在電子檔探索 (預覽) 中尋找網站中的內容
搜尋位於 SharePoint 或 OneDrive 網站中的文件和檔案時,根據感興趣檔和檔案的元數據調整查詢方法可能很合理。 檔案和檔具有相關的屬性,例如 Author、 Created、 CreatedBy、 FileName、 LastModifiedTime 和 Title。 在 Exchange Online 中搜尋通訊內容時,這些屬性大部分都不相關,如果在文件和通訊之間使用,則使用這些屬性可能會導致非預期的結果。 此外, 檔的 FileName 和 Title 可能不相同,而使用其中一個或另一個來嘗試尋找具有特定內容的檔案可能會導致不同或不正確的結果。 在 SharePoint 和 OneDrive 中搜尋特定文件和檔案內容時,請記住這些屬性。
例如,若要尋找與 User 1 所建立文件相關的內容、名為 Tradewinds 的專案、名為 Financials 的特定檔案,以及從 2020 年 1 月到 2022 年 1 月,您可以使用具有下列屬性的查詢:
- 將使用者 1 新增為搜尋的數據源。
- 選取 [使用者 1 的 OneDrive 網站] 作為感興趣的位置。
- 將與項目相關的其他群組及其相關聯的 SharePoint 網站新增為數據源。
- 針對 FileName,請使用 財務
- 針對 關鍵詞,請使用 Tradewinds
- 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
下表列出可使用 Microsoft Purview 入口網站中的電子檔探索搜尋工具,或使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 來搜尋的 SharePoint 和 OneDrive 屬性。
重要
雖然儲存在 SharePoint 和 OneDrive 上的文件和檔案在其他Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此表格中所列的檔和檔案屬性。 不支援嘗試在搜尋中包含其他文件或檔案屬性。
數據表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。
Property | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
---|---|---|---|
作者 | Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。 請務必針對這個屬性使用用戶的顯示名稱。 | author:"Garth Fort" |
Garth Fort 所撰寫的所有檔。 |
ContentType | 專案的 SharePoint 內容類型,例如 Item、Document 或 Video。 | contenttype:document |
會傳回所有檔。 |
已建立 | 建立專案的日期。 | created>=2021-06-01 |
在 2021 年 6 月 1 日或之後建立的所有專案。 |
CreatedBy | 建立或上傳項目的人員。 請務必針對這個屬性使用用戶的顯示名稱。 | createdby:"Garth Fort" |
Garth Fort 建立或上傳的所有專案。 |
DetectedLanguage | 項目的語言。 | detectedlanguage:english |
所有英文專案。 |
DocumentLink | 路徑 (SharePoint 或 OneDrive 網站上特定資料夾的 URL) 。 如果您使用此屬性,請務必搜尋指定資料夾所在的網站。 建議您使用此屬性,而不是 Site 和 Path 屬性。 若要傳回位於您為 documentlink 屬性指定之資料夾子資料夾中的專案,您必須將 /* 新增至指定資料夾的 URL;例如 |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
第一個範例會傳回指定 OneDrive 資料夾中的所有專案。 第二個範例會傳回指定網站資料夾 (中的檔,以及檔名中包含「機密」一詞的所有子資料夾) 。 |
FileExtension | 檔案的擴展名;例如,docx、one、pptx 或 xlsx。 | fileextension:xlsx |
Excel 2007 和更新版本 (的所有 Excel 檔案) |
FileName | 檔名。 | filename:"marketing plan" |
第一個範例會傳回標題中具有確切片組 「marketing plan」 的檔案。 第二個範例會傳回檔名中含有 「estimate」 一字的檔案。 |
LastModifiedTime | 專案上次變更的日期。 | lastmodifiedtime>=2021-05-01 |
第一個範例會傳回在 2021 年 5 月 1 日或之後變更的專案。 第二個範例會傳回在 2021 年 5 月 1 日到 2021 年 6 月 1 日之間變更的專案。 |
ModifiedBy | 上次變更項目的人員。 請務必針對這個屬性使用用戶的顯示名稱。 | modifiedby:"Garth Fort" |
Garth Fort 上次變更的所有專案。 |
SharedWithUsersOWSUser | 已與指定使用者共享並顯示在使用者 OneDrive 網站的 [ 與我共用 ] 頁面上的檔。 這些是組織中其他人已明確與指定使用者共享的檔。 當您匯出符合使用 SharedWithUsersOWSUser 屬性之搜尋查詢的檔時,會從與指定使用者共用檔之人員的原始內容位置匯出檔。 如需詳細資訊,請 參閱搜尋組織內共用的網站內容。 | sharedwithusersowsuser:garthf |
這兩個範例都會傳回已明確與 Garth Fort 共用的所有內部檔,且這些檔會出現在 Garth Fort OneDrive 帳戶的 [ 與我共用 ] 頁面上。 |
大小 | 專案大小,以位元組為單位。 | size>=1 |
第一個範例會傳回大於1位元組的專案。 第二個範例會傳回大小從 1 到 10,000 個字節的專案。 |
標題 | 檔的標題。 Title 屬性是 Office 檔Microsoft指定的元數據。 它與文件的檔名不同。 | title:"communication plan" |
在 Office 檔的 Title 元數據屬性中包含片語「通訊計劃」的任何檔。 |
您可以在 Microsoft Purview 入口網站中使用電子檔探索搜尋工具,搜尋儲存在 SharePoint 和 OneDrive 網站上檔中的敏感數據,例如信用卡號碼或社會安全號碼。 您可以使用關鍵字查詢中 SensitiveType
敏感性資訊類型的屬性和名稱 (或識別子) 來執行此動作。 例如,查詢 SensitiveType:"Credit Card Number"
會傳回包含信用卡號碼的檔。
SensitiveType:"U.S. Social Security Number (SSN)"
查詢會傳回包含美國社會安全號碼的檔。
若要查看您可以搜尋的敏感性資訊類型清單,請移至 Microsoft Purview 入口網站中的數據 分類>敏感性資訊類型 。 或者,您可以在安全性 & 合規性 PowerShell 中使用 Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。
若要搜尋自定義敏感性資訊類型,您必須在 屬性中
SensitiveType
指定敏感性資訊類型的標識碼。 使用自定義敏感性資訊類型的名稱 (如上一節內建敏感性資訊類型的範例所示,) 不會傳回任何結果。 使用 Microsoft Purview 入口網站中 [敏感性資訊類型] 頁面上的 [發行者] 資料行, (或 PowerShell) 中的 Publisher 屬性來區分內建和自定義敏感性資訊類型。 內建敏感數據類型具有 Publisher 屬性的Microsoft Corporation
值。若要顯示組織中自定義敏感數據類型的名稱和標識碼,請在安全性 & 合規性 PowerShell 中執行下列命令:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
然後,您可以使用搜尋屬性中的
SensitiveType
標識碼來傳回包含自定義敏感數據類型的檔;例如,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
您無法使用敏感性資訊類型和
SensitiveType
搜尋屬性,在 Exchange Online 信箱中搜尋待用敏感數據。 這包括 1:1 聊天訊息、1:N 群組聊天訊息,以及Microsoft Teams 中的小組頻道交談,因為所有內容都會儲存在信箱中。 不過,您可以使用數據外洩防護 (DLP) 原則來保護傳輸中的敏感電子郵件數據。 如需詳細資訊,請 參閱了解數據外泄防護 和 搜尋及尋找個人資料。
組成基本查詢的元件有三個:SensitiveType、計數範圍和信賴範圍。 例如, 需要 SensitiveType:“<type>” ,且兩者 都 |<count range> and |<信賴範圍> 是選擇性的。
查詢通常會從敏感性資訊類型清查的 屬性SensitiveType:"
和資訊類型名稱開始,並以 結尾。"
您也可以使用您為組織建立的 自訂敏感性資訊類型 名稱。 例如,您可能要尋找包含信用卡號碼的文件。
在這類實例中,您會使用下列格式: SensitiveType:"Credit Card Number"
。 因為您未包含計數範圍或信賴範圍,所以查詢會傳回偵測到信用卡號碼的每份檔。 這是您可以執行的最簡單的查詢,會傳回最多結果。 請記住,敏感類型的拼字和空格有影響。
接下來兩個部分都是範圍,因此讓我們快速檢查範圍的外觀。 在 SharePoint 查詢中,基本範圍會以兩個句點分隔的兩個數位表示,如下所示: [number]..[number]
。 例如,如果 10..20
使用 ,該範圍會擷取從10到20的數位。 本文涵蓋許多不同的範圍組合和數個。
讓我們將計數範圍新增至查詢。 您可以使用計數範圍來定義檔在包含在查詢結果之前,需要包含的敏感性資訊數目。 例如,如果您想要查詢只傳回只包含五個信用卡號碼的檔,請使用下列專案: SensitiveType:"Credit Card Number|5"
。 計數範圍也可以協助您識別有高度風險的文件。 例如,您的組織可能會將具有 5 個以上信用卡號碼的文件視為高風險。 若要尋找符合此準則的檔,您可以使用此查詢: SensitiveType:"Credit Card Number|5.."
。 或者,您可以使用下列查詢來尋找信用卡號碼少於五個的檔: SensitiveType:"Credit Card Number|..5"
。
最後,信賴範圍是已偵測之敏感類型實際符合的信賴等級。 信賴範圍值的運作方式與計數範圍類似。 您不用包含計數範圍也可以形成查詢。 例如,若要搜尋具有任意數目的信用卡號碼的檔,只要信賴範圍是85%或更高,您就會使用此查詢: SensitiveType:"Credit Card Number|*|85.."
。
重要
星號 ( ) *
是通配符,表示任何值都有效。 您可以在計數範圍或信賴範圍中使用通配符 ( *
) ,但不能在敏感性類型中使用。
SharePoint 中的查詢也包含 LastSensitiveContentScan 屬性,可協助您搜尋在特定時間範圍內掃描的檔案。 如需 屬性的 LastSensitiveContentScan
查詢範例,請參閱下一節中的 複雜查詢範例 。
您可以使用 SharePoint 電子檔案探索搜尋屬性,例如 Author
或 FileExtension
。 您可以使用運算子來建立複雜查詢。 如需可用屬性和運算子的清單,請 參閱搭配電子檔探索使用搜尋屬性和運算子部落格 文章。
下列範例使用不同的敏感性類型、屬性和運算符,說明如何精簡查詢,以確切找出您要尋找的專案。
查詢 | 說明 |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
名稱可能看起來很奇異,因為它太長,但它是該敏感性類型的正確名稱。 請務必使用 敏感性資訊類型清查的確切名稱。 您也可以使用您為組織建立的 自訂敏感性資訊類型 名稱。 |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
這會傳回至少一個符合敏感性類型「信用卡號碼」的檔。每個範圍的值是各自的最小值和最大值。 撰寫此查詢的較簡單方式是 SensitiveType:"Credit Card Number" ,但其中的有趣之處為何? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
這會傳回從 2018 年 8 月 11 日到 2018 年 8 月 13 日掃描的 5-25 個信用卡號碼的檔。 |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
這會傳回從 2018 年 8 月 11 日到 2018 年 8 月 13 日掃描的 5-25 個信用卡號碼的檔。 具有 XLSX 擴展名的檔案不會包含在查詢結果中。
FileExtension 是您可以包含在查詢中的眾多屬性之一。 如需詳細資訊,請 參閱搭配 eDiscovery 使用搜尋屬性和運算符。 |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
這會傳回包含信用卡號碼或身分證字號的文件。 |
並非所有查詢都可以同等建立。 下表提供 SharePoint 中無法運作的查詢範例,並說明原因。
不受支援的查詢 | 原因 |
---|---|
SensitiveType:"Credit Card Number|.." |
您必須至少新增一個數值。 |
SensitiveType:"NotARule" |
“NotARule” 不是有效的敏感性類型名稱。 只有 敏感性資訊類型清查 中的名稱可在電子檔探索查詢中運作。 |
SensitiveType:"Credit Card Number|0" |
零無效,因為是範圍中的最小值或最大值。 |
SensitiveType:"Credit Card Number" |
可能很難看到,但「信用卡」與「卡片」之間有額外的空格符,使得查詢無效。 使用 敏感性信息類型清查中的精確敏感性類型名稱。 |
SensitiveType:"Credit Card Number|1. .3" |
兩個句點部分不應該以空格分隔。 |
SensitiveType:"Credit Card Number| |1..|80.." |
有太多管道直立線符號 (|)。 請改為遵循此格式: SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
因為信賴值代表百分比,所以不能超過 100。 請改為選擇 1 到 100 的數字。 |
您也可以在 Microsoft Purview 入口網站中使用電子檔探索搜尋工具,搜尋儲存在與組織外部人員共用的 SharePoint 和 OneDrive 網站上的檔。 這可協助您識別在組織外部共用的敏感性或專屬資訊。 您可以在關鍵字查詢中使用 ViewableByExternalUsers
屬性來執行此動作。 此屬性會使用下列其中一種共用方法,傳回已與外部使用者共用的檔案或網站:
- 共享邀請,要求使用者以已驗證的使用者身分登入您的組織。
- 匿名來賓連結,可讓具有此連結的任何人存取資源,而不需要經過驗證。
範例如下:
- 此查詢
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
會傳回已與組織外部人員共用並包含信用卡號碼的所有專案。 -
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
查詢會傳回組織中所有已與外部用戶共用之小組網站上的檔案清單。
提示
之類的 ViewableByExternalUsers:true AND ContentType:document
搜尋查詢可能會在搜尋結果中傳回許多.aspx檔案。 若要排除這些 (或其他類型的檔案) ,您可以使用 FileExtension
屬性來排除特定的檔案類型,例如 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
。
與組織外部人員共用的內容為何? 貴組織的 SharePoint 和 OneDrive 網站中,透過傳送共用邀請或在公用位置共用來共用的檔。 例如,下列用戶活動會產生外部用戶可檢視的內容:
- 使用者與組織外部的人員共用檔案或資料夾。
- 使用者會建立共用檔案的連結,並將其傳送給組織外部的人員。 此連結可讓外部用戶檢視檔案 (或編輯) 。
- 用戶傳送共用邀請或來賓連結給組織外部的人員,以檢視共用檔案) (或編輯。
雖然 屬性 ViewableByExternalUsers
代表檔或網站是否與外部用戶共享的狀態,但此屬性的作用和未反映有一些注意事項。 在下列案例中,不會更新 屬性的 ViewableByExternalUsers
值,而且使用此屬性的搜尋查詢結果可能不正確。
- 共用原則的變更,例如關閉網站或組織的外部共用。 即使外部存取可能已被撤銷,屬性仍會將先前共用的文件顯示為可從外部存取。
- 變更群組成員資格,例如將外部使用者新增至 Microsoft 365 群組 或Microsoft 365 安全組。 此屬性不會針對群組可存取的項目自動更新。
- 將共用邀請傳送給收件者尚未接受邀請的外部使用者,因此還無法存取內容。
在這些案例中 ViewableByExternalUsers
,在網站或文檔庫重新編目並重新編製索引之前,屬性不會反映目前的共享狀態。
您可以使用 屬性, SharedWithUsersOWSUser
以便搜尋組織中人員之間共用的檔。 當人員與組織內的另一位使用者共用檔案 (或資料夾) 時,共用檔案的連結會出現在與我共用之人員之 OneDrive 帳戶的 [ 與我 共用] 頁面上。 例如,若要搜尋已與並排顯示與並排顯示的檔案,您可以使用查詢 SharedWithUsersOWSUser:"sarad@contoso.com"
。 如果您匯出此搜尋的結果,則會下載原始檔 (位於與Ara) 共用檔之人員的內容位置。
使用 屬性時 SharedWithUsersOWSUser
,文件必須明確地與特定用戶共用,才能在搜尋結果中傳回。 例如,當人員在其 OneDrive 帳戶中共用檔時,可以選擇與組織內部或外部 (的任何人共用) 、只與組織內的人員共用檔,或與特定人員共用。
只有使用第三個選項共享的檔 (與 特定人員 共用) 才會由使用 屬性的 SharedWithUsersOWSUser
搜尋查詢傳回。
您可以使用下列關鍵字查詢,在 商務用 Skype 交談中特別搜尋內容:
kind:im
先前的搜尋查詢也會從 Microsoft Teams 傳回聊天。 若要避免這種情況,您可以使用下列關鍵詞查詢,將搜尋結果縮小為僅包含 商務用 Skype 交談:
kind:im AND subject:conversation
先前的關鍵詞查詢會排除Microsoft Teams中的聊天,因為 商務用 Skype 交談會儲存為電子郵件訊息,其中包含開頭為 「Conversation」 一詞的主旨行。
若要搜尋在特定日期範圍內發生的 商務用 Skype 交談,請使用下列關鍵詞查詢:
kind:im AND subject:conversation AND (received=startdate..enddate)
如需字元限制的詳細資訊,請參閱 電子檔探索搜尋限制。