電子檔探索的關鍵詞查詢和搜尋條件
提示
新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽) 。
本文說明可用來協助在 Exchange Online 中尋找電子郵件和聊天內容的屬性,以及儲存在 SharePoint 上的文件和檔案,以及使用 Microsoft Purview 合規性入口網站 中的電子檔探索搜尋工具 商務用 OneDrive。
這包括內容搜尋、Microsoft Purview 電子文件探索 (標準) ,以及在電子檔探索中 Microsoft Purview 電子文件探索 (進階) (電子檔探索搜尋, (進階) 稱為集合) 。 您也可以使用 Security & Compliance PowerShell 中的 *-ComplianceSearch Cmdlet 來搜尋這些屬性。
本文也說明:
- 使用布爾搜尋運算子、搜尋條件和其他搜尋查詢技術來精簡搜尋結果。
- 在特定時間範圍中搜尋與特定員工和專案相關的各種類型的通訊。
- 搜尋特定期間內與特定項目、員工和/或主題相關的網站內容。
如需如何建立不同電子檔探索搜尋的逐步指示,請參閱:
注意事項
eDiscovery 會在合規性入口網站中搜尋,而 Security & Compliance PowerShell 中對應的 *-ComplianceSearch Cmdlet 會使用關鍵詞查詢語言 (KQL) 。 如需詳細資訊,請 參閱關鍵詞查詢語言語法參考。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
搜尋秘訣和訣竅
- 所有搜尋的時區都是國際標準時間 (UTC) 。 目前不支援變更組織的時區。 搜尋檢視中的時區顯示設定僅適用於 [資料] 資料 行中的值,不會影響所收集項目的時間戳。
- 關鍵詞搜尋不區分大小寫。 例如, cat 和 CAT 會傳回相同的結果。
- 布爾運算元 AND、 OR、 NOT 和 NEAR 必須是大寫。
- 使用引號會停止通配符和引號內的任何作業。
- 兩個關鍵詞或兩
property:value
個表達式之間的間距與使用 OR 相同。 例如, 會傳from:"Sara Davis" subject:reorganization
回所有由Ara 接著傳送的訊息,或是主旨行中包含重新整理字組的訊息。 不過,在單一查詢中混合使用空格和 OR 條件可能會導致非預期的結果。 建議您在單一查詢中使用空格或 OR 。 - 使用符合格式的
property:value
語法。 值不區分大小寫,而且在 運算子後面不能有空格。 如果有空格,您預期的值就是全文搜索。 例如to: pilarp
,搜尋 「pilarp」 作為關鍵詞,而不是傳送至 pilarp 的訊息。 - 搜尋收件者屬性時,例如收件者、收件者、副本或收件者,您可以使用 SMTP 位址、別名或顯示名稱來表示收件者。 例如,您可以使用 pilarp@contoso.com、pinarp 或 “Pilar Pinilla”。
- 您只能使用前置詞搜尋;例如, cat* 或 set*。 不支援 *cat) (後綴搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字元串搜尋。
- 搜尋屬性時,如果搜尋值包含多個字詞,請使用雙引號 (“) 。 例如, 會傳
subject:budget Q1
回在主旨行中包含 預算 ,且包含訊息中任何位置或任何訊息屬性中 Q1 的訊息。 使用會subject:"budget Q1"
傳回主旨行中任何位置包含 預算 Q1 的所有訊息。 - 若要從搜尋結果中排除以特定屬性值標示的內容,請在屬性名稱之前加上減號 ( ) 。 例如,
-from:"Sara Davis"
會排除任何由Ara 然後傳送的訊息。 - 您可以根據訊息類型匯出專案。 例如,若要在 Microsoft Teams 中匯出Skype交談和聊天,請使用 語
kind:im
法 。 若只要傳回電子郵件訊息,您可以使用kind:email
。 若要在 Microsoft Teams 中傳回聊天、會議和通話,請使用kind:microsoftteams
。 - 搜尋網站時,當您使用
path
屬性只傳回指定網站中的專案時,必須將尾端/
新增至 URL 結尾。 如果您未包含尾端/
,也會傳回具有類似路徑名稱之網站的專案。 例如,如果您使用path:sites/HelloWorld
,則會傳回名為sites/HelloWorld_East
或sites/HelloWorld_West
之網站中的專案。 若只要從 HelloWorld 網站傳回專案,您必須使用path:sites/HelloWorld/
。 - 在收集內容之前,必須在搜尋查詢中定義 查詢語言/國家/地區 。
- 在搜尋 寄件 人資料夾中的電子郵件時,不支援使用寄件者的 SMTP 位址。 [ 傳送] 資料夾中的專案只包含顯示名稱。
在 Exchange Online 中尋找內容
系統管理員通常會負責找出誰知道何時能以最有效率且最有效的方式,回應有關進行中或潛在訴訟、內部調查和其他案例的要求。 這些要求通常是緊急要求、牽涉到多個項目關係人小組,如果未及時完成,則會產生重大影響。 瞭解如何尋找正確的資訊,對於系統管理員而言,成功完成搜尋並協助其組織管理與電子檔探索需求相關聯的風險和成本非常重要。
提交電子檔探索要求時,通常只有部分資訊可供系統管理員開始收集可能與特定調查相關的內容。 要求可能包括員工姓名、項目職稱、專案使用中時的粗略日期範圍,而非更多。 從這項資訊中,系統管理員必須建立查詢,以尋找Microsoft 365 服務的相關內容,以判斷特定專案或主旨所需的資訊。 瞭解如何儲存和管理這些服務的資訊,可協助系統管理員更有效地快速且有效地找出所需的資訊。
Email、聊天、會議和 Microsoft 365 Copilot 和 Microsoft Copilot 活動數據 (使用者提示和 Copilot 回應) 都會儲存在 Exchange Online 中。 許多通訊屬性都可用於搜尋包含在 Exchange Online 中的專案。 某些屬性,例如From、Sent、Subject和To是特定專案的唯一屬性,在SharePoint和 商務用 OneDrive 中搜尋檔案或檔時不相關。 在工作負載之間搜尋時包含這些類型的屬性,有時可能會導致非預期的結果。
例如,若要尋找與特定員工相關的內容, (使用者 1 和 使用者 2) 、與名為 Tradewinds 的項目相關聯,以及在 2020 年 1 月到 2022 年 1 月期間,您可以使用具有下列屬性的查詢:
- 將使用者 1 和使用者 2 的 Exchange Online 位置新增為案例的數據源
- 選取使用者 1 和使用者 2 的 Exchange Online 位置作為集合位置
- 針對 關鍵詞,請使用 Tradewinds
- 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍
重要事項
針對電子郵件,使用 關鍵詞時,我們會搜尋主旨、本文和許多與參與者相關的屬性。 不過,由於收件者擴充,使用別名或別名的一部分時,搜尋可能不會傳回預期的結果。 因此,建議您使用完整的UPN。
可搜尋的電子郵件屬性
下表列出可使用合規性入口網站中的電子檔探索搜尋工具,或使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 來搜尋的電子郵件訊息屬性。
重要事項
雖然電子郵件訊息在其他Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此表格中所列的電子郵件屬性。 不支援嘗試在搜尋中包含其他電子郵件訊息屬性。
數據表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。 您可以在電子檔案探索搜尋的關鍵字方塊中輸入這些 property:value
配對。
注意事項
搜尋電子郵件屬性時,無法搜尋郵件標頭。 集合的標頭資訊未編製索引。 此外,無法搜尋指定屬性空白或空白的專案。 例如,使用 subject:“” 的 property:value 配對來搜尋具有空白主旨行的電子郵件訊息,將會傳回零個結果。 這也適用於搜尋網站和聯繫人屬性時。
屬性 | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
---|---|---|---|
AttachmentNames | 附加至電子郵件訊息的檔名。 | attachmentnames:annualreport.ppt |
具有名為annualreport.ppt附加檔案的訊 息 。 在第二個範例中,使用通配符 ( * ) 會傳回附件檔名中含有 year 一字的訊息。1 |
密件副本 | 電子郵件訊息的 [密件抄送] 字段。1 | bcc:pilarp@contoso.com |
所有範例都會傳回包含在 [密件抄送] 字段中具有 Pinilla 的郵件。 (請參閱收件者擴 充) |
類別 | 要搜尋的類別。 用戶可以使用 Outlook 或 Outlook 網頁版 (先前稱為 Outlook Web App) 來定義類別。 可能的值為:
|
category:"Red Category" |
已在來源信箱中指派 紅色 類別的郵件。 |
副本 | 電子郵件訊息的 [副本] 字段。1 | cc:pilarp@contoso.com |
在這兩個範例中,在 [副本] 字段中指定了具有 Pinilla 的 訊息。 (請參閱收件者擴 充) |
Folderid | 特定信箱資料夾的資料夾識別碼 (GUID) ,格式為 48 個字元。 如果您使用此屬性,請務必搜尋指定資料夾所在的信箱。 只會搜尋指定的資料夾。 不會搜尋資料夾中的任何子資料夾。 若要搜尋子資料夾,您必須針對要搜尋的子資料夾使用 Folderid 屬性。 如需搜尋 Folderid 屬性以及使用腳本來取得特定信箱之資料夾識別碼的詳細資訊,請參閱 針對目標集合使用內容搜尋。 |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
第一個範例會傳回指定信箱資料夾中的所有專案。 第二個範例會傳回所傳送或接收 garthf@contoso.com之指定信箱資料夾中的所有專案。 |
寄件者 | 電子郵件訊息的寄件者。1 | from:pilarp@contoso.com |
由指定的用戶傳送的訊息。 (請參閱收件者擴 充) |
HasAttachment | 指出訊息是否有附件。 使用 true 或 false 值。 | from:pilar@contoso.com AND hasattachment:true |
由具有附件的指定使用者所傳送的訊息。 |
Importance | 電子郵件訊息的重要性,寄件者可以在傳送郵件時指定該電子郵件訊息。 根據預設,訊息會以一般重要性傳送,除非發件者將重要性設定為 高 或 低。 | importance:high |
標示為高重要性、中度重要性或低重要性的訊息。 |
IsRead | 指出是否已讀取訊息。 使用 true 或 false 值。 | isread:true |
第一個範例會傳回IsRead屬性設為 True的訊息。 第二個範例會傳回IsRead屬性設為 False 的訊息。 |
ItemClass | 使用此屬性來搜尋貴組織匯入至 Office 365 的特定第三方數據類型。 針對此屬性使用下列語法: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
第一個範例會傳回 Facebook 在 Subject 屬性中包含 「contoso」 一字的專案。 第二個範例會傳回 Ann Beebe 所張貼且包含關鍵詞片語 「Northwind Traders」 的 Twitter 專案。 如需 ItemClass 屬性第三方數據類型的完整值清單,請參閱使用內容搜尋來搜尋匯入至 Office 365 的第三方數據。 |
類型 | 要搜尋的電子郵件訊息類型。 可能的值: 連絡人 文件 電子郵件 externaldata 傳真 我 期刊 會議 microsoftteams (會從Microsoft Teams 中的聊天、會議和通話傳回專案) 筆記 職位 rssfeeds 工作 語音信箱 |
kind:email |
第一個範例會傳回符合搜尋準則的電子郵件訊息。 第二個範例會傳回電子郵件訊息、立即訊息交談 (包括Microsoft Teams) 中的 商務用 Skype 交談和聊天,以及符合搜尋準則的語音消息。 第三個範例會傳回從第三方數據源匯入至 Microsoft 365 中信箱的專案,例如 Twitter、Facebook 和符合搜尋準則的 Cisco Relyingber。 如需詳細資訊,請參閱在 Office 365 中封存第三方數據。 |
參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位為From、To、Cc和 Bcc.1 | participants:garthf@contoso.com |
由傳送或傳送至 garthf@contoso.com的訊息。 第二個範例會傳回 contoso.com 網域中由用戶傳送或傳送給使用者的所有訊息。 (請參閱收件者擴 充) |
Received | 收件者收到電子郵件訊息的日期。 | received:2021-04-15 |
2021年4月15日收到的訊息。 第二個範例會傳回在 2021 年 1 月 1 日到 2021 年 3 月 31 日之間收到的所有訊息。 |
收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位為 To、Cc 和 Bcc.1 | recipients:garthf@contoso.com |
傳送至的 garthf@contoso.com訊息。 第二個範例會傳回傳送給 contoso.com 網域中任何收件者的訊息。 (請參閱收件者擴 充) |
寄件日期 | 寄件者傳送電子郵件訊息的日期。 | sent:2021-07-01 |
在指定日期或在指定日期範圍內傳送的訊息。 |
大小 | 專案大小,以位元組為單位。 | size>26214400 |
大於 25 MB 的訊息。 第二個範例會傳回 1 到 1,048,567 位元組 (1 MB) 大小的訊息。 |
主旨 | 電子郵件訊息主旨行中的文字。
注意: 當您在查詢中使用 Subject 屬性時,搜尋會傳回主旨行包含您要搜尋之文字的所有訊息。 換句話說,查詢不會只傳回完全相符的訊息。 例如,如果您搜尋 |
subject:"Quarterly Financials" |
在主旨行文字中的任何位置包含「每季財務」片語的訊息。 第二個範例會傳回主旨行中包含 northwind 一字的所有訊息。 |
收件者 | 電子郵件訊息的 [至] 欄位。1 | to:annb@contoso.com |
所有範例都會傳回在 To: 行中指定 Ann Beebe 的訊息。 |
注意事項
1 針對收件者屬性的值,您可以使用電子郵件地址 (也稱為 使用者主體名稱 或 UPN) 、顯示名稱或別名來指定使用者。 例如,您可以使用 annb@contoso.com、annb 或 “Ann Beebe” 來指定使用者 Ann Beebe。
收件者擴充
提示
使用新的 電子檔探索 (預覽) 體驗和條件產生器,在搜尋特定收件者或郵件時,使用一般信箱和網站 屬性 ,例如 MessageIDs 和 ChatThreadIds 。
(、收件者、副本、密件抄送、參與者和收件者) 搜尋任何收件者屬性時,Microsoft 365 會嘗試在 Microsoft Entra ID 中查閱每個使用者的身分識別。 如果在 Microsoft Entra ID 中找到使用者,則會展開查詢,以包含使用者的電子郵件位址 (或 UPN) 、別名、顯示名稱和 LegacyExchangeDN。 例如,例如 participants:ronnie@contoso.com
的查詢會展開至 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
。
若要防止收件者擴充,請將通配符 (星號) 新增至電子郵件地址的結尾,並使用縮減的功能變數名稱;例如, participants:"ronnie@contoso*"
請務必以雙引弧括住電子郵件位址。
不過,請注意,防止搜尋查詢中的收件者展開,可能會導致搜尋結果中未傳回相關專案。 Email 訊息可以在收件者欄位中以不同的文字格式儲存。 收件者擴充的目的是要傳回可能包含不同文字格式的訊息,以協助減輕此事實。 因此,防止收件者擴充可能會導致搜尋查詢未傳回可能與您的調查相關的所有專案。
注意事項
如果您因為收件者擴充而需要檢閱或減少搜尋查詢所傳回的專案,請考慮使用 eDiscovery (Premium) 。 您可以搜尋訊息 (利用收件者擴充) 、將它們新增至檢閱集,然後使用檢閱集查詢或篩選來檢閱或縮小結果。 如需詳細資訊,請 參閱收集案例的數據 和 查詢檢閱集中的數據。
在 SharePoint 和 OneDrive 中尋找內容
提示
使用新的 電子檔探索 (預覽) 體驗和搜尋 匯出選項 ,下載 SharePoint 網站的所有清單附件。
搜尋位於 SharePoint 或 商務用 OneDrive 的文件和檔案時,根據感興趣的檔和檔案元數據調整查詢方法可能很合理。 檔案和檔具有相關的屬性,例如 Author、 Created、 CreatedBy、 FileName、 LastModifiedTime 和 Title。 在 Exchange Online 中搜尋通訊內容時,這些屬性大部分都不相關,如果在文件和通訊之間使用,則使用這些屬性可能會導致非預期的結果。 此外, 檔的 FileName 和 Title 可能不相同,而使用其中一個或另一個來嘗試尋找具有特定內容的檔案可能會導致不同或不正確的結果。 在 SharePoint 和 商務用 OneDrive 中搜尋特定文件和檔案內容時,請記住這些屬性。
例如,若要尋找與 User 1 所建立文件相關的內容、名為 Tradewinds 的專案、名為 Financials 的特定檔案,以及從 2020 年 1 月到 2022 年 1 月,您可以使用具有下列屬性的查詢:
- 將使用者 1 的 商務用 OneDrive 網站新增為案例的數據源
- 選取使用者 1 的 商務用 OneDrive 網站作為集合位置
- 將與項目相關的其他 SharePoint 網站位置新增為集合位置
- 針對 FileName,請使用 財務
- 針對 關鍵詞,請使用 Tradewinds
- 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍
可搜尋的網站屬性
下表列出可使用 Microsoft Purview 合規性入口網站 中的電子檔探索搜尋工具或使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 來搜尋的 SharePoint 和 商務用 OneDrive 属性。
重要事項
雖然儲存在 SharePoint 和 商務用 OneDrive 的文件和檔案在其他Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此數據表中所列的檔和檔案屬性。 不支援嘗試在搜尋中包含其他文件或檔案屬性。
數據表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。
Property | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
---|---|---|---|
作者 | Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。 請務必針對這個屬性使用用戶的顯示名稱。 | author:"Garth Fort" |
Garth Fort 所撰寫的所有檔。 |
ContentType | 專案的 SharePoint 內容類型,例如 Item、Document 或 Video。 | contenttype:document |
會傳回所有檔。 |
已建立 | 建立專案的日期。 | created>=2021-06-01 |
在 2021 年 6 月 1 日或之後建立的所有專案。 |
CreatedBy | 建立或上傳項目的人員。 請務必針對這個屬性使用用戶的顯示名稱。 | createdby:"Garth Fort" |
Garth Fort 建立或上傳的所有專案。 |
DetectedLanguage | 項目的語言。 | detectedlanguage:english |
所有英文專案。 |
DocumentLink | 路徑 (SharePoint 或 商務用 OneDrive 網站上特定資料夾的 URL) 。 如果您使用此屬性,請務必搜尋指定資料夾所在的網站。 建議您使用此屬性,而不是 Site 和 Path 屬性。 若要傳回位於您為 documentlink 屬性指定之資料夾子資料夾中的專案,您必須將 /* 新增至指定資料夾的 URL;例如 |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
第一個範例會傳回指定 商務用 OneDrive 資料夾中的所有專案。 第二個範例會傳回指定網站資料夾 (中的檔,以及檔名中包含「機密」一詞的所有子資料夾) 。 |
FileExtension | 檔案的擴展名;例如,docx、one、pptx 或 xlsx。 | fileextension:xlsx |
Excel 2007 和更新版本 (的所有 Excel 檔案) |
FileName | 檔名。 | filename:"marketing plan" |
第一個範例會傳回標題中具有確切片組 「marketing plan」 的檔案。 第二個範例會傳回檔名中含有 「estimate」 一字的檔案。 |
LastModifiedTime | 專案上次變更的日期。 | lastmodifiedtime>=2021-05-01 |
第一個範例會傳回在 2021 年 5 月 1 日或之後變更的專案。 第二個範例會傳回在 2021 年 5 月 1 日到 2021 年 6 月 1 日之間變更的專案。 |
ModifiedBy | 上次變更項目的人員。 請務必針對這個屬性使用用戶的顯示名稱。 | modifiedby:"Garth Fort" |
Garth Fort 上次變更的所有專案。 |
SharedWithUsersOWSUser | 已與指定用戶共用,並顯示在使用者 商務用 OneDrive 網站的 [與我共用] 頁面上的檔。 這些是組織中其他人已明確與指定使用者共享的檔。 當您匯出符合使用 SharedWithUsersOWSUser 屬性之搜尋查詢的檔時,會從與指定使用者共用檔之人員的原始內容位置匯出檔。 如需詳細資訊,請 參閱搜尋組織內共用的網站內容。 | sharedwithusersowsuser:garthf |
這兩個範例都會傳回已明確與 Garth Fort 共用的所有內部檔,且這些檔會出現在 Garth Fort 的 商務用 OneDrive 帳戶的 [與我共用] 頁面上。 |
大小 | 專案大小,以位元組為單位。 | size>=1 |
第一個範例會傳回大於1位元組的專案。 第二個範例會傳回大小從 1 到 10,000 個字節的專案。 |
標題 | 檔的標題。 Title 屬性是 Office 檔Microsoft指定的元數據。 它與文件的檔名不同。 | title:"communication plan" |
在 Office 檔的 Title 元數據屬性中包含片語「通訊計劃」的任何檔。 |
可搜尋的聯繫人屬性
下表列出已編製索引的聯繫人屬性,而且您可以使用電子檔探索搜尋工具進行搜尋。 這些是可供使用者針對聯繫人設定的屬性, (也稱為個人聯繫人) 位於使用者信箱的個人通訊簿中。 若要搜尋聯繫人,您可以選取要搜尋的信箱,然後在關鍵詞查詢中使用一或多個聯繫人屬性。
提示
若要搜尋包含空格或特殊字元的值,請使用雙引號 (“) 來包含片語;例如, businessaddress:"123 Main Street"
。
Property | 屬性描述 |
---|---|
BusinessAddress | Business Address 屬性中的位址。 屬性也稱為聯繫人屬性頁面上的 [工作 位址]。 |
BusinessPhone | 任何 商務電話號碼 屬性中的電話號碼。 |
CompanyName | Company 屬性中的名稱。 |
部門 | Department 屬性中的名稱。 |
DisplayName | 聯繫人的顯示名稱。 這是連絡人 之 [全名 ] 屬性中的名稱。 |
EmailAddress | 連絡人之任何電子郵件地址屬性的位址。 用戶可以為聯繫人新增多個電子郵件位址。 使用此屬性會傳回符合任何聯繫人電子郵件地址的聯繫人。 |
FileAs | File as 屬性。 此屬性可用來指定聯繫人如何列在用戶的聯繫人清單中。 例如,聯繫人可以列為 FirstName、LastName 或 LastName,FirstName。 |
GivenName | 名字屬性中的 名稱 。 |
HomeAddress | 任何 [住家 位址] 屬性中的位址。 |
HomePhone | 任何首 頁 電話號碼屬性中的電話號碼。 |
IMAddress | IM 位址屬性,通常是用於立即訊息的電子郵件位址。 |
MiddleName | 中間名屬性中的名稱。 |
MobilePhone | [ 行動電話號碼] 屬性中的電話號碼。 |
暱稱 | 昵稱屬性中的名稱。 |
OfficeLocation | Office 或 Office 位置屬性中的值。 |
OtherAddress | Other address 屬性 的值。 |
姓 | [ 姓 氏] 屬性中的名稱。 |
標題 | [ 職稱 ] 屬性中的標題。 |
搜尋運算子
布爾搜尋運算元,例如 AND、 OR 和 NOT,可協助您在搜尋查詢中包含或排除特定字組,以定義更精確的搜尋。 其他技術,例如使用屬性運算符 (例如 >=
或 ..
) 、引號、括號和通配符,可協助您精簡搜尋查詢。 下表列出您可以用來縮小或擴大搜尋結果的運算符。
運算子 | 使用情況 | 描述 |
---|---|---|
AND | keyword1 AND 關鍵詞2 | 傳回包含所有指定關鍵詞或 property:value 表達式的專案。 例如, from:"Ann Beebe" AND subject:northwind 會傳回 Ann Beebe 傳送的所有訊息,其中包含主旨行中的 northwind 一字。
2 |
+ | keyword1 + keyword2 + keyword3 | 傳 回包含keyword2 或 keyword3 的專案,以及 也包含的專案 keyword1 。 因此,此範例相當於查詢 (keyword2 OR keyword3) AND keyword1 。 在符號) 之後+具有空格的查詢 |
OR | keyword1 OR keyword2 | 傳回包含一或多個指定關鍵詞或 property:value 表達式的專案。
2 |
不 | keyword1 NOT 關鍵詞2 NOT from:“Ann Beebe” NOT kind:im |
排除關鍵詞或 property:value 表示式所指定的專案。 在第二個範例中,排除 Ann Beebe 所傳送的訊息。 第三個範例會排除任何立即訊息交談,例如 商務用 Skype 儲存至 [交談記錄] 信箱資料夾的交談。
2 |
近 | keyword1 NEAR (n) keyword2 | 傳回文字彼此接近的專案。 在 keyword1 NEAR (n) keyword2 語法中,n 等於包含 keyword1 和 keyword2 的字數。 例如,若要識別字詞 最佳 在最 差 (範例句子 3 個字內的實例,「最佳與最差相反」。) ,您會使用 最差的 NEAR (5) 。 這會傳回介於 最佳 (關鍵詞 1) 與 最差 (關鍵詞 2) 之間有 3 個或更少字的任何專案。 語法範例中指定 5 包含 2 個關鍵詞,而其間 3 個字的差異是 NEAR 範圍。 如果未指定數位,則預設 n 值為 8。 2 |
: | property:value | 語法中的 property:value 冒號 (:) 會指定要搜尋之屬性的值包含指定的值。 例如, 會傳 recipients:garthf@contoso.com 回傳送至 garthf@contoso.com的任何訊息。 |
= | property=value | 與運算 : 子相同。 |
< | 屬性<值 | 表示要搜尋的屬性小於指定的值。 1 |
> | 屬性>值 | 表示要搜尋的屬性大於指定的值。1 |
<= | property<=value | 表示所搜尋的屬性小於或等於特定值。1 |
>= | property>=value | 表示所搜尋的屬性大於或等於特定值。1 |
.. | property:value1..value2 | 表示所搜尋的屬性大於或等於 value1,且小於或等於 value2。1 |
" " | “fair value” subject:"Quarterly Financials" |
在關鍵詞查詢 (中,您會在 [關鍵詞] 方塊) 中輸入property:value 配對,請使用雙引號 (」「) 來搜尋確切的詞組或字詞。 不過,如果您使用 主旨 或 主旨/標題搜尋條件條件 ,請勿將雙引號新增至值,因為使用這些搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。 |
* | 貓* subject:set* |
前置詞搜尋 (也稱為 前置詞比 對) 其中的通配符 ( * ) 放在關鍵詞或 property:value 查詢中的字尾。 在前置詞搜尋中,搜尋會傳回包含字詞且後面接著零個或多個字元的字詞的結果。 例如, 會 title:set* 傳回包含 「set」、“ setup” 和 「setting」 一詞的檔 (以及文件標題中開頭為 「set」 的其他字組 ) 。 注意: 您只能使用前置詞搜尋;例如, cat* 或 set*。 不支援 *cat) (後綴搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字元串搜尋。 此外,新增句號 ( 。) 前置詞搜尋會變更傳回的結果。 這是因為句號會被視為停用字詞。 例如,搜尋 cat* 並搜尋 cat.* 會傳回不同的結果。 建議您不要在前置詞搜尋中使用句點。 |
( ) | (公平或免費) AND (from:contoso.com) (的) 或初始) 和 (的股票 OR 共用) (每季財務) |
括弧會將布爾詞、 property:value 項目和關鍵詞群組在一起。 例如, 會傳 (quarterly financials) 回每季和財務一字包含的專案。 |
注意事項
1 針對具有日期或數值的屬性使用此運算符。
2 布爾搜尋運算符必須是大寫;例如 AND。 如果您使用小寫運算符,例如 和,則會在搜尋查詢中將其視為關鍵詞。
搜尋條件
您可以將條件新增至搜尋查詢,以縮小搜尋範圍,並傳回一組更精簡的結果。 每個條件會將一個子句新增至 KQL 搜尋查詢,當您啟動搜尋時便會建立並執行。
一般屬性的條件
在相同搜尋中搜尋信箱和網站時,使用一般屬性建立條件。 下表列出新增條件時要使用的可用屬性。
條件 | 描述 |
---|---|
日期 | 針對電子郵件,這是從 PST 檔案建立或匯入訊息的日期。 若為檔,則為上次修改檔的日期。 如果您要搜尋特定時段的電子郵件訊息,如果您不確定是否已匯入電子郵件訊息,而不是在 Exchange 中原生建立,則應該使用 [ 已接收 ] 和 [ 已傳送 ] 條件訊息。 |
寄件者/作者 | 對於電子郵件,則為傳送郵件的人員。 若為檔,則為 Office 檔中作者欄位中所引用的人員。 您可以輸入多個名稱,並以逗號分隔。 OR 運算符會 以邏輯方式連接兩個或多個值。 (請參閱收件者擴 充) |
(位元組) 的大小 | 針對電子郵件和檔,專案大小 (位元組) 。 |
主旨/標題 | 若為電子郵件,則為郵件主旨行中的文字。 針對檔,為文件的標題。 如先前所述,Title 屬性是 office 檔Microsoft指定的元數據。 您可以輸入多個主旨/標題值的名稱,並以逗號分隔。 OR 運算符會 以邏輯方式連接兩個或多個值。 注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。 |
保留標籤 | 針對電子郵件和檔,可以自動或手動套用至郵件和檔的保留標籤。 保留標籤可用來宣告記錄,並藉由強制執行標籤所指定的保留和刪除規則,協助您管理內容的數據生命週期。 您可以輸入部分保留標籤名稱,並使用通配符或輸入完整的標籤名稱。 如需保留標籤的詳細資訊,請 參閱瞭解保留原則和保留標籤。 |
郵件屬性的條件
在 Exchange Online 中搜尋信箱或公用資料夾時,使用郵件屬性建立條件。 下表列出可用於條件的電子郵件屬性。 這些屬性是先前所述電子郵件屬性的子集。 為了方便起見,會重複這些描述。
條件 | 描述 |
---|---|
訊息種類 | 要搜尋的訊息類型。 這是與 Kind email 屬性相同的屬性。 可能的值:
|
參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位為From、To、Cc和 Bcc。 (請參閱收件者擴 充) |
類型 | 電子郵件專案的郵件類別屬性。 這是與 ItemClass 電子郵件屬性相同的屬性。 這也是多重值條件。 因此,若要選取多個訊息類別,請按 住 CTRL 鍵,然後在下拉式清單中選取您要新增至條件的兩個或多個訊息類別。 您在清單中選取的每個訊息類別,都會由對應搜尋查詢中的 OR 運算符以邏輯方式連接。 如需 Exchange 所使用的訊息類別 (及其對應訊息類別識別碼) 清單,以及您可以在 [訊息類別 ] 清單中選取的訊息類別清單,請參閱 專案類型和訊息類別。 |
Received | 收件者收到電子郵件訊息的日期。 這是與 Received 電子郵件屬性相同的屬性。 |
收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位為 [至]、[副本] 和 [密件抄送]。 (請參閱收件者擴 充) |
寄件者 | 電子郵件訊息的寄件者。 |
寄件日期 | 寄件者傳送電子郵件訊息的日期。 這是與 Sent 電子郵件屬性相同的屬性。 |
主旨 | 電子郵件訊息主旨行中的文字。 注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。 |
收件者 | [收件者] 欄位中電子郵件訊息的收件者。 |
檔屬性的條件
在 SharePoint 和 商務用 OneDrive 網站上搜尋檔時,使用文檔屬性建立條件。 下表列出可用於條件的文件屬性。 這些屬性是先前描述的網站屬性子集。 為了方便起見,會重複這些描述。
條件 | 描述 |
---|---|
作者 | Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。 |
標題 | 檔的標題。 Title 屬性是 Office 檔中指定的元數據。 它與文件的檔名不同。 |
已建立 | 檔的建立日期。 |
上次修改日期 | 檔上次變更的日期。 |
檔案類型 | 檔案的擴展名;例如,docx、one、pptx 或 xlsx。 這是與 FileExtension 網站屬性相同的屬性。
注意: 如果您在搜尋查詢中包含使用 Equals 或 Equals 任 一運算符的檔案類型條件,則無法在檔案類型結尾包含通配符 ( * ) ,以使用前置詞搜尋 (,) 傳回檔類型的所有版本。 如果您這樣做,將會忽略通配符。 例如,如果您包含條件 |
與條件搭配使用的運算符
當您新增條件時,可以選取與條件的屬性類型相關的運算符。 下表描述與條件搭配使用的運算符,並列出搜尋查詢中使用的對等運算符。
運算子 | 查詢對等專案 | 描述 |
---|---|---|
之後 | property>date |
搭配日期條件使用。 傳回在指定日期之後傳送、接收或修改的專案。 |
之前 | property<date |
搭配日期條件使用。 傳回在指定日期之前傳送、接收或修改的專案。 |
之間 | date..date |
搭配日期和大小條件使用。 搭配日期條件使用時,傳回指定日期範圍內已傳送、接收或修改的專案。 搭配大小條件使用時,傳回大小在指定範圍內的專案。 |
包含任何一個 | (property:value) OR (property:value) |
與指定字串值之屬性的條件搭配使用。 傳回包含一或多個指定字串值之任何部分的專案。 |
不包含任何 | -property:value |
與指定字串值之屬性的條件搭配使用。 傳回不包含指定字串值任何部分的專案。 |
不等於任何 | -property=value |
與指定字串值之屬性的條件搭配使用。 傳回不包含特定字串的專案。 |
等於 | size=value |
傳回等於指定大小的專案。1 |
等於任何 | (property=value) OR (property=value) |
與指定字串值之屬性的條件搭配使用。 傳回符合一或多個指定字串值的專案。 |
大 | size>value |
傳回指定屬性大於指定值的專案。1 |
大於或等於 | size>=value |
傳回指定屬性大於或等於指定值的專案。1 |
少 | size<value |
傳回大於或等於特定值的專案。1 |
小於或等於 | size<=value |
傳回大於或等於特定值的專案。1 |
不等於 | size<>value |
傳回不等於指定大小的專案。1 |
注意事項
1 此運算子僅適用於使用 Size 屬性的條件。
使用條件的指導方針
使用搜尋條件時,請記住下列事項。
條件會以 AND 運算子的邏輯方式連接至關鍵字查詢 (在關鍵字方塊中指定)。 這表示結果中包含的項目必須同時滿足關鍵字查詢與條件。 這是條件協助縮小搜尋結果的方式。
如果您將兩個或多個的獨特條件新增至搜尋查詢 (指定不同屬性的條件),則會使用 AND 運算子,以邏輯方式連接這些條件。 這表示只會傳回除了任何關鍵詞查詢) 之外,滿足所有條件 (的專案。
如果您為相同的屬性新增多個條件,則 OR 運算 符會以邏輯方式連接這些條件。 這表示會傳回滿足關鍵詞查詢和任何一個條件的專案。 因此,OR 運算符會 將相同條件的群組彼此連接,然後 AND 運算符會連接一組唯一條件。
如果您將多個值 (以逗號或分號分隔) 加入至單一條件,這些值會以 OR 運算子連接。 這表示如果項目在條件中包含任何指定的屬性值,則會傳回項目。
使用具有 Contains 和 Equals 邏輯之運算符的任何條件,都會針對簡單的字串搜尋傳回類似的搜尋結果。 簡單字串搜尋是條件中的字串,不包含通配符) 。 例如,使用 Equals any 的條件會傳回與使用 Contains any 之條件相同的專案。
使用關鍵詞方塊和條件所建立的搜尋查詢會顯示在 [ 搜尋 ] 頁面上所選搜尋的詳細數據窗格中。 在查詢中,表示法
(c:c)
右邊的所有項目都會指出加入查詢的條件。(c:c)
不應用於手動建構的查詢,且不等於 AND 或 OR。條件只會將屬性新增至搜尋查詢;它們不會新增運算符。 這就是為什麼詳細數據窗格中顯示的查詢不會在表示法的
(c:c)
右邊顯示運算元。 KQL 會根據執行查詢時) 先前說明的規則,新增邏輯運算子 (。您可以使用拖放控件來重新排序條件的順序。 選取條件的控件,並將它向上或向下移動。
如先前所述,某些條件屬性可讓您輸入多個值 (以分號分隔) 。 OR 運算子會 以邏輯方式連接每個值,並產生查詢
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)
。 下圖顯示具有多個值的條件範例。注意事項
您無法選取相同屬性) 的 [ 新增條件 ], (新增多個條件。 相反地,您必須為條件提供多個值, (以分號分隔) ,如上一個範例所示。
在搜尋查詢中使用條件的範例
下列範例顯示具有條件之搜尋查詢的 GUI 型版本、所選搜尋 (詳細數據窗格中顯示的搜尋查詢語法,以及 Get-ComplianceSearch Cmdlet) 所傳回的搜尋查詢語法,以及對應 KQL 查詢的邏輯。
範例 1
本範例會傳回包含關鍵詞 「report」 的電子郵件專案或檔,這些關鍵詞是在 2021 年 4 月 1 日之前傳送或建立,且在電子郵件訊息的主旨欄位或檔的 title 屬性中包含 「northwind」 這個字。 查詢會排除符合其他搜尋準則的網頁。
GUI:
搜尋查詢語法:
report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)
搜尋查詢邏輯:
report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)
範例 2
此範例會傳回 2019 年 12 月 1 日到 2020 年 11 月 30 日之間傳送的電子郵件訊息或行事曆會議,其中包含開頭為 “phone” 或 “smartphone” 的單字。
GUI:
搜尋查詢語法:
phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")
搜尋查詢邏輯:
phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))
特殊字元
某些特殊字元不會包含在搜尋索引中,因此無法搜尋。 這也包括代表搜尋查詢中搜尋運算元的特殊字元。 以下是特殊字元的清單,這些字元會由實際搜尋查詢中的空白空間取代,或是造成搜尋錯誤。
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
可搜尋的敏感數據類型
您可以在合規性入口網站中使用電子檔探索搜尋工具,搜尋儲存在 SharePoint 和 商務用 OneDrive 網站上檔中的敏感數據,例如信用卡號碼或社會安全號碼。 您可以使用關鍵字查詢中 SensitiveType
敏感性資訊類型的屬性和名稱 (或識別子) 來執行此動作。 例如,查詢 SensitiveType:"Credit Card Number"
會傳回包含信用卡號碼的檔。
SensitiveType:"U.S. Social Security Number (SSN)"
查詢會傳回包含美國社會安全號碼的檔。
若要查看您可以搜尋的敏感性資訊類型清單,請移至合規性>入口網站中的數據分類敏感性信息類型。 或者,您可以在安全性 & 合規性 PowerShell 中使用 Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。
搜尋敏感數據類型的限制
若要搜尋自定義敏感性資訊類型,您必須在 屬性中
SensitiveType
指定敏感性資訊類型的標識碼。 使用自定義敏感性資訊類型的名稱 (如上一節中內建敏感性資訊類型的範例所示,) 不會傳回任何結果。 使用合規性入口網站中 [敏感性資訊類型] 頁面上的 [發行者] 數據行 (或 PowerShell 中的 Publisher 屬性) 來區分內建和自定義敏感性資訊類型。 內建敏感數據類型具有 Publisher 屬性的Microsoft Corporation
值。若要顯示組織中自定義敏感數據類型的名稱和標識碼,請在安全性 & 合規性 PowerShell 中執行下列命令:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
然後,您可以使用搜尋屬性中的
SensitiveType
標識碼來傳回包含自定義敏感數據類型的檔;例如,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
您無法在信箱中使用敏感性資訊類型和
SensitiveType
搜尋屬性來搜尋待用敏感數據 Exchange Online。 這包括 1:1 聊天訊息、1:N 群組聊天訊息,以及Microsoft Teams 中的小組頻道交談,因為所有內容都會儲存在信箱中。 不過,您可以使用數據外洩防護 (DLP) 原則來保護傳輸中的敏感電子郵件數據。 如需詳細資訊,請 參閱了解數據外泄防護 和 搜尋及尋找個人資料。
搜尋與外部使用者共用的網站內容
您也可以在合規性入口網站中使用電子檔探索搜尋工具來搜尋儲存在 SharePoint 上的檔,以及 商務用 OneDrive 與組織外部人員共用的網站。 這可協助您識別在組織外部共用的敏感性或專屬資訊。 您可以在關鍵字查詢中使用 ViewableByExternalUsers
屬性來執行此動作。 此屬性會使用下列其中一種共用方法,傳回已與外部使用者共用的檔案或網站:
- 共享邀請,要求使用者以已驗證的使用者身分登入您的組織。
- 匿名來賓連結,可讓具有此連結的任何人存取資源,而不需要經過驗證。
範例如下:
- 此查詢
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
會傳回已與組織外部人員共用並包含信用卡號碼的所有專案。 -
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
查詢會傳回組織中所有已與外部用戶共用之小組網站上的檔案清單。
提示
之類的 ViewableByExternalUsers:true AND ContentType:document
搜尋查詢可能會在搜尋結果中傳回許多.aspx檔案。 若要排除這些 (或其他類型的檔案) ,您可以使用 FileExtension
屬性來排除特定的檔案類型,例如 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
。
與組織外部人員共用的內容為何? 組織 SharePoint 中的檔,以及透過傳送共用邀請或在公用位置中共用的 商務用 OneDrive 網站。 例如,下列用戶活動會產生外部用戶可檢視的內容:
- 使用者與組織外部的人員共用檔案或資料夾。
- 使用者會建立共用檔案的連結,並將其傳送給組織外部的人員。 此連結可讓外部用戶檢視檔案 (或編輯) 。
- 用戶傳送共用邀請或來賓連結給組織外部的人員,以檢視共用檔案) (或編輯。
使用 ViewableByExternalUsers 屬性的問題
雖然 屬性 ViewableByExternalUsers
代表檔或網站是否與外部用戶共享的狀態,但此屬性的作用和未反映有一些注意事項。 在下列案例中,不會更新 屬性的 ViewableByExternalUsers
值,而且使用此屬性的搜尋查詢結果可能不正確。
- 共用原則的變更,例如關閉網站或組織的外部共用。 即使外部存取可能已被撤銷,屬性仍會將先前共用的文件顯示為可從外部存取。
- 變更群組成員資格,例如將外部使用者新增至 Microsoft 365 群組 或Microsoft 365 安全組。 此屬性不會針對群組可存取的項目自動更新。
- 將共用邀請傳送給收件者尚未接受邀請的外部使用者,因此還無法存取內容。
在這些案例中 ViewableByExternalUsers
,在網站或文檔庫重新編目並重新編製索引之前,屬性不會反映目前的共享狀態。
搜尋組織內共用的網站內容
如先前所述,您可以使用 SharedWithUsersOWSUser
屬性,以便搜尋組織中人員之間共用的檔。 當人員與組織內的另一位使用者共用檔案 (或資料夾) 時,共用檔案的連結會出現在與我共用之人員 商務用 OneDrive 帳戶的 [與我共用] 頁面上。 例如,若要搜尋已與並排顯示與並排顯示的檔案,您可以使用查詢 SharedWithUsersOWSUser:"sarad@contoso.com"
。 如果您匯出此搜尋的結果,將會下載原始檔 (位於與Ara 共用檔之人員的內容位置) 。
使用 屬性時 SharedWithUsersOWSUser
,文件必須明確地與特定用戶共用,才能在搜尋結果中傳回。 例如,當人員在其 OneDrive 帳戶中共用檔時,可以選擇與組織內部或外部 (的任何人共用) 、只與組織內的人員共用檔,或與特定人員共用。 以下是 OneDrive 中 [共用 ] 視窗的螢幕快照,其中顯示三個共享選項。
只有使用第三個選項 (與 特定人員 共用) 共用的檔,才會由使用 屬性的 SharedWithUsersOWSUser
搜尋查詢傳回。
搜尋 商務用 Skype 交談
您可以使用下列關鍵字查詢,在 商務用 Skype 交談中特別搜尋內容:
kind:im
先前的搜尋查詢也會從 Microsoft Teams 傳回聊天。 若要避免這種情況,您可以使用下列關鍵詞查詢,將搜尋結果縮小為僅包含 商務用 Skype 交談:
kind:im AND subject:conversation
先前的關鍵詞查詢會排除Microsoft Teams中的聊天,因為 商務用 Skype 交談會儲存為電子郵件訊息,其中包含開頭為 「Conversation」 一詞的主旨行。
若要搜尋在特定日期範圍內發生的 商務用 Skype 交談,請使用下列關鍵詞查詢:
kind:im AND subject:conversation AND (received=startdate..enddate)
搜尋的字元限制
在 SharePoint 網站和 OneDrive 帳戶中搜尋內容時,搜尋查詢有 4,000 個字元的限制。 以下是搜尋查詢中字元總數的計算方式:
- 關鍵詞搜尋查詢中的字元 (包括使用者和篩選字段,) 根據此限制計算。
- 任何位置屬性中的字元 (例如所搜尋之所有 SharePoint 網站或 OneDrive 位置的 URL,) 根據此限制計算。
- 所有搜尋許可權中的字元會根據限制套用至執行搜尋計數的用戶篩選。
如需字元限制的詳細資訊,請參閱 電子檔探索搜尋限制。
注意事項
4,000 個字元的限制適用於內容搜尋、eDiscovery (Standard) ,以及 eDiscovery (Premium) 。