Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администраторам часто нужно выяснить, кто знал, что и когда. Они должны отвечать на запросы о текущих или потенциальных судебных разбирательствах, внутренних расследованиях и других сценариях наиболее эффективным и эффективным способом. Эти запросы часто являются срочными, включают несколько заинтересованных групп и оказывают значительное влияние, если они не выполняются своевременно. Знание того, как найти нужную информацию, очень важно, чтобы администраторы успешно завершили поиск и помогли их организациям управлять рисками и затратами, связанными с требованиями к обнаружению электронных данных.
Дополнительные сведения о поиске содержимого в почтовых ящиках в eDiscovery см. в следующем видео:
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
При отправке запроса на обнаружение электронных данных администраторы часто получают только частичную информацию, чтобы начать сбор содержимого, которое может быть связано с определенным исследованием. Запрос может включать имена пользователей, названия проектов, приблизительные диапазоны дат, когда проект был активен, и не многое другое. На основе этих сведений администраторам необходимо создавать запросы, чтобы найти релевантное содержимое в службах Microsoft 365, чтобы определить информацию, необходимую для конкретного проекта или темы. Понимание того, как информация хранится и управляется для этих служб, помогает администраторам быстрее и эффективнее находить то, что им нужно.
Exchange Online хранит электронную почту, чат, собрание и Microsoft 365 Copilot и Microsoft 365 Copilot Chat данные о действиях (запросы пользователей и ответы Copilot). Многие свойства связи доступны для поиска элементов, включенных в Exchange Online. Некоторые свойства, такие как From, Sent, Subject и To , являются уникальными для определенных элементов и не имеют значения при поиске файлов или документов в SharePoint и OneDrive. Включение этих типов свойств при поиске между рабочими нагрузками иногда может привести к непредвиденным результатам.
Например, чтобы найти содержимое, связанное с конкретными пользователями (User 1 и User 2), связанным с проектом Tradewinds, и в период с января 2020 г. по январь 2022 г. можно использовать запрос со следующими свойствами:
- Добавление расположений Exchange Online пользователя 1 и пользователя 2 в качестве источников данных в дело
- Выберите User 1 и User 2's Exchange Online расположения в качестве источника данных.
- Для ключевого слова используйте Tradewinds.
- Для диапазона дат используйте диапазон с 1 января 2020 г. по 31 января 2022 г.
При поиске сообщений электронной почты или другого содержимого почтового ящика, которое может содержать облачные вложения, ссылка на облачное вложение в хранилище в SharePoint или OneDrive должна рассматриваться как вложения файла сообщения, а не как отдельные документы.
Это поведение аналогично тому, как поиск возвращает сообщения электронной почты с внедренными локальными вложениями. Эти вложения извлекаются так, как будто они являются частью сообщений электронной почты. Любые границы соответствия для SharePoint или OneDrive не отражаются в коллекции облачных вложений, включенных в адаптивные сообщения.
Важно!
Для сообщений электронной почты при использовании ключевое слово поиск включает тему, текст и многие свойства, связанные с участниками. Однако из-за расширения получателя поиск может не возвращать ожидаемые результаты при использовании псевдонима или части псевдонима. Поэтому используйте полное имя участника-пользователя.
Свойства электронной почты с возможностью поиска в KeyQL
Важно!
Хотя сообщения электронной почты могут иметь другие свойства, поддерживаемые в других службах Microsoft 365, средства поиска eDiscovery поддерживают только свойства электронной почты, перечисленные в этой таблице. Другие свойства сообщений электронной почты нельзя включать в поиск.
В следующей таблице перечислены свойства сообщений электронной почты, поддерживаемые при поиске с помощью редактора KeyQL eDiscovery на портале Microsoft Purview или командлетов New-ComplianceSearch или Set-ComplianceSearch. Список поддерживаемых свойств построителя условий см . в статье Использование построителя условий для создания поисковых запросов в eDiscovery.
Таблица содержит пример синтаксиса property:value для каждого свойства и описание результатов поиска, возвращаемых примерами. Эти пары можно ввести property:value в поле ключевых слов для поиска eDiscovery.
Примечание.
При поиске свойств электронной почты нельзя искать заголовки сообщений. Сведения заголовка не индексируются для поиска. Кроме того, нельзя искать элементы, в которых указанное свойство является пустым или пустым. Например, при использовании пары property:valueобъекта subject:"" для поиска сообщений электронной почты с пустой строкой темы возвращается ноль результатов. Это ограничение также применяется при поиске свойств сайта и контакта.
| Свойство | Описание свойства | Примеры | Результаты поиска, возвращаемые примерами |
|---|---|---|---|
| AttachmentNames | Имена файлов, вложенных в сообщение электронной почты. | attachmentnames:annualreport.ppt |
Сообщения с вложенным файлом с именемannualreport.ppt. Во втором примере с помощью подстановочного знака ( * ) возвращаются сообщения со словом annual в имени файла вложения. 1 |
| СК | Поле СК сообщения электронной почты. 1 | bcc:pilarp@contoso.com |
Все примеры возвращают сообщения с Pilar Pinilla , включенные в поле СК. (См. раздел Расширение получателей) |
| Категория | Категории поиска. Пользователи могут определять категории с помощью Outlook или Outlook в Интернете (прежнее название — Outlook Web App). Возможные значения:
|
category:"Red Category" |
Сообщения, которым назначена красная категория в исходных почтовых ящиках. |
| Копия | Поле Копия сообщения электронной почты. 1 | cc:pilarp@contoso.com |
В обоих примерах сообщения с Pilar Pinilla указаны в поле Копия. (См. раздел Расширение получателей) |
| From | Отправитель электронного письма.1 | from:pilarp@contoso.com |
Сообщения, отправленные указанным пользователем. (См. раздел Расширение получателей) |
| HasAttachment | Указывает, есть ли в сообщении вложение. Используйте значения true или false. | from:pilar@contoso.com AND hasattachment:true |
Сообщения, отправленные указанным пользователем с вложениями. |
| Важность | Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. | importance:high |
Сообщения, которым назначена высокая, средняя или низкая важность. |
| IsRead | Указывает, считываются ли сообщения. Используйте значения true или false. | isread:true |
В первом примере возвращаются сообщения со свойством IsRead, задав значение True. Во втором примере возвращаются сообщения со свойством IsRead, за которым задано значение False. |
| ItemClass | Используйте это свойство для поиска определенных сторонних типов данных, импортированных вашей организацией в Office 365. Используйте следующий синтаксис для этого свойства: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
В первом примере возвращается Facebook элементов, содержащих слово contoso в свойстве Subject. Во втором примере возвращаются элементы Twitter, опубликованные Энн Биб и содержащие ключевое слово фразу "Northwind Traders". |
| Kind | Тип сообщения электронной почты для поиска. Возможные значения: contacts docs externaldata faxes im journals meetings microsoftteams (возвращает элементы из чатов, собраний и звонков в Microsoft Teams) notes posts rssfeeds tasks voicemail |
kind:email |
В первом примере возвращаются сообщения электронной почты, соответствующие условиям поиска. Во втором примере возвращаются сообщения электронной почты, беседы с мгновенными сообщениями (в том числе Skype для бизнеса беседы и чаты в Microsoft Teams) и голосовые сообщения, соответствующие условиям поиска. В третьем примере возвращаются элементы, импортированные в почтовые ящики в Microsoft 365 из сторонних источников данных, таких как Twitter, Facebook и Cisco Jabber, которые соответствуют условиям поиска. Дополнительные сведения см. в статье Архивация сторонних данных в Office 365. |
| Участники | Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск.1". | participants:garthf@contoso.com |
Сообщения, отправленные или отправленные в garthf@contoso.com. Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com. (См. раздел Расширение получателей) |
| ПОЛУЧЕНО | Дата получения сообщения электронной почты получателем. | received:2021-04-15 |
Сообщения, полученные 15 апреля 2021 г. Во втором примере возвращаются все сообщения, полученные в период с 1 января 2021 г. по 31 марта 2021 г. |
| Recipients | Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск.1. | recipients:garthf@contoso.com |
Сообщения, отправленные в garthf@contoso.com. Второй пример возвращает сообщения, отправленные получателям на домене contoso.com. (См. раздел Расширение получателей) |
| Sent | Дата отправки сообщения электронной почты отправителем. | sent:2021-07-01 |
Сообщения, отправленные в указанную дату или в пределах указанного диапазона дат. |
| Размер | Размер элемента в байтах. | size>26214400 |
Сообщения больше 25 МБ. Второй пример возвращает сообщения размером от 1 до 1 048 567 байт (1 МБ). |
| Subject | Текст в строке темы сообщения электронной почты.
Примечание: При использовании свойства Subject в запросе поиск возвращает все сообщения, в которых строка темы содержит искомый текст. Другими словами, запрос не возвращает только те сообщения, которые имеют точное совпадение. Например, если вы выполняете поиск по запросу |
subject:"Quarterly Financials" |
Сообщения, содержащие фразу "Квартальные финансовые показатели" в любом месте текста строки темы. Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы. |
| Кому | Поле "Кому" электронного письма.1 | to:annb@contoso.com |
Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева". |
Примечание.
1 Для значения свойства получателя можно использовать адрес электронной почты (также называемый именем участника-пользователя( UPN), отображаемое имя или псевдоним, чтобы указать пользователя. Например, можно использовать annb@contoso.com, annb или "Ann Beebe", чтобы указать пользователя Ann Beebe.
Конфиденциальные типы данных, доступные для поиска
Вы можете использовать средства поиска электронных данных на портале Microsoft Purview для поиска конфиденциальных данных, таких как кредитные карта номера или номера социального страхования, хранящиеся в документах в почтовых ящиках. Это можно сделать с помощью SensitiveType свойства и имени (или идентификатора) типа конфиденциальной информации в запросе ключевое слово. Например, запрос SensitiveType:"Credit Card Number" возвращает документы, содержащие номер карта кредита. Запрос SensitiveType:"U.S. Social Security Number (SSN)" возвращает документы, содержащие номер социального страхования США.
Список типов конфиденциальной информации, которые можно найти, см. в разделе Классификации> данныхТипы конфиденциальной информации на портале Microsoft Purview. Вы также можете использовать командлет Get-DlpSensitiveInformationType в PowerShell по соответствию безопасности & для отображения списка типов конфиденциальной информации.
Расширение получателя
Почтовые ящики — это гибкое хранилище, а клиенты, подключающиеся к почтовому ящику, управляют некоторыми аспектами сведений о получателях, особенно для отправителя. Клиенты могут выбрать свойства SMTP, Name или LegacyDN в качестве адреса отправителя. Чтобы компенсировать различия в поведении клиента и способе хранения данных, расширение получателя поиска eDiscovery является полезной функцией.
Часто сведения об отправителе, созданные некоторыми клиентами, хранят только имя отправителя, например John Doe, без учета SMTP-адреса, например johndoe@contoso.com. Кроме того, федеративные элементы с устаревшими системами могут хранить только legacyExchangeDN, которое является уникальным идентификатором, используемым в более старых версиях Exchange для представления почтового ящика или списка рассылки. Федеративные системы относятся к сообщениям или данным, интегрированным из разных систем или организаций, часто с использованием устаревших систем, использующих старые форматы или идентификаторы.
Функция расширения получателей решает проблему недостаточно широкого поиска путем расширения поиска для записи содержимого, хранящегося с этими вариантами. Запрос Microsoft Entra ID расширяет все значения, указанные в фильтре участников. Это расширение включает адрес электронной почты пользователя, имя участника-пользователя, псевдоним, отображаемое имя и legacyExchangeDN. Это расширение обеспечивает более широкую сеть поиска, захватывая все релевантное содержимое независимо от того, как хранятся сведения об участниках, и повышает точность и полноту поиска электронных данных.
Примечание.
Расширение получателей не разрешает случаи, когда пользователь уходит и больше не присутствует в Microsoft Entra ID. В этом сценарии система не может развернуть удостоверение, чтобы включить такие варианты, как имя участника-пользователя, псевдоним или LegacyExchangeDN. Чтобы получить исчерпывающие результаты поиска, необходимо вручную включить в запрос все известные идентификаторы (например, предыдущие SMTP-адреса, псевдонимы или отображаемые имена) для ушедших пользователей.
При поиске в любом из свойств получателя (From, To, Cc, Ск, Участники и Получатели) Microsoft 365 пытается расширить удостоверение каждого пользователя, просматривая его в Microsoft Entra ID. Если пользователь найден в Microsoft Entra ID, запрос расширяется, чтобы включить адрес электронной почты пользователя (или имя участника-пользователя), псевдоним, отображаемое имя и legacyExchangeDN. Например, запрос, например participants:ronnie@contoso.com , разворачивается до participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Чтобы предотвратить расширение получателя, добавьте подстановочный знак (звездочка) в конец адреса электронной почты и используйте сокращенное доменное имя; Например, participants:"ronnie@contoco*" обязательно заключите адрес электронной почты двойными кавычками.
Предотвращение расширения получателей в поисковом запросе может привести к тому, что соответствующие элементы не возвращаются в результатах поиска. Email сообщения в Exchange можно сохранить в разных текстовых форматах в полях получателей. Расширение получателей предназначено для устранения этого факта, возвращая сообщения, которые могут содержать различные текстовые форматы. Таким образом, предотвращение расширения получателей может привести к тому, что поисковый запрос не вернет все элементы, которые могут иметь отношение к вашему расследованию.
Расширение получателей не предназначено для поддержки сценариев, связанных с изменением имени пользователя и псевдонима. Если SMTP/имя участника-пользователя изменяется, Microsoft Entra ID может не найти пользователя, что приведет к неполным результатам поиска. Кроме того, legacyExchangeDN, которое редко изменяется, может присутствовать в подложке для всех элементов электронной почты. Расширение получателя обрабатывает только те случаи, когда клиент использует legacyExchangeDN вместо SMTP. Если SMTP-адрес изменяется, а legacyExchangeDN — нет, расширение получателя не поможет, и вам нужно вручную найти и использовать все варианты этих адресов. Это ограничение может привести к тому, что пользователи ошибочно считают, что расширение получателя перехватывает все варианты, включая изменения имени и SMTP.
При использовании условия From с равным условием (=) в индексе запрашивается только отображаемое имя. Это означает, что при использовании SMTP-адреса в условиях "От" или "Отправитель" поиск возвращает результат при выполнении обоих следующих условий:
- SMTP-адрес, используемый в условии, соответствует активному или неактивного пользователя в Microsoft Entra.
- Отображаемое имя активного или неактивного пользователя не изменилось с момента отправки или получения целевого элемента.
При использовании условий Sender или From в поиске eDiscovery система пытается расширить получателя и развернуть запрос, чтобы включить отображаемое имя. В случае успешного выполнения запрос включает все адреса электронной почты, назначенные SMTP-адресу пользователя, и устаревшее отображаемое имя Exchange. Если расширение получателя не выполнено успешно, поиск использует только значение, указанное в условиях "От" и "Отправитель" , для поиска индекса. Условия, которые могут привести к сбою расширения получателя:
- Ушедших пользователей без сохраненного неактивного почтового ящика.
- Активные или неактивные пользователи, у которых SMTP-адрес больше не присутствует в объекте.
- Активные или неактивные пользователи, у которых отображаемое имя было изменено (если отображаемое имя используется с условиями Отправителя или От ).
В некоторых сценариях расширение получателей также может привести к попаданиям в дополнительные элементы при использовании поиска в организации. Например, отображаемое имя одного пользователя может быть частью отображаемого имени другого пользователя. Например, у пользователя может быть отображаемое имя John Doe, а у другого пользователя может быть отображаемое имя John Doe Jr. Поиск по всей организации может возвращать результаты попаданий из обоих почтовых ящиков. В этом сценарии рекомендуется отключить расширение получателя, добавив точку в конце SMTP-адреса.
Дополнительные рекомендации включают в себя: расширение получателя поддерживает только отправку из собственного почтового ящика и не делегированные действия или действия отправки как. Проверьте соответствующие ограничения, включая точность максимального числа членов группы рассылки и максимальный уровень вложенности для групп рассылки. Группы безопасности поддерживаются, и только группы рассылки и группа рассылки должны быть действительными при отправке сообщения электронной почты.
Примечание.
Если вам нужно просмотреть или уменьшить элементы, возвращаемые поисковым запросом из-за расширения получателя, рассмотрите возможность использования функций обнаружения электронных данных уровня "Премиум". Вы можете искать сообщения (используя преимущества расширения получателей), добавлять их в набор проверки, а затем использовать запросы или фильтры набора для проверки или сужения результатов.
Содержимое, хранящееся в почтовых ящиках Exchange Online для обнаружения электронных данных
В основном почтовый ящик используется в Exchange Online для хранения связанных с электронной почтой элементов, таких как сообщения, элементы календаря, задачи и заметки. Но это меняется, так как все больше облачных приложений также хранят свои данные в почтовом ящике пользователя. Одним из преимуществ хранения данных в почтовом ящике является то, что вы можете использовать средства поиска в eDiscovery для поиска, просмотра и экспорта данных из этих облачных приложений.
Данные из некоторых из этих приложений хранятся в скрытых папках, расположенных в поддереве не межличностного сообщения (не IPM) в почтовом ящике. Данные из других облачных приложений могут не храниться в почтовом ящике, но они связаны с почтовым ящиком и возвращаются при поиске, если эти данные соответствуют поисковому запросу. Независимо от того, хранятся ли облачные данные в почтовом ящике пользователя или связаны с ним, данные обычно не видны в почтовом клиенте, когда пользователь открывает свой почтовый ящик.
В следующей таблице перечислены приложения, которые хранят или связывают данные с облачным почтовым ящиком. В таблице также описывается тип содержимого, создаваемого каждым приложением.
| Приложение Microsoft 365 | Описание |
|---|---|
| Расписание занятий | Планы, создаваемые в расписании классов, хранятся в почтовом ящике соответствующей группы Microsoft 365, которая подготавливается при создании плана. Псевдоним для почтового ящика группы — это имя плана. |
| Формы* | Формы и ответы на форму хранятся в файлах, которые прикреплены к сообщениям электронной почты и хранятся в скрытой папке в почтовом ящике пользователя, создавшего форму. Формы, созданные до апреля 2020 г., хранятся в виде PDF-файла. Формы, созданные после 2020 года, хранятся в виде JSON-файла. Ответы на форму хранятся в CSV-файле. При экспорте содержимого из Forms в PST-файл эти данные находятся в папке ApplicationDataRoot во вложенной папке с именем со следующим идентификатором GUID: c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Microsoft 365 Copilot и Microsoft 365 Copilot Chat | Все данные о действиях Copilot (запросы пользователей и ответы Copilot), созданные в поддерживаемых приложениях и службах Microsoft 365, хранятся в почтовых ящиках хранителей. |
| Группы Microsoft 365 | Email сообщения, элементы календаря, контакты (Люди), заметки и задачи хранятся в почтовом ящике, связанном с группой Microsoft 365. |
| Outlook и Exchange Online | Email сообщения, элементы календаря, контакты (Люди), заметки и задачи хранятся в почтовом ящике пользователя. |
| Люди | Контакты в приложении Люди (те же контакты, что и контакты, доступные в Outlook), хранятся в почтовом ящике пользователя. |
| Skype для бизнеса | Беседы в Skype для бизнеса хранятся в папке Журнал бесед в почтовом ящике пользователя. Если почтовый ящик участника собрания Skype помещается на удержание для судебного разбирательства или назначается политике хранения, файлы, прикрепленные к собранию, сохраняются в почтовом ящике участников. |
| Sway* | Sways хранятся в виде HTML-файла, который присоединяется к сообщению электронной почты и хранится в скрытой папке в почтовом ящике пользователя, создавшего sway. При экспорте содержимого из Sway в PST-файл эти данные находятся в папке ApplicationDataRoot во вложенной папке с именем с именем GUID : 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Задачи | Задачи в приложении "Задачи" (те же задачи, что и задачи, доступные в Outlook) хранятся в почтовом ящике пользователя. |
| Teams | Беседы, которые являются частью канала Teams, связаны с почтовым ящиком Teams. Беседы, входящие в список чатов в Teams (также называемые 1 x N чатов), связаны с почтовым ящиком пользователей, участвующих в чате. Кроме того, сводная информация о собраниях и звонках в канале Teams связана с почтовыми ящиками пользователей, набравших на собрание или звонок. Таким образом, при поиске содержимого Teams вы ищете в почтовом ящике Teams содержимое в беседах каналов, а почтовые ящики пользователей — содержимое в 1 x N чатах. |
| To-Do | Задачи ( называемые задачами, которые сохраняются в списках задач) в приложении To-Do хранятся в почтовом ящике пользователя. |
| Viva Engage | Беседы и комментарии в Viva Engage сообществе связаны с почтовым ящиком группы Microsoft 365, а также с почтовым ящиком пользователя автора и всех именованных получателей (@упоминаемых пользователей или пользователей Cc'ed). Личные сообщения, отправленные за пределы Viva Engage сообщества, хранятся в почтовом ящике пользователей, участвующих в личных сообщениях. |
Примечание.
* В настоящее время, если вы размещаете удержание в почтовом ящике с помощью удержаний в случаях обнаружения электронных данных, удержание не сохраняет содержимое из этого приложения.