Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A menudo, los administradores necesitan averiguar quién sabía qué y cuándo. Deben responder a las solicitudes sobre litigios en curso o potenciales, investigaciones internas y otros escenarios de la manera más eficaz y eficaz posible. Estas solicitudes suelen ser urgentes, implican a varios equipos de partes interesadas y tienen un impacto significativo si no se completan a tiempo. Saber cómo encontrar la información adecuada es fundamental para que los administradores completen búsquedas correctamente y ayuden a sus organizaciones a administrar el riesgo y el costo asociados a los requisitos de exhibición de documentos electrónicos.
Para obtener más información sobre cómo buscar contenido en buzones de correo en eDiscovery, vea el siguiente vídeo:
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Cuando se envía una solicitud de exhibición de documentos electrónicos, los administradores suelen recibir solo información parcial para empezar a recopilar contenido que podría estar relacionado con una investigación determinada. La solicitud puede incluir nombres de usuario, títulos de proyecto, intervalos de fechas aproximadas cuando el proyecto estaba activo y no mucho más. A partir de esta información, los administradores deben crear consultas para encontrar contenido relevante en los servicios de Microsoft 365 a fin de determinar la información necesaria para un proyecto o asunto determinados. Comprender cómo se almacena y administra la información para estos servicios ayuda a los administradores a encontrar de forma más eficaz lo que necesitan de forma rápida y eficaz.
Exchange Online almacena datos de actividad de correo electrónico, chat, reunión y Copilot de Microsoft 365 y Microsoft 365 Copilot Chat (mensajes de usuario y respuestas de Copilot). Hay muchas propiedades de comunicación disponibles para buscar elementos incluidos en Exchange Online. Algunas propiedades como From, Sent, Subject y To son exclusivas de determinados elementos y no son pertinentes al buscar archivos o documentos en SharePoint y OneDrive. Incluir estos tipos de propiedades al buscar en cargas de trabajo a veces puede dar lugar a resultados inesperados.
Por ejemplo, para buscar contenido relacionado con usuarios específicos (usuario 1 y usuario 2), asociado a un proyecto denominado Tradewinds, y entre enero de 2020 y enero de 2022, puede usar una consulta con las siguientes propiedades:
- Agregar las ubicaciones de Exchange Online del usuario 1 y el usuario 2 como orígenes de datos al caso
- Seleccione ubicaciones de Exchange Online de usuario 1 y usuario 2 como origen de datos.
- Para la palabra clave , use Tradewinds.
- Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .
Al buscar correos electrónicos u otro contenido de buzón de correo que pueda incluir datos adjuntos en la nube, el vínculo de datos adjuntos en la nube a una ubicación de almacenamiento en SharePoint o OneDrive debe considerarse como datos adjuntos del archivo de mensaje en lugar de documentos independientes.
Este comportamiento es similar al modo en que una búsqueda devuelve correos electrónicos con datos adjuntos locales incrustados, estos datos adjuntos se recuperan como si formasen parte de los correos electrónicos. Los límites de cumplimiento de SharePoint o OneDrive no se reflejan en la colección de datos adjuntos en la nube incluidos en los mensajes con capacidad de respuesta.
Importante
En el caso de los correos electrónicos, cuando se usa una palabra clave, la búsqueda incluye el asunto, el cuerpo y muchas propiedades relacionadas con los participantes. Sin embargo, debido a la expansión de destinatarios, es posible que la búsqueda no devuelva los resultados esperados al usar el alias o parte del alias. Por lo tanto, use el UPN completo.
Propiedades de correo electrónico que se pueden buscar en KeyQL
Importante
Aunque los mensajes de correo electrónico pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, las herramientas de búsqueda de exhibición de documentos electrónicos solo admiten las propiedades de correo electrónico enumeradas en esta tabla. No puede incluir otras propiedades de mensaje de correo electrónico en las búsquedas.
En la tabla siguiente se enumeran las propiedades del mensaje de correo electrónico admitidas en la búsqueda mediante el editor de eDiscovery KeyQL en el portal de Microsoft Purview o mediante los cmdlets New-ComplianceSearch o Set-ComplianceSearch. Para obtener una lista de las propiedades admitidas del generador de condiciones, consulte Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery.
La tabla incluye un ejemplo de la sintaxis property:value para cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos. Puede escribir estos property:value pares en el cuadro palabras clave para una búsqueda de exhibición de documentos electrónicos.
Nota:
Al buscar propiedades de correo electrónico, no puede buscar encabezados de mensaje. La información de encabezado no se indexa para las búsquedas. Además, no puede buscar elementos en los que la propiedad especificada esté vacía o en blanco. Por ejemplo, el uso del par property:value de subject:"" para buscar mensajes de correo electrónico con una línea de asunto vacía devuelve cero resultados. Esta limitación también se aplica al buscar propiedades de sitio y contacto.
| Propiedad | Descripción de la propiedad | Ejemplos | Resultados de la búsqueda devueltos por los ejemplos |
|---|---|---|---|
| AttachmentNames | Los nombres de los archivos adjuntos a un mensaje de correo electrónico. | attachmentnames:annualreport.ppt |
Mensajes que tienen un archivo adjunto denominado annualreport.ppt. En el segundo ejemplo, el uso del carácter comodín ( * ) devuelve mensajes con la palabra anual en el nombre de archivo de un archivo adjunto. 1 |
| Bcc | Campo CCO de un mensaje de correo electrónico. 1 | bcc:pilarp@contoso.com |
Todos los ejemplos devuelven mensajes con Pilar Pinilla incluido en el campo CCO. (Consulte Expansión de destinatarios) |
| Categoría | Las categorías para buscar. Los usuarios pueden definir categorías mediante Outlook o Outlook en la Web (anteriormente conocido como Outlook Web App). Los valores posibles son:
|
category:"Red Category" |
Mensajes a los que se asigna la categoría roja en los buzones de origen. |
| Cc | Campo Cc de un mensaje de correo electrónico. 1 | cc:pilarp@contoso.com |
En ambos ejemplos, los mensajes con Pilar Pinilla especificados en el campo Cc. (Consulte Expansión de destinatarios) |
| From | El remitente de un mensaje de correo electrónico.1 | from:pilarp@contoso.com |
Mensajes enviados por el usuario especificado. (Consulte Expansión de destinatarios) |
| HasAttachment | Indica si un mensaje tiene datos adjuntos. Use los valores true o false. | from:pilar@contoso.com AND hasattachment:true |
Mensajes enviados por el usuario especificado que tienen datos adjuntos. |
| Importancia | La importancia de un mensaje de correo electrónico, que un remitente puede especificar al enviar un mensaje. De manera predeterminada, los mensajes se envían con importancia normal, a menos que el remitente establezca la importancia como alta o baja. | importance:high |
Los mensajes que están marcados con importancia alta, importancia media o importancia baja. |
| IsRead | Indica si los mensajes se leen. Use los valores true o false. | isread:true |
El primer ejemplo devuelve mensajes con la propiedad IsRead establecida en True. El segundo ejemplo devuelve mensajes con la propiedad IsRead establecida en False. |
| ItemClass | Use esta propiedad para buscar tipos de datos de terceros específicos que la organización importó a Office 365. Use la sintaxis siguiente para esta propiedad: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
El primer ejemplo devuelve Facebook elementos que contienen la palabra "contoso" en la propiedad Subject. El segundo ejemplo devuelve elementos de Twitter publicados por Ann Beebe y que contienen la frase de palabra clave "Northwind Traders". |
| Tipo | Tipo de mensaje de correo electrónico que se va a buscar. Posibles valores: contactos documentos correo electrónico externaldata faxes mensajería instantánea diarios reuniones microsoftteams (devuelve elementos de chats, reuniones y llamadas en Microsoft Teams) notas entradas fuentes rss tareas correo de voz |
kind:email |
El primer ejemplo devuelve mensajes de correo electrónico que cumplen los criterios de búsqueda. En el segundo ejemplo se devuelven mensajes de correo electrónico, conversaciones de mensajería instantánea (incluidas Skype Empresarial conversaciones y chats en Microsoft Teams) y mensajes de voz que cumplen los criterios de búsqueda. El tercer ejemplo devuelve elementos importados a buzones de Microsoft 365 de orígenes de datos de terceros, como Twitter, Facebook y Cisco Jabber que cumplen los criterios de búsqueda. Para obtener más información, consulte Archivado de datos de terceros en Office 365. |
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc.1 | participants:garthf@contoso.com |
Mensajes enviados por o enviados a garthf@contoso.com. El segundo ejemplo devuelve todos los mensajes enviados por o a un usuario en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Cantidad.Recibida | Fecha en que un destinatario recibe un mensaje de correo electrónico. | received:2021-04-15 |
Mensajes que se reciben el 15 de abril de 2021. El segundo ejemplo devuelve todos los mensajes recibidos entre el 1 de enero de 2021 y el 31 de marzo de 2021. |
| Recipientes | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc.1 | recipients:garthf@contoso.com |
Mensajes enviados a garthf@contoso.com. El segundo ejemplo devuelve los mensajes enviados a todos los destinatarios en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Sent | Fecha en que el remitente envía un mensaje de correo electrónico. | sent:2021-07-01 |
Mensajes que se envían en la fecha especificada o se envían dentro del intervalo de fechas especificado. |
| Size | El tamaño de un elemento, en bytes. | size>26214400 |
Mensajes de más de 25 MB. El segundo ejemplo devuelve los mensajes que tienen un tamaño de entre 1 y 1 048 567 bytes (1 MB). |
| Asunto | El texto en la línea de asunto de un mensaje de correo electrónico.
Nota: Cuando se usa la propiedad Subject en una consulta, la búsqueda devuelve todos los mensajes en los que la línea de asunto contiene el texto que está buscando. En otras palabras, la consulta no devuelve solo los mensajes que tienen una coincidencia exacta. Por ejemplo, si busca |
subject:"Quarterly Financials" |
Mensajes que contienen la frase "Quarterly Financials" en cualquier parte del texto de la línea de asunto. El segundo ejemplo devuelve todos los mensajes que contienen la palabra northwind en la línea de asunto. |
| To | El campo Para de un mensaje de correo electrónico.1 | to:annb@contoso.com |
Todos los ejemplos devuelven mensajes en los que Ann Beebe está especificada en la línea Para. |
Nota:
1 Para el valor de una propiedad de destinatario, puede usar la dirección de correo electrónico (también denominada nombre principal de usuario (UPN)), el nombre para mostrar o el alias para especificar un usuario. Por ejemplo, puede usar annb@contoso.com, annb o "Ann Beebe" para especificar el usuario Ann Beebe.
Tipos de datos confidenciales que se pueden buscar
Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, almacenados en documentos en buzones de correo. Para ello, use la SensitiveType propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number" devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)" devuelve documentos que contienen un número de seguro social estadounidense.
Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de Microsoft Purview. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.
Expansión de destinatarios
Los buzones son almacenamiento flexible y los clientes que se conectan a un buzón controlan algunos aspectos de la información del destinatario, especialmente para el remitente. Los clientes pueden elegir las propiedades SMTP, Name o LegacyDN como dirección del remitente. Para compensar las variaciones en el comportamiento del cliente y cómo se almacenan los datos, la expansión de destinatarios de la búsqueda de exhibición de documentos electrónicos es una característica útil.
A menudo, la información del remitente creada por algunos clientes solo almacena el nombre del remitente, como John Doe, sin incluir la dirección SMTP como johndoe@contoso.com. Además, los elementos federados con sistemas heredados solo pueden almacenar LegacyExchangeDN, que es un identificador único que se usa en versiones anteriores de Exchange para representar un buzón o una lista de distribución. Los sistemas federados hacen referencia a mensajes o datos que se integran desde diferentes sistemas u organizaciones, lo que suele implicar sistemas heredados que usan formatos o identificadores antiguos.
La función de expansión de destinatarios resuelve el problema de no buscar lo suficientemente amplia ampliando la búsqueda para capturar el contenido almacenado con estas variaciones. Al consultar Microsoft Entra id. se expanden los valores especificados en el filtro de participantes. Esta expansión incluye la dirección de correo electrónico del usuario, UPN, alias, nombre para mostrar y LegacyExchangeDN. Esta expansión garantiza que las búsquedas conviertan una red más amplia, capturando todo el contenido relevante independientemente de cómo se almacene la información de los participantes y mejorará la precisión y la integridad de las búsquedas de exhibición de documentos electrónicos.
Nota:
La expansión de destinatarios no resuelve los casos en los que el usuario sale y ya no está presente en Microsoft Entra identificador. En este escenario, el sistema no puede expandir la identidad para incluir variaciones como UPN, alias o LegacyExchangeDN. Para garantizar resultados de búsqueda completos, debe incluir manualmente todos los identificadores conocidos (por ejemplo, direcciones SMTP anteriores, alias o nombres para mostrar) para el usuario que ha salido de la consulta.
Al buscar en cualquiera de las propiedades del destinatario (From, To, Cc, Bcc, Participants y Recipients), Microsoft 365 intenta expandir la identidad de cada usuario buscándola en Microsoft Entra identificador. Si el usuario se encuentra en Microsoft Entra id., la consulta se expande para incluir la dirección de correo electrónico del usuario (o UPN), alias, nombre para mostrar y LegacyExchangeDN. Por ejemplo, una consulta como participants:ronnie@contoso.com se expande a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Para evitar la expansión del destinatario, agregue un carácter comodín (asterisco) al final de la dirección de correo electrónico y use un nombre de dominio reducido; por ejemplo, participants:"ronnie@contoco*" asegúrese de rodear la dirección de correo electrónico con comillas dobles.
Impedir la expansión de destinatarios en la consulta de búsqueda podría dar lugar a que los elementos pertinentes no se devuelvan en los resultados de la búsqueda. Email mensajes en Exchange se pueden guardar con diferentes formatos de texto en los campos de destinatario. La expansión de destinatarios está pensada para ayudar a mitigar este hecho devolviendo mensajes que podrían contener diferentes formatos de texto. Por lo tanto, evitar la expansión de destinatarios podría dar lugar a que la consulta de búsqueda no devuelva todos los elementos que podrían ser relevantes para la investigación.
La expansión de destinatarios no está diseñada para admitir escenarios que impliquen cambios en el nombre de usuario y el alias. Si el SMTP/UPN de un usuario cambia, es posible que Microsoft Entra id. no encuentre al usuario, lo que da lugar a resultados de búsqueda incompletos. Además, LegacyExchangeDN, que rara vez cambia, podría no estar presente en el sustrato de todos los elementos de correo electrónico. La expansión de destinatarios solo controla los casos en los que el cliente usa LegacyExchangeDN en lugar de SMTP. Si la dirección SMTP cambia pero LegacyExchangeDN no, la expansión de destinatarios no ayuda y debe buscar y usar manualmente todas las variaciones de estas direcciones. Esta limitación puede provocar que los usuarios crean erróneamente que la expansión de destinatarios detecta todas las variaciones, incluidos los cambios de nombre y SMTP.
Cuando se usa la condición From con la condición igual (=), solo se puede consultar el nombre para mostrar en el índice. Esto significa que si usa una dirección SMTP en las condiciones De o Remitente , la búsqueda devuelve un resultado si se cumplen las dos condiciones siguientes:
- La dirección SMTP usada en la condición coincide con un usuario activo o inactivo en Microsoft Entra.
- El nombre para mostrar del usuario activo o inactivo no ha cambiado desde que se envió o recibió el elemento de destino.
Cuando se usan las condiciones Remitente o Desde en una búsqueda de exhibición de documentos electrónicos, el sistema intenta la expansión de destinatarios y expande la consulta para incluir el nombre para mostrar. Si se ejecuta correctamente, la consulta incluye todas las direcciones de correo electrónico asignadas a la dirección SMTP del usuario y al nombre para mostrar heredado de Exchange. Si la expansión de destinatarios no se realiza correctamente, la búsqueda usa solo el valor proporcionado en las condiciones De y Remitente para buscar en el índice. Las condiciones que podrían dar lugar a un error en la expansión de destinatarios son:
- Usuarios que han salido sin un buzón inactivo retenido.
- Usuarios activos o inactivos donde la dirección SMTP ya no está presente en un objeto.
- Usuarios activos o inactivos en los que se ha cambiado el nombre para mostrar (cuando se usa el nombre para mostrar con las condiciones Remitente o Desde ).
En algunos escenarios, la expansión de destinatarios también puede provocar aciertos en elementos adicionales cuando se usan las búsquedas de la organización. Por ejemplo, el nombre para mostrar de un usuario podría formar parte del nombre para mostrar de otro usuario. Por ejemplo, un usuario podría tener un nombre para mostrar de John Doe y otro usuario podría tener un nombre para mostrar de John Doe Jr. Una búsqueda en toda la organización podría devolver resultados aciertos de ambos buzones. Considere la posibilidad de suprimir la expansión de destinatarios en este escenario agregando un punto al final de la dirección SMTP.
Entre las consideraciones adicionales se incluyen, la expansión de destinatarios solo admite el envío desde su propio buzón de correo y ninguna actividad de envío o delegada. Asegúrese de revisar los límites pertinentes, incluida la precisión del número máximo de miembros del grupo de distribución y el nivel máximo de anidamiento de los grupos de distribución. Se admiten grupos de seguridad y solo los grupos de distribución y el grupo de distribución deben ser válidos cuando se envía el correo electrónico.
Nota:
Si necesita revisar o reducir los elementos devueltos por una consulta de búsqueda debido a la expansión de destinatarios, considere la posibilidad de usar características de eDiscovery premium. Puede buscar mensajes (aprovechando la expansión de destinatarios), agregarlos a un conjunto de revisión y, a continuación, usar consultas o filtros de conjuntos de revisiones para revisar o restringir los resultados.
Contenido almacenado en buzones de Exchange Online para eDiscovery
Se usa principalmente un buzón en Exchange Online para almacenar elementos relacionados con el correo electrónico, como mensajes, elementos de calendario, tareas y notas. Pero esto cambia a medida que más aplicaciones basadas en la nube también almacenan sus datos en el buzón de un usuario. Una ventaja de almacenar datos en un buzón es que puede usar las herramientas de búsqueda en eDiscovery para buscar, ver y exportar los datos de estas aplicaciones basadas en la nube.
Los datos de algunas de estas aplicaciones se almacenan en carpetas ocultas ubicadas en un subárbol de mensajes no predictivos (no IPM) en el buzón. Es posible que los datos de otras aplicaciones basadas en la nube no se almacenen en el buzón de correo, pero están asociados al buzón y se devuelven en búsquedas si esos datos coinciden con la consulta de búsqueda. Independientemente de si los datos basados en la nube se almacenan en o están asociados a un buzón de usuario, los datos no suelen ser visibles en un cliente de correo electrónico cuando un usuario abre su buzón.
En la tabla siguiente se enumeran las aplicaciones que almacenan o asocian datos a un buzón basado en la nube. En la tabla también se describe el tipo de contenido que genera cada aplicación.
| Aplicación de Microsoft 365 | Descripción |
|---|---|
| Programación de clases | Los planes que cree en Programación de clases se almacenan en el buzón del grupo de Microsoft 365 correspondiente que se aprovisiona al crear un nuevo plan. El alias del buzón de grupo es el nombre del plan. |
| Forms* | Forms y las respuestas a un formulario se almacenan en archivos adjuntos a mensajes de correo electrónico y almacenados en una carpeta oculta en el buzón del usuario que creó el formulario. Forms creada antes de abril de 2020 se almacenan como un archivo PDF. Forms creados después de 2020 se almacenan como un archivo JSON. Las respuestas a un formulario se almacenan en un archivo CSV. Al exportar contenido de Forms en un archivo PST, estos datos se encuentran en la carpeta ApplicationDataRoot de una subcarpeta denominada con el siguiente GUID (global unique identified): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Microsoft 365 Copilot y Microsoft 365 Copilot Chat | Todos los datos de actividad de Copilot (mensajes de usuario y respuestas de Copilot) generados en aplicaciones y servicios de Microsoft 365 admitidos se almacenan en buzones de correo de custodio. |
| Grupos de Microsoft 365 | Email mensajes, elementos de calendario, contactos (Personas), notas y tareas se almacenan en el buzón asociado a un grupo de Microsoft 365. |
| Outlook/Exchange Online | Email mensajes, elementos de calendario, contactos (Personas), notas y tareas se almacenan en el buzón de un usuario. |
| Contactos | Los contactos de la aplicación Personas (que son los mismos contactos que los accesibles en Outlook) se almacenan en el buzón de un usuario. |
| Skype Empresarial | Las conversaciones de Skype Empresarial se almacenan en la carpeta Historial de conversaciones del buzón de un usuario. Si el buzón de un participante de una reunión de Skype se coloca en suspensión por juicio o se asigna a una directiva de retención, los archivos adjuntos a una reunión se conservan en el buzón de los participantes. |
| Sway* | Los Sways se almacenan como un archivo HTML que se adjunta a un mensaje de correo electrónico y se almacenan en una carpeta oculta en el buzón del usuario que creó el sway. Al exportar contenido de Sway en un archivo PST, estos datos se encuentran en la carpeta ApplicationDataRoot de una subcarpeta denominada con el siguiente GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Tareas | Las tareas de la aplicación Tareas (que son las mismas tareas que las accesibles en Outlook) se almacenan en el buzón de un usuario. |
| Teams | Las conversaciones que forman parte de un canal de Teams están asociadas al buzón de Teams. Las conversaciones que forman parte de la lista chat en Teams (también denominadas chats de 1 x N) están asociadas al buzón de los usuarios que participan en el chat. Además, la información de resumen de reuniones y llamadas en un canal de Teams está asociada a buzones de los usuarios que llamaron a la reunión o llamada. Por lo tanto, al buscar contenido de Teams, busca contenido en el buzón de Teams en conversaciones de canal y busca contenido en los buzones de usuario en 1 x N chats. |
| To-Do | Las tareas (llamadas tareas pendientes, que se guardan en listas de tareas pendientes) en la aplicación To-Do se almacenan en el buzón de un usuario. |
| Viva Engage | Las conversaciones y comentarios dentro de una comunidad Viva Engage están asociados con el buzón de grupo de Microsoft 365, así como el buzón de usuario del autor y los destinatarios con nombre (usuarios mencionados o cc'ed). Los mensajes privados enviados fuera de una comunidad Viva Engage se almacenan en el buzón de los usuarios que participan en el mensaje privado. |
Nota:
* En este momento, si coloca una suspensión en un buzón mediante retenciones en casos de exhibición de documentos electrónicos, la suspensión no conserva el contenido de esta aplicación.