Поделиться через

Справочник по функции поиска контента

  • Статья

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

В этой статье описаны возможности функции поиска контента. Сведения об использовании средства eDiscovery поиска контента в Портал соответствия требованиям Microsoft Purview для поиска содержимого на месте см. в статье Начало работы с поиском контента.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Ограничения поиска контента

Описание ограничений, применяемых к функции поиска контента, см. в статье Ограничения для поиска контента.

Создание поискового запроса

Подробные сведения о создании поискового запроса, использовании логических операторов поиска и условий поиска, а также о поиске типов конфиденциальной информации и контента, к которому предоставлен доступ пользователям за пределами вашей организации, см. в статье Запросы ключевых слов и условия поиска контента.

При использовании списка ключевых слов для создания поискового запроса учитывайте указанные ниже моменты.

  • Чтобы создать поисковый запрос, ключевые слова (или фразы) в котором соединены с помощью оператора OR, установите флажок Отобразить список ключевых слов и введите каждое ключевое слово в отдельной строке. Если вставить в поле список ключевых слов или нажимать клавишу ВВОД после ввода ключевых слов, они не будут соединены с помощью оператора OR. Ниже приведены примеры неправильного и правильного добавления списка ключевых слов.

    Неправильный вариант

    Неправильный способ форматирования списка ключевых слов (путем вставки списка в поле для ключевых слов).

    Правильный вариант

    Правильный способ форматирования списка ключевых слов (путем установки флажка и вставки списка).

  • Вы также можете подготовить список ключевых слов или фраз в файле Excel или обычном текстовом файле, а затем скопировать и вставить список в поле для ключевых слов. Для этого нужно установить флажок Отобразить список ключевых слов. Затем выберите первую строку в списке ключевое слово и вставьте список. Каждая строка из файла Excel или текстового файла вставляется в отдельную строку в списке ключевых слов.

  • После создания поискового запроса с помощью списка ключевых слов рекомендуется проверить его синтаксис. В поисковом запросе, отображаемом в области сведений под надписью Запрос, ключевые слова разделяются текстом (c:s). Это означает, что ключевые слова объединены с помощью логического оператора, аналогичного по функциональности оператору OR. Аналогичным образом, если поисковый запрос содержит условия, они отделены от ключевых слов текстом (c:c). Это означает, что ключевые слова объединены с условиями с помощью логического оператора, схожего по функциональности с оператором AND. Ниже приведен пример поискового запроса (отображаемого в области сведений), который был создан с использованием списка ключевых слов и условия.

    Пример запроса, созданного с использованием списка ключевых слов и условия.

  • Когда вы выполняете поиск контента, Microsoft 365 автоматически проверяет ваш поисковый запрос на наличие логических операторов, которые могут быть записаны строчными буквами, и неподдерживаемых символов. Неподдерживаемые символы часто скрыты, а их наличие обычно приводит к ошибке поиска или возврату неверных результатов. Дополнительные сведения о неподдерживаемых символах, наличие которых проверяется, см. в статье Проверка запроса веб-части "Поиск контента" на ошибки.

  • Если у вас есть поисковый запрос, содержащий ключевые слова для символов, не относящихся к английскому языку (например, к китайскому языку), в поиске содержимого можно выбрать значок язык-страна/регион запросы язык-страна/регион и выбрать значение языка и региональных параметров для поиска. По умолчанию используется нейтральный язык и регион. Как определить, нужно ли изменить параметры языка для поиска контента? Если вы уверены, что расположения контента содержат искомые символы, отсутствующие в английском алфавите, но поиск не возвращает результатов, причиной могут быть параметры языка.

Частично индексированные элементы

Поиск в учетных записях OneDrive

  • Чтобы собрать список URL-адресов сайтов OneDrive в организации, см. статью Создание списка всех расположений OneDrive в организации/ Скрипт в этой статье создает текстовый файл, содержащий список всех сайтов OneDrive. Чтобы запустить этот скрипт, требуется установить и использовать командную консоль SharePoint Online. Не забудьте добавить URL-адрес домена личного сайта вашей организации к каждому сайту OneDrive, на котором нужно выполнить поиск. Это домен, содержащий все ваши oneDrive; например, https://contoso-my.sharepoint.com. Ниже приведен пример URL-адреса для сайта OneDrive пользователя: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.

    В редких случаях, когда имя участника-пользователя (UPN) изменено, URL-адрес его расположения OneDrive изменяется с учетом нового имени участника-пользователя. В этом случае требуется изменить поиск контента, добавив новый URL-адрес OneDrive пользователя и удалив старый. Дополнительные сведения см. в разделе Как изменения UPN влияют на URL-адрес OneDrive.

Поиск в Microsoft Teams и группах Microsoft 365

Вы можете выполнять поиск в почтовом ящике, связанном с группой Microsoft 365 или командой Microsoft Teams. Поскольку команды Microsoft Teams создаются на основе групп Microsoft 365, поиск в них выполняется одинаково. В обоих случаях поиск выполняется только в почтовом ящике группы или команды. Поиск в почтовых ящиках участников группы или команды не выполняется. Чтобы выполнить их поиск, необходимо специально добавить их в поиск.

При поиске контента в Microsoft Teams и группах Microsoft 365 следует учитывать указанные ниже моменты.

  • Для поиска контента в командах Teams и группах Microsoft 365 необходимо указать почтовый ящик и сайт SharePoint, связанный с командой или группой.

  • Содержимое из закрытых каналов хранится в почтовых ящиках каждого пользователя, а не в почтовом ящике команды. Сведения о поиске содержимого в закрытых каналах см. в разделе Обнаружение электронных данных в закрытых и общих каналах.

  • Чтобы просмотреть свойства команды или группы Microsoft 365, запустите командлет Get-UnifiedGroup в Exchange Online. Это удобный способ узнать URL-адрес сайта, связанного с командой или группой. Например, следующая команда отображает выбранные свойства для группы Microsoft 365 с именем "Senior Leadership Team":

    Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl
DisplayName            : Senior Leadership Team
Alias                  : seniorleadershipteam
PrimarySmtpAddress     : seniorleadershipteam@contoso.onmicrosoft.com
SharePointSiteUrl      : https://contoso.sharepoint.com/sites/seniorleadershipteam

    Примечание.

    Чтобы запустить командлет Get-UnifiedGroup, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

  • Поиск, выполняемый в почтовом ящике пользователя, не распространяется на команды и группы Microsoft 365, в которые входит этот пользователь. Кроме того, когда поиск выполняется в команде или группе Microsoft 365, он осуществляется только в указанном вами почтовом ящике группы и на сайте группы. Поиск в почтовых ящиках и учетных записях OneDrive для бизнеса участников группы не выполняется, если не включить их явным образом в поиск.

  • Чтобы получить список участников команды или группы Microsoft 365, можно просмотреть свойства на странице Главная>Группы в Центр администрирования Microsoft 365. Или можно выполнить следующую команду в Exchange Online PowerShell:

    Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress

    Примечание.

    Чтобы запустить командлет Get-UnifiedGroupLinks, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

  • Беседы в канале Teams хранятся в почтовом ящике, связанном с командой. Файлы, которыми обмениваются участники команды, также сохраняются на сайте команды SharePoint. Таким образом, чтобы выполнить поиск бесед и файлов канала, необходимо в качестве расположения содержимого указать почтовый ящик команды и сайт SharePoint.

  • Беседы в списке чатов в Teams хранятся в почтовом ящике Exchange Online пользователей, участвующих в чате. Файлы, к которым пользователь предоставляет общий доступ в беседах чата, сохраняются в его учетной записи OneDrive для бизнеса. Таким образом, чтобы выполнить поиск бесед и файлов в списке чатов, необходимо в качестве расположений содержимого указать почтовые ящики и учетные записи OneDrive для бизнеса отдельных пользователей.

    Примечание.

    При гибридном развертывании Exchange пользователи с локальным почтовым ящиком могут участвовать в беседах из списка чатов в Teams. В этом случае контент этих бесед также можно найти, так как он сохраняется в облачной области хранилища (называемой облачным почтовым ящиком для локальных пользователей) для пользователей с локальным почтовым ящиком. Дополнительные сведения см. в статье Поиск данных в разделе "чат" для локальных пользователей.

  • Каждая команда и канал команды содержат вики-сайт для создания заметок и совместной работы. Содержимое вики-сайта автоматически сохраняется в файле формата MHT. Этот файл хранится в библиотеке документов Teams Wiki Data на сайте команды в SharePoint. Вы можете использовать средство "Поиск контента" для поиска на вики-сайте, указав сайт SharePoint команды в качестве расположения контента.

    Примечание.

    Возможность поиска на вики-сайте команды или канала (при поиске на сайте SharePoint команды) была выпущена 22 июня 2017 г. Для поиска доступны вики-страницы, сохраненные или обновленные в этот день или позднее. Вики-страницы, сохраненные или обновленные до этой даты, недоступны для поиска.

  • Обобщенные сведения о собраниях и звонках в канале Teams также хранятся в почтовых ящиках пользователей, присоединявшихся к собранию или звонку. Это означает, что вы можете использовать средство "Поиск контента" для поиска этих сводных записей. К обобщенным сведениям относятся:

    • Дата, время начала, время окончания и длительность собрания или звонка
    • Дата и время, когда каждый участник присоединился или покинул собрание или звонок.
    • Звонки, отправленные в голосовую почту
    • Пропущенные или неотвеченные звонки
    • Переключения звонков, представленные двумя отдельными звонками

    Чтобы сводные записи собраний и звонков стали доступны для поиска, может потребоваться до 8 часов.

    В результатах поиска сводка по собраниям обозначается как Собрание в поле Тип, а сводка по звонкам обозначается как Звонок. Кроме того, беседы из канала Teams и чатов обозначаются как Мгновенное сообщение в поле Тип.

    Собрания Teams, звонки и чаты, обозначенные в поле

    Подробнее см. в статье Запуск eDiscovery в Microsoft Teams для звонков и собраний.

  • Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и чатах 1xN, хранится в почтовых ящиках и может выполняться поиск. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки.

    Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.

    Чтобы найти содержимое карточки, можно использовать условие поиска kind:microsoftteams или itemclass:IPM.SkypeTeams.Message. При просмотре результатов поиска карта содержимое, созданное ботами в канале Teams, имеет свойство Sender/Author email (Отправитель или Автор сообщения электронной почты) как <appname>@teams.microsoft.com, где appname — это имя приложения, создающего карта содержимое. Если содержимое карточки было создано пользователем, значение отправителей и авторов идентифицирует пользователя.

    При просмотре содержимого карточки в результатах поиска контента оно отображается в виде вложения в сообщение. Вложение называется appname.html, где appname — название приложения, создавшего содержимое карточки. На приведенных ниже снимках экрана показано, как содержимое карточки (на примере приложения Asana) отображается в Teams и результатах поиска.

    Содержимое карточки в Teams

    Содержимое карточки в сообщении из канала Teams.

    Содержимое карточки в результатах поиска

    То же содержимое карточки на странице результатов поиска контента.

    Примечание.

    Для отображения изображений из карта содержимого в результатах поиска в настоящее время (например, флажки на предыдущем снимке экрана), необходимо войти в Teams (в ) https://teams.microsoft.comна другой вкладке в том же сеансе браузера, который используется для просмотра результатов поиска. В противном случае отображаются заполнители изображения.

  • Чтобы специально выполнить поиск контента Teams, можно использовать свойство электронной почты Kind или условие поиска Тип сообщения.

    • Чтобы использовать свойство Kind в составе поискового запроса по ключевым словам, в поле Ключевые слова запроса введите kind:microsoftteams.

      Использование свойства kind:microsoftteams в поле

    • Чтобы использовать условие поиска, добавьте условие Тип сообщения и используйте значение microsoftteams.

      Использование условия

    Условия логически связаны с запросом по ключевому слову с помощью оператора AND. Это означает, что для возвращения в результатах поиска элемент должен соответствовать как запросу по ключевому слову, так и условию поиска. Дополнительные сведения см. в разделе "Рекомендации по использованию условий" статьи Запросы ключевых слов и условия поиска контента.

Поиск Viva Engage Группы

Для поиска элементов беседы в Viva Engage Группы можно использовать свойство itemClass электронной почты или условие поиска тип.

  • Чтобы использовать свойство ItemClass в составе поискового запроса по ключевым словам, в поле Ключевые слова запроса можно ввести одну (или все) из следующих пар свойство:значение.

    • ItemClass:IPM.Yammer.message
    • ItemClass:IPM.Yammer.poll
    • ItemClass:IPM.Yammer.praise
    • ItemClass:IPM.Yammer.question

    Например, можно использовать следующий поисковый запрос для возврата Viva Engage сообщений и Viva Engage элементов похвалы:

    Используйте свойство ItemClass для поиска Viva Engage элементов.

  • Кроме того, можно использовать условие "Тип электронной почты" и выбрать Viva Engage сообщения для возврата Viva Engage элементов. Например, следующий поисковый запрос возвращает все Viva Engage элементы беседы, содержащие ключевое слово "конфиденциально".

    Используйте условие типа карта для поиска Viva Engage элементов беседы.

Поиск в неактивных почтовых ящиках

При поиске контента можно выполнять поиск в неактивных почтовых ящиках. Чтобы получить список неактивных почтовых ящиков в организации, выполните команду Get-Mailbox -InactiveMailboxOnly в Exchange Online PowerShell. Кроме того, вы можете перейти к управлению жизненным циклом> данныхMicrosoft 365>Хранение в Портал соответствия требованиям Microsoft Purview, а затем выбрать Дополнительныемноготочие панели навигации.>Неактивные почтовые ящики.

Вот несколько моментов, которые следует помнить при поиске в неактивных почтовых ящиках:

  • Если существующий поиск контента выполняется в почтовом ящике пользователя, и этот почтовый ящик становится неактивным, при повторном запуске поиск в нем все равно будет выполняться.

  • Иногда у пользователя может быть активный и неактивный почтовый ящик с разными SMTP-адресами. В этом случае поиск осуществляется только в выбранном вами почтовом ящике. Другими словами, если добавляется почтовый ящик пользователя для поиска, нельзя предполагать, что поиск выполняется как в активном, так и неактивном почтовом ящике. Поиск выполняется только в почтовом ящике, который явным образом добавлен в поисковый запрос.

  • Вы можете использовать Сначала подключитесь к Безопасности и соответствию требованиям PowerShell, чтобы создать поиск содержимого для поиска в неактивном почтовом ящике. Для этого необходимо предварительно добавить точку ( . ) на адрес электронной почты неактивного почтового ящика. Например, следующая команда создает поиск контента, который выполняет поиск в неактивном почтовом ящике с адресом pavelb@contoso.onmicrosoft.comэлектронной почты :

    New-ComplianceSearch -Name InactiveMailboxSearch -ExchangeLocation .pavelb@contoso.onmicrosoft.com -AllowNotFoundExchangeLocationsEnabled $true

  • Мы настоятельно рекомендуем избегать ситуаций, когда у активного и неактивного почтовых ящиков одинаковый SMTP-адрес. Если вы хотите повторно использовать SMTP-адрес, назначенный неактивному почтовому ящику, мы рекомендуем выполнить возврат неактивного почтового ящика или восстановить содержимое неактивного почтового ящика в активном почтовом ящике (или архиве активного почтового ящика), а затем удалить неактивный почтовый ящик. Дополнительные сведения см. в одной из следующих статей:

Поиск в отключенных или нелицензированных почтовых ящиках

Если лицензия Exchange Online (или вся лицензия Microsoft 365) удалена из учетной записи пользователя или в Microsoft Entra ID, почтовый ящик пользователя становится отключенным. Это означает, что почтовый ящик больше не связан с учетной записью пользователя. Ниже описано, что происходит при поиске в отключенных почтовых ящиках.

  • Если лицензия удаляется из почтового ящика, то возможность поиска для него более недоступна.
  • Если существующий поиск контента выполняется в почтовом ящике, из которого удалена лицензия, при повторном запуске поиска контента не будут возвращаться результаты из отключенного почтового ящика.
  • Если вы используете командлет New-ComplianceSearch для создания поиска контента и указываете в качестве расположения контента Exchange отключенный почтовый ящик, поиск контента не будет возвращать какие-либо результаты поиска из отключенного почтового ящика.

Если вам нужно сохранить данные в отключенном почтовом ящике, чтобы для него была обеспечена возможность поиска, перед удалением лицензии необходимо поместить почтовый ящик в режим хранения. Это позволит сохранить данные и обеспечит возможность поиска для отключенного почтового ящика до тех пор, пока режим удержания не будет снят. Дополнительные сведения о режиме удержания см. в статье Как определить тип удержания, примененного для почтового ящика Exchange Online

Поиск содержимого в среде SharePoint с несколькими регионами

Если диспетчеру eDiscovery необходимо искать контент в SharePoint и OneDrive в различных регионах в среде SharePoint с поддержкой нескольких регионов, для этого нужно выполнить следующие действия:

  1. Создайте отдельную учетную запись пользователя для каждого вспомогательного географического расположения, поиск в котором требуется диспетчеру eDiscovery. Чтобы найти содержимое на сайтах в этом географическом расположении, диспетчер обнаружения электронных данных должен войти в учетную запись, созданную для этого расположения, а затем выполнить поиск контента.

  2. Создайте фильтр разрешений поиска для каждого вспомогательного географического расположения (и соответствующей учетной записи пользователя), поиск в котором должен выполнить диспетчер eDiscovery. Каждый из этих фильтров разрешений поиска ограничивает область поиска контента определенным географическим расположением, когда диспетчер eDiscovery вошел в учетную запись пользователя, связанную с этим местоположением.

Совет

Следовать этой стратегии при использовании средства поиска в eDiscovery (премиум) необязательно. Это объясняется тем, что при поиске на сайтах SharePoint и в учетных записях OneDrive в eDiscovery (премиум) Microsoft Purview поиск выполняется по всем центрам обработки данных. Эту стратегию работы с учетными записями пользователей с определенным регионом и фильтрами разрешения на поиск нужно использовать только в том случае, если вы используете средство поиска контента и выполняете поиск, связанный с досье eDiscovery.

Предположим, что диспетчер eDiscovery должен найти контент SharePoint и OneDrive в периферийных расположениях в Северной Америке, Европе и Азиатско-Тихоокеанском регионе. В первую очередь необходимо создать три учетных записи пользователей, по одной для каждого расположения. Следующий этап — создание трех фильтров разрешений поиска: по одному для каждого расположения и соответствующей учетной записи. Ниже приведены примеры трех фильтров разрешений поиска для этого сценария. В каждом из этих примеров Регион означает местоположение центра обработки данных SharePoint для этого географического расположения, а параметр Пользователи означает соответствующую учетную запись пользователя.

Северная Америка

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-NAM" -Users ediscovery-nam@contoso.com -Region NAM -Action ALL

Европа

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-EUR" -Users ediscovery-eur@contoso.com -Region EUR -Action ALL

Азиатско-Тихоокеанский регион

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-APC" -Users ediscovery-apc@contoso.com -Region APC -Action ALL

При использовании фильтров разрешений на поиск контента в средах с поддержкой нескольких географических регионов учитывайте перечисленные ниже моменты.

  • Параметр Регион направляет поиск в указанное вспомогательное расположении. Если диспетчер eDiscovery ищет только сайты SharePoint и OneDrive за пределами региона, указанного в фильтре разрешения поиска, результаты поиска не возвращаются.
  • Параметр Регион не управляет поиском в почтовых ящиках Exchange. При поиске в почтовых ящиках будет выполняться поиск во всех центрах обработки данных.

Дополнительные сведения об использовании фильтров разрешений поиска в средах с поддержкой нескольких регионов см. в разделе "Поиск и экспорт контента в средах с поддержкой нескольких регионов" статьи Настройка границ соответствия для расследований дел обнаружения электронных данных.

Нужна помощь по устранению проблем с обнаружением электронных данных?

Основные действия по устранению неполадок, которые можно предпринять для выявления и устранения проблем, которые могут возникнуть во время поиска eDiscovery или в другом месте процесса обнаружения электронных данных, см. в статье Устранение распространенных проблем с обнаружением электронных данных.