Поделиться через


Запросы ключевых слов и условия поиска для обнаружения электронных данных

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

В этой статье описываются свойства, доступные для поиска содержимого по электронной почте и чату в Exchange Online, а также документы и файлы, хранящиеся в SharePoint и OneDrive для бизнеса с помощью средств поиска eDiscovery в Портал соответствия требованиям Microsoft Purview.

К ним относятся поиск контента, Microsoft Purview eDiscovery (стандартный) и Microsoft Purview eDiscovery (премиум) (поиск электронных данных в eDiscovery (премиум) называются коллекциями). Для поиска этих свойств можно также использовать командлеты *-ComplianceSearch в PowerShell для соответствия требованиям безопасности & .

В этой статье также описаны:

  • Использование логических операторов поиска, условий поиска и других методов поисковых запросов для уточнения результатов поиска.
  • Поиск сообщений различных типов, связанных с конкретными сотрудниками и проектами в течение определенного периода времени.
  • Поиск содержимого сайта, связанного с конкретным проектом, сотрудниками и /или субъектами в течение определенного периода времени.

Пошаговые инструкции по созданию различных поисковых запросов eDiscovery см. в следующих разделах:

Примечание.

Поиск электронных данных выполняется на портале соответствия требованиям и в соответствующих командлетах *-ComplianceSearch в PowerShell для соответствия требованиям безопасности & используется язык запросов ключевых слов (KQL). Дополнительные сведения см. в справочнике по синтаксису языка запросов к ключевым словам.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Советы по поиску

  • Часовой пояс для всех поисковых запросов — utc. Изменение часовых поясов в организации в настоящее время не поддерживается. Параметры отображения часового пояса в представлении поиска применимы только для значений в столбце Данных и не влияют на метки времени для собранных элементов.
  • Поиск по ключевым словам не учитывает регистр. Например, результаты поиска по словам кот и КОТ будут одинаковыми.
  • Логические операторы AND, OR, NOT и NEAR должны быть прописаны в верхнем регистре.
  • Использование кавычек останавливает подстановочные знаки и любые операции внутри кавычек.
  • Пространство между двумя ключевыми словами или двумя property:value выражениями такое же, как и при использовании ИЛИ. Например, возвращает все сообщения, from:"Sara Davis" subject:reorganization отправленные Сарой Дэвис, или сообщения, содержащие слово "реорганизация" в строке темы. Однако использование сочетания пробелов и условий OR в одном запросе может привести к непредвиденным результатам. Рекомендуется использовать пробелы или ИЛИ в одном запросе.
  • Используйте синтаксис, соответствующий формату property:value . Значения не чувствительны к регистру и не могут содержать пробел после оператора. Если есть пробел, предполагаемое значение — это полнотекстовый поиск. Например, to: pilarp выполняет поиск "pilarp" в качестве ключевое слово, а не сообщений, отправляемых в pilarp.
  • При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".
  • Можно использовать только поиск префиксов; например, cat* или set*. Поиск суффиксов (*cat), поиск infix (c*t) и поиск подстроки (*cat*) не поддерживаются.
  • Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например, возвращает сообщения, subject:budget Q1 содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. С помощью subject:"budget Q1" возвращаются все сообщения, содержащие бюджетный квартал 1 в любом месте в строке темы.
  • Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, исключает все сообщения, -from:"Sara Davis" отправленные Сара Дэвис.
  • Элементы можно экспортировать в зависимости от типа сообщения. Например, чтобы экспортировать беседы и чаты Skype в Microsoft Teams, используйте синтаксис kind:im. Чтобы вернуть только сообщения электронной почты, используйте kind:email. Чтобы вернуть чаты, собрания и звонки в Microsoft Teams, используйте .kind:microsoftteams
  • При поиске сайтов необходимо добавить конечный / конец URL-адреса при использовании path свойства для возврата только элементов на указанном сайте. Если не включить конечный /элемент , также возвращаются элементы с сайта с похожим именем пути. Например, если вы используете path:sites/HelloWorld , то также возвращаются элементы с сайтов с именем sites/HelloWorld_East или sites/HelloWorld_West . Чтобы вернуть элементы только с сайта HelloWorld, необходимо использовать path:sites/HelloWorld/.
  • Язык запроса, страна или регион должны быть определены в поисковом запросе перед сбором содержимого.
  • При поиске сообщений электронной почты в папках "Отправленные" использование SMTP-адреса для отправителя не поддерживается. Элементы в папке Отправленные содержат только отображаемые имена.

Поиск содержимого в Exchange Online

Администраторам часто поручается выяснить, кто знал, что, когда наиболее эффективным и эффективным способом можно ответить на запросы, касающиеся текущих или потенциальных судебных разбирательств, внутренних расследований и других сценариев. Эти запросы часто являются срочными, включают несколько заинтересованных групп и оказывают значительное влияние, если они не выполняются своевременно. Знание того, как найти нужную информацию, очень важно, чтобы администраторы успешно завершили поиск и помогли своим организациям управлять рисками и затратами, связанными с требованиями к обнаружению электронных данных.

При отправке запроса на обнаружение электронных данных администратор часто может получить только частичную информацию, чтобы начать сбор содержимого, которое может быть связано с конкретным исследованием. Запрос может включать имена сотрудников, названия проектов, приблизительные диапазоны дат, когда проект был активен, и не многое другое. На основе этих сведений администратор должен создать запросы, чтобы найти релевантное содержимое в службах Microsoft 365, чтобы определить сведения, необходимые для конкретного проекта или темы. Понимание того, как информация хранится и управляется для этих служб, помогает администраторам быстрее и эффективнее находить то, что им нужно.

данные Email, чата, собрания и Microsoft 365 Copilot и Microsoft Copilot действий (запросы пользователей и ответы Copilot) хранятся в Exchange Online. Многие свойства связи доступны для поиска элементов, включенных в Exchange Online. Некоторые свойства, такие как From, Sent, Subject и To, являются уникальными для определенных элементов и не имеют значения при поиске файлов или документов в SharePoint и OneDrive для бизнеса. Включение этих типов свойств при поиске между рабочими нагрузками иногда может привести к непредвиденным результатам.

Например, чтобы найти содержимое, связанное с конкретными сотрудниками (User 1 и User 2), связанным с проектом Tradewinds, и в период с января 2020 г. по январь 2022 г. можно использовать запрос со следующими свойствами:

  • Добавление расположений Exchange Online пользователя 1 и пользователя 2 в качестве источников данных в дело
  • Выберите Расположения Exchange Online пользователя 1 и пользователя 2 в качестве расположений коллекции.
  • Для ключевого слова используйте Tradewinds.
  • Для диапазона дат используйте диапазон с 1 января 2020 г. по 31 января 2022 г.

Важно!

Для сообщений электронной почты, когда используется ключевое слово, мы ищем тему, текст и многие свойства, связанные с участниками. Однако из-за расширения получателя поиск может не возвращать ожидаемые результаты при использовании псевдонима или части псевдонима. Поэтому рекомендуется использовать полное имя участника-пользователя.

Доступные для поиска свойства электронного сообщения

В следующей таблице перечислены свойства сообщений электронной почты, которые можно найти с помощью средств поиска eDiscovery на портале соответствия требованиям или с помощью командлета New-ComplianceSearch или Set-ComplianceSearch .

Важно!

Хотя сообщения электронной почты могут иметь другие свойства, поддерживаемые в других службах Microsoft 365, в средствах поиска eDiscovery поддерживаются только свойства электронной почты, перечисленные в этой таблице. Попытка включить в поиск другие свойства сообщений электронной почты не поддерживается.

Таблица содержит пример синтаксиса property:value для каждого свойства и описание результатов поиска, возвращаемых примерами. Эти пары можно ввести property:value в поле ключевых слов для поиска eDiscovery.

Примечание.

При поиске свойств сообщения электронной почты невозможно найти заголовки сообщений. Сведения о заголовках не индексируются для коллекций. Кроме того, элементы, в которых указанное свойство является пустым или пустым, недоступны для поиска. Например, при использовании пары property:valueобъекта subject:"" для поиска сообщений электронной почты с пустой строкой темы возвращается ноль результатов. Это также относится к поиску свойств сайта и контакта.

Свойство Описание свойства Примеры Результаты поиска, возвращаемые примерами
AttachmentNames Имена файлов, вложенных в сообщение электронной почты. attachmentnames:annualreport.ppt

attachmentnames:annual*

Сообщения с вложенным файлом с именемannualreport.ppt. Во втором примере с помощью подстановочного знака ( * ) возвращаются сообщения со словом annual в имени файла вложения. 1
СК Поле СК сообщения электронной почты. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Все примеры возвращают сообщения с Pilar Pinilla , включенные в поле СК.
(См. раздел Расширение получателей)
Категория Категории поиска. Категории могут быть определены пользователями с помощью Outlook или Outlook в Интернете (прежнее название — Outlook Web App). Возможные значения:
  • blue
  • green
  • orange
  • purple
  • red
  • yellow
category:"Red Category" Сообщениям, которым назначена красная категория в исходных почтовых ящиках.
Копия Поле Копия сообщения электронной почты. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

В обоих примерах сообщения с Pilar Pinilla указаны в поле Копия.
(См. раздел Расширение получателей)
Folderid Идентификатор папки (GUID) определенной папки почтового ящика в 48-символьном формате. Если вы используете это свойство, обязательно выполните поиск в почтовом ящике, в который находится указанная папка. Выполняется поиск только в указанной папке. Любые вложенные папки в папке не будут искать. Для поиска вложенных папок необходимо использовать свойство Folderid для вложенной папки, которую требуется выполнить поиск.

Дополнительные сведения о поиске свойства Folderid и использовании скрипта для получения идентификаторов папок для определенного почтового ящика см. в статье Использование поиска содержимого для целевых коллекций.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

В первом примере возвращаются все элементы в указанной папке почтового ящика. Во втором примере возвращаются все элементы в указанной папке почтового ящика, которые были отправлены или получены .garthf@contoso.com
From Отправитель электронного письма.1 from:pilarp@contoso.com Сообщения, отправленные указанным пользователем.
(См. раздел Расширение получателей)
HasAttachment Указывает, есть ли в сообщении вложение. Используйте значения true или false. from:pilar@contoso.com AND hasattachment:true Сообщения, отправленные указанным пользователем с вложениями.
Важность Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. importance:high

importance:medium

importance:low

Сообщения, которым назначена высокая, средняя или низкая важность.
IsRead Указывает, были ли прочитаны сообщения. Используйте значения true или false. isread:true

isread:false

В первом примере возвращаются сообщения со свойством IsRead, задав значение True. Во втором примере возвращаются сообщения со свойством IsRead, за которым задано значение False.
ItemClass Используйте это свойство для поиска определенных сторонних типов данных, импортированных вашей организацией в Office 365. Используйте следующий синтаксис для этого свойства: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

В первом примере возвращается Facebook элементов, содержащих слово contoso в свойстве Subject. Во втором примере возвращаются элементы Twitter, опубликованные Энн Биб и содержащие ключевое слово фразу "Northwind Traders".

Полный список значений, которые следует использовать для сторонних типов данных для свойства ItemClass, см. в статье Использование поиска контента для поиска сторонних данных, импортированных в Office 365.

Kind Тип сообщения электронной почты для поиска. Возможные значения:

contacts

docs

email

externaldata

faxes

im

journals

meetings

microsoftteams (возвращает элементы из чатов, собраний и звонков в Microsoft Teams)

notes

posts

rssfeeds

tasks

voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

В первом примере возвращаются сообщения электронной почты, соответствующие условиям поиска. Во втором примере возвращаются сообщения электронной почты, беседы с мгновенными сообщениями (в том числе Skype для бизнеса беседы и чаты в Microsoft Teams) и голосовые сообщения, соответствующие условиям поиска. В третьем примере возвращаются элементы, импортированные в почтовые ящики в Microsoft 365 из сторонних источников данных, таких как Twitter, Facebook и Cisco Jabber, которые соответствуют условиям поиска. Дополнительные сведения см. в статье Архивация сторонних данных в Office 365.
Участники Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск.1". participants:garthf@contoso.com

participants:contoso.com

Сообщения, отправленные или отправленные в garthf@contoso.com. Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com.
(См. раздел Расширение получателей)
ПОЛУЧЕНО Дата получения сообщения адресатом. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

Сообщения, полученные 15 апреля 2021 г. Во втором примере возвращаются все сообщения, полученные в период с 1 января 2021 г. по 31 марта 2021 г.
Recipients Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск.1. recipients:garthf@contoso.com

recipients:contoso.com

Сообщения, отправленные в garthf@contoso.com. Второй пример возвращает сообщения, отправленные получателям на домене contoso.com.
(См. раздел Расширение получателей)
Sent Дата отправки сообщения отправителем. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

Сообщения, отправленные в указанный день или диапазон дат.
Size Размер элемента в байтах. size>26214400

size:1..1048567

Сообщения больше 25 МБ. Второй пример возвращает сообщения размером от 1 до 1 048 567 байт (1 МБ).
Subject Текст в строке темы сообщения электронной почты.

Заметка: При использовании свойства Subject в запросе поиск возвращает все сообщения, в которых строка темы содержит искомый текст. Другими словами, запрос не возвращает только те сообщения, которые имеют точное совпадение. Например, если вы выполняете поиск по запросу subject:"Quarterly Financials", результаты включают сообщения с темой "Квартальные финансовые показатели 2018".

subject:"Quarterly Financials"

subject:northwind

Сообщения, содержащие фразу "Квартальные финансовые показатели" в любом месте текста строки темы. Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы.
Кому Поле "Кому" электронного письма.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева".

Примечание.

1 Для значения свойства получателя можно использовать адрес электронной почты (также называемый именем участника-пользователя или именем участника-пользователя), отображаемое имя или псевдоним, чтобы указать пользователя. Например, можно использовать annb@contoso.com, annb или "Ann Beebe", чтобы указать пользователя Ann Beebe.

Расширение получателя

Совет

Используйте новый интерфейс обнаружения электронных данных (предварительная версия) и построитель условий для использования общих свойств почтового ящика и сайта, таких как MessageID и ChatThreadIds , при поиске определенных получателей или сообщений.

При поиске в любом из свойств получателя (From, To, Cc, СК, Участники и Получатели) Microsoft 365 пытается расширить удостоверение каждого пользователя, просматривая его в Microsoft Entra ID. Если пользователь найден в Microsoft Entra ID, запрос расширяется, чтобы включить адрес электронной почты пользователя (или имя участника-пользователя), псевдоним, отображаемое имя и legacyExchangeDN. Например, запрос, например participants:ronnie@contoso.com , разворачивается до participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Чтобы предотвратить расширение получателя, добавьте дикий символ карта (звездочка) в конец адреса электронной почты и используйте сокращенное доменное имя. Например, participants:"ronnie@contoso*" обязательно заключите адрес электронной почты двойными кавычками.

Однако имейте в виду, что предотвращение расширения получателей в поисковом запросе может привести к тому, что в результатах поиска не будут возвращены соответствующие элементы. Email сообщения в Exchange можно сохранить в разных текстовых форматах в полях получателей. Расширение получателей предназначено для устранения этого факта, возвращая сообщения, которые могут содержать различные текстовые форматы. Таким образом, предотвращение расширения получателей может привести к тому, что поисковый запрос не вернет все элементы, которые могут иметь отношение к вашему расследованию.

Примечание.

Если вам нужно просмотреть или уменьшить элементы, возвращаемые поисковым запросом из-за расширения получателя, рассмотрите возможность использования обнаружения электронных данных (премиум). Вы можете искать сообщения (используя преимущества расширения получателей), добавлять их в набор проверки, а затем использовать запросы или фильтры набора для проверки или сужения результатов. Дополнительные сведения см. в разделах Сбор данных для обращения и Запрос данных в наборе для проверки.

Поиск содержимого в SharePoint и OneDrive

Совет

Используйте новый интерфейс обнаружения электронных данных (предварительная версия) и параметры экспорта поиска, чтобы скачать все вложения списка для сайтов SharePoint.

При поиске документов и файлов, расположенных в SharePoint или OneDrive для бизнеса, может быть целесообразно настроить подход к запросу на основе метаданных для интересующих документов и файлов. Файлы и документы имеют соответствующие свойства, такие как Author, CreatedBy, FileName, LastModifiedTime и Title. Большинство из этих свойств не имеют значения при поиске содержимого сообщений в Exchange Online, и использование этих свойств может привести к непредвиденным результатам при использовании как в документах, так и в сообщениях. Кроме того, имя файла и заголовок документа могут отличаться друг от друга. Использование одного или другого элемента для поиска файла с определенным содержимым может привести к разным или неточным результатам. Учитывайте эти свойства при поиске определенного содержимого документов и файлов в SharePoint и OneDrive для бизнеса.

Например, чтобы найти содержимое, связанное с документами, созданными пользователем User 1, для проекта с именем Tradewinds, для конкретных файлов с именем Financials и с января 2020 г. по январь 2022 г., можно использовать запрос со следующими свойствами:

  • Добавление OneDrive для бизнеса сайта пользователя 1 в качестве источника данных в дело
  • Выберите OneDrive для бизнеса сайт пользователя 1 в качестве расположения коллекции
  • Добавление дополнительных расположений сайтов SharePoint, связанных с проектом, в качестве расположений коллекции
  • В поле FileName используйте Financials.
  • Для ключевого слова используйте Tradewinds.
  • Для диапазона дат используйте диапазон с 1 января 2020 г. по 31 января 2022 г.

Свойства сайтов, доступные для поиска

В следующей таблице перечислены свойства SharePoint и OneDrive для бизнеса, в которые можно искать с помощью средств поиска электронных данных в Портал соответствия требованиям Microsoft Purview или командлета New-ComplianceSearch или Set-ComplianceSearch.

Важно!

Хотя документы и файлы, хранящиеся в SharePoint и OneDrive для бизнеса, могут иметь другие свойства, поддерживаемые в других службах Microsoft 365, в средствах поиска eDiscovery поддерживаются только свойства документов и файлов, перечисленные в этой таблице. Попытка включить другие свойства документа или файла в поиск не поддерживается.

Таблица включает пример синтаксиса property:value и описание результатов поиска, возвращаемых этими примерами.

Свойство Описание свойства Пример Результаты поиска, возвращаемые примерами
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор. Обязательно используйте отображаемое имя пользователя для этого свойства. author:"Garth Fort" Все документы, созданные пользователем Garth Fort.
ContentType Тип контента SharePoint элемента, например Элемент, Документ или Видео. contenttype:document Возвращаются все документы.
Создано Дата создания элемента. created>=2021-06-01 Все элементы, созданные 1 июня 2021 г. или позже.
CreatedBy Пользователь, создавший или загрузивший элемент. Обязательно используйте отображаемое имя пользователя для этого свойства. createdby:"Garth Fort" Все элементы, созданные или отправленные пользователем Garth Fort.
DetectedLanguage Язык элемента. detectedlanguage:english Все элементы на английском языке.
DocumentLink Путь (URL-адрес) к определенной папке на сайте SharePoint или OneDrive для бизнеса. Если вы используете это свойство, обязательно выполните поиск по сайту, где находится указанная папка. Рекомендуется использовать это свойство вместо свойств Site и Path .

Чтобы вернуть элементы, расположенные во вложенных папках папки, указанной для свойства documentlink, необходимо добавить /* в URL-адрес указанной папки. Например documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Дополнительные сведения о поиске свойства documentlink и использовании скрипта для получения URL-адресов ссылки на документ для папок на определенном сайте см. в статье Использование поиска содержимого для целевых коллекций.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

В первом примере возвращаются все элементы в указанной папке OneDrive для бизнеса. Во втором примере возвращаются документы в указанной папке сайта (и все вложенные папки), содержащие слово "конфиденциальный" в имени файла.
FileExtension Расширение файла; например, docx, one, pptx или xlsx. fileextension:xlsx Все файлы Excel (Excel 2007 и более поздние версии)
FileName Имя файла. filename:"marketing plan"

filename:estimate

Первый пример возвращает файлы с фразой "marketing plan" в заголовке. Второй пример возвращает файлы со словом "estimate" в имени файла.
LastModifiedTime Дата последнего изменения элемента. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

В первом примере возвращаются элементы, которые были изменены 1 мая 2021 г. или позже. Во втором примере возвращаются элементы, измененные в период с 1 мая 2021 г. по 1 июня 2021 г.
ModifiedBy Пользователь, который последним изменил элемент. Обязательно используйте отображаемое имя пользователя для этого свойства. modifiedby:"Garth Fort" Все элементы, которые последним изменил пользователь Garth Fort.
SharedWithUsersOWSUser Документы, предоставленные указанному пользователю и отображаемые на странице Мне предоставлен доступ на сайте OneDrive для бизнеса пользователя. Это документы, которые были явно переданы указанному пользователю другими пользователями в вашей организации. При экспорте документов, соответствующих поисковому запросу, использующему свойство SharedWithUsersOWSUser, документы экспортируются из исходного расположения содержимого пользователя, который предоставил доступ к документу указанному пользователю. Дополнительные сведения см. в разделе Поиск содержимого сайта, к которым предоставлен доступ в вашей организации. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

В обоих примерах возвращаются все внутренние документы, которые были явно переданы Гарт Форту и отображаются на странице Мне предоставлен доступ в учетной записи OneDrive для бизнеса Гарт Форт.
Размер Размер элемента в байтах. size>=1

size:1..10000

Первый пример возвращает элементы, размер которых больше 1 байта. Второй пример возвращает элементы размером от 1 до 10 000 байт.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Microsoft Office. Оно отличается от имени файла документа. title:"communication plan" Любой документ, который содержит фразу "communication plan" в свойстве метаданных Title документа Office.

Свойства контакта с возможностью поиска

В следующей таблице перечислены свойства контакта, которые индексируются и которые можно искать с помощью средств поиска eDiscovery. Это свойства, которые пользователи могут настроить для контактов (также называемых личными контактами), которые находятся в личной адресной книге почтового ящика пользователя. Для поиска контактов можно выбрать почтовые ящики для поиска, а затем использовать одно или несколько свойств контакта в запросе ключевое слово.

Совет

Для поиска значений, содержащих пробелы или специальные символы, используйте двойные кавычки (" ") для хранения фразы; например, businessaddress:"123 Main Street".

Свойство Описание свойства
BusinessAddress Адрес в свойстве Business Address . Свойство также называется рабочий адрес на странице свойств контакта.
BusinessPhone Номер телефона в любом из свойств номера бизнес-телефона .
CompanyName Имя в свойстве Company .
Отдел Имя в свойстве Department .
DisplayName Отображаемое имя контакта. Это имя в свойстве Полное имя контакта.
EmailAddress Адрес для любого свойства адреса электронной почты контакта. Пользователи могут добавить несколько адресов электронной почты для контакта. При использовании этого свойства будут возвращены контакты, которые соответствуют любому из адресов электронной почты контакта.
FileAs Свойство File as . Это свойство используется для указания способа перечисления контакта в списке контактов пользователя. Например, контакт может быть указан как FirstName, LastName или LastName, FirstName.
GivenName Имя в свойстве First Name .
HomeAddress Адрес в любом из свойств домашнего адреса.
HomePhone Номер телефона в любом из свойств домашнего номера телефона.
IMAddress Свойство IM address, которое обычно является адресом электронной почты, используемым для обмена мгновенными сообщениями.
MiddleName Имя в свойстве Отчество .
MobilePhone Номер телефона в свойстве Номер мобильного телефона.
Nickname Имя в свойстве Псевдоним .
OfficeLocation Значение в свойстве Расположения Office или Office .
OtherAddress Значение свойства Other address.
Surname Имя в свойстве Last name.
Название Заголовок в свойстве Job title .

Операторы поиска

Логические операторы поиска, такие как AND, OR и NOT, помогают определить более точные поисковые запросы, включив или исключив определенные слова в поисковый запрос. Другие методы, например использование операторов свойств (например >= , или ..), кавычек, скобок и подстановочных знаков, помогают уточнить поисковый запрос. В следующей таблице перечислены операторы, позволяющие сократить или расширить область результатов поиска.

Оператор Применение Описание
И keyword1 AND keyword2 Возвращает элементы, включающие все указанные ключевые слова или property:value выражения. Например, возвращает все сообщения, from:"Ann Beebe" AND subject:northwind отправленные Энн Биб, которые содержат слово northwind в строке темы. 2
+ keyword1 + keyword2 + keyword3 Возвращает элементы, содержащие илиkeyword2keyword3, а также содержащие keyword1. Таким образом, этот пример эквивалентен запросу (keyword2 OR keyword3) AND keyword1.

Запрос keyword1 + keyword2 (с пробелом после символа + ) не совпадает с использованием оператора AND . Этот запрос будет эквивалентен "keyword1 + keyword2" и возвращает элементы с точной фазой "keyword1 + keyword2".

ИЛИ keyword1 OR keyword2 Возвращает элементы, включающие одно или несколько указанных ключевых слов или property:value выражений. 2
NOT keyword1 NOT keyword2

NOT from:"Анна Ермолаева"

NOT kind:im

Исключает элементы, заданные ключевое слово или выражениемproperty:value. Во втором примере исключает сообщения, отправленные Анной Биб. Третий пример исключает любые беседы для обмена мгновенными сообщениями, такие как Skype для бизнеса беседы, сохраненные в папке почтового ящика "Журнал бесед". 2
NEAR keyword1 NEAR(n) keyword2 Возвращает элементы со словами, которые находятся рядом друг с другом. В синтаксисе keyword1 NEAR(n) keyword2n равно количеству слов, включая ключевые слова 1 и keyword2. Например, чтобы определить случаи, когда термин best находится в пределах 3 слов худшего (например, предложение "Лучший противоположен худшему".), следует использовать best NEAR(5) худший. При этом возвращаются все элементы, в которых между лучшим (ключевое слово1) и худшим (ключевое слово2) имеется 3 или меньше слов. Указание 5 в примере синтаксиса включает 2 ключевых слова, а разница в трех словах между ними — это диапазон NEAR. Если число не указано, значение n по умолчанию равно 8. 2
: свойство:значение Двоеточие (:) в синтаксисе property:value указывает, что значение свойства, для которого выполняется поиск, содержит указанное значение. Например, возвращает любое сообщение, recipients:garthf@contoso.com отправленное в garthf@contoso.com.
= свойство=значение То же, что и оператор : .
< свойство<значение Указывает, что значение искомого свойства меньше указанного значения. 1
> свойство>значение Указывает, что значение искомого свойства больше указанного значения.1
<= свойство<=значение Указывает, что значение искомого свойства меньше или равно указанному значению.1
>= свойство>=значение Указывает, что значение искомого свойства больше или равно указанному значению.1
.. property:value1.. value2 Указывает, что значение искомого свойства больше или равно значению 1 и меньше или равно значению 2.1
" " "реальная стоимость"

subject:"Квартальное финансирование"

В запросе ключевое слово (где вы вводите property:value пару в поле Ключевое слово) используйте двойные кавычки (" ") для поиска точной фразы или термина. Однако если используется условие поискаSubject или Subject/Title, не добавляйте двойные кавычки к значению, так как при использовании этих условий поиска кавычки добавляются автоматически. Если добавить кавычки к значению, к значению условия будут добавлены две пары двойных кавычек, а поисковый запрос вернет ошибку.
* кошка*

subject:set*

Поиск префикса (также называется сопоставлением префиксов), где в конце слова в ключевых словах или property:value запросах помещается подстановочный знак ( * ). При поиске префиксов поиск возвращает результаты с терминами, содержащими слово, за которым следует ноль или больше символов. Например, возвращает документы, title:set* содержащие слова "set", "setup" и "setting" (и другие слова, начинающиеся с "set") в заголовке документа.

Заметка: Можно использовать только поиск префиксов; например, cat* или set*. Поиск суффиксов (*cat), поиск infix (c*t) и поиск подстроки (*cat*) не поддерживаются.

Кроме того, добавление точки ( . ) к поиску префикса изменяет возвращаемые результаты. Это потому, что точка рассматривается как стоп-слово. Например, при поиске cat* и cat .* будут возвращены разные результаты. Не рекомендуется использовать точку в поиске префиксов.

( ) (реальная OR бесплатная) AND (from:contoso.com)

(IPO OR первичное) AND (биржа OR акции)

(квартальное финансирование)

Круглые скобки группировать логические фразы, property:value элементы и ключевые слова. Например, возвращает элементы, (quarterly financials) содержащие слова ежеквартально и финансовые.

Примечание.

1 Этот оператор используется для свойств, значения которых являются числами или датами.
2 Логические операторы поиска необходимо указывать прописными буквами, например AND. Если вы используете оператор в нижнем регистре, например и, он будет рассматриваться как ключевое слово в поисковом запросе.

Условия поиска

Вы можете добавить условия в поисковый запрос, чтобы сузить поиск и вернуть более точный набор результатов. Каждое условие добавляет предложение к поисковому KQL-запросу, которое создается и запускается в начале поиска.

Условия для общих свойств

Создайте условие с помощью общих свойств при поиске в почтовых ящиках и на сайтах. В следующей таблице перечислены доступные свойства, которые следует использовать при добавлении условия.

Условие Описание
Date Для электронной почты — дата создания или импорта сообщения из PST-файла. Для документов — дата последнего изменения документа.

Если вы ищете сообщения электронной почты за определенный период времени, следует использовать условия сообщения Получено и Отправлено , если вы не уверены, были ли импортированы сообщения электронной почты, а не изначально созданные в Exchange.
Отправитель или автор Для электронной почты: отправитель сообщения. Для документов: пользователь, указанный в поле автора в документах Office. Можно ввести несколько имен, разделенных запятой. Два или более значений, логически соединенных с помощью оператора OR.
(См. раздел Расширение получателей)
Размер (в байтах) Для электронной почты и документов: размер элемента (в байтах).
Тема или заголовок Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Как упоминалось ранее, свойство Title — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия будут добавлены две пары двойных кавычек, а поисковый запрос вернет ошибку.

Метка хранения Для электронной почты и документов метки хранения, которые можно автоматически или вручную применять к сообщениям и документам. Метки хранения можно использовать для объявления записей и управления жизненным циклом данных содержимого путем применения правил хранения и удаления, заданных меткой. Можно ввести часть имени метки хранения и использовать подстановочный знак или ввести полное имя метки. Дополнительные сведения о метках хранения см. в статье Сведения о политиках хранения и метках хранения.

Условия для свойств почты

Создайте условие с помощью свойств почты при поиске в почтовых ящиках или общедоступных папках в Exchange Online. В следующей таблице перечислены свойства электронной почты, которые можно использовать для условия. Эти свойства являются подмножеством свойств электронной почты, которые были описаны ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Тип сообщения Тип сообщений для поиска. Это свойство совпадает со свойством Kind электронного сообщения. Возможные значения:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Участники Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск". (См. раздел Расширение получателей)
Тип Свойство класса сообщений для элемента электронной почты. Это то же свойство, что и свойство электронной почты ItemClass. Это также условие с несколькими значениями. Поэтому, чтобы выбрать несколько классов сообщений, удерживайте клавишу CTRL , а затем выберите в раскрывающемся списке два или более классов сообщений, которые нужно добавить в условие. Каждый класс сообщений, выбираемый в списке, будет логически соединен оператором OR в соответствующем поисковом запросе.

Список классов сообщений (и их соответствующий идентификатор класса), которые используются Exchange и которые можно выбрать в списке Классы сообщений , см. в разделе Типы элементов и Классы сообщений.

ПОЛУЧЕНО Дата получения сообщения адресатом. Это свойство совпадает со свойством Received электронного сообщения.
Recipients Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск. (См. раздел Расширение получателей)
Sender Отправитель сообщения электронной почты.
Sent Дата отправки сообщения отправителем. Это свойство совпадает со свойством Sent электронного сообщения.
Subject Текст в строке темы сообщения электронной почты.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия будут добавлены две пары двойных кавычек, а поисковый запрос вернет ошибку.

To Получатель сообщения электронной почты в поле Кому.

Условия для свойств документов

Создайте условие с помощью свойств документа при поиске документов в SharePoint и OneDrive для бизнеса сайтах. В следующей таблице перечислены свойства документа, которые можно использовать для условия. Эти свойства являются подмножеством свойств сайта, описанных ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Office. Он отличается от имени файла документа.
Создано Дата создания документа.
Дата последнего изменения Дата последнего изменения документа.
Тип файла Расширение файла; например, docx, one, pptx или xlsx. Это свойство совпадает со свойством FileExtension сайта.

Заметка: При включении условия типа файла с помощью оператора Equals или Equals any of в поисковом запросе вы не сможете использовать поиск префиксов (включив подстановочный знак ( * ) в конце типа файла) для возврата всех версий типа файла. В этом случае подстановочный знак будет игнорироваться. Например, если включить условие Equals any of doc*, будут возвращены только файлы с расширением .doc . Файлы с расширением .docx не возвращаются. Чтобы вернуть все версии типа файла, используется пара "свойство:значение" в запросе ключевое слово, например filetype:doc*.

Операторы, используемые с условиями

При добавлении условия вы можете выбрать оператор, относящийся к типу свойства для этого условия. В следующей таблице описаны операторы, используемые с условиями, и перечислены эквиваленты, используемые в поисковых запросах.

Оператор Эквивалент запроса Описание
После property>date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные после указанной даты.
До property<date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные до указанной даты.
Между date..date Используется с условиями даты и размера. При использовании с условием даты возвращает элементы, отправленные, полученные или измененные в указанный временной период. При использовании с условием размера возвращает элементы, размер которых находится в заданном диапазоне.
Contains any of (property:value) OR (property:value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые содержат любую часть одного или нескольких указанных строковых значений.
Doesn't contain any of -property:value

NOT property:value

Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат ни одной части указанного строкового значения.
Doesn't equal any of -property=value

NOT property=value

Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат определенную строку.
Равно size=value Возвращает элементы, равные указанному размеру. 1
Equals any of (property=value) OR (property=value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые совпадают с одним или несколькими заданными строковыми значениями.
Больше size>value Возвращает элементы, в которых указанное свойство больше указанного значения. 1
Greater or equal size>=value Возвращает элементы, в которых указанное свойство больше или равно указанному значению. 1
Менее size<value Возвращает элементы, которые больше или равны определенному значению. 1
Less or equal size<=value Возвращает элементы, которые больше или равны определенному значению. 1
Not equal size<>value Возвращает элементы, не равные указанному размеру. 1

Примечание.

1 Этот оператор доступен только для условий, использующих свойство Size.

Рекомендации по использованию условий

При использовании условий поиска необходимо учитывать следующее:

  • Условие логически соединяется с запросом по ключевому слову (указанному в соответствующем поле) оператором AND. Это означает, что элементы попадают в результаты поиска, если соответствуют как запросу по ключевому слову, так и условию. Таким образом условия помогают сузить область результатов поиска.

  • При добавлении двух или более уникальных (определяющих различные свойства) условий к поисковому запросу эти условия логически соединяются оператором AND. Это означает, что возвращаются только те элементы, которые удовлетворяют всем условиям (в дополнение к любым запросам по ключевому слову).

  • При добавлении более одного условия для одного свойства эти условия логически соединяются с помощью оператора OR. Это означает, что возвращаются элементы, которые удовлетворяют запросу по ключевому слову и любому одному условию. Таким образом, группы одинаковых условий соединяются друг с другом оператором OR, а группы уникальных условий затем соединяются оператором AND.

  • При добавлении нескольких значений (разделенных запятыми или точками с запятой) к одному условию эти значения соединяются оператором OR. Это означает, что элементы возвращаются, если они содержат любое из значений, указанных для свойства в условии.

  • Любое условие, использующее оператор с логикой Contains и Equals , вернет аналогичные результаты поиска для простых строковых запросов. Простой поиск строк — это строка в условии, не включающая подстановочный знак). Например, условие, использующее значение Equals any of , вернет те же элементы, что и условие, использующее Contains any of .

  • Поисковый запрос, созданный с помощью поля ключевых слов и условий, отображается на странице Поиск в области сведений для выбранного поиска. В запросе все, что справа от нотации (c:c) указывает на условия, которые добавляются в запрос. (c:c) не должен использоваться в запросах с активацией вручную и не равен И или ИЛИ.

  • Условия добавляют свойства только в поисковый запрос; они не добавляют операторы. Поэтому запрос, отображаемый в области сведений, не отображает операторы справа от (c:c) нотации. Язык KQL добавляет логические операторы (в соответствии с ранее разъясненными правилами) при выполнении запроса.

  • Для повторного изменения порядка условий можно использовать элемент управления перетаскиванием. Выберите элемент управления для условия и переместите его вверх или вниз.

  • Как уже говорилось ранее, некоторые свойства условия позволяют вводить несколько значений (разделенных точками с запятой). Каждое значение логически соединено оператором OR и приводит к запросу (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). На следующем рисунке показан пример условия с несколькими значениями.

    Одно условие с несколькими значениями.

    Примечание.

    Нельзя добавить несколько условий (выбрав Добавить условие для одного свойства). Вместо этого необходимо указать несколько значений для условия (разделенных точками с запятой), как показано в предыдущем примере.

Примеры

В следующих примерах показана версия поискового запроса на основе графического интерфейса пользователя с условиями, синтаксис поискового запроса, отображаемый в области сведений выбранного поиска (который также возвращается командлетом Get-ComplianceSearch ), а также логика соответствующего запроса KQL.

Пример 1

В этом примере возвращаются элементы электронной почты или документы, содержащие ключевое слово "отчет", отправленные или созданные до 1 апреля 2021 г. и содержащие слово "northwind" в поле темы сообщений электронной почты или в свойстве заголовка документов. Этот запрос исключает веб-страницы, которые соответствуют другим условиям поиска.

Графический интерфейс:

Второй пример условий поиска.

Синтаксис поискового запроса:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Логика поисковых запросов:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Пример 2

В этом примере возвращаются сообщения электронной почты или календарные собрания, отправленные в период с 1 декабря 2019 г. по 30 ноября 2020 г. и содержащие слова, начинающиеся с "телефон" или "смартфон".

Графический интерфейс:

Третий пример условий поиска.

Синтаксис поискового запроса:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Логика поисковых запросов:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Специальные символы

Некоторые специальные символы не включаются в поисковый индекс и, следовательно, недоступны для поиска. Сюда также входят специальные символы, представляющие операторы поиска в поисковом запросе. Ниже приведен список специальных символов, которые либо заменяются пустым пробелом в фактическом поисковом запросе, либо вызывают ошибку поиска.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Конфиденциальные типы данных, доступные для поиска

Вы можете использовать средства поиска электронных данных на портале соответствия требованиям для поиска конфиденциальных данных, таких как номера кредитов карта или номера социального страхования, которые хранятся в документах в SharePoint и OneDrive для бизнеса сайтах. Это можно сделать с помощью SensitiveType свойства и имени (или идентификатора) типа конфиденциальной информации в запросе ключевое слово. Например, запрос SensitiveType:"Credit Card Number" возвращает документы, содержащие номер карта кредита. Запрос SensitiveType:"U.S. Social Security Number (SSN)" возвращает документы, содержащие номер социального страхования США.

Список типов конфиденциальной информации, которые можно найти, см. в разделе Классификации> данныхТипы конфиденциальной информации на портале соответствия требованиям. Вы также можете использовать командлет Get-DlpSensitiveInformationType в PowerShell по соответствию безопасности & для отображения списка типов конфиденциальной информации.

Ограничения для поиска конфиденциальных типов данных

  • Чтобы найти пользовательские типы конфиденциальной информации, необходимо указать идентификатор типа конфиденциальной информации в свойстве SensitiveType . При использовании имени пользовательского типа конфиденциальной информации (как показано в примере для встроенных типов конфиденциальной информации в предыдущем разделе) результаты не возвращаются. Используйте столбец Publisher на странице Типы конфиденциальной информации на портале соответствия требованиям (или свойство Publisher в PowerShell), чтобы различать встроенные и настраиваемые типы конфиденциальной информации. Встроенные типы конфиденциальных Microsoft Corporation данных имеют значение для свойства Publisher .

    Чтобы отобразить имя и идентификатор для пользовательских типов конфиденциальных данных в организации, выполните следующую команду в PowerShell для обеспечения соответствия требованиям безопасности &:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    Затем можно использовать идентификатор в свойстве SensitiveType поиска для возврата документов, содержащих пользовательский тип конфиденциальных данных, например: SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Вы не можете использовать типы конфиденциальной информации и SensitiveType свойство поиска для поиска неактивных конфиденциальных данных в Exchange Online почтовых ящиках. Сюда входят сообщения чата 1:1, сообщения группового чата 1:N и беседы канала команды в Microsoft Teams, так как все это содержимое хранится в почтовых ящиках. Однако вы можете использовать политики защиты от потери данных (DLP) для защиты конфиденциальных данных электронной почты при передаче. Дополнительные сведения см. в разделах Сведения о защите от потери данных и Поиск и поиск персональных данных.

Поиск контента сайта, который доступен внешним пользователям

Вы также можете использовать средства поиска eDiscovery на портале соответствия требованиям для поиска документов, хранящихся в SharePoint и OneDrive для бизнеса сайтов, которые были предоставлены пользователям за пределами вашей организации. Это позволяет определить конфиденциальные или личные данные, доступные за пределами организации. Это можно сделать с помощью свойства в запросе ViewableByExternalUsers ключевое слово. Это свойство возвращает документы или сайты, к которым был предоставлен общий доступ внешним пользователям, с помощью одного из следующих методов общего доступа:

  • Приглашение общего доступа, требующее, чтобы пользователи входить в организацию в качестве пользователя, прошедшего проверку подлинности.
  • Анонимная гостевая ссылка, которая позволяет любому пользователю с этой ссылкой получить доступ к ресурсу без необходимости проверки подлинности.

Ниже приводятся примеры:

  • Запрос ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" возвращает все элементы, которые были переданы пользователям за пределами вашей организации и содержат кредит карта номер.
  • Запрос ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" возвращает список документов на всех сайтах групп в организации, которые были предоставлены внешним пользователям.

Совет

Поисковый запрос, например, ViewableByExternalUsers:true AND ContentType:document может возвращать много .aspx файлов в результатах поиска. Чтобы устранить эти (или другие типы файлов), можно использовать FileExtension свойство для исключения определенных типов файлов, например ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

Какой контент доступен пользователям не из вашей организации? Документы в SharePoint и OneDrive для бизнеса сайтах вашей организации, к которым предоставлен общий доступ путем отправки приглашения на общий доступ или к которым предоставлен общий доступ в общедоступных расположениях. Например, следующие действия пользователей приводят к тому, что контент будет доступным для внешних пользователей:

  • пользователь предоставляет общий доступ к файлу или папке для определенного пользователя за пределами вашей организации;
  • пользователь создает и отправляет ссылку на общий файл пользователю за пределами вашей организации. Эта ссылка позволяет внешнему пользователю просмотреть или изменить файл;
  • пользователь отправляет приглашение на доступ или гостевую ссылку пользователю за пределами организации для просмотра или редактирования файла.

Проблемы с использованием свойства ViewableByExternalUsers

ViewableByExternalUsers Хотя свойство представляет состояние общего доступа к документу или сайту внешним пользователям, есть некоторые предостережения в отношении того, что это свойство делает и не отражает. В следующих сценариях значение ViewableByExternalUsers свойства не будет обновлено, а результаты поискового запроса, использующего это свойство, могут быть неточными.

  • Изменения в политике общего доступа, например отключение внешнего общего доступа для сайта или организации. Свойство по-прежнему будет отображать ранее общие документы как доступные извне, даже если внешний доступ может быть отозван.
  • Изменения в членстве в группах, например добавление или удаление внешних пользователей в Группы Microsoft 365 или группы безопасности Microsoft 365. Свойство не обновляется автоматически для элементов, к которые группа имеет доступ.
  • Отправка приглашений на общий доступ внешним пользователям, если получатель не принял приглашение и, следовательно, еще не имеет доступа к содержимому.

В этих сценариях свойство не будет отражать текущее состояние общего доступа до тех пор, ViewableByExternalUsers пока сайт или библиотека документов не будет повторно раскрыт и переиндексирован.

Поиск содержимого сайта, к которым предоставлен доступ в организации

Как уже говорилось ранее, вы можете использовать SharedWithUsersOWSUser свойство , чтобы искать документы, которые были переданы пользователям в вашей организации. Когда пользователь предоставляет общий доступ к файлу (или папке) другому пользователю в вашей организации, ссылка на общий файл отображается на странице Мне предоставлен общий доступ в учетной записи OneDrive для бизнеса пользователя, которому был предоставлен общий доступ к файлу. Например, для поиска документов, к которым предоставлен общий доступ Саре Дэвис, можно использовать запрос SharedWithUsersOWSUser:"sarad@contoso.com". Если вы экспортируете результаты этого поиска, исходные документы (расположенные в расположении содержимого пользователя, который предоставил доступ к документам с Сарой) будут загружены.

Документы должны быть явно переданы конкретному пользователю, чтобы они возвращались в результатах поиска при использовании SharedWithUsersOWSUser свойства . Например, когда пользователь предоставляет общий доступ к документу в своей учетной записи OneDrive, он может поделиться им с кем-либо (в организации или за ее пределами), поделиться им только с пользователями внутри организации или предоставить доступ к нему конкретному человеку. Ниже приведен снимок экрана окна "Общий доступ " в OneDrive, на котором показаны три варианта общего доступа.

Поисковый запрос, использующий свойство SharedWithUsersOWSUser, будут возвращены только файлы, к которым предоставлен общий доступ определенным пользователям.

Поисковый запрос, использующий свойство , будет возвращать только документы, к которым предоставлен общий доступ с помощью третьего параметра (общий доступ для определенных пользователейSharedWithUsersOWSUser).

Поиск бесед Skype для бизнеса

Для поиска содержимого в беседах Skype для бизнеса можно использовать следующий запрос ключевое слово:

kind:im

Предыдущий поисковый запрос также возвращает чаты из Microsoft Teams. Чтобы избежать этого, можно сузить результаты поиска, чтобы включить только Skype для бизнеса беседы с помощью следующего запроса ключевое слово:

kind:im AND subject:conversation

Предыдущий запрос ключевое слово исключает чаты в Microsoft Teams, так как Skype для бизнеса беседы сохраняются в виде сообщений электронной почты со строкой темы, которая начинается со слова "Беседа".

Чтобы найти Skype для бизнеса беседы, произошедшие в определенном диапазоне дат, используйте следующий запрос ключевое слово:

kind:im AND subject:conversation AND (received=startdate..enddate)

Ограничения символов для поиска

Существует ограничение в 4000 символов для поисковых запросов при поиске содержимого на сайтах SharePoint и в учетных записях OneDrive. Вот как вычисляется общее количество символов в поисковом запросе:

  • Символы в поисковом запросе ключевое слово (включая поля пользователя и фильтра) учитываются в этом ограничении.
  • Символы в любом свойстве расположения (например, URL-адреса всех сайтов SharePoint или расположениях, в которых выполняется поиск в OneDrive) учитываются в этом пределе.
  • Символы во всех фильтрах разрешений на поиск, которые применяются к пользователю, выполняющего поиск, учитываются с ограничением.

Дополнительные сведения об ограничениях на символы см. в разделе Ограничения поиска eDiscovery.

Примечание.

Ограничение в 4000 символов применяется к поиску контента, обнаружению электронных данных (стандартный) и обнаружению электронных данных (премиум).