Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al buscar documentos y archivos en sitios de SharePoint o OneDrive, ajuste el enfoque de consulta en función de los metadatos de los documentos y archivos que le interesen. Los archivos y documentos tienen propiedades relevantes como Author, Created, CreatedBy, FileName, LastModifiedTime y Title. La mayoría de estas propiedades no son pertinentes al buscar contenido de comunicaciones en Exchange Online. El uso de estas propiedades puede dar lugar a resultados inesperados si los usa en documentos y comunicaciones. Además, es posible que filename y title de un documento no sean iguales. El uso de uno u otro para intentar encontrar un archivo con contenido específico puede dar lugar a resultados diferentes o inexactos. Tenga en cuenta estas propiedades al buscar contenido específico de documentos y archivos en SharePoint y OneDrive.
Para obtener más información sobre cómo buscar contenido en sitios en eDiscovery, vea el siguiente vídeo:
Por ejemplo, para buscar contenido relacionado con documentos creados por el usuario 1, para un proyecto denominado Tradewinds, para archivos específicos denominados Financials y desde enero de 2020 hasta enero de 2022, use una consulta con las siguientes propiedades:
- Agregue User 1 como origen de datos a la búsqueda.
- Seleccione el sitio de OneDrive del usuario 1 como ubicación de interés.
- Agregue grupos adicionales y sus sitios de SharePoint asociados relacionados con el proyecto como orígenes de datos.
- Para FileName, use Financials
- Para la palabra clave , use Tradewinds.
- Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Propiedades de sitio que se pueden buscar en KeyQL
En la tabla siguiente se enumeran las propiedades de SharePoint y OneDrive admitidas en la búsqueda mediante el editor de eDiscovery KeyQL en el portal de Microsoft Purview o mediante los cmdlets New-ComplianceSearch o Set-ComplianceSearch. Para obtener una lista de las propiedades admitidas del generador de condiciones, consulte Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery.
Importante
Aunque los documentos y archivos almacenados en SharePoint y OneDrive pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, solo las propiedades de documentos y archivos enumeradas en esta tabla se admiten en las herramientas de búsqueda de eDiscovery. No se admite el intento de incluir otras propiedades de documento o archivo en las búsquedas.
Si establece un estado de sitio en Bloqueado y el sitio en NoAccess, eDiscovery no devuelve resultados de búsqueda. Para obtener más información sobre cómo administrar los estados de bloqueo de sitio, consulte Bloqueo y desbloqueo de sitios. Además, si un documento está restringido en el almacén de contenido, el administrador de exhibición de documentos electrónicos debe ser administrador del sitio, propietario del sitio o propietario o último modificador del documento restringido para acceder a él en eDiscovery. Para obtener más información sobre el contenido restringido, consulte Referencia de directivas de prevención de pérdida de datos.
Importante
Si se archiva un sitio de OneDrive y, a continuación, se busca en eDiscovery, la búsqueda desencadena la reindexación y el número de elementos aumenta con el tiempo a medida que el sitio se indexa por completo. Este efecto persiste hasta que se complete la reindexación del sitio. Para obtener más información y desencadenar manualmente la reindexación, consulte Solicitud manual de rastreo y reindexación de un sitio, una biblioteca o una lista.
La tabla incluye un ejemplo de la sintaxis propiedad:valor de cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos.
| Propiedad | Descripción de la propiedad | Ejemplo | Resultados de la búsqueda devueltos por los ejemplos |
|---|---|---|---|
| Autor | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conserva el autor original. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | author:"Garth Fort" |
Todos los documentos creados por Garth Fort. |
| ContentType | Tipo de contenido de SharePoint de un elemento, como Item, Document o Video. | contenttype:document |
Todos los documentos. |
| Creados | La fecha en la que se crea un elemento. | created>=2021-06-01 |
Todos los elementos creados a partir del 1 de junio de 2021. |
| CreatedBy | La persona que creó o cargó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | createdby:"Garth Fort" |
Todos los elementos creados o cargados por Juan Casanova. |
| DetectedLanguage | El idioma de un elemento. | detectedlanguage:english |
Todos los elementos en inglés. |
| DocumentLink | Ruta de acceso (URL) de una carpeta específica en un sitio de SharePoint o OneDrive. Si usa esta propiedad, asegúrese de buscar en el sitio en el que se encuentra la carpeta especificada. Use esta propiedad en lugar de las propiedades Site y Path . Para devolver elementos ubicados en subcarpetas de la carpeta que especifique para la propiedad documentlink, debe agregar /* a la dirección URL de la carpeta especificada; por ejemplo |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
El primer ejemplo devuelve todos los elementos de la carpeta de OneDrive especificada. En el segundo ejemplo se devuelven documentos de la carpeta de sitio especificada (y todas las subcarpetas) que contienen la palabra "confidencial" en el nombre de archivo. |
| FileExtension | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. | fileextension:xlsx |
Todos los archivos de Excel (Excel 2007 y versiones posteriores) |
| FileName | El nombre de un archivo. | filename:"marketing plan" |
El primer ejemplo devuelve archivos con la frase exacta "plan de marketing" en el título. El segundo ejemplo devuelve archivos con la palabra "estimación" en el nombre del archivo. |
| LastModifiedTime | La fecha de la última modificación de un elemento. | lastmodifiedtime>=2021-05-01 |
El primer ejemplo devuelve elementos que se cambiaron el 1 de mayo de 2021 o después de . El segundo ejemplo devuelve elementos modificados entre el 1 de mayo de 2021 y el 1 de junio de 2021. |
| MipSensitiveLabel | Busque etiquetas de confidencialidad aplicadas a los elementos de los datos de la organización. Mediante el Generador de condiciones, los usuarios pueden seleccionar el nombre de la etiqueta de confidencialidad (por ejemplo, Confidencial, Extremadamente confidencial, etc.) en la lista desplegable y, a continuación, identificar el GUID usado en KeyQL para la etiqueta de confidencialidad. | MipSensitiveLabel=f0c0c7ef-3d45-4c95-87bb-6dfc7a081f46 |
Todos los elementos que coinciden con el GUID de la etiqueta de confidencialidad. |
| ModifiedBy | La última persona que modificó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | modifiedby:"Garth Fort" |
Todos los elementos que Juan Casanova modificó por última vez. |
| SensitiveType | Busque tipos de información confidencial identificados y clasificados en los datos de la organización. Mediante el Generador de condiciones, los usuarios pueden seleccionar el nombre del tipo de información confidencial (por ejemplo, SSN, tarjeta de crédito, números de cuenta bancaria, etc.) en la lista desplegable y, a continuación, identificar el GUID usado en KeyQL para el tipo de información confidencial. | SensitiveType=“ba147552-2ed1-4a8f-a441-981e94ab1895” |
Todos los elementos que coinciden con el GUID del tipo de información confidencial. |
| SharedWithUsersOWSUser | Documentos que se comparten con el usuario especificado y se muestran en la página Compartido conmigo del sitio de OneDrive del usuario. Otros usuarios de la organización comparten explícitamente estos documentos con el usuario especificado. Al exportar documentos que coinciden con una consulta de búsqueda que usa la propiedad SharedWithUsersOWSUser, los documentos se exportan desde la ubicación de contenido original de la persona que compartió el documento con el usuario especificado. Para obtener más información, consulte Búsqueda de contenido de sitio compartido dentro de su organización. | sharedwithusersowsuser:garthf |
Ambos ejemplos devuelven todos los documentos internos que se comparten explícitamente con Garth Fort y que aparecen en la página Compartido conmigo de la cuenta de OneDrive de Garth Fort. |
| Size | El tamaño de un elemento, en bytes. | size>=1 |
El primer ejemplo devuelve elementos mayores de 1 byte. El segundo ejemplo devuelve elementos que tienen un tamaño de entre 1 y 10 000 bytes. |
| Title | El título del documento. La propiedad Title es metadatos que se especifican en documentos de Microsoft Office. Es diferente del nombre de archivo del documento. | title:"communication plan" |
Cualquier documento que contenga la frase "plan de comunicación" en la propiedad Título de metadatos de un documento de Office. |
Tipos de datos confidenciales que se pueden buscar
Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, almacenados en documentos en sitios de SharePoint y OneDrive. Para ello, use la SensitiveType propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number" devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)" devuelve documentos que contienen un número de seguro social estadounidense.
Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de Microsoft Purview. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.
Limitaciones para buscar tipos de datos confidenciales
Para buscar tipos de información confidencial personalizados, debe especificar el identificador del tipo de información confidencial en la
SensitiveTypepropiedad . El uso del nombre de un tipo de información confidencial personalizada (como se muestra en el ejemplo para los tipos de información confidencial integrados en la sección anterior) no devuelve ningún resultado. Use la columna Publicador en la página Tipos de información confidencial del portal de Microsoft Purview (o la propiedad Publisher en PowerShell) para diferenciar entre los tipos de información confidencial integrados y personalizados. Los tipos de datos confidenciales integrados tienen un valor deMicrosoft Corporationpara la propiedad Publisher .Para mostrar el nombre y el identificador de los tipos de datos confidenciales personalizados de su organización, ejecute el siguiente comando en PowerShell de seguridad & cumplimiento:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,IdA continuación, puede usar el identificador en la
SensitiveTypepropiedad de búsqueda para devolver documentos que contengan el tipo de datos confidenciales personalizado; por ejemplo,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37No puede usar tipos de información confidencial y la
SensitiveTypepropiedad de búsqueda para buscar datos confidenciales en reposo en Exchange Online buzones. Esta limitación incluye mensajes de chat 1:1, mensajes de chat de grupo 1:N y conversaciones de canal de equipo en Microsoft Teams porque todo este contenido se almacena en buzones de correo. Sin embargo, puede usar directivas de prevención de pérdida de datos (DLP) para proteger los datos de correo electrónico confidenciales en tránsito. Para obtener más información, consulte Información sobre la prevención de pérdida de datos y Búsqueda y búsqueda de datos personales.
Formación de una consulta básica
Una consulta básica tiene tres partes: SensitiveType, count range e confidence range. Por ejemplo, Se requiere SensitiveType:"<type>" y ambos |<count range> y |<el intervalo de> confianza es opcional.
Tipo confidencial: obligatorio
Las consultas suelen comenzar con la propiedad SensitiveType:" y un nombre de tipo de información del inventario de tipos de información confidencial y terminan con ." También puede usar el nombre de un tipo de información confidencial personalizado que creó para su organización. Por ejemplo, tal vez esté buscando documentos que contienen números de tarjetas de crédito.
En una instancia de este tipo, use el formato siguiente: SensitiveType:"Credit Card Number". Dado que no incluye el intervalo de recuento ni el intervalo de confianza, la consulta devuelve todos los documentos en los que se detecta un número de tarjeta de crédito. Esta es la consulta más sencilla que se puede ejecutar y devuelve la mayoría de los resultados. Tenga en cuenta que la ortografía y el espaciado del tipo confidencial son importantes.
Intervalos: opcionales
Las dos partes siguientes son intervalos, por lo que vamos a examinar rápidamente el aspecto de un rango. En las consultas de SharePoint, un intervalo básico se representa mediante dos números separados por dos puntos, lo que tiene este aspecto: [number]..[number]. Por ejemplo, si 10..20 se usa, ese intervalo captura números de 10 a 20. En este artículo se tratan muchas combinaciones de rangos diferentes.
Vamos a agregar un intervalo de recuento a la consulta. Puede usar el intervalo de recuento para definir el número de repeticiones de información confidencial que un documento debe contener antes de que se incluya en los resultados de la consulta. Por ejemplo, si desea que la consulta devuelva solo documentos que contengan exactamente cinco números de tarjeta de crédito, use esto: SensitiveType:"Credit Card Number|5". El intervalo de recuento también puede ayudar a identificar los documentos que suponen altos niveles de riesgo. Por ejemplo, su organización puede considerar como un riesgo alto los documentos con cinco o más números de tarjeta de crédito. Para buscar documentos que ajusten este criterio, use esta consulta: SensitiveType:"Credit Card Number|5..". Como alternativa, puede encontrar documentos con cinco o menos números de tarjeta de crédito mediante esta consulta: SensitiveType:"Credit Card Number|..5".
Intervalo de confianza
Por último, el intervalo de confianza es el nivel de confianza con el que el tipo confidencial detectado coincide en realidad. Los valores para el intervalo de confianza funcionan de forma similar al intervalo de recuento. Puede crear una consulta sin incluir un intervalo de recuento. Por ejemplo, para buscar documentos con cualquier número de números de tarjeta de crédito (siempre que el intervalo de confianza sea del 85 por ciento o superior), use esta consulta: SensitiveType:"Credit Card Number|*|85..".
Importante
El asterisco ( * ) es un carácter comodín que significa que cualquier valor funciona. Puede usar el carácter comodín ( * ) en el intervalo de recuento o en el intervalo de confianza, pero no en un tipo confidencial.
Propiedades de consulta y operadores de búsqueda adicionales
Las consultas en SharePoint también contienen la LastSensitiveContentScan propiedad , que puede ayudarle a buscar archivos examinados dentro de un período de tiempo específico. Para ver ejemplos de consulta con la LastSensitiveContentScan propiedad , vea los ejemplos de consultas complejas en la sección siguiente.
Puede usar las propiedades de búsqueda de eDiscovery de SharePoint, como Author o FileExtension. Puede usar operadores para crear consultas complejas.
Ejemplos
En los ejemplos siguientes se usan diferentes tipos confidenciales, propiedades y operadores para mostrar cómo puede refinar las consultas para encontrar exactamente lo que está buscando.
| Consulta | Explicación |
|---|---|
SensitiveType:"Credit Card Number | 1..4294967295 | 1..100" |
Esta consulta devuelve documentos con al menos una coincidencia con el tipo confidencial "Número de tarjeta de crédito". Los valores de cada intervalo son los valores mínimo y máximo respectivos. Una manera más sencilla de escribir esta consulta es SensitiveType:"Credit Card Number". |
SensitiveType:"Credit Card Number | 5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
Esta consulta devuelve documentos con entre 5 y 25 números de tarjeta de crédito que se examinaron del 11 de agosto de 2018 al 13 de agosto de 2018. Los archivos con una extensión XLSX no se incluyen en los resultados de la consulta.
FileExtension es una de las muchas propiedades que puede incluir en una consulta. Para obtener más información, vea Uso de propiedades y operadores de búsqueda con eDiscovery. |
SensitiveType:"Credit Card Number | 5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
Esta consulta devuelve documentos con entre 5 y 25 números de tarjeta de crédito que se examinaron del 11 de agosto de 2018 al 13 de agosto de 2018. |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
Esta consulta devuelve documentos que contienen un número de tarjeta de crédito o un número de seguro social. |
SensitiveType:"International Banking Account Number (IBAN)" |
El nombre puede parecer extraño porque es tan largo, pero es el nombre correcto para ese tipo confidencial. Asegúrese de usar nombres exactos del inventario de tipos de información confidencial. También puede usar el nombre de un tipo de información confidencial personalizado que creó para su organización. |
Ejemplos
No todas las consultas funcionan en SharePoint. En la tabla siguiente se proporcionan ejemplos de consultas que no funcionan y se describe por qué.
| Consulta no compatible | Reason |
|---|---|
SensitiveType:"Credit Card Number .." |
Debe agregar, al menos, un número. |
SensitiveType:"Credit Card Number 0" |
Cero no es válido como el valor mínimo o el valor máximo de un intervalo. |
SensitiveType:"Credit Card Number 1. .3" |
La parte de dos períodos no debe estar separada por un espacio. |
SensitiveType:"Credit Card Number 1.. 80.." |
Hay demasiados delimitadores \|de canalización. Siga este formato en su lugar: SensitiveType: "Credit Card Number 1.. 80.." |
SensitiveType:"Credit Card Number 1.. 80..101" |
Dado que los valores de confianza representan un porcentaje, no pueden superar los 100. Elija un número del 1 al 100 en su lugar. |
SensitiveType:"Credit Card Number" |
Puede ser difícil de ver, pero hay espacio en blanco adicional entre "Crédito" y "Tarjeta" que hace que la consulta no sea válida. Use nombres de tipos confidenciales exactos del inventario de tipos de información confidencial. |
SensitiveType:"NotARule" |
"NotARule" no es un nombre de tipo confidencial válido. Solo los nombres del inventario de tipos de información confidencial funcionan en consultas de eDiscovery. |
Búsqueda de contenido de sitio compartido con usuarios externos
Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar documentos almacenados en sitios de SharePoint y OneDrive compartidos con personas ajenas a su organización. Esta búsqueda puede ayudarle a identificar la información confidencial o propietaria que se comparte fuera de su organización. Use la ViewableByExternalUsers propiedad en una consulta de palabra clave. Esta propiedad devuelve documentos o sitios que ha compartido con usuarios externos mediante uno de los métodos de uso compartido siguientes:
- Una invitación para compartir que requiere que los usuarios inicien sesión en su organización como un usuario autenticado.
- Un vínculo de invitado anónimo, que permite a cualquier usuario con este vínculo acceder al recurso sin tener que autenticarse.
Estos son algunos ejemplos:
- La consulta
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"devuelve todos los elementos compartidos con personas ajenas a la organización y contiene un número de tarjeta de crédito. - La consulta
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"devuelve una lista de documentos en todos los sitios de equipo de la organización que ha compartido con usuarios externos.
Sugerencia
Una consulta de búsqueda como ViewableByExternalUsers:true AND ContentType:document podría devolver numerosos archivos .aspx en los resultados de la búsqueda. Para eliminar estos u otros tipos de archivos, use la FileExtension propiedad para excluir tipos de archivo específicos; por ejemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx, .
¿Qué contenido cuenta como compartido con personas ajenas a su organización? Documentos de los sitios de SharePoint y OneDrive de la organización que ha compartido mediante el envío de una invitación para compartir o que ha compartido en ubicaciones públicas. Por ejemplo, las siguientes actividades de usuario dan como resultado contenido que los usuarios externos pueden ver:
- Un usuario comparte un archivo o una carpeta con una persona externa a su organización.
- Un usuario crea y envía un vínculo a un archivo compartido a una persona externa a su organización. Este vínculo permite al usuario externo ver (o editar) el archivo.
- Un usuario envía una invitación de uso compartido o un vínculo de invitado a una persona externa a su organización para ver (o editar) un archivo compartido.
Problemas al usar la propiedad ViewableByExternalUsers
Aunque la ViewableByExternalUsers propiedad representa el estado de si un documento o sitio se comparte con usuarios externos, tiene algunas advertencias. En los escenarios siguientes, el valor de la ViewableByExternalUsers propiedad no se actualiza y los resultados de una consulta de búsqueda que usa esta propiedad pueden ser inexactos.
- Cambios en la directiva de uso compartido, como desactivar el uso compartido externo para un sitio o para la organización. La propiedad sigue mostrando los documentos compartidos anteriormente como accesibles externamente aunque se pueda revocar el acceso externo.
- Cambios en la pertenencia a grupos, como agregar o quitar usuarios externos a Grupos de Microsoft 365 o grupos de seguridad de Microsoft 365. La propiedad no se actualiza automáticamente para los elementos a los que el grupo tiene acceso.
- Enviar invitaciones de uso compartido a usuarios externos donde el destinatario no ha aceptado la invitación y, por tanto, aún no tiene acceso al contenido.
En estos escenarios, la ViewableByExternalUsers propiedad no refleja el estado de uso compartido actual hasta que se vuelve a rastrear y volver a indexar el sitio o la biblioteca de documentos.
Búsqueda de contenido de sitio compartido dentro de la organización
Puede usar la SharedWithUsersOWSUser propiedad para buscar documentos compartidos entre personas de su organización. Cuando una persona comparte un archivo o carpeta con otro usuario dentro de su organización, aparece un vínculo al archivo compartido en la página Compartido conmigo de la cuenta de OneDrive de la persona con la que se ha compartido el archivo. Por ejemplo, para buscar los documentos compartidos con Sara Davis, puede usar la consulta SharedWithUsersOWSUser:"sarad@contoso.com". Si exporta los resultados de esta búsqueda, descargará los documentos originales ubicados en la ubicación de contenido de la persona que compartió los documentos con Sara.
Los documentos deben compartirse explícitamente con un usuario específico para que se devuelvan en los resultados de búsqueda cuando se use la SharedWithUsersOWSUser propiedad . Por ejemplo, cuando una persona comparte un documento en su cuenta de OneDrive, puede compartirlo con cualquier persona (dentro o fuera de la organización), compartirlo solo con personas de la organización o compartirlo con una persona específica.
Solo los documentos que se comparten mediante la tercera opción (compartida con personas específicas) se devuelven mediante una consulta de búsqueda que usa la SharedWithUsersOWSUser propiedad .
Límites de caracteres para búsquedas
Para obtener más información sobre los límites de caracteres, vea límites de búsqueda de exhibición de documentos electrónicos.