培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
可以使用电子数据展示中的搜索 (预览) 来搜索组织中与案例相关的就地内容,例如电子邮件、文档和即时消息对话。 使用搜索查找这些基于云的Microsoft 365 个数据源中的内容:
可以创建并运行与案例关联的不同搜索。 使用条件 ((如关键字) )生成搜索查询,以返回搜索结果,其中包含与案例最有可能相关的数据。 还可以执行以下操作:
搜索并找到与调查相关的数据后,可以将结果发送到评审集以供进一步调查,或将其导出以供调查团队外部的人员审阅。
备注
对于具有欧盟一般数据保护条例 (GDPR) 要求以在欧盟 (欧盟) 内保护和启用个人隐私的组织,还可以管理调查,以响应数据主体请求 (DSR) 由组织中的人员提交。 用户数据搜索案例工具已停用,其功能已与电子数据展示 (预览版) 合并。 现在,可以使用搜索查找内容,以支持电子数据展示搜索支持的所有位置的 DSR。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
property:value
表达式之间的空格与使用 OR 相同。 例如, from:"Sara Davis" subject:reorganization
返回由 Sara Davis 发送的所有消息或主题行中包含单词重组的消息。 但是,在单个查询中混合使用空格和 OR 条件可能会导致意外结果。 建议在单个查询中使用空格或 OR 。property:value
语法。 值不区分大小写,并且运算符后面不能有空格。 如果有空格,则预期值为全文搜索。 例如to: pilarp
,搜索“pilarp”作为关键字 (keyword) ,而不是搜索发送到 pilarp 的消息。subject:budget Q1
返回在主题行中包含 预算 的消息,以及邮件中的任何位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1"
返回主题行中任意位置包含 预算 Q1 的所有消息。-from:"Sara Davis"
排除 Sara Davis 发送的任何消息。kind:im
。 若要仅返回电子邮件,请使用 kind:email
。 若要返回 Microsoft Teams 中的聊天、会议和通话,请使用 kind:microsoftteams
。path
属性仅返回指定网站中的项时,必须向 URL 末尾添加尾随/
。 如果未包含尾随 /
,则还会返回具有类似路径名称的网站中的项目。 例如,如果使用 path:sites/HelloWorld
,也将返回名为 sites/HelloWorld_East
或 sites/HelloWorld_West
的网站中的项目。 若要仅从 HelloWorld 网站返回项目,必须使用 path:sites/HelloWorld/
。提示
你更喜欢交互式配置指南体验吗? 请查看 设计搜索 指南。
创建新案例后,会自动定向到事例中的“ 搜索 ”选项卡,并且已准备好为案例创建搜索。 搜索可帮助你查找要为案例收集的项目。
选择“ 创建搜索”。 如果这是没有任何先前搜索的新案例,还可以在“开始搜索相关数据”下的“main”窗格中选择“创建搜索”。
在 “输入详细信息以开始使用 ”页上,填写以下字段:
选择“ 创建 ”以创建新的搜索并启动查询以查找案例的相关数据。
在搜索的“ 查询 ”选项卡上,为搜索添加数据源
选择 “添加数据源” 或 “添加租户范围的源”。
添加数据源:选择此选项可将单个数据源添加到组织。
添加租户范围的源:选择此选项将包括整个组织的源。 选择应用于所有源或优化对数据源子集的选择。
例如,选择“所有人员和组”并为“邮箱”选择“全部”会将组织中的所有用户 Exchange 邮箱添加为数据源。 选择“所有人员和组”,然后选择“所有网站”会将组织中的所有用户 SharePoint 和 OneDrive 网站添加为数据源。
在 “搜索源 ”浮出控件窗格中,你将搜索并添加搜索查询的数据源。 可以筛选数据源的范围,以帮助选择要添加到搜索的一个或多个用户或组源。
窗格的左侧显示源的 “筛选 ”选项,默认情况下,选择 租户中的所有源 以包括组织中的所有源以供选择和添加搜索。
使用“ 显示筛选器 ”中的以下选项来帮助在 “搜索 ”部分中确定源的范围:
如果适用,请选择“ 排除非活动用户 ”,将源范围缩小为仅当前活动用户。
筛选数据源后,使用“ 搜索 ”部分中的搜索控件和选择器将特定数据源、用户和组添加到搜索查询。 在搜索字段中输入要添加的特定用户、组或组织位置,然后选择“ 搜索”。
使用以下值搜索人员:
使用以下值搜索组:
选择“ 管理 ”以更新与所选源关联的邮箱或站点。 否则,请选择“ 保存并关闭”。
查看所选内容,并确认每个数据源包含的资源。 选择“保存”。 现已确定搜索查询所检查的数据源的范围。
在 “数据源 ”部分中,为数据源的管理选项选择任何数据源的省略号菜单。
对于管理选项,请从以下选项中进行选择:
对于组源,请从以下项中进行选择:
使用 “数据源” 命令栏控件根据需要添加、更新、同步和搜索搜索 (的其他数据源)
若要定义搜索查询的参数,可以从“ 查询 ”选项卡上的以下选项中进行选择:
条件生成器:在电子数据展示 (预览) 中生成搜索查询时,搜索中的 条件生成器 选项提供易于使用的搜索体验。 使用关键字或自定义条件来集中搜索查询的范围。 此外,还可以在搜索中使用 关键字查询语言 (KQL) 查询条件选项 ,该选项可提供指导,并使你能够快速将复杂的长查询直接粘贴到编辑器中。 它还有助于从头开始生成搜索查询,识别潜在错误并显示有关如何解决问题的提示。
还可以使用 Microsoft Security Copilot 快速生成用于搜索的 KeyQL 查询。 有关指导,请参阅本文中的 以下部分 。
按文件搜索:上传一个或多个文件以查找特定案例的相关或类似内容。 使用审核活动 csv 在特定时间范围内查找特定用户的相关消息和文件。 或者提供示例证据来查找类似内容。 每个文件的最大文件大小限制为 10 MB,文件可以是 csv 或 txt。 按文件搜索时,将禁用查询生成和 KQL 选项。
选择 运行查询。 如果要保存已定义的查询参数并稍后运行查询,请选择“ 另存为草稿”。
通过搜索中的“自然语言查询 (预览”) KeyQL 生成器选项,可以使用自然语言和Microsoft Security Copilot快速生成关键字查询语言 (KeyQL) 语句。 使用生成器构造具有附加功能(包括 AND、OR 和条件分组)的复杂查询,同时使用自然语言提示。
此功能有助于使用预定义的提示(例如方案)更轻松地生成查询,并允许优化和增强自定义提示,以便更准确的搜索查询。 还可以选择使用提示建议作为起点,为常见或自定义搜索方案创建和优化 KeyQL 查询。
若要使用 Copilot 创建搜索查询,请完成以下步骤:
手动或使用Security Copilot创建搜索查询后,即可运行查询并生成搜索结果。
若要运行搜索查询,请完成以下步骤:
转到 Microsoft Purview 门户 ,并使用分配有电子数据展示权限的用户帐户的凭据登录。
选择电子数据展示解决方案卡然后选择左侧导航栏中的“案例 (预览) ”。
选择一个案例。 在“ 搜索 ”选项卡上,选择保存的搜索。
选择 运行查询。
选择“ 运行查询”后,你将看到 “设置查询结果格式 ”浮出控件窗格。 选择要为查询及其设置生成的视图。 可以选择 “统计信息 ”或 “示例” 视图:
统计信息:此视图生成按排名靠前的指标排列的收集的数据估计摘要。 选择以下一个或多个选项:
包括类别:优化视图以包括人员、敏感信息类型、项目类型和错误。
包含查询关键字报告:评估搜索查询不同部分关键字 (keyword) 相关性/
调查部分索引项:部分索引项通常按计数占数据源中内容的大约 1%。 选择此选项 (,并且仅此选项) , (项计数和位置) 有关所选数据源中包含的部分索引项的摘要信息,以便进行搜索。 不会重新编制索引或处理部分索引项。 若要进一步处理作用域内数据源中的部分索引项,请考虑以下高级索引选项:
在没有搜索命中的位置中排除部分索引项:选择此附加选项可缩小部分索引项的范围, (或高级索引,如果) 选择了该选项,则限制仅包含与搜索相关的项的数据源中的部分索引项。 这不包括与搜索相关的任何项的数据源中的部分索引项。
例如,你已选择多个邮箱、SharePoint 网站和 OneDrive 网站作为搜索的数据源。 运行搜索时,只有少数邮箱和网站具有与搜索条件相关的项目索引,其余邮箱和网站不包含任何与搜索条件相关的本机索引项目。 如果已选择此选项,则包含与搜索相关的本机索引项目的邮箱和站点中的部分索引项将包含在搜索统计信息结果中。 邮箱和网站中不包含与搜索相关的任何本机索引项目的部分索引项将被忽略,并且不会在搜索统计信息结果中报告。
对部分索引项执行高级索引编制:高级索引的运行范围取决于是否选择了“ 在未搜索命中的位置中排除部分索引项目 ”选项。 高级索引过程运行范围中部分索引项的统计信息示例,并确定这些项是否与查询匹配:
示例:此视图生成完整搜索结果的代表性选择。 定义以下选项的参数:
选择“ 运行查询” 以立即运行查询。
根据所选的查询视图选项,将自动定向到 “统计信息 ”或“ 示例 ”选项卡。将启动搜索查询评估,并计算处理查询的剩余时间。 有关评估和微调搜索结果的详细信息,请参阅 查看和评估搜索结果。
培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
文档
了解如何在 Microsoft Purview 门户中导出电子数据展示 (预览) 中事例的搜索结果。
了解如何在 Microsoft Purview 门户中评估和优化电子数据展示 (预览) 中事例的搜索结果。
了解如何在 Microsoft Purview 门户中将电子数据展示 (预览) 中的事例的搜索结果添加到审阅集。