在電子檔探索 (預覽) 中尋找信箱中的內容
系統管理員通常會負責找出誰知道何時能以最有效率且最有效的方式,回應有關進行中或潛在訴訟、內部調查和其他案例的要求。 這些要求通常是緊急要求、牽涉到多個項目關係人小組,如果未及時完成,則會產生重大影響。 瞭解如何尋找正確的資訊,對於系統管理員而言,成功完成搜尋並協助其組織管理與電子檔探索需求相關聯的風險和成本非常重要。
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
提交電子檔探索要求時,通常只有部分資訊可供系統管理員開始收集可能與特定調查相關的內容。 要求可能包括員工姓名、項目職稱、專案使用中時的粗略日期範圍,而非更多。 從這項資訊中,系統管理員必須建立查詢,以尋找Microsoft 365 服務的相關內容,以判斷特定專案或主旨所需的資訊。 瞭解如何儲存和管理這些服務的資訊,可協助系統管理員更有效地快速且有效地找出所需的資訊。
Email、聊天、會議和 Microsoft 365 Copilot 和 Microsoft Copilot 活動數據 (使用者提示和 Copilot 回應) 都會儲存在 Exchange Online 中。 有許多通訊屬性可用於搜尋包含在 Exchange Online 中的專案。 某些屬性,例如 From、 Sent、 Subject和 To 是特定專案的唯一屬性,而且在SharePoint和 OneDrive 中搜尋檔案或檔時不相關。 在工作負載之間搜尋時包含這些類型的屬性,有時可能會導致非預期的結果。
例如,若要尋找與特定員工相關的內容, (使用者 1 和 使用者 2) 、與名為 Tradewinds 的項目相關聯,以及在 2020 年 1 月到 2022 年 1 月期間,您可以使用具有下列屬性的查詢:
- 將使用者 1 和使用者 2 的 Exchange Online 位置新增為案例的數據源
- 選取 [使用者 1] 和 [使用者 2] Exchange Online 位置作為數據源。
- 針對 關鍵詞,請使用 Tradewinds
- 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍
重要
針對電子郵件,使用 關鍵詞時,我們會搜尋主旨、本文和許多與參與者相關的屬性。 不過,由於收件者擴充,使用別名或別名的一部分時,搜尋可能不會傳回預期的結果。 因此,建議您使用完整的UPN。
下表列出可使用 Microsoft Purview 入口網站中的電子檔探索搜尋工具,或使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 來搜尋的電子郵件訊息屬性。
重要
雖然電子郵件訊息在其他Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此表格中所列的電子郵件屬性。 不支援嘗試在搜尋中包含其他電子郵件訊息屬性。
數據表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。 您可以在電子檔案探索搜尋的關鍵字方塊中輸入這些 property:value
配對。
注意
搜尋電子郵件屬性時,無法搜尋郵件標頭。 標頭資訊未編製搜尋索引。 此外,無法搜尋指定屬性空白或空白的專案。 例如,使用 subject:“” 的 property:value 配對來搜尋具有空白主旨行的電子郵件訊息,將會傳回零個結果。 這也適用於搜尋網站和聯繫人屬性時。
屬性 | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
---|---|---|---|
AttachmentNames | 附加至電子郵件訊息的檔名。 | attachmentnames:annualreport.ppt |
具有名為annualreport.ppt附加檔案的訊 息 。 在第二個範例中,使用通配符 ( * ) 會傳回附件檔名中含有 year 一字的訊息。1 |
密件副本 | 電子郵件訊息的 [密件抄送] 字段。1 | bcc:pilarp@contoso.com |
所有範例都會傳回包含在 [密件抄送] 字段中具有 Pinilla 的郵件。 (請參閱收件者擴 充) |
類別 | 要搜尋的類別。 類別可由使用者使用 Outlook 或 Outlook 網頁版 (定義,先前稱為 Outlook Web App) 。 可能的值為:
|
category:"Red Category" |
已在來源信箱中指派 紅色 類別的郵件。 |
副本 | 電子郵件訊息的 [副本] 字段。1 | cc:pilarp@contoso.com |
在這兩個範例中,在 [副本] 字段中指定了具有 Pinilla 的 訊息。 (請參閱收件者擴 充) |
Folderid | 特定信箱資料夾的資料夾識別碼 (GUID) ,格式為 48 個字元。 如果您使用此屬性,請務必搜尋指定資料夾所在的信箱。 只會搜尋指定的資料夾。 不會搜尋資料夾中的任何子資料夾。 若要搜尋子資料夾,您必須針對要搜尋的子資料夾使用 Folderid 屬性。 如需搜尋 Folderid 屬性以及使用腳本來取得特定信箱之資料夾識別碼的詳細資訊,請參閱 目標搜尋。 |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
第一個範例會傳回指定信箱資料夾中的所有專案。 第二個範例會傳回所傳送或接收 garthf@contoso.com之指定信箱資料夾中的所有專案。 |
寄件者 | 電子郵件訊息的寄件者。1 | from:pilarp@contoso.com |
由指定的用戶傳送的訊息。 (請參閱收件者擴 充) |
HasAttachment | 指出訊息是否有附件。 使用 true 或 false 值。 | from:pilar@contoso.com AND hasattachment:true |
由具有附件的指定使用者所傳送的訊息。 |
Importance | 電子郵件訊息的重要性,寄件者可以在傳送郵件時指定該電子郵件訊息。 根據預設,訊息會以一般重要性傳送,除非發件者將重要性設定為 高 或 低。 | importance:high |
標示為高重要性、中度重要性或低重要性的訊息。 |
IsRead | 指出是否已讀取訊息。 使用 true 或 false 值。 | isread:true |
第一個範例會傳回IsRead屬性設為 True的訊息。 第二個範例會傳回IsRead屬性設為 False 的訊息。 |
ItemClass | 使用此屬性來搜尋貴組織匯入至 Office 365 的特定第三方數據類型。 針對此屬性使用下列語法: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
第一個範例會傳回 Facebook 在 Subject 屬性中包含 「contoso」 一字的專案。 第二個範例會傳回 Ann Beebe 所張貼且包含關鍵詞片語 「Northwind Traders」 的 Twitter 專案。 |
類型 | 要搜尋的電子郵件訊息類型。 可能的值: 連絡人 文件 電子郵件 externaldata 傳真 我 期刊 會議 microsoftteams (會從Microsoft Teams 中的聊天、會議和通話傳回專案) 筆記 職位 rssfeeds 工作 語音信箱 |
kind:email |
第一個範例會傳回符合搜尋準則的電子郵件訊息。 第二個範例會傳回電子郵件訊息、立即訊息交談 (包括Microsoft Teams) 中的 商務用 Skype 交談和聊天,以及符合搜尋準則的語音消息。 第三個範例會傳回從第三方數據源匯入至 Microsoft 365 中信箱的專案,例如 Twitter、Facebook 和 Cisco 擴充符合搜尋準則的專案。 如需詳細資訊,請參閱在 Office 365 中封存第三方數據。 |
參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位為From、To、Cc和 Bcc.1 | participants:garthf@contoso.com |
由傳送或傳送至 garthf@contoso.com的訊息。 第二個範例會傳回 contoso.com 網域中由用戶傳送或傳送給使用者的所有訊息。 (請參閱收件者擴 充) |
Received | 收件者收到電子郵件訊息的日期。 | received:2021-04-15 |
2021年4月15日收到的訊息。 第二個範例會傳回在 2021 年 1 月 1 日到 2021 年 3 月 31 日之間收到的所有訊息。 |
收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位為 To、Cc 和 Bcc.1 | recipients:garthf@contoso.com |
傳送至的 garthf@contoso.com訊息。 第二個範例會傳回傳送給 contoso.com 網域中任何收件者的訊息。 (請參閱收件者擴 充) |
寄件日期 | 寄件者傳送電子郵件訊息的日期。 | sent:2021-07-01 |
在指定日期或在指定日期範圍內傳送的訊息。 |
大小 | 專案大小,以位元組為單位。 | size>26214400 |
大於 25 MB 的訊息。 第二個範例會傳回 1 到 1,048,567 位元組 (1 MB) 大小的訊息。 |
主旨 | 電子郵件訊息主旨行中的文字。
注意: 當您在查詢中使用 Subject 屬性時,搜尋會傳回主旨行包含您要搜尋之文字的所有訊息。 換句話說,查詢不會只傳回完全相符的訊息。 例如,如果您搜尋 |
subject:"Quarterly Financials" |
在主旨行文字中的任何位置包含「每季財務」片語的訊息。 第二個範例會傳回主旨行中包含 northwind 一字的所有訊息。 |
收件者 | 電子郵件訊息的 [至] 欄位。1 | to:annb@contoso.com |
所有範例都會傳回在 To: 行中指定 Ann Beebe 的訊息。 |
注意
1 針對收件者屬性的值,您可以使用電子郵件地址 (也稱為用戶主體名稱 (UPN) ) 、顯示名稱或別名來指定使用者。 例如,您可以使用 annb@contoso.com、annb 或 “Ann Beebe” 來指定使用者 Ann Beebe。
您可以在 Microsoft Purview 入口網站中使用電子檔探索搜尋工具,搜尋儲存在信箱中檔中的敏感數據,例如信用卡號碼或社會安全號碼。 您可以使用關鍵字查詢中 SensitiveType
敏感性資訊類型的屬性和名稱 (或識別子) 來執行此動作。 例如,查詢 SensitiveType:"Credit Card Number"
會傳回包含信用卡號碼的檔。
SensitiveType:"U.S. Social Security Number (SSN)"
查詢會傳回包含美國社會安全號碼的檔。
若要查看您可以搜尋的敏感性資訊類型清單,請移至 Microsoft Purview 入口網站中的數據 分類>敏感性資訊類型 。 或者,您可以在安全性 & 合規性 PowerShell 中使用 Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。
搜尋任何收件者屬性 (From、To、Cc、Bcc、Participants 和 Recipients) 時,Microsoft 365 會嘗試在 Microsoft Entra ID 中查閱每個使用者的身分識別。 如果在 Microsoft Entra ID 中找到使用者,則會展開查詢,以包含使用者的電子郵件位址 (或 UPN) 、別名、顯示名稱和 LegacyExchangeDN。 例如,例如 participants:ronnie@contoso.com
的查詢會展開至 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
。
若要防止收件者擴充,請將通配符 (星號) 新增至電子郵件地址的結尾,並使用縮減的功能變數名稱;例如, participants:"ronnie@contoso*"
請務必以雙引弧括住電子郵件位址。
防止搜尋查詢中的收件者展開,可能會導致搜尋結果中未傳回相關專案。 Email 訊息可以在收件者欄位中以不同的文字格式儲存。 收件者擴充的目的是要傳回可能包含不同文字格式的訊息,以協助減輕此事實。 因此,防止收件者擴充可能會導致搜尋查詢未傳回可能與您的調查相關的所有專案。
注意
如果您因為收件者擴充而需要檢閱或減少搜尋查詢所傳回的專案,請考慮使用進階電子檔探索功能。 您可以搜尋訊息 (利用收件者擴充) 、將它們新增至檢閱集,然後使用檢閱集查詢或篩選來檢閱或縮小結果。
Exchange Online 中的信箱主要用來儲存電子郵件相關專案,例如郵件、行事歷專案、工作和筆記。 但是,隨著更多雲端式應用程式也將其數據儲存在使用者的信箱中,這會改變。 將資料儲存在信箱中的其中一個優點是,您可以在內容搜尋中使用搜尋工具、Microsoft Purview 電子文件探索 (Standard) ,以及電子檔探索 (預覽) 來尋找、檢視和導出這些雲端式應用程式的數據。
其中一些應用程式的數據會儲存在位於非人際訊息的隱藏資料夾中, (信箱中的非 IPM) 子樹。 其他雲端式應用程式的數據可能不會儲存在信箱 中 ,但與信箱 相關聯 ,如果該數據符合搜尋查詢) ,則會在搜尋 (中傳回。 不論雲端式數據是儲存在或與使用者信箱相關聯,當用戶開啟其信箱時,數據通常不會顯示在電子郵件用戶端中。
下表列出儲存數據或將數據與雲端式信箱建立關聯的應用程式。 下表也會描述每個應用程式所產生的內容類型。
Microsoft 365 應用程式 | 描述 |
---|---|
表單* | 表單的 Forms 和響應會儲存在附加至電子郵件訊息的檔案中,並儲存在建立表單之使用者信箱中的隱藏資料夾中。 在 2020 年 4 月之前建立的 Forms 會儲存為 PDF 檔案。 在 2020 年之後建立的 Forms 會儲存為 JSON 檔案。 表單的回應會儲存在 CSV 檔案中。 當您在 PST 檔案中從 Forms 匯出內容時,此數據會位於名為 的子資料夾中的 ApplicationDataRoot 資料夾中,其中包含下列全域唯一識別 (GUID) :c9a559d2-7aab-4f13-a6ed-e7e9c52aec87。 |
Microsoft 365 群組 | Email 郵件、行事曆項目、聯繫人 (人員) 、附注和工作會儲存在與Microsoft 365 群組相關聯的信箱中。 |
Microsoft 365 Copilot和 Microsoft Copilot | 支援Microsoft 365 應用程式和服務中產生的所有 Copilot 活動數據) (使用者提示和 Copilot 回應都會儲存在監管人信箱中。 |
Outlook/Exchange Online | Email 郵件、行事曆項目、聯繫人 (人員) 、記事和工作會儲存在使用者的信箱中。 |
People | 人員 應用程式中的聯繫人 (這些連絡人與 Outlook) 中可存取的聯繫人儲存在使用者的信箱中。 |
類別排程 | 在 [類別排程] 中建立的計劃會儲存在建立新計劃時所布建之對應Microsoft 365 群組的信箱中。 群組信箱的別名是方案的名稱。 |
商務用 Skype | 商務用 Skype 中的交談會儲存在使用者信箱的 [交談記錄] 資料夾中。 如果 Skype 會議參與者的信箱被置於 訴訟保留 或指派給 保留原則,則附加至會議的檔案會保留在參與者信箱中。 |
Sway* | Sways 會儲存為附加至電子郵件訊息的 HTML 檔案,並儲存在建立通道之使用者信箱中的隱藏資料夾中。 當您在 PST 檔案中從 Sway 導出內容時,此數據會位於 ApplicationDataRoot 資料夾中具有下列 GUID 的子資料夾中:905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba。 |
工作 | [工作] 應用程式中的工作 (與 Outlook) 中可存取的工作相同的工作會儲存在使用者的信箱中。 |
Teams | 屬於 Teams 頻道一部分的交談會與 Teams 信箱相關聯。 屬於 Teams 中聊天清單的交談 (也稱為 1 x N 聊天) 會與參與聊天之使用者的信箱相關聯。 此外,Teams 頻道中會議和通話的摘要資訊會與撥入會議或通話的使用者信箱相關聯。 因此,在搜尋Teams內容時,您會在Teams信箱中搜尋頻道交談中的內容,並在1 x N 聊天中搜尋使用者信箱中的內容。 |
To-Do | 工作 (稱為 to-dos,這些工作會儲存在 To-Do 應用程式中) 的執行清單中,並儲存在使用者的信箱中。 |
Viva Engage | Viva Engage 社群內的交談和批注會與Microsoft 365 群組信箱,以及作者的使用者信箱和任何具名收件者 (@提及或副本使用者) 相關聯。 在 Viva Engage 社群外部傳送的私人郵件會儲存在參與私人郵件之使用者的信箱中。 |
注意
* 目前,如果在電子檔探索 (預覽) 案例中使用保留將保留放在信箱上,則保留不會保留此應用程式的內容。