訓練
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。
您可以在電子檔探索 (預覽) 中使用搜尋,來搜尋組織中與案例相關的就地內容,例如電子郵件、檔和立即訊息交談。 使用搜尋來尋找這些雲端式Microsoft 365 數據源中的內容:
您可以建立並執行與案例相關聯的不同搜尋。 您可以使用關鍵詞等條件 () 建置搜尋查詢,以傳回最可能與案例相關之數據的搜尋結果。 您也可以:
在您搜尋並尋找與調查相關的數據之後,您可以將結果傳送至檢閱集以供進一步調查,或導出以供調查小組外部人員檢閱。
注意
對於具有歐盟一般數據保護規定 (GDPR) 需求來保護及啟用歐盟 (歐盟) 內個人隱私權的組織,您也可以管理調查,以回應組織中人員) 提交的數據主體要求 (DSR。 用戶數據搜尋案例工具已淘汰,且其功能已與電子檔探索 (預覽) 合併。 您現在可以使用搜尋來尋找內容,以支援電子檔探索搜尋支援的所有位置的 DSR。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
property:value
個表達式之間的間距與使用 OR 相同。 例如, 會傳 from:"Sara Davis" subject:reorganization
回所有由Ara 接著傳送的訊息,或是主旨行中包含重新整理字組的訊息。 不過,在單一查詢中混合使用空格和 OR 條件可能會導致非預期的結果。 建議您在單一查詢中使用空格或 OR 。property:value
語法。 值不區分大小寫,而且在 運算子後面不能有空格。 如果有空格,您預期的值就是全文搜索。 例如 to: pilarp
,搜尋 「pilarp」 作為關鍵詞,而不是傳送至 pilarp 的訊息。subject:budget Q1
回在主旨行中包含 預算 ,且包含訊息中任何位置或任何訊息屬性中 Q1 的訊息。 使用會 subject:"budget Q1"
傳回主旨行中任何位置包含 預算 Q1 的所有訊息。-from:"Sara Davis"
會排除任何由Ara 然後傳送的訊息。kind:im
法 。 若只要傳回電子郵件訊息,您可以使用 kind:email
。 若要在 Microsoft Teams 中傳回聊天、會議和通話,請使用 kind:microsoftteams
。path
屬性只傳回指定網站中的專案時,必須將尾端/
新增至 URL 結尾。 如果您未包含尾端 /
,也會傳回具有類似路徑名稱之網站的專案。 例如,如果您使用 path:sites/HelloWorld
,則會傳回名為 sites/HelloWorld_East
或 sites/HelloWorld_West
之網站中的專案。 若只要從 HelloWorld 網站傳回專案,您必須使用 path:sites/HelloWorld/
。提示
您偏好互動式設定指南體驗嗎? 請參閱 設計搜尋 指南。
建立新案例之後,系統會自動將您導向至案例中的 [ 搜尋] 索 引標籤,而且您已準備好建立案例的搜尋。 搜尋可協助您尋找要針對案例收集的專案。
選 取 [建立搜尋]。 如果這是沒有先前任何搜尋的新案例,您也可以在 [開始搜尋相關數據] 下方的主窗格中選取 [建立搜尋]。
在 [ 輸入要開始使用的詳細資料] 頁面上,完成下列欄位:
選 取 [建立 ] 以建立新的搜尋並啟動查詢,以尋找案例的相關數據。
在搜尋的 [ 查詢 ] 索引卷標上,為您的搜尋新增數據源
選 取 [新增數據源] 或 [新增全租使用者來源]。
新增數據源:選取此選項會將個別數據源新增至您的組織。
新增全租使用者來源:選取此選項包含整個組織的來源。 選擇套用至所有來源,或精簡選取範圍至數據源的子集。
例如,選取 [所有人員和群組],然後選取 [所有信箱] 會將組織中的所有使用者Exchange 信箱新增為數據源。 選取 [所有人員和群組],然後選取 [所有網站] 會將組織中的所有使用者 SharePoint 和 OneDrive 網站新增為數據源。
在 [ 搜尋來源 ] 飛出視窗窗格中,您將搜尋並新增搜尋查詢的數據源。 您可以篩選數據源的範圍,以協助您選擇要新增至搜尋的一或多個使用者或群組來源。
窗格的左側會顯示來源的 [ 篩選 ] 選項,根據預設,會選取 租使用者中的所有來源 來包含組織中的所有來源,以供選取和新增搜尋。
在 [ 顯示篩選 條件] 中使用下列選項,以協助在 [搜尋 ] 區段中界定來源的範圍:
如果適用,請選 取 [排除非使用中使用者 ],將來源範圍縮減為僅限目前作用中的使用者。
篩選數據源之後,請使用 [ 搜尋 ] 區段中的搜尋控件和選取器,將特定數據源、使用者和群組新增至搜尋查詢。 在搜尋欄位中輸入您想要新增的特定使用者、群組或組織位置,然後選取 [ 搜尋]。
使用下列值搜尋人員:
使用下列值搜尋群組:
選 取 [管理 ] 以更新與所選來源相關聯的信箱或網站。 否則,請選取 [ 儲存並關閉]。
檢閱您的選取專案,並確認每個數據源的內含資源。 選取 [儲存]。 您現在已設定搜尋查詢檢查的數據源範圍。
在 [ 數據源] 區段中,選取任何數據源的省略號功能表,以取得數據源的管理選項。
針對管理選項,請從下列項目中選取:
針對群組來源,請從下列項目中選取:
視需要使用 [數據源 ] 命令行控件來新增、更新、同步及搜尋搜尋 (的其他數據源)
若要定義搜尋查詢的參數,您可以在 [ 查詢 ] 索引卷標上選擇下列選項:
條件產生器:當您在電子檔探索 (預覽) 中建置搜尋查詢時,搜尋中 的條件產生器 選項可提供易於使用的用戶搜尋體驗。 使用關鍵詞或自定義條件來專注於搜尋查詢的範圍。 此外,您可以在搜尋中使用 關鍵詞查詢語言 (KQL) 查詢條件選項 ,以提供指引,並讓您快速地將冗長且複雜的查詢直接貼到編輯器中。 它也可協助您從頭開始建立搜尋查詢,並識別潛在的錯誤,並顯示如何解決問題的提示。
您也可以使用 Microsoft Security Copilot,快速建置搜尋的 KeyQL 查詢。 如需指引,請參閱本文中的 下一節 。
依檔案搜尋:上傳一或多個檔案,以尋找特定案例的相關或類似內容。 使用稽核活動 csv 來尋找特定時間範圍內特定使用者的相關訊息和檔案。 或提供範例辨識項以尋找類似的內容。 每個檔案的檔案大小上限為 10 MB,且檔案可以是 csv 或 txt。 依檔案搜尋時,會停用查詢組建和 KQL 選項。
選取 [執行查詢]。 如果您想要儲存已定義的查詢參數,並在稍後執行查詢,請選取 [ 另存為草稿]。
搜尋中的 [自然語言查詢 (預覽) KeyQL 產生器] 選項可讓您使用自然語言和 Microsoft Security Copilot,快速產生 KeyQL (KeyQL) 語句的關鍵字查詢語言。 使用產生器建構具有其他功能的複雜查詢,包括 AND、OR 和條件群組,同時使用自然語言提示。
此功能可協助您更輕鬆地使用預先定義的提示來建置查詢,例如案例,並可讓您精簡和增強自定義提示,以取得更精確的搜尋查詢。 您也可以選擇使用提示建議作為起點,以建立及精簡一般或自定義搜尋案例的 KeyQL 查詢。
若要使用 Copilot 建立搜尋查詢,請完成下列步驟:
手動建立搜尋查詢或使用 Security Copilot 之後,您就可以開始執行查詢併產生搜尋結果。
若要執行搜尋查詢,請完成下列步驟:
移至 Microsoft Purview 入口網站 ,並使用指派電子檔探索許可權之用戶帳戶的認證登入。
選取 電子檔探索 解決方案卡片,然後在左側導覽中選 取 [案例 (預覽) 。
選取案例。 在 [ 搜尋] 索引 標籤上,選取已儲存的搜尋。
選取 [執行查詢]。
選取 [ 執行查詢] 之後,您會看到 [ 格式化查詢結果 ] 飛出視窗窗格。 選擇您想要為查詢及其設定產生的檢視。 您可以選擇 [統計資料 ] 或 [ 範例] 檢視:
統計數據:此檢視會產生由最上層指標排列的收集數據估計值摘要。 選擇下列一或多個選項:
包含類別:精簡您的檢視,以包含人員、敏感性資訊類型、專案類型和錯誤。
包含查詢關鍵詞報告:評估搜尋查詢不同部分的關鍵詞相關性/
調查部分編製索引的專案:部分編製索引的專案通常會依計數占數據源中內容的大約百分之一。 選取此選項 (,而且只有此選項) ,會產生摘要資訊, (專案計數和位置) 有關所選取數據源中所包含之部分索引專案的搜尋。 未重新編製索引或處理部分索引的專案。 若要進一步處理範圍數據源中部分編製索引的專案,請考慮下列進階索引選項:
排除位置中部分編製索引的專案,而不使用搜尋叫用:選擇此額外選項可藉由限制只包含包含與您搜尋相關之專案的數據源中的部分索引專案,來減少部分編製索引專案的範圍 (或進階索引編製) 。 這會從不包含任何與您搜尋相關之項目的數據源中排除部分編製索引的專案。
例如,您已選取多個信箱、SharePoint 網站和 OneDrive 網站作為搜尋的數據源。 執行搜尋時,只有少數信箱和網站具有與搜尋條件相關的索引項目,其餘的信箱和網站則不包含任何與搜尋條件相關的原生索引專案。 如果您已選取此選項,則搜尋統計數據結果中會包含信箱中部分編製索引的專案,以及包含與搜尋相關之原生索引項目的網站。 信箱和網站中未包含任何與搜尋相關的原生索引專案部分編製索引的專案會被忽略,而且不會在搜尋統計數據結果中回報。
對部分編製索引的專案執行進階索引:執行進階索引的範圍取決於您是否已選取 [ 在不使用搜尋叫用的位置排除部分編製索引的專案 ] 選項。 進階索引處理程式會執行範圍中部分編製索引專案的統計數據範例,並判斷這些專案是否符合查詢:
範例:此檢視會產生完整搜尋結果的代表性選取專案。 定義下列選項的參數:
選 取 [執行查詢 ] 以立即執行查詢。
根據您選取的查詢檢視選項,系統會自動將您導向至 [統計數據 ] 或 [ 範例] 索引 標籤。搜尋查詢評量隨即開始,並計算處理查詢的剩餘時間。 如需評估和微調搜尋結果的詳細資訊,請參 閱檢閱和評估搜尋結果。
訓練
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。