電子檔探索的關鍵字查詢和搜尋條件

  • 文章

本文說明可用的屬性,可協助您在 sharePoint 上儲存的Exchange Online和檔和檔案中,透過電子郵件和聊天來尋找內容,並在Microsoft Purview 合規性入口網站中使用電子檔探索搜尋工具來商務用 OneDrive。

這包括內容搜尋、Microsoft Purview 電子檔探索 (標準) ,以及在 eDiscovery 中Microsoft Purview 電子檔探索 (進階) (電子檔探索搜尋, (進階) 稱為集合) 。 您也可以使用安全 & 性合規性 PowerShell中的*-ComplianceSearch Cmdlet 來搜尋這些屬性。

本文也說明:

  • 使用布林搜尋運算子、搜尋條件和其他搜尋查詢技術來精簡搜尋結果。
  • 在特定時間範圍中搜尋與特定員工和專案相關的各種類型的通訊。
  • 搜尋特定期間內與特定專案、員工和/或主題相關的網站內容。

如需如何建立不同電子檔探索搜尋的逐步指示,請參閱:

注意事項

eDiscovery 會在合規性入口網站中搜尋,而 Security & Compliance PowerShell 中對應的*-ComplianceSearch Cmdlet 會使用關鍵字查詢語言 (KQL) 。 如需詳細資訊,請 參閱關鍵字查詢語言語法參考

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

搜尋秘訣和訣竅

  • 所有搜尋的時區都是國際標準時間 (UTC) 。 目前不支援變更組織的時區。
  • 關鍵字搜尋不區分大小寫。 例如, catCAT 會傳回相同的結果。
  • 布林運算子 ANDORNOTNEAR 必須是大寫。
  • 兩個關鍵字或兩 property:value 個運算式之間的空格與使用 AND相同。 例如, 會 from:"Sara Davis" subject:reorganization 傳回在主旨行中包含重新整理一字的所有由Ara 並且傳送的訊息。
  • 使用符合格式的 property:value 語法。 值不區分大小寫,而且在 運算子後面不能有空格。 如果有空格,您預期的值將會是全文檢索搜尋。 例如 to: pilarp ,搜尋 「pilarp」 作為關鍵字,而不是傳送至 pilarp 的訊息。
  • 搜尋收件者屬性時,例如收件者、收件者、副本或收件者,您可以使用 SMTP 位址、別名或顯示名稱來表示收件者。 例如,您可以使用 pilarp@contoso.com 、pinarp 或 「Pilar Pinilla」。
  • 您只能使用前置詞搜尋;例如, cat*set*。 不支援 *cat) (尾碼搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字串搜尋。
  • 搜尋屬性時,如果搜尋值包含多個字詞,請使用雙引號 (「) 。 例如, 會傳 subject:budget Q1 回在主旨行中包含 預算 ,且包含訊息中任何位置或任何訊息屬性中 Q1 的訊息。 使用 會 subject:"budget Q1" 傳回主旨行中任何位置包含 預算 Q1 的所有訊息。
  • 若要從搜尋結果中排除以特定屬性值標示的內容,請在屬性名稱之前加上減號 () 。 例如, -from:"Sara Davis" 會排除任何由Ara 然後傳送的訊息。
  • 您可以根據訊息類型匯出專案。 例如,若要在 Microsoft Teams 中匯出 Skype 交談和聊天,請使用 語 kind:im 法 。 若只要傳回電子郵件訊息,您可以使用 kind:email 。 若要在 Microsoft Teams 中傳回聊天、會議和通話,請使用 kind:microsoftteams
  • 搜尋網站時,當您使用 path 屬性只傳回指定網站中的專案時,必須將尾端 / 新增至 URL 結尾。 如果您未包含尾端 / ,也會傳回具有類似路徑名稱之網站的專案。 例如,如果您使用 path:sites/HelloWorld ,則會傳回名為 sites/HelloWorld_Eastsites/HelloWorld_West 之網站中的專案。 若只要從 HelloWorld 網站傳回專案,您必須使用 path:sites/HelloWorld/
  • 在收集內容之前,必須在搜尋查詢中定義 查詢語言/國家/地區
  • 在搜尋 寄件 人資料夾中的電子郵件時,不支援使用寄件者的 SMTP 位址。 [ 傳送] 資料夾中的專案只包含顯示名稱。

在Exchange Online中尋找內容

系統管理員通常會負責找出誰知道何時以最有效率且最有效的方式,回應有關進行中或潛在訴訟、內部調查和其他案例的要求。 這些要求通常是緊急要求、牽涉到多個專案關係人小組,如果未及時完成,則會產生重大影響。 瞭解如何尋找正確的資訊,對於系統管理員而言,成功完成搜尋並協助其組織管理與電子檔探索需求相關聯的風險和成本非常重要。

提交電子檔探索要求時,通常只有部分資訊可供系統管理員開始收集可能與特定調查相關的內容。 要求可能包括員工姓名、專案職稱、專案使用中時的粗略日期範圍,而非更多。 從這項資訊中,系統管理員必須建立查詢,以尋找整個 Microsoft 365 服務的相關內容,以判斷特定專案或主旨所需的資訊。 瞭解如何儲存和管理這些服務的資訊,可協助系統管理員更有效地快速且有效地找出所需的資訊。

Email、聊天和會議資訊都會儲存在Exchange Online中。 許多通訊屬性都可用於搜尋包含在Exchange Online中的專案。 某些屬性,例如FromSentSubjectTo是特定專案的唯一屬性,在 SharePoint 和 商務用 OneDrive 中搜尋檔案或檔時並不相關。 在工作負載之間搜尋時包含這些類型的屬性,有時可能會導致非預期的結果。

例如,若要尋找與特定員工相關的內容, (使用者 1使用者 2) 、與名為 Tradewinds的專案相關聯,以及在 2020 年 1 月到 2022 年 1 月期間,您可以使用具有下列屬性的查詢:

  • 將使用者 1 和使用者 2 的Exchange Online位置新增為案例的資料來源
  • 選取 [使用者 1] 和 [使用者 2] Exchange Online位置作為集合位置
  • 針對 關鍵字,請使用 Tradewinds
  • 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍

可搜尋的電子郵件屬性

下表列出可使用合規性入口網站中的電子檔探索搜尋工具,或使用 New-ComplianceSearchSet-ComplianceSearch Cmdlet 來搜尋的電子郵件訊息屬性。

重要事項

雖然電子郵件訊息在其他 Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此表格中所列的電子郵件屬性。 不支援嘗試在搜尋中包含其他電子郵件訊息屬性。

資料表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。 您可以在電子檔探索搜尋的關鍵字方塊中輸入這些 property:value 配對。

注意事項

搜尋電子郵件屬性時,無法搜尋郵件標頭。 集合的標頭資訊未編制索引。 此外,無法搜尋指定屬性空白或空白的專案。 例如,使用 subject:「」property:value配對來搜尋具有空白主旨行的電子郵件訊息,將會傳回零個結果。 這也適用于搜尋網站和連絡人屬性時。

屬性 屬性描述 範例 範例傳回的搜尋結果
AttachmentNames 附加至電子郵件訊息的檔案名。 attachmentnames:annualreport.ppt

attachmentnames:annual*

 具有名為annualreport.ppt附加檔案的訊 。 在第二個範例中,使用萬用字元 ( * ) 會傳回附件檔案名中含有 year 一字的訊息。1
密件副本 電子郵件訊息的 [密件副本] 欄位。1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

 所有範例都會傳回包含在 [密件副本] 欄位中具有 Pinilla 的訊息。
(請參閱收件者擴 充)
類別 要搜尋的類別。 使用者可以使用 Outlook 或Outlook 網頁版 (先前稱為 Outlook Web App) 來定義類別。 可能的值為:
  • 藍色
  • 綠色
  • 紫色
  • 黃色
 category:"Red Category" 已在來源信箱中指派 紅色 類別的郵件。
副本 電子郵件訊息的 [副本] 欄位。1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

 在這兩個範例中,在 [副本] 欄位中指定了具有 Pinilla 的 訊息。
(請參閱收件者擴 充)
Folderid 特定信箱資料夾的資料夾識別碼 (GUID) ,格式為 48 個字元。 如果您使用此屬性,請務必搜尋指定資料夾所在的信箱。 只會搜尋指定的資料夾。 不會搜尋資料夾中的任何子資料夾。 若要搜尋子資料夾,您必須針對要搜尋的子資料夾使用 Folderid 屬性。

如需搜尋 Folderid 屬性以及使用腳本來取得特定信箱之資料夾識別碼的詳細資訊,請參閱 針對目標集合使用內容搜尋

 folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

 第一個範例會傳回指定信箱資料夾中的所有專案。 第二個範例會傳回所傳送或接收 garthf@contoso.com 之指定信箱資料夾中的所有專案。
寄件者 電子郵件訊息的寄件者。1 from:pilarp@contoso.com 由指定的使用者傳送的訊息。
(請參閱收件者擴 充)
HasAttachment 指出訊息是否有附件。 使用 truefalse 值 from:pilar@contoso.com AND hasattachment:true 由具有附件的指定使用者所傳送的訊息。
Importance 電子郵件訊息的重要性,寄件者可以在傳送郵件時指定該電子郵件訊息。 根據預設,訊息會以一般重要性傳送,除非寄件者將重要性設定為 importance:high

importance:medium

importance:low

 標示為高重要性、中度重要性或低重要性的訊息。
IsRead 指出是否已讀取訊息。 使用 truefalse 值 isread:true

isread:false

 第一個範例會傳回 IsRead 屬性設為 True的訊息。 第二個範例會傳回 IsRead 屬性設為 False 的訊息。
ItemClass 使用此屬性來搜尋貴組織匯入至Office 365的特定協力廠商資料類型。 針對此屬性使用下列語法: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

 第一個範例會傳回在 Subject 屬性中包含 「contoso」 一字的 Facebook 專案。 第二個範例會傳回 Ann Beebe 所張貼且包含關鍵字片語 「Northwind Traders」 的 Twitter 專案。

如需 ItemClass 屬性協力廠商資料類型的完整值清單,請參閱使用內容搜尋來搜尋匯入至Office 365的協力廠商資料
類型 要搜尋的電子郵件訊息類型。 可能的值:

連絡人

文檔

電子郵件

externaldata

傳真

期刊

會議

microsoftteams (從 Microsoft Teams 中的聊天、會議和通話傳回專案)

筆記

職位

rssfeeds

工作

語音 信箱

 kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

 第一個範例會傳回符合搜尋準則的電子郵件訊息。 第二個範例會傳回電子郵件訊息、立即訊息交談 (包括在 Microsoft Teams) 中商務用 Skype交談和聊天,以及符合搜尋準則的語音訊息。 第三個範例會傳回已從協力廠商資料來源匯入 Microsoft 365 信箱的專案,例如 Twitter、Facebook 和 Cisco Relyingber,這些專案符合搜尋準則。 如需詳細資訊,請參閱在 Office 365 中封存協力廠商資料
參與者 電子郵件訊息中的所有人員欄位。 這些欄位為 From、To、Cc 和 Bcc.1 participants:garthf@contoso.com

participants:contoso.com

 由 傳送或傳送至 garthf@contoso.com 的訊息。 第二個範例會傳回 contoso.com 網域中由使用者傳送或傳送給使用者的所有訊息。
(請參閱收件者擴 充)
Received 收件者收到電子郵件訊息的日期。 received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

 2021 年 4 月 15 日收到的訊息。 第二個範例會傳回在 2021 年 1 月 1 日到 2021 年 3 月 31 日之間收到的所有訊息。
收件者 電子郵件訊息中的所有收件者欄位。 這些欄位為 To、Cc 和 Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

 傳送至 的 garthf@contoso.com 訊息。 第二個範例會傳回傳送給 contoso.com 網域中任何收件者的訊息。
(請參閱收件者擴 充)
寄件日期 寄件者傳送電子郵件訊息的日期。 sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

 在指定日期或在指定日期範圍內傳送的訊息。
Size 專案大小,以位元組為單位。 size>26214400

size:1..1048567

 大於 25 MB 的訊息。 第二個範例會傳回 1 到 1,048,567 位元組 (1 MB) 大小的訊息。
主旨 電子郵件訊息主旨行中的文字。

注意: 當您在查詢中使用 Subject 屬性時,搜尋會傳回主旨行包含您要搜尋之文字的所有訊息。 換句話說,查詢不會只傳回完全相符的訊息。 例如,如果您搜尋 subject:"Quarterly Financials" ,則結果會包含主題為「Quarterly Financials 2018」 的訊息。

 subject:"Quarterly Financials"

subject:northwind

 在主旨行文字中的任何位置包含「每季財務」片語的訊息。 第二個範例會傳回主旨行中包含 northwind 一字的所有訊息。
收件者 電子郵件訊息的 [至] 欄位。1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

 所有範例都會傳回在 To: 行中指定 Ann Beebe 的訊息。

注意事項

1 針對收件者屬性的值,您可以使用電子郵件地址 (也稱為 使用者主體名稱 或 UPN) 、顯示名稱或別名來指定使用者。 例如,您可以使用 annb@contoso.com 、annb 或 「Ann Beebe」 來指定使用者 Ann Beebe。

收件者擴充

在搜尋任何收件者屬性 (From、To、Cc、Bcc、Participants 和 Recipients) 時,Microsoft 365 會嘗試在 Azure Active Directory (Azure AD) 中查閱每個使用者的身分識別。 如果在 Azure AD 中找到使用者,則會展開查詢,以包含使用者的電子郵件地址 (或 UPN) 、別名、顯示名稱和 LegacyExchangeDN。 例如,例如 participants:ronnie@contoso.com 的查詢會展開至 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"

若要防止收件者擴充,請將萬用字元 (星號) 新增至電子郵件地址的結尾,並使用縮減的功能變數名稱;例如, participants:"ronnie@contoso*" 請務必以雙引號括住電子郵件地址。

不過,請注意,防止搜尋查詢中的收件者展開,可能會導致搜尋結果中未傳回相關專案。 在 Exchange 中Email訊息可以在收件者欄位中以不同的文字格式儲存。 收件者擴充的目的是要藉由傳回可能包含不同文字格式的訊息來協助減輕此事實。 因此,防止收件者擴充可能會導致搜尋查詢未傳回可能與您的調查相關的所有專案。

注意事項

如果您因為收件者擴充而需要檢閱或減少搜尋查詢所傳回的專案,請考慮使用 eDiscovery (Premium) 。 您可以搜尋訊息 (利用收件者擴充) 、將它們新增至檢閱集,然後使用檢閱集查詢或篩選來檢閱或縮小結果。 如需詳細資訊,請 參閱收集案例的資料查詢檢閱集中的資料

在 SharePoint 和 OneDrive 中尋找內容

搜尋位於 SharePoint 或商務用 OneDrive的檔和檔案時,根據感興趣的檔和檔案中繼資料調整查詢方法可能很合理。 檔案和檔具有相關的屬性,例如 AuthorCreatedCreatedByFileNameLastModifiedTimeTitle。 在Exchange Online中搜尋通訊內容時,這些屬性大部分都不相關,如果在檔和通訊之間使用,則使用這些屬性可能會導致非預期的結果。 此外, 檔的 FileNameTitle 可能不相同,而使用其中一個或另一個來嘗試尋找具有特定內容的檔案可能會導致不同或不正確的結果。 在 SharePoint 和 商務用 OneDrive 中搜尋特定檔和檔案內容時,請記住這些屬性。

例如,若要尋找與 User 1 所建立檔相關的內容、名為 Tradewinds的專案、名為 Financials的特定檔案,以及從 2020 年 1 月到 2022 年 1 月,您可以使用具有下列屬性的查詢:

  • 將使用者 1 的商務用 OneDrive網站新增為案例的資料來源
  • 選取使用者 1 的商務用 OneDrive網站作為集合位置
  • 將與專案相關的其他 SharePoint 網站位置新增為集合位置
  • 針對 FileName,請使用 財務
  • 針對 關鍵字,請使用 Tradewinds
  • 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍

可搜尋的網站屬性

下表列出可使用Microsoft Purview 合規性入口網站中的電子檔探索搜尋工具,或使用New-ComplianceSearchSet-ComplianceSearch Cmdlet 來搜尋的 SharePoint 和 商務用 OneDrive 屬性。

重要事項

雖然儲存在 SharePoint 和 商務用 OneDrive 的檔和檔案可能在其他 Microsoft 365 服務中支援其他屬性,但電子檔探索搜尋工具中僅支援此資料表中所列的檔和檔案屬性。 不支援嘗試在搜尋中包含其他檔或檔案屬性。

資料表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。

屬性 屬性描述 範例 範例傳回的搜尋結果
作者 Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。 請務必針對這個屬性使用使用者的顯示名稱。 author:"Garth Fort" Garth Fort 所撰寫的所有檔。
ContentType 專案的 SharePoint 內容類型,例如 Item、Document 或 Video。 contenttype:document 會傳回所有檔。
建立時間 建立專案的日期。 created>=2021-06-01 在 2021 年 6 月 1 日或之後建立的所有專案。
CreatedBy 建立或上傳專案的人員。 請務必針對這個屬性使用使用者的顯示名稱。 createdby:"Garth Fort" Garth Fort 建立或上傳的所有專案。
DetectedLanguage 專案的語言。 detectedlanguage:english 所有英文專案。
DocumentLink sharePoint 或 商務用 OneDrive 網站上特定資料夾的路徑 (URL) 。 如果您使用此屬性,請務必搜尋指定資料夾所在的網站。 建議您使用此屬性,而不是 SitePath 屬性。

若要傳回位於您為 documentlink 屬性指定之資料夾子資料夾中的專案,您必須將 /* 新增至指定資料夾的 URL;例如, documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


如需搜尋 documentlink 屬性以及使用腳本來取得特定網站上資料夾之文檔連結 URL 的詳細資訊,請參閱 針對目標集合使用內容搜尋

 documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

 第一個範例會傳回指定商務用 OneDrive資料夾中的所有專案。 第二個範例會傳回指定網站資料夾 (中的檔,以及檔案名中包含「機密」一詞的所有子資料夾) 。
FileExtension 檔案的副檔名;例如,docx、one、pptx 或 xlsx。 fileextension:xlsx Excel 2007 和更新版本 (的所有 Excel 檔案)
FileName 檔案名。 filename:"marketing plan"

filename:estimate

 第一個範例會傳回標題中具有確切片語 「marketing plan」 的檔案。 第二個範例會傳回檔案名中含有 「estimate」 一字的檔案。
LastModifiedTime 專案上次變更的日期。 lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

 第一個範例會傳回在 2021 年 5 月 1 日或之後變更的專案。 第二個範例會傳回在 2021 年 5 月 1 日到 2021 年 6 月 1 日之間變更的專案。
ModifiedBy 上次變更專案的人員。 請務必針對這個屬性使用使用者的顯示名稱。 modifiedby:"Garth Fort" Garth Fort 上次變更的所有專案。
SharedWithUsersOWSUser 已與指定使用者共用,並顯示在使用者商務用 OneDrive網站的 [與我共用] 頁面上的檔。 這些是組織中其他人已明確與指定使用者共用的檔。 當您匯出符合使用 SharedWithUsersOWSUser 屬性之搜尋查詢的檔時,會從與指定使用者共用檔之人員的原始內容位置匯出檔。 如需詳細資訊,請 參閱搜尋組織內共用的網站內容 sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

 這兩個範例都會傳回已明確與 Garth Fort 共用的所有內部檔,且這些檔會出現在 Garth Fort 的 商務用 OneDrive 帳戶的 [與我共用] 頁面上。
Size 專案大小,以位元組為單位。 size>=1

size:1..10000

 第一個範例會傳回大於 1 位元組的專案。 第二個範例會傳回大小從 1 到 10,000 個位元組的專案。
標題 檔的標題。 Title 屬性是 Microsoft Office 檔中指定的中繼資料。 它與檔的檔案名不同。 title:"communication plan" 在 Office 檔的 Title 中繼資料屬性中包含片語「通訊計畫」的任何檔。

可搜尋的連絡人屬性

下表列出已編制索引的連絡人屬性,而且您可以使用電子檔探索搜尋工具進行搜尋。 這些是可供使用者針對連絡人設定的屬性, (也稱為個人連絡人) 位於使用者信箱的個人通訊錄中。 若要搜尋連絡人,您可以選取要搜尋的信箱,然後在關鍵字查詢中使用一或多個連絡人屬性。

提示

若要搜尋包含空格或特殊字元的值,請使用雙引號 (「) 來包含片語;例如, businessaddress:"123 Main Street"

屬性 屬性描述
BusinessAddress Business Address屬性中的位址。 屬性也稱為連絡人屬性頁面上的 [工作 位址]。
BusinessPhone 任何 商務電話號碼 屬性中的電話號碼。
CompanyName Company屬性中的名稱。
部門 Department屬性中的名稱。
DisplayName 連絡人的顯示名稱。 這是連絡人 之 [全名 ] 屬性中的名稱。
EmailAddress 連絡人之任何電子郵件地址屬性的位址。 使用者可以為連絡人新增多個電子郵件地址。 使用此屬性會傳回符合任何連絡人電子郵件地址的連絡人。
FileAs File as屬性。 此屬性可用來指定連絡人如何列在使用者的連絡人清單中。 例如,連絡人可以列為 FirstName、LastNameLastName,FirstName
GivenName 名字屬性中的 名稱
HomeAddress 任何 [住家 位址] 屬性中的位址。
HomePhone 任何首 電話號碼屬性中的電話號碼。
IMAddress IM 位址屬性,通常是用於立即訊息的電子郵件地址。
MiddleName 中間名屬性中的名稱。
手機 [ 行動電話號碼] 屬性中的電話號碼。
暱稱 昵稱屬性中的名稱。
OfficeLocation OfficeOffice 位置屬性中的值。
OtherAddress Other address 屬性 的值。
[ 氏] 屬性中的名稱。
標題 [ 職稱 ] 屬性中的標題。

搜尋運算子

布林搜尋運算子,例如 ANDORNOT,可協助您在搜尋查詢中包含或排除特定字組,以定義更精確的搜尋。 其他技術,例如使用屬性運算子 (例如 >=..) 、引號、括弧和萬用字元,可協助您精簡搜尋查詢。 下表列出您可以用來縮小或擴大搜尋結果的運算子。

運算子 使用情況 描述
AND keyword1 AND 關鍵字2 傳回包含所有指定關鍵字或 property:value 運算式的專案。 例如, from:"Ann Beebe" AND subject:northwind 會傳回 Ann Beebe 傳送的所有訊息,其中包含主旨行中的 northwind 一字。 2
+ keyword1 + keyword2 + keyword3 回包含keyword2keyword3的專案,以及也包含 的專案 keyword1 。 因此,此範例相當於查詢 (keyword2 OR keyword3) AND keyword1

在符號) 之後 + 具有空格的查詢 keyword1 + keyword2 (與使用AND運算子不同。 此查詢相當於 "keyword1 + keyword2" ,並傳回具有確切階段 "keyword1 + keyword2" 的專案。
OR keyword1 OR keyword2 傳回包含一或多個指定關鍵字或 property:value 運算式的專案。 2
keyword1 NOT 關鍵字2

NOT from:「Ann Beebe」

NOT kind:im

 排除關鍵字或 property:value 運算式所指定的專案。 在第二個範例中,排除 Ann Beebe 所傳送的訊息。 第三個範例會排除任何立即訊息交談,例如商務用 Skype儲存至 [交談記錄] 信箱資料夾的交談。 2
附近 keyword1 NEAR (n) keyword2 傳回文字彼此接近的專案,其中 n 等於相隔的字數。 例如, 會傳 best NEAR(5) worst 回 「最差」一詞在五個字組內的任何專案。最佳」。 如果未指定數位,則預設距離為八個字。 2
: property:value 語法中的 property:value 冒號 (:) 會指定要搜尋之屬性的值包含指定的值。 例如, 會傳 recipients:garthf@contoso.com 回傳送至 garthf@contoso.com 的任何訊息。
= property=value 與 運算 : 符相同。
< 屬性 < 值 表示要搜尋的屬性小於指定的值。 1
> 屬性 > 值 表示要搜尋的屬性大於指定的值。1
<= property < =value 表示所搜尋的屬性小於或等於特定值。1
>= property > =value 表示所搜尋的屬性大於或等於特定值。1
.. property:value1..value2 表示所搜尋的屬性大於或等於 value1,且小於或等於 value2。1
" " 「fair value」

subject:"Quarterly Financials"

 在關鍵字查詢 (中,您會在 [關鍵字] 方塊) 中輸入 property:value 配對,請使用雙引號 (「」) 來搜尋確切的片語或字詞。 不過,如果您使用 主旨主旨/標題搜尋條件條件 ,請勿將雙引號新增至值,因為使用這些搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。
* 貓*

subject:set*

 前置詞搜尋 (也稱為 前置詞比 對) 其中的萬用字元 ( * ) 放在關鍵字或 property:value 查詢中的字尾。 在前置詞搜尋中,搜尋會傳回包含字詞且後面接著零個或多個字元的字詞的結果。 例如, 會 title:set* 傳回包含 「set」、「setup」 和 「setting」 一詞的檔 (以及檔標題中開頭為 「set」 的其他字組) 。

注意: 您只能使用前置詞搜尋;例如, cat*set*。 不支援 *cat) (尾碼搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字串搜尋。

此外,新增句號 ( 。) 前置詞搜尋會變更傳回的結果。 這是因為句號會被視為停用字詞。 例如,搜尋 cat* 並搜尋 cat.* 會傳回不同的結果。 建議您不要在前置詞搜尋中使用句點。
( ) 從:contoso.com) (公平或免費) AND (

(的) 或初始) 和 (的股票 OR 共用)

(每季財務)

括弧會將布林詞、 property:value 專案和關鍵字群組在一起。 例如, 會傳 (quarterly financials) 回每季和財務一字包含的專案。

注意事項

1 針對具有日期或數值的屬性使用此運算子。
2布林搜尋運算子必須是大寫;例如AND。 如果您使用小寫運算子,例如 ,則會在搜尋查詢中將其視為關鍵字。

搜尋條件

您可以將條件新增至搜尋查詢,以縮小搜尋範圍,並傳回一組更精簡的結果。 每個條件會將一個子句新增至 KQL 搜尋查詢,當您啟動搜尋時便會建立並執行。

一般屬性的條件

在相同搜尋中搜尋信箱和網站時,使用一般屬性建立條件。 下表列出新增條件時要使用的可用屬性。

條件 描述
日期 若為電子郵件,則為收件者或寄件者傳送郵件的日期。 若為檔,則為上次修改檔的日期。
寄件者/作者 對於電子郵件,則為傳送郵件的人員。 針對檔,在 Office 檔的作者欄位中所引用的人員。 您可以輸入多個名稱,並以逗號分隔。 OR 運 算符會 以邏輯方式連接兩個或多個值。
(請參閱收件者擴 充)
(位元組) 的大小 針對電子郵件和檔,專案大小 (位元組) 。
主旨/標題 若為電子郵件,則為郵件主旨行中的文字。 針對檔,為檔的標題。 如先前所述,Title 屬性是 Microsoft Office 檔中指定的中繼資料。 您可以輸入多個主旨/標題值的名稱,並以逗號分隔。 OR 運 算符會 以邏輯方式連接兩個或多個值。

注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。
保留標籤 針對電子郵件和檔,可以自動或手動套用至郵件和檔的保留標籤。 保留標籤可用來宣告記錄,並藉由強制執行標籤所指定的保留和刪除規則,協助您管理內容的資料生命週期。 您可以輸入部分保留標籤名稱,並使用萬用字元或輸入完整的標籤名稱。 如需保留標籤的詳細資訊,請 參閱瞭解保留原則和保留標籤

郵件屬性的條件

在Exchange Online中搜尋信箱或公用資料夾時,使用郵件屬性建立條件。 下表列出可用於條件的電子郵件屬性。 這些屬性是先前所述電子郵件屬性的子集。 為了方便起見,會重複這些描述。

條件 描述
訊息種類 要搜尋的訊息類型。 這是與 Kind email 屬性相同的屬性。 可能的值:
  • 連絡人
  • 文檔
  • 電子郵件
  • externaldata
  • 傳真
  • 期刊
  • 會議
  • microsoftteams
  • 筆記
  • 職位
  • rssfeeds
  • 工作
  • 語音 信箱
參與者 電子郵件訊息中的所有人員欄位。 這些欄位為 From、To、Cc 和 Bcc。 (請參閱收件者擴 充)
類型 電子郵件專案的郵件類別屬性。 這是與 ItemClass 電子郵件屬性相同的屬性。 這也是多重值條件。 因此,若要選取多個訊息類別,請按 住 CTRL 鍵,然後在下拉式清單中選取您要新增至條件的兩個或多個訊息類別。 您在清單中選取的每個訊息類別,都會由對應搜尋查詢中的 OR 運算子以邏輯方式連接。

如需 Exchange 所使用的訊息類別 (及其對應訊息類別識別碼) 清單,以及您可以在 [訊息類別 ] 清單中選取的訊息類別清單,請參閱 專案類型和訊息類別
Received 收件者收到電子郵件訊息的日期。 這是與 Received 電子郵件屬性相同的屬性。
收件者 電子郵件訊息中的所有收件者欄位。 這些欄位為 [至]、[副本] 和 [密件副本]。 (請參閱收件者擴 充)
寄件者 電子郵件訊息的寄件者。
寄件日期 寄件者傳送電子郵件訊息的日期。 這是與 Sent 電子郵件屬性相同的屬性。
主旨 電子郵件訊息主旨行中的文字。

注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。
收件者 [收件者] 欄位中電子郵件訊息的收件者。

檔案屬性的條件

在 SharePoint 和 商務用 OneDrive 網站上搜尋檔時,使用文件屬性建立條件。 下表列出可用於條件的檔案屬性。 這些屬性是先前描述的網站屬性子集。 為了方便起見,會重複這些描述。

條件 描述
作者 Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。
標題 檔的標題。 Title 屬性是 Office 檔中指定的中繼資料。 它與檔的檔案名不同。
建立時間 檔的建立日期。
上次修改日期 檔上次變更的日期。
檔案類型 檔案的副檔名;例如,docx、one、pptx 或 xlsx。 這是與 FileExtension 網站屬性相同的屬性。

注意: 如果您在搜尋查詢中包含使用 EqualsEquals 任 一運算子的檔案類型條件,則無法在檔案類型結尾包含萬用字元 ( * ) ,以使用前置詞搜尋 (,) 傳回檔案類型的所有版本。 如果您這樣做,將會忽略萬用字元。 例如,如果您包含 條件 Equals any of doc* ,則只會傳回副檔名為 的 .doc 檔案。 不會傳回副檔名為 的 .docx 檔案。 若要傳回檔案類型的所有版本,請在關鍵字查詢中使用 property:value 組;例如, filetype:doc*

與條件搭配使用的運算子

當您新增條件時,可以選取與條件的屬性類型相關的運算子。 下表描述與條件搭配使用的運算子,並列出搜尋查詢中使用的對等運算子。

運算子 查詢對等專案 描述
之後 property>date 搭配日期條件使用。 傳回在指定日期之後傳送、接收或修改的專案。
之前 property<date 搭配日期條件使用。 傳回在指定日期之前傳送、接收或修改的專案。
之間 date..date 搭配日期和大小條件使用。 搭配日期條件使用時,傳回指定日期範圍內已傳送、接收或修改的專案。 搭配大小條件使用時,傳回大小在指定範圍內的專案。
包含任何一個 (property:value) OR (property:value) 與指定字串值之屬性的條件搭配使用。 傳回包含一或多個指定字串值之任何部分的專案。
不包含任何 -property:value

NOT property:value

 與指定字串值之屬性的條件搭配使用。 傳回不包含指定字串值任何部分的專案。
不等於任何 -property=value

NOT property=value

 與指定字串值之屬性的條件搭配使用。 傳回不包含特定字串的專案。
等於 size=value 傳回等於指定大小的專案。1
等於任何 (property=value) OR (property=value) 與指定字串值之屬性的條件搭配使用。 傳回符合一或多個指定字串值的專案。
size>value 傳回指定屬性大於指定值的專案。1
大於或等於 size>=value 傳回指定屬性大於或等於指定值的專案。1
size<value 傳回大於或等於特定值的專案。1
小於或等於 size<=value 傳回大於或等於特定值的專案。1
不等於 size<>value 傳回不等於指定大小的專案。1

注意事項

1 此運算子僅適用于使用 Size 屬性的條件。

使用條件的指導方針

使用搜尋條件時,請記住下列事項。

  • 條件會以 AND 運算子的邏輯方式連接至關鍵字查詢 (在關鍵字方塊中指定)。 這表示結果中包含的項目必須同時滿足關鍵字查詢與條件。 這是條件協助縮小搜尋結果的方式。

  • 如果您將兩個或多個的獨特條件新增至搜尋查詢 (指定不同屬性的條件),則會使用 AND 運算子,以邏輯方式連接這些條件。 這表示只會傳回除了任何關鍵字查詢) 之外,滿足所有條件 (的專案。

  • 如果您為相同的屬性新增多個條件,則 OR 運算 符會以邏輯方式連接這些條件。 這表示會傳回滿足關鍵字查詢和任何一個條件的專案。 因此,OR 運 算符會 將相同條件的群組彼此連接,然後 AND 運算子會連接一組唯一條件。

  • 如果您將多個值 (以逗號或分號分隔) 加入至單一條件,這些值會以 OR 運算子連接。 這表示如果項目在條件中包含任何指定的屬性值,則會傳回項目。

  • 使用具有 ContainsEquals 邏輯之運算子的任何條件,都會針對簡單的字串搜尋傳回類似的搜尋結果。 簡單字串搜尋是條件中的字串,不包含萬用字元) 。 例如,使用 Equals any 的條件會傳回與使用 Contains any 之條件相同的專案。

  • 使用關鍵字方塊和條件所建立的搜尋查詢會顯示在 [ 搜尋 ] 頁面上所選搜尋的詳細資料窗格中。 在查詢中,標記法 (c:c) 右邊的所有專案都會指出加入查詢的條件。

  • 條件只會將屬性新增至搜尋查詢;它們不會新增運算子。 這就是為什麼詳細資料窗格中顯示的查詢不會在標記法的 (c:c) 右邊顯示運算子。 KQL 會根據執行查詢時) 先前說明的規則,新增邏輯運算子 (。

  • 您可以使用拖放控制項來重新排序條件的順序。 選取條件的控制項,並將它向上或向下移動。

  • 如先前所述,某些條件屬性可讓您輸入多個值, (以分號分隔) 。 OR 運 算符會 以邏輯方式連接每個值,並產生查詢 (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx) 。 下圖顯示具有多個值的條件範例。

    具有多個值的一個條件。

    注意事項

    您無法選取相同屬性的 [ 新增條件 ], (新增多個條件。 相反地,您必須為條件提供多個值, (以分號分隔) ,如先前範例所示。

在搜尋查詢中使用條件的範例

下列範例顯示具有條件之搜尋查詢的 GUI 型版本、所選搜尋 (詳細資料窗格中顯示的搜尋查詢語法,以及 Get-ComplianceSearch Cmdlet) 所傳回的搜尋查詢語法,以及對應 KQL 查詢的邏輯。

範例 1

本範例會傳回包含關鍵字 「report」 的電子郵件專案或檔,該關鍵字是在 2021 年 4 月 1 日之前傳送或建立,且在電子郵件訊息的主旨欄位或檔的 title 屬性中包含 「northwind」 這個字。 查詢會排除符合其他搜尋準則的網頁。

GUI

搜尋條件的第二個範例。

搜尋查詢語法

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

搜尋查詢邏輯

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

範例 2

此範例會傳回在 2019 年 12 月 1 日到 2020 年 11 月 30 日之間傳送的電子郵件訊息或行事曆會議,其中包含開頭為 「phone」 或 「smartphone」 的單字。

GUI

搜尋條件的第三個範例。

搜尋查詢語法

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

搜尋查詢邏輯

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

特殊字元

某些特殊字元不會包含在搜尋索引中,因此無法搜尋。 這也包括代表搜尋查詢中搜尋運算子的特殊字元。 以下是特殊字元的清單,這些字元會由實際搜尋查詢中的空白空間取代,或是造成搜尋錯誤。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

可搜尋的敏感資料類型

您可以在合規性入口網站中使用電子檔探索搜尋工具,搜尋儲存在 SharePoint 和商務用 OneDrive網站上檔中的敏感性資料,例如信用卡號碼或社會安全號碼。 您可以使用關鍵字查詢中 SensitiveType 敏感性資訊類型的屬性和名稱 (或識別碼) 來執行此動作。 例如,查詢 SensitiveType:"Credit Card Number" 會傳回包含信用卡號碼的檔。 SensitiveType:"U.S. Social Security Number (SSN)"查詢會傳回包含美國社會安全號碼的檔。

若要查看您可以搜尋的敏感性資訊類型清單,請移至合規性 > 入口網站中的資料分類敏感性資訊類型。 或者,您可以在安全 & 性合規性 PowerShell 中使用Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。

如需使用 屬性建立查詢的 SensitiveType 詳細資訊,請參 閱形成查詢以尋找儲存在網站上的敏感性資料

搜尋敏感資料類型的限制

  • 若要搜尋自訂敏感性資訊類型,您必須在 屬性中 SensitiveType 指定敏感性資訊類型的識別碼。 使用自訂敏感性資訊類型的名稱 (如上一節中內建敏感性資訊類型的範例所示,) 不會傳回任何結果。 使用合規性入口網站中 [敏感性資訊類型] 頁面上的 [發行者] 資料行 (或 PowerShell 中的Publisher屬性) 來區分內建和自訂敏感性資訊類型。 內建敏感資料類型具有Publisher 屬性的Microsoft Corporation 值。

    若要顯示組織中自訂敏感資料類型的名稱和識別碼,請在安全 & 性合規性 PowerShell 中執行下列命令:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id

    然後,您可以使用搜尋屬性中的 SensitiveType 識別碼來傳回包含自訂敏感資料類型的檔;例如, SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • 您無法使用敏感性資訊類型和 SensitiveType 搜尋屬性,在Exchange Online信箱中搜尋待用敏感性資料。 這包括 1:1 聊天訊息、1:N 群組聊天訊息,以及 Microsoft Teams 中的小組頻道交談,因為所有內容都會儲存在信箱中。 不過,您可以使用資料外泄防護 (DLP) 原則來保護傳輸中的敏感電子郵件資料。 如需詳細資訊,請 參閱瞭解資料外泄防護搜尋及尋找個人資料

搜尋與外部使用者共用的網站內容

您也可以在合規性入口網站中使用電子檔探索搜尋工具來搜尋儲存在 SharePoint 上的檔,以及商務用 OneDrive與組織外部人員共用的網站。 這可協助您識別在組織外部共用的敏感性或專屬資訊。 您可以在關鍵字查詢中使用 ViewableByExternalUsers 屬性來執行此動作。 此屬性會使用下列其中一種共用方法,傳回已與外部使用者共用的檔或網站:

  • 共用邀請,要求使用者以已驗證的使用者身分登入您的組織。
  • 匿名來賓連結,可讓具有此連結的任何人存取資源,而不需要經過驗證。

範例如下:

  • 此查詢 ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" 會傳回已與組織外部人員共用並包含信用卡號碼的所有專案。
  • ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"查詢會傳回組織中所有已與外部使用者共用之小組網站上的檔案清單。

提示

之類的 ViewableByExternalUsers:true AND ContentType:document 搜尋查詢可能會在搜尋結果中傳回許多 .aspx 檔案。 若要排除這些 (或其他類型的檔案) ,您可以使用 FileExtension 屬性來排除特定的檔案類型,例如 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx

與組織外部人員共用的內容為何? 組織 SharePoint 中的檔,以及透過傳送共用邀請或在公用位置中共用的商務用 OneDrive網站。 例如,下列使用者活動會產生外部使用者可檢視的內容:

  • 使用者與組織外部的人員共用檔案或資料夾。
  • 使用者會建立共用檔案的連結,並將其傳送給組織外部的人員。 此連結可讓外部使用者檢視檔案 (或編輯) 。
  • 使用者傳送共用邀請或來賓連結給組織外部的人員,以檢視共用檔案) (或編輯。

使用 ViewableByExternalUsers 屬性的問題

雖然 屬性 ViewableByExternalUsers 代表檔或網站是否與外部使用者共用的狀態,但此屬性的作用和未反映有一些注意事項。 在下列案例中,不會更新 屬性的 ViewableByExternalUsers 值,而且使用此屬性的搜尋查詢結果可能不正確。

  • 共用原則的變更,例如關閉網站或組織的外部共用。 即使外部存取可能已被撤銷,屬性仍會將先前共用的檔顯示為可從外部存取。
  • 變更群組成員資格,例如將外部使用者新增至Microsoft 365 群組或 Microsoft 365 安全性群組。 此屬性不會針對群組可存取的專案自動更新。
  • 將共用邀請傳送給收件者尚未接受邀請的外部使用者,因此還無法存取內容。

在這些案例中 ViewableByExternalUsers ,在網站或文件庫重新編目並重新編制索引之前,屬性不會反映目前的共用狀態。

搜尋組織內共用的網站內容

如先前所述,您可以使用 SharedWithUsersOWSUser 屬性,以便搜尋組織中人員之間共用的檔。 當人員與組織內的另一位使用者共用檔案 (或資料夾) 時,共用檔案的連結會出現在與我共用之人員商務用 OneDrive帳戶的 [與我共用] 頁面上。 例如,若要搜尋已與並排顯示與並排顯示的檔,您可以使用查詢 SharedWithUsersOWSUser:"sarad@contoso.com" 。 如果您匯出此搜尋的結果,將會下載原始檔案 (位於與Ara 共用檔之人員的內容位置) 。

使用 屬性時 SharedWithUsersOWSUser ,檔必須明確地與特定使用者共用,才能在搜尋結果中傳回。 例如,當人員在其 OneDrive 帳戶中共用檔時,可以選擇與組織內部或外部 (的任何人共用) 、只與組織內的人員共用檔,或與特定人員共用。 以下是 OneDrive 中 [共用 ] 視窗的螢幕擷取畫面,其中顯示三個共用選項。

使用 SharedWithUsersOWSUser 屬性的搜尋查詢只會傳回與特定人員共用的檔案。

只有使用第三個選項 (與 特定人員 共用) 共用的檔,才會由使用 屬性的 SharedWithUsersOWSUser 搜尋查詢傳回。

搜尋商務用 Skype交談

您可以使用下列關鍵字查詢來特別搜尋商務用 Skype交談中的內容:

kind:im

先前的搜尋查詢也會從 Microsoft Teams 傳回聊天。 若要避免這種情況,您可以使用下列關鍵字查詢,將搜尋結果縮小為僅包含商務用 Skype交談:

kind:im AND subject:conversation

先前的關鍵字查詢會排除 Microsoft Teams 中的聊天,因為商務用 Skype交談會以開頭為 「Conversation」 一詞的主旨行儲存為電子郵件訊息。

若要搜尋在特定日期範圍內發生的商務用 Skype交談,請使用下列關鍵字查詢:

kind:im AND subject:conversation AND (received=startdate..enddate)

搜尋的字元限制

在 SharePoint 網站和 OneDrive 帳戶中搜尋內容時,搜尋查詢有 4,000 個字元的限制。 以下是搜尋查詢中字元總數的計算方式:

  • 關鍵字搜尋查詢中的字元 (包括使用者和篩選欄位,) 根據此限制計算。
  • 任何位置屬性中的字元 (例如所搜尋之所有 SharePoint 網站或 OneDrive 位置的 URL,) 根據此限制計算。
  • 所有搜尋許可權中的字元會根據限制套用至執行搜尋計數的使用者篩選。

如需字元限制的詳細資訊,請參閱 電子檔探索搜尋限制

注意事項

4,000 個字元的限制適用于內容搜尋、eDiscovery (Standard) ,以及 eDiscovery (Premium) 。