培训
在电子数据展示 (预览版) 中查找网站中的内容
在 SharePoint 或 OneDrive 网站中搜索文档和文件时,根据相关文档和文件的元数据调整查询方法可能有意义。 文件和文档具有相关属性,例如 Author、 Created、 CreatedBy、 FileName、 LastModifiedTime 和 Title。 在Exchange Online中搜索通信内容时,这些属性中的大多数都无关,如果跨文档和通信使用,使用这些属性可能会导致意外结果。 此外, 文档的文件名 和 标题 可能不同,使用其中一个或另一个尝试查找具有特定内容的文件可能会导致不同或不准确的结果。 在 SharePoint 和 OneDrive 中搜索特定文档和文件内容时,请记住这些属性。
例如,若要查找与用户 1 创建的文档、名为 Tradewinds 的项目、名为 Financials 的特定文件以及从 2020 年 1 月到 2022 年 1 月创建的文档相关的内容,可以使用具有以下属性的查询:
- 将用户 1 作为数据源添加到搜索。
- 选择用户 1 的 OneDrive 网站作为感兴趣的位置。
- 添加与项目相关的其他组及其关联的 SharePoint 网站作为数据源。
- 对于 FileName,请使用 Financials
- 对于 关键字,请使用 Tradewinds
- 对于 “日期范围”,请使用 2020 年 1 月 1 日至 2022 年 1 月 31 日的范围
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
下表列出了 SharePoint 和 OneDrive 属性,这些属性可以使用 Purview 门户中 Microsoft的电子数据展示搜索工具或使用 New-ComplianceSearch 或 Set-ComplianceSearch cmdlet 进行搜索。
重要
虽然存储在 SharePoint 和 OneDrive 上的文档和文件在其他 Microsoft 365 服务中可能支持其他属性,但电子数据展示搜索工具仅支持此表中列出的文档和文件属性。 不支持尝试在搜索中包含其他文档或文件属性。
该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。
属性 | 属性描述 | 示例 | 示例返回的搜索结果 |
---|---|---|---|
作者 | 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。 请确保对此属性使用用户的显示名称。 | author:"Garth Fort" |
所有文档的作者均为 Garth Fort。 |
ContentType | 项目的 SharePoint 内容类型,例如 Item、Document 或 Video。 | contenttype:document |
将返回所有文档。 |
已创建 | 创建项目的日期。 | created>=2021-06-01 |
2021 年 6 月 1 日或之后创建的所有项目。 |
CreatedBy | 创建或上载项目的人员。 请确保对此属性使用用户的显示名称。 | createdby:"Garth Fort" |
所有项目均由 Garth Fort 创建或上载。 |
DetectedLanguage | 项目的语言。 | detectedlanguage:english |
所有项目均为英语。 |
DocumentLink | SharePoint 或 OneDrive 网站上特定文件夹 (URL) 的路径。 如果使用此属性,请确保搜索指定文件夹所在的网站。 建议使用此属性而不是 “站点 ”和 “路径” 属性。 若要返回位于为 documentlink 属性指定的文件夹的子文件夹中的项目,必须向指定文件夹的 URL 添加 /*;例如 |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
第一个示例返回指定 OneDrive 文件夹中的所有项目。 第二个示例返回指定网站文件夹中的文档 (以及文件名中包含单词“confidential”的所有子文件夹) 。 |
FileExtension | 文件的扩展名;例如,docx、one、pptx 或 xlsx。 | fileextension:xlsx |
Excel 2007 及更高版本 (所有 Excel 文件) |
FileName | 文件的名称。 | filename:"marketing plan" |
第一个示例返回标题中具有完全匹配短语“marketing plan”的文件。 第二个示例返回文件名中具有单词“estimate”的文件。 |
LastModifiedTime | 项目的上次更改日期。 | lastmodifiedtime>=2021-05-01 |
第一个示例返回在 2021 年 5 月 1 日或之后更改的项目。 第二个示例返回在 2021 年 5 月 1 日至 2021 年 6 月 1 日之间更改的项目。 |
ModifiedBy | 上次更改项目的人员。 请确保对此属性使用用户的显示名称。 | modifiedby:"Garth Fort" |
由 Garth Fort 最后更改的所有项目。 |
SharedWithUsersOWSUser | 已与指定用户共享并显示在用户 OneDrive 网站的“ 与我共享 ”页上的文档。 这些文档是由组织中的其他人与指定用户显式共享的文档。 导出与使用 SharedWithUsersOWSUser 属性的搜索查询匹配的文档时,将从与指定用户共享文档的人员的原始内容位置导出文档。 有关详细信息,请参阅 搜索组织内共享的网站内容。 | sharedwithusersowsuser:garthf |
这两个示例都返回与 Garth Fort 显式共享并在 Garth Fort 的 OneDrive 帐户的“ 与我共享 ”页面上显示的所有内部文档。 |
Size | 邮件的大小(以字节为单位)。 | size>=1 |
第一个示例返回大于 1 字节的项目。 第二个示例返回大小介于 1 到 10,000 字节之间的项目。 |
标题 | 文档的标题。 Title 属性是在 Office 文档Microsoft中指定的元数据。 它不同于文档的文件名。 | title:"communication plan" |
Office 文档的 Title 元数据属性中包含短语“communication plan”的任何文档。 |
可以使用 Microsoft Purview 门户中的电子数据展示搜索工具搜索存储在 SharePoint 和 OneDrive 网站上的文档中的敏感数据,例如信用卡号码或社会安全号码。 为此,SensitiveType
可以使用 属性以及关键字 (keyword) 查询中敏感信息类型的名称 (或 ID) 。 例如,查询SensitiveType:"Credit Card Number"
返回包含信用卡号的文档。 该查询 SensitiveType:"U.S. Social Security Number (SSN)"
返回包含美国社会安全号码的文档。
若要查看可搜索的敏感信息类型的列表,请转到 Microsoft Purview 门户中 的数据分类>敏感信息类型 。 或者,可以使用 Security & Compliance PowerShell 中的 Get-DlpSensitiveInformationType cmdlet 来显示敏感信息类型的列表。
若要搜索自定义敏感信息类型,必须在 属性中
SensitiveType
指定敏感信息类型的 ID。 使用自定义敏感信息类型的名称 (如上一部分中内置敏感信息类型的示例所示,) 不返回任何结果。 使用 Microsoft Purview 门户的“敏感信息类型”页上的“发布服务器”列 (或 PowerShell) 中的 Publisher 属性来区分内置敏感信息类型和自定义敏感信息类型。 对于 Publisher 属性,内置敏感数据类型的值Microsoft Corporation
为 。若要显示组织中自定义敏感数据类型的名称和 ID,请在 Security & Compliance PowerShell 中运行以下命令:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
然后,可以使用搜索属性中的
SensitiveType
ID 返回包含自定义敏感数据类型的文档;例如,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
不能使用敏感信息类型和
SensitiveType
搜索属性在Exchange Online邮箱中搜索静态敏感数据。 这包括 Microsoft Teams 中的 1:1 聊天消息、1:N 群组聊天消息和团队频道对话,因为所有这些内容都存储在邮箱中。 但是,可以使用数据丢失防护 (DLP) 策略来保护传输中的敏感电子邮件数据。 有关详细信息,请参阅 了解数据丢失防护 和 搜索和查找个人数据。
基本查询由三个部分组成:SensitiveType、count 范围和置信度范围。 例如,需要 SensitiveType:“<type>”,并且 |<count range> 和 |<置信度范围>是可选的。
查询通常以 敏感信息类型清单中的 属性 SensitiveType:"
和 信息类型名称开头,以 结尾 "
。 还可以使用为组织创建的 自定义敏感信息类型 的名称。 例如,您可能正在寻找包含信用卡号的文档。
在此类实例中,你将使用以下格式: SensitiveType:"Credit Card Number"
。 由于不包括计数范围或置信度范围,因此查询将返回检测到信用卡号的每个文档。 这是您可以运行的最简单的查询,并会返回最多的结果。 请记住,敏感类型问题的拼写和空格很重要。
接下来的两个部分都是范围,因此让我们快速检查一个区域的外观。 在 SharePoint 查询中,基本范围由两个数字表示,并用两个句点分隔,如下所示: [number]..[number]
。 例如,如果使用 10..20
,该范围将捕获 10 到 20 的数字。 有许多不同的范围组合,本文介绍了几个范围组合。
让我们向查询添加一个计数范围。 可以使用计数范围来定义文档在包含在查询结果中之前需要包含的敏感信息的出现次数。 例如,如果希望查询仅返回仅包含五个信用卡数字的文档,请使用以下值:SensitiveType:"Credit Card Number|5"
。 计数范围还可以帮助您辨别存在高风险的文档。 例如,您的组织可能认为含有五个或更多信用卡号的文档存在高风险。 若要查找符合此条件的文档,请使用以下查询: SensitiveType:"Credit Card Number|5.."
。 或者,可以使用以下查询查找具有 5 个或更少信用卡数的文档:SensitiveType:"Credit Card Number|..5"
。
最后,置信区间是指已检测到敏感类型实际匹配的置信水平。 置信区间的值与计数范围使用的原理相似。 您可以创建一个不包括计数范围的查询。 例如,若要搜索具有任意数量的信用卡数字的文档(只要置信度范围为 85% 或更高),可以使用以下查询:SensitiveType:"Credit Card Number|*|85.."
。
重要
星号 ( *
) 是一个通配符,表示任何值都有效。 可以在计数范围或置信度范围内使用通配符 ( *
) ,但不能在敏感类型中使用。
SharePoint 中的查询还包含 LastSensitiveContentScan 属性,这有助于搜索在特定时间范围内扫描的文件。 有关具有 属性的 LastSensitiveContentScan
查询示例,请参阅下一节中的 复杂查询示例 。
可以使用 SharePoint 电子数据展示搜索属性,例如 Author
或 FileExtension
。 您可以使用运算符来构建复杂的查询。 有关可用属性和运算符的列表,请参阅 将搜索属性和运算符与电子数据展示配合使用 博客文章。
以下示例使用不同的敏感类型、属性和运算符来说明如何优化查询以准确查找所需内容。
查询 | 解释 |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
该名称可能看起来很奇怪,因为它太长,但它是该敏感类型的正确名称。 请确保使用 敏感信息类型清单中的确切名称。 还可以使用为组织创建的 自定义敏感信息类型 的名称。 |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
这将返回至少与敏感类型“信用卡号”匹配的文档。每个范围的值为各自的最小值和最大值。 编写此查询 SensitiveType:"Credit Card Number" 的更简单方法是 ,但其中的乐趣在哪里? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
这将返回 2018 年 8 月 11 日至 2018 年 8 月 13 日扫描的 5-25 个信用卡编号的文档。 |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
这将返回 2018 年 8 月 11 日至 2018 年 8 月 13 日扫描的 5-25 个信用卡编号的文档。 具有 XLSX 扩展名的文件不包括在查询结果中。
FileExtension 是可以包含在查询中的众多属性之一。 有关详细信息,请参阅 将搜索属性和运算符与电子数据展示配合使用。 |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
这将返回包含信用卡号或社会保障号的文档。 |
并非所有查询都一样。 下表提供了在 SharePoint 中不起作用的查询的示例,并说明了原因。
不支持的查询 | Reason |
---|---|
SensitiveType:"Credit Card Number|.." |
必须至少添加一个数值。 |
SensitiveType:"NotARule" |
“NotARule”不是有效的敏感类型名称。 只有 敏感信息类型 清单中的名称在电子数据展示查询中起作用。 |
SensitiveType:"Credit Card Number|0" |
零不作为范围中的最小值或最大值有效。 |
SensitiveType:"Credit Card Number" |
它可能很难看到,但“信用”和“卡”之间有额外的空白,使查询无效。 使用敏感信息类型清单中的确切 敏感类型名称。 |
SensitiveType:"Credit Card Number|1. .3" |
两句点部分不应用空格分隔。 |
SensitiveType:"Credit Card Number| |1..|80.." |
管道分隔符 (|) 太多。 请改用以下格式: SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
由于置信度值表示百分比,因此不能超过 100。 请选择 1 至 100 之间的数值。 |
还可以使用 Microsoft Purview 门户中的电子数据展示搜索工具来搜索 SharePoint 和 OneDrive 网站上存储的文档,这些文档已与组织外部的人员共享。 这可以帮助你识别与组织外部人员共享的敏感信息或专有信息。 可以通过在关键字 (keyword) 查询中使用 ViewableByExternalUsers
属性来执行此操作。 此属性使用以下共享方法之一返回已与外部用户共享的文档或网站:
- 要求用户以经过身份验证的用户身份登录到组织的共享邀请。
- 匿名来宾链接,允许具有此链接的任何人访问资源,而无需进行身份验证。
下面是一些示例:
- 该查询
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
返回已与组织外部人员共享的所有项,并包含信用卡编号。 - 该查询
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
返回组织中已与外部用户共享的所有团队网站上的文档列表。
提示
搜索查询(如 ) ViewableByExternalUsers:true AND ContentType:document
可能会在搜索结果中返回大量.aspx文件。 若要消除这些 (或) 的其他类型的文件,可以使用 FileExtension
属性排除特定文件类型;例如 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
。
哪些内容视为与组织的外部人员共享的内容? 组织 SharePoint 和 OneDrive 网站中通过发送共享邀请共享或在公共位置共享的文档。 例如,下列用户活动会产生外部用户可以查看的内容:
- 用户与组织外部的人员共享文件或文件夹。
- 用户创建共享文件并将链接发送给组织外部的人员。 此链接允许外部用户查看(或编辑)该文件。
- 用户向组织外部的人员发送共享邀请或来宾链接以查看(或编辑)共享文件。
虽然 属性 ViewableByExternalUsers
表示文档或网站是否与外部用户共享的状态,但对于此属性的作用和不反映,有一些注意事项。 在以下方案中,属性的值 ViewableByExternalUsers
不会更新,并且使用此属性的搜索查询的结果可能不准确。
- 对共享策略的更改,例如关闭网站或组织的外部共享。 即使外部访问可能已撤销,该属性仍会将以前共享的文档显示为可从外部访问。
- 对组成员身份的更改,例如向Microsoft 365 组添加或删除外部用户,或者Microsoft 365 个安全组。 对于组有权访问的项,属性不会自动更新。
- 向外部用户发送共享邀请,其中收件人尚未接受邀请,因此尚无权访问内容。
在这些方案中,在重新绘制网站或文档库并重新编制索引之前, ViewableByExternalUsers
属性不会反映当前共享状态。
可以使用 属性, SharedWithUsersOWSUser
以便搜索组织中人员之间已共享的文档。 当某人与组织中的其他用户共享文件 (或文件夹) 时,共享文件的链接将显示在与之共享的人员的 OneDrive 帐户中的“ 与我 共享”页面上。 例如,若要搜索已与 Sara Davis 共享的文档,可以使用查询 SharedWithUsersOWSUser:"sarad@contoso.com"
。 如果导出此搜索结果,原始文档 (位于与 Sara 共享文档的人员的内容位置) 下载。
使用 SharedWithUsersOWSUser
属性时,必须与特定用户显式共享文档才能在搜索结果中返回。 例如,当某人在其 OneDrive 帐户中共享文档时,他们可以选择与组织内外) (任何人共享文档,仅与组织内部人员共享文档,或与特定人员共享文档。
使用 属性的搜索查询SharedWithUsersOWSUser
仅返回使用第三个选项共享的文档 (与特定人员共享) 。
可以使用以下关键字 (keyword) 查询专门搜索Skype for Business对话中的内容:
kind:im
上一个搜索查询还返回来自 Microsoft Teams 的聊天。 若要防止出现这种情况,可以使用以下关键字 (keyword) 查询缩小搜索结果范围,使其仅包含Skype for Business对话:
kind:im AND subject:conversation
前面的关键字 (keyword) 查询排除Microsoft Teams 中的聊天,因为Skype for Business对话保存为电子邮件,主题行以“对话”一词开头。
若要搜索在特定日期范围内发生的Skype for Business对话,请使用以下关键字 (keyword) 查询:
kind:im AND subject:conversation AND (received=startdate..enddate)
有关字符限制的详细信息,请参阅 电子数据展示搜索限制。