閱讀英文

共用方式為


在電子檔探索 (預覽) 中建立案例的搜尋查詢

您可以在電子檔探索 (預覽) 中使用搜尋,來搜尋組織中與案例相關的就地內容,例如電子郵件、檔和立即訊息交談。 使用搜尋來尋找這些雲端式Microsoft 365 數據源中的內容:

  • Exchange Online 信箱
  • SharePoint 網站
  • OneDrive 帳戶
  • Microsoft Teams
  • Microsoft 365 群組
  • Viva Engage 群組

您可以建立並執行與案例相關聯的不同搜尋。 您可以使用關鍵詞等條件 () 建置搜尋查詢,以傳回最可能與案例相關之數據的搜尋結果。 您也可以:

  • 檢視可協助您精簡搜尋查詢以縮小結果的搜尋統計數據。
  • 預覽搜尋結果以快速驗證是否找到相關資料。
  • 修改查詢,然後重新執行搜尋。

在您搜尋並尋找與調查相關的數據之後,您可以將結果傳送至檢閱集以供進一步調查,或導出以供調查小組外部人員檢閱。

注意

對於具有歐盟一般數據保護規定 (GDPR) 需求來保護及啟用歐盟 (歐盟) 內個人隱私權的組織,您也可以管理調查,以回應組織中人員) 提交的數據主體要求 (DSR。 用戶數據搜尋案例工具已淘汰,且其功能已與電子檔探索 (預覽) 合併。 您現在可以使用搜尋來尋找內容,以支援電子檔探索搜尋支援的所有位置的 DSR。

提示

開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

搜尋秘訣

  • 所有搜尋的時區都是國際標準時間 (UTC) 。 目前不支援變更組織的時區。 搜尋檢視中的時區顯示設定僅適用於 [資料] 資料 行中的值,不會影響所收集項目的時間戳。
  • 關鍵詞搜尋不區分大小寫。 例如, catCAT 會傳回相同的結果。
  • 布爾運算元 ANDORNOTNEAR 必須是大寫。
  • 使用引號會停止通配符和引號內的任何作業。
  • 兩個關鍵詞或兩 property:value 個表達式之間的間距與使用 OR 相同。 例如, 會傳 from:"Sara Davis" subject:reorganization 回所有由Ara 接著傳送的訊息,或是主旨行中包含重新整理字組的訊息。 不過,在單一查詢中混合使用空格和 OR 條件可能會導致非預期的結果。 建議您在單一查詢中使用空格或 OR
  • 使用符合格式的 property:value 語法。 值不區分大小寫,而且在 運算子後面不能有空格。 如果有空格,您預期的值就是全文搜索。 例如 to: pilarp ,搜尋 「pilarp」 作為關鍵詞,而不是傳送至 pilarp 的訊息。
  • 搜尋收件者屬性時,例如收件者、收件者、副本或收件者,您可以使用 SMTP 位址、別名或顯示名稱來表示收件者。 例如,您可以使用 pilarp@contoso.com、pinarp 或 “Pilar Pinilla”。
  • 您只能使用前置詞搜尋;例如, cat*set*。 不支援 *cat) (後綴搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字元串搜尋。
  • 搜尋屬性時,如果搜尋值包含多個字詞,請使用雙引號 (“) 。 例如, 會傳 subject:budget Q1 回在主旨行中包含 預算 ,且包含訊息中任何位置或任何訊息屬性中 Q1 的訊息。 使用會 subject:"budget Q1" 傳回主旨行中任何位置包含 預算 Q1 的所有訊息。
  • 若要從搜尋結果中排除以特定屬性值標示的內容,請在屬性名稱之前加上減號 ( ) 。 例如, -from:"Sara Davis" 會排除任何由Ara 然後傳送的訊息。
  • 您可以根據訊息類型匯出專案。 例如,若要在 Microsoft Teams 中匯出 Skype 交談和聊天,請使用 語 kind:im法 。 若只要傳回電子郵件訊息,您可以使用 kind:email。 若要在 Microsoft Teams 中傳回聊天、會議和通話,請使用 kind:microsoftteams
  • 搜尋網站時,當您使用 path 屬性只傳回指定網站中的專案時,必須將尾端/新增至 URL 結尾。 如果您未包含尾端 /,也會傳回具有類似路徑名稱之網站的專案。 例如,如果您使用 path:sites/HelloWorld ,則會傳回名為 sites/HelloWorld_Eastsites/HelloWorld_West 之網站中的專案。 若只要從 HelloWorld 網站傳回專案,您必須使用 path:sites/HelloWorld/
  • 您必須在搜尋查詢中定義 查詢語言/國家/地區 ,才能收集內容。
  • 在搜尋 寄件 人資料夾中的電子郵件時,不支援使用寄件者的 SMTP 位址。 [ 傳送] 資料夾中的專案只包含顯示名稱。

建立搜尋查詢

提示

您偏好互動式設定指南體驗嗎? 請參閱 設計搜尋 指南。

建立新案例之後,系統會自動將您導向至案例中的 [ 搜尋] 索 引標籤,而且您已準備好建立案例的搜尋。 搜尋可協助您尋找要針對案例收集的專案。

  1. 取 [建立搜尋]。 如果這是沒有先前任何搜尋的新案例,您也可以在 [開始搜尋相關數據] 下方的主窗格中選取 [建立搜尋]。

  2. 在 [ 輸入要開始使用的詳細資料] 頁面上,完成下列欄位:

    • 搜尋名稱:指定搜尋的名稱 (必要) 。 搜尋名稱在您的組織中必須是唯一的
    • 搜尋描述:新增選擇性描述,以協助其他人瞭解此搜尋。
  3. 取 [建立 ] 以建立新的搜尋並啟動查詢,以尋找案例的相關數據。

  4. 在搜尋的 [ 查詢 ] 索引卷標上,為您的搜尋新增數據源

  5. 取 [新增數據源][新增全租使用者來源]

    • 新增數據源:選取此選項會將個別數據源新增至您的組織。

    • 新增全租使用者來源:選取此選項包含整個組織的來源。 選擇套用至所有來源,或精簡選取範圍至數據源的子集。

      例如,選取 [所有人員和群組],然後選取 [所有信箱] 會將組織中的所有使用者Exchange 信箱新增為數據源。 選取 [所有人員和群組],然後選取 [所有網站] 會將組織中的所有使用者 SharePoint 和 OneDrive 網站新增為數據源。

  6. 在 [ 搜尋來源 ] 飛出視窗窗格中,您將搜尋並新增搜尋查詢的數據源。 您可以篩選數據源的範圍,以協助您選擇要新增至搜尋的一或多個使用者或群組來源。

    窗格的左側會顯示來源的 [ 篩選 ] 選項,根據預設,會選取 租使用者中的所有來源 來包含組織中的所有來源,以供選取和新增搜尋。

    在 [ 顯示篩選 條件] 中使用下列選項,以協助在 [搜尋 ] 區段中界定來源的範圍:

    • 所有人員和群組 (預設)
    • 僅限 人員
    • 僅限 群組

    如果適用,請選 取 [排除非使用中使用者 ],將來源範圍縮減為僅限目前作用中的使用者。

    篩選數據源之後,請使用 [ 搜尋 ] 區段中的搜尋控件和選取器,將特定數據源、使用者和群組新增至搜尋查詢。 在搜尋欄位中輸入您想要新增的特定使用者、群組或組織位置,然後選取 [ 搜尋]

    使用下列值搜尋人員:

    • 用戶顯示名稱的第一個和系列名稱 (例如 John Smith)
    • 僅限名字
    • 使用者 SMTP 位址
    • 使用者別名
    • Exchange GUID
    • 使用者 OneDrive 網站的 URL

    使用下列值搜尋群組:

    • 群組信箱 SMTP 位址
    • 群組網站的 URL。 Teams 頻道網站的 URL 會將 Teams 群組解析為數據源。
  7. 取 [管理 ] 以更新與所選來源相關聯的信箱或網站。 否則,請選取 [ 儲存並關閉]

  8. 檢閱您的選取專案,並確認每個數據源的內含資源。 選取 [儲存]。 您現在已設定搜尋查詢檢查的數據源範圍。

  9. 在 [ 數據源] 區段中,選取任何數據源的省略號功能表,以取得數據源的管理選項。

    針對管理選項,請從下列項目中選取:

    • 管理數據源:管理所選使用者或網站的數據源。
    • 停用信箱:停用所選用戶或網站的信箱。 再次選取此選項,以啟用使用者或網站的信箱。
    • 停用網站:停用所選用戶或網站的網站。 再次選取此選項,以啟用使用者或網站的網站。
    • 經常共同作業者:為經常與所選使用者共同作業的用戶選取相關聯的信箱和網站。
    • 管理員:選取使用者管理員的相關聯信箱和網站。
    • 直接報告:選取使用者直接報告的相關聯信箱和網站。
    • 群組 用戶擁有:選取用戶擁有者之群組的相關聯信箱和網站。
    • 群組 使用者所在的位置:選取使用者所屬群組的相關聯信箱和網站。

    針對群組來源,請從下列項目中選取:

    • 成員:選取群組成員的相關聯信箱和網站。
  10. 視需要使用 [數據源 ] 命令行控件來新增、更新、同步及搜尋搜尋 (的其他數據源)

    • 搜尋並新增:選取 + 圖示以新增數據源。
    • 管理:選取鉛筆圖示以管理指派的數據源。
    • 同步:選取同步處理圖示以同步處理數據源,並使用組織中最新的數據源更新數據源。
    • 搜尋:選取搜尋圖示來搜尋目前包含在搜尋查詢中的數據源。
  11. 若要定義搜尋查詢的參數,您可以在 [ 查詢 ] 索引卷標上選擇下列選項:

    • 條件產生器:當您在電子檔探索 (預覽) 中建置搜尋查詢時,搜尋中 的條件產生器 選項可提供易於使用的用戶搜尋體驗。 使用關鍵詞或自定義條件來專注於搜尋查詢的範圍。 此外,您可以在搜尋中使用 關鍵詞查詢語言 (KQL) 查詢條件選項 ,以提供指引,並讓您快速地將冗長且複雜的查詢直接貼到編輯器中。 它也可協助您從頭開始建立搜尋查詢,並識別潛在的錯誤,並顯示如何解決問題的提示。

      您也可以使用 Microsoft Security Copilot,快速建置搜尋的 KeyQL 查詢。 如需指引,請參閱本文中的 下一節

    • 依檔案搜尋:上傳一或多個檔案,以尋找特定案例的相關或類似內容。 使用稽核活動 csv 來尋找特定時間範圍內特定使用者的相關訊息和檔案。 或提供範例辨識項以尋找類似的內容。 每個檔案的檔案大小上限為 10 MB,且檔案可以是 csv 或 txt。 依檔案搜尋時,會停用查詢組建和 KQL 選項。

  12. 選取 [執行查詢]。 如果您想要儲存已定義的查詢參數,並在稍後執行查詢,請選取 [ 另存為草稿]

使用 Microsoft Copilot (預覽版建立 KeyQL 搜尋查詢)

搜尋中的 [自然語言查詢 (預覽) KeyQL 產生器] 選項可讓您使用自然語言和 Microsoft Security Copilot,快速產生 KeyQL (KeyQL) 語句的關鍵字查詢語言。 使用產生器建構具有其他功能的複雜查詢,包括 AND、OR 和條件群組,同時使用自然語言提示。

此功能可協助您更輕鬆地使用預先定義的提示來建置查詢,例如案例,並可讓您精簡和增強自定義提示,以取得更精確的搜尋查詢。 您也可以選擇使用提示建議作為起點,以建立及精簡一般或自定義搜尋案例的 KeyQL 查詢。

若要使用 Copilot 建立搜尋查詢,請完成下列步驟:

  1. 選取查詢的數據源之後,請選取 [使用 Copilot 草稿查詢]
  2. 在 [ 自然語言提示 字元] 窗格中,選擇下列其中一個選項:
    • 輸入您的搜尋查詢問題。 您可以視需要包含使用者、資料來源和其他內容詳細數據。
    • 取 [檢視提示] 以選取下列其中一個提示建議:
      • 尋找包含預算和財務單字的所有電子郵件,並具有附件
      • 搜尋 2020 年 1 月包含「財務年度」一詞的所有聊天
      • 搜尋類型為 .docx 的檔案,其中包含機密和預算等字組
  3. 檢閱自然語言提示。 若要使用 Copilot 精簡提示,請選取 [精簡]
  4. 當提示完成時,選取 [產生 KeyQL]
  5. 在 [ 關鍵詞查詢語言 (KeyQL) 結果窗格中檢閱 KeyQL 查詢。 如果您需要精簡 KeyQL 查詢結果,您可以在 [自然語言提示 字元] 窗格中更新提示,然後再次選取 [產生 KeyQL] 。 1. 當 KeyQL 結果完成時,請選取 [複製 KeyQL]
  6. 將 KeyQL 結果貼到 [ 關鍵詞查詢語言] ([KeyQL) ] 索引標籤上的 [查詢] 字段。您可以使用 Copilot 關閉草稿查詢
  7. 選取 [執行查詢]。 如果您想要儲存已定義的查詢參數,並在稍後執行查詢,請選取 [ 另存為草稿]

執行搜尋查詢

手動建立搜尋查詢或使用 Security Copilot 之後,您就可以開始執行查詢併產生搜尋結果。

若要執行搜尋查詢,請完成下列步驟:

  1. 移至 Microsoft Purview 入口網站 ,並使用指派電子檔探索許可權之用戶帳戶的認證登入。

  2. 選取 電子檔探索 解決方案卡片,然後在左側導覽中選 取 [案例 (預覽)

  3. 選取案例。 在 [ 搜尋] 索引 標籤上,選取已儲存的搜尋。

  4. 選取 [執行查詢]

  5. 選取 [ 執行查詢] 之後,您會看到 [ 格式化查詢結果 ] 飛出視窗窗格。 選擇您想要為查詢及其設定產生的檢視。 您可以選擇 [統計資料 ] 或 [ 範例] 檢視:

    • 統計數據:此檢視會產生由最上層指標排列的收集數據估計值摘要。 選擇下列一或多個選項:

      • 包含類別:精簡您的檢視,以包含人員、敏感性資訊類型、專案類型和錯誤。

      • 包含查詢關鍵詞報告:評估搜尋查詢不同部分的關鍵詞相關性/

      • 調查部分編製索引的專案:部分編製索引的專案通常會依計數占數據源中內容的大約百分之一。 選取此選項 (,而且只有此選項) ,會產生摘要資訊, (專案計數和位置) 有關所選取數據源中所包含之部分索引專案的搜尋。 未重新編製索引或處理部分索引的專案。 若要進一步處理範圍數據源中部分編製索引的專案,請考慮下列進階索引選項:

        • 排除位置中部分編製索引的專案,而不使用搜尋叫用:選擇此額外選項可藉由限制只包含包含與您搜尋相關之專案的數據源中的部分索引專案,來減少部分編製索引專案的範圍 (或進階索引編製) 。 這會從不包含任何與您搜尋相關之項目的數據源中排除部分編製索引的專案。

          例如,您已選取多個信箱、SharePoint 網站和 OneDrive 網站作為搜尋的數據源。 執行搜尋時,只有少數信箱和網站具有與搜尋條件相關的索引項目,其餘的信箱和網站則不包含任何與搜尋條件相關的原生索引專案。 如果您已選取此選項,則搜尋統計數據結果中會包含信箱中部分編製索引的專案,以及包含與搜尋相關之原生索引項目的網站。 信箱和網站中未包含任何與搜尋相關的原生索引專案部分編製索引的專案會被忽略,而且不會在搜尋統計數據結果中回報。

        • 對部分編製索引的專案執行進階索引:執行進階索引的範圍取決於您是否已選取 [ 在不使用搜尋叫用的位置排除部分編製索引的專案 ] 選項。 進階索引處理程式會執行範圍中部分編製索引專案的統計數據範例,並判斷這些專案是否符合查詢:

          • 選取的 [在不使用搜尋叫用的位置中排除部分索引的專案] 選項:這僅適用於部分編製索引的專案,且數據源具有符合搜尋查詢的完整索引專案。 這些項目會進行取樣、編製索引,且符合搜尋查詢的項目會顯示在搜尋統計數據中, (適用) 。
          • 選取但 選取 [ 在不使用搜尋叫用的位置中排除部分編製索引的專案 ] 選項:這適用於搜尋中包含的所有數據源中所有部分編製索引的專案。 所有專案都會進行取樣、編製索引,且符合搜尋查詢的項目會顯示在搜尋統計數據中, (適用) 。
    • 範例:此檢視會產生完整搜尋結果的代表性選取專案。 定義下列選項的參數:

      • 選取每個位置要產生的範例項目數目:選擇 1、10100
      • 選取要從中取得範例的位置數目:選擇 10、100100010000
  6. 取 [執行查詢 ] 以立即執行查詢。

根據您選取的查詢檢視選項,系統會自動將您導向至 [統計數據 ] 或 [ 範例] 索引 標籤。搜尋查詢評量隨即開始,並計算處理查詢的剩餘時間。 如需評估和微調搜尋結果的詳細資訊,請參 閱檢閱和評估搜尋結果