서 문서를 공유하는 경우 organization 내부 또는 외부의 사용자와 공유하거나, organization 내부 사용자와만 공유하거나, 특정 사용자와 공유할 수 있습니다. 다음은 세 가지 공유 옵션을 보여 주는 OneDrive의 공유 창 스크린샷입니다.

특정 사용자와 공유된 파일만 SharedWithUsersOWSUser 속성을 사용하는 검색 쿼리에서 반환됩니다.

세 번째 옵션( 특정 사용자와 공유)을 사용하여 공유하는 문서만 속성을 사용하는 SharedWithUsersOWSUser 검색 쿼리에서 반환됩니다.

비즈니스용 Skype 대화 검색

다음 키워드(keyword) 쿼리를 사용하여 비즈니스용 Skype 대화에서 콘텐츠를 구체적으로 검색할 수 있습니다.

kind:im

이전 검색 쿼리는 Microsoft Teams의 채팅도 반환합니다. 이를 방지하기 위해 다음 키워드(keyword) 쿼리를 사용하여 비즈니스용 Skype 대화만 포함하도록 검색 결과의 범위를 좁힐 수 있습니다.

kind:im AND subject:conversation

이전 키워드(keyword) 쿼리는 비즈니스용 Skype 대화가 "Conversation"라는 단어로 시작하는 제목 줄이 있는 전자 메일 메시지로 저장되기 때문에 Microsoft Teams에서 채팅을 제외합니다.

특정 날짜 범위 내에서 발생한 비즈니스용 Skype 대화를 검색하려면 다음 키워드(keyword) 쿼리를 사용합니다.

kind:im AND subject:conversation AND (received=startdate..enddate)

검색에 대한 문자 제한

SharePoint 사이트 및 OneDrive 계정에서 콘텐츠를 검색할 때 검색 쿼리에는 4,000자 제한이 있습니다. 검색 쿼리의 총 문자 수를 계산하는 방법은 다음과 같습니다.

키워드(keyword) 검색 쿼리의 문자(사용자 및 필터 필드 모두 포함)는 이 제한에 대해 계산됩니다.
모든 위치 속성의 문자(예: 검색 중인 모든 SharePoint 사이트의 URL 또는 OneDrive 위치)는 이 제한에 대해 계산됩니다.
모든 검색 권한의 문자는 제한에 대해 검색 횟수를 실행하는 사용자에게 적용되는 필터입니다.

문자 제한에 대한 자세한 내용은 eDiscovery 검색 제한을 참조하세요.

참고

4,000자 제한은 콘텐츠 검색, eDiscovery(표준) 및 eDiscovery(프리미엄)에 적용됩니다.