Partager via

Utiliser le générateur de conditions pour créer des requêtes de recherche dans eDiscovery

Le générateur de conditions fournit une expérience de recherche facile à utiliser lorsque vous créez des requêtes de recherche dans eDiscovery. Utilisez le générateur de conditions dans les jeux de recherche et de révision pour construire des requêtes mot clé simples et complexes, des requêtes avec des opérateurs (AND, OR) ou les deux pour aider à identifier les éléments de votre organization.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Utilisation du générateur de conditions

Pour créer une requête et un filtrage conditionnel personnalisé pour votre recherche, utilisez les contrôles suivants :

  • La condition Mots clés est toujours disponible comme première condition de votre requête, ce qui facilite la prise en main des tâches de recherche. Cette condition prend uniquement en charge l’opérateur Equal et est supprimée de votre requête à l’aide de la commande Delete. Dans le champ Valeur de la condition Mots clés, appliquez des opérateurs logiques tels que AND, OR et NEAR. Par exemple, l’entrée red AND blue traite AND comme un opérateur logique plutôt qu’un mot clé littéral. Pour rechercher une expression exacte comme "red and blue", placez le texte entre guillemets. Cela indique au moteur de recherche de traiter le texte comme une chaîne unique. Vous pouvez également sélectionner Entrée sur votre clavier pour créer une grille pour la mot clé suivante. Si vous collez une liste de mots clés séparés par des sauts de ligne (retour chariot), le système génère automatiquement une grille distincte pour chaque mot clé.

    Lorsque plusieurs segments mot clé sont entrés à l’aide du générateur de conditions, la requête peut être convertie en KeyQL et chaque segment mot clé est séparé par c :s. Si votre requête inclut plusieurs conditions de mot clé, la KeyQL résultante inclut c :s pour garantir mot clé segmentation afin que vous voyiez des accès par segment. Ce comportement est automatique et ne nécessite pas l’entrée manuelle de c :s dans le générateur de KeyQL.

    Remarque

    Pour générer un rapport mot clé dans la vue statistiques, vous devez remplir au moins deux grilles mot clé. Si vous entrez une seule mot clé, le nombre total d’accès affiché reflète les résultats de cette mot clé, et aucun rapport mot clé n’est généré.

  • Ajouter des conditions : ajoutez une condition pour les sources de données spécifiques pour la recherche. Pour ajouter des conditions supplémentaires à votre requête, sélectionnez Ajouter des conditions pour afficher la liste des conditions disponibles. Chaque sélection de valeur de condition ajoute une nouvelle condition à votre requête. Choisissez l’opérateur AND/OR comme il convient.

  • AND/OR : ces opérateurs logiques conditionnels vous permettent de sélectionner l’opération de requête qui s’applique à une condition spécifique. Ces opérateurs vous permettent d’utiliser plusieurs conditions connectées à votre requête. L’opérateur suivant la condition mot clé doit être AND.

  • Sélection d’un opérateur : selon la condition sélectionnée, les opérateurs compatibles pour la condition peuvent être sélectionnés. Par exemple, si vous sélectionnez la condition Date , les opérateurs disponibles sont Before, After et Between. Si vous sélectionnez la condition Taille (en octets), les opérateurs disponibles sont Supérieur à, Supérieur ou égal, Inférieur à, Inférieur ou égal, Entre et Égal.

  • Valeur : en fonction de la condition sélectionnée, les valeurs compatibles pour la condition apparaissent dans le volet d’informations de la valeur ou vous pouvez ajouter inline. Selon le type de condition associé à la valeur, vous voyez des options pour définir, filtrer ou rechercher des valeurs associées à la condition sélectionnée. Par exemple, si vous sélectionnez Expéditeur comme condition, vous pouvez rechercher et ajouter des utilisateurs spécifiques dans votre organization ou des utilisateurs externes. Si vous sélectionnez Taille (en octets) comme condition, vous voyez l’option permettant d’entrer un nombre pour la taille comme valeur. Si la valeur est vide, la bordure du champ de valeur apparaît en rouge pour vous informer qu’une valeur est nécessaire.

  • Supprimer une condition de filtre : pour supprimer une condition individuelle, sélectionnez l’icône supprimer à droite de chaque ligne de filtre.

  • Effacez une valeur de filtre : Pour effacer la valeur d’une condition spécifique, sélectionnez l’icône supprimer à droite de chaque ligne de filtre.

  • Enregistrer en tant que brouillon : pour enregistrer l’ensemble actuel de conditions en tant que brouillon, sélectionnez Enregistrer en tant que brouillon au-dessus de la zone du générateur de conditions.

  • Ignorer : pour ignorer toutes les modifications apportées à la recherche, y compris les conditions et la source de données, sélectionnez Ignorer au-dessus de la zone du générateur de conditions.

Instructions relatives à l’utilisation des conditions

Gardez les instructions suivantes à l’esprit lorsque vous utilisez des conditions de recherche :

  • Une condition se connecte logiquement à la requête mot clé (spécifiée dans la condition mot clé) par l’opérateur AND. Cette connexion signifie que les éléments doivent satisfaire à la fois la requête mot clé et la condition à inclure dans les résultats.
  • Toutes les conditions qui suivent la condition mot clé sont regroupées.
  • Si vous ajoutez au moins deux conditions uniques à une requête de recherche (conditions qui spécifient des propriétés différentes), ces conditions se connectent logiquement par les opérateurs AND et OR . Cette connexion signifie que la recherche retourne uniquement les éléments qui répondent à toutes les conditions (en plus de toute requête mot clé).
  • Si vous ajoutez plusieurs valeurs (séparées par des virgules ou des points-virgules) à une seule condition, ces valeurs se connectent par l’opérateur OR . Cette connexion signifie que la recherche retourne des éléments s’ils contiennent l’une des valeurs spécifiées pour la propriété dans la condition.
  • Toute condition qui utilise un opérateur avec la logique Contains et Equals retourne des résultats de recherche similaires pour les recherches de chaînes simples. Une recherche de chaîne simple est une chaîne dans la condition qui n’inclut pas de caractère générique. Par exemple, une condition qui utilise Equals any of retourne les mêmes éléments qu’une condition qui utilise Contains any of.
  • La requête de recherche que vous créez à l’aide de la zone de mots clés et des conditions s’affiche dans la page Recherche , dans le volet d’informations de la recherche sélectionnée. Dans une requête, tout ce qui se trouve à droite de la notation (c:c) indique les conditions que vous ajoutez à la requête. N’utilisez (c:c) pas dans les requêtes entrées manuellement. (c:c) n’est pas égal à AND ou OR.

Rechercher et sélectionner des conditions

Lorsque vous sélectionnez Ajouter des conditions dans le générateur de conditions, vous bénéficiez d’un accès rapide à certaines conditions couramment utilisées, telles que Date, Objet/Titre et Participants , ainsi qu’aux conditions que vous avez utilisées récemment. Sélectionnez Afficher plus et le volet menu volant Choisir les conditions à ajouter s’affiche pour vous aider à affiner votre requête de recherche avec des conditions spécifiques. Utilisez les options des sections suivantes pour vous aider à choisir les conditions applicables.

Filtrer les conditions par zone

Filtrez rapidement l’affichage des conditions pour les boîtes aux lettres et les propriétés de site pour vous aider à localiser une condition spécifique pour votre requête de recherche. Filtrez les conditions disponibles dans les groupes globaux suivants :

  • Tout : affiche toutes les conditions et tous les groupes de conditions.
  • Courant : filtre et affiche uniquement les conditions qui s’appliquent aux boîtes aux lettres et aux sites.
  • Boîtes aux lettres Exchange : filtre et affiche uniquement les conditions qui s’appliquent aux boîtes aux lettres.
  • Sites SharePoint et OneDrive : filtre et affiche uniquement les conditions qui s’appliquent aux sites SharePoint et OneDrive.

Sélecteur de conditions

Pour rechercher rapidement une condition spécifique, utilisez le champ Dites-nous ce que vous recherchez pour entrer le nom de la condition. Les résultats sont automatiquement limités au filtre pour les groupes globaux. Par exemple, pour rechercher une condition nommée Type (ou une condition qui contient le type de terme dans le nom de la condition), sélectionnez Tout comme filtre global, puis entrez le type dans le champ Dites-nous ce que vous recherchez . La vue condition retourne toutes les conditions de tous les groupes de conditions qui contiennent le type de terme. Sélectionnez la condition applicable à ajouter à votre requête de recherche.

Page permettant de choisir la conditiona à ajouter à une recherche.

Importante

Vous ne pouvez utiliser les conditions Mot clé et KeyQL qu’une seule fois dans le générateur de conditions.

Exemple de scénario

L’administrateur eDiscovery doit créer une requête pour rechercher les e-mails envoyés de User1 à User2 qui ont été envoyés entre le 15 septembre 2024 et le 15 octobre 2024 contenant les mots clés de conformité et d’audit. Pour cet exemple, l’administrateur crée la requête suivante à l’aide du nouveau générateur de requêtes :

  1. Pour le premier filtre, l’administrateur utilise la condition Keywords, l’opérateur Equal et l’audit de conformité commevaleur mot clé.
  2. Ensuite, l’administrateur sélectionne Ajouter des conditions, sélectionne Expéditeur, puis sélectionne l’opérateur Contains any, puis entrez User1@contoso.com dans le champ Valeur . Cela peut inclure des utilisateurs externes.
  3. Ensuite, l’administrateur sélectionne Ajouter des conditions, sélectionne le filtre À , puis sélectionne l’opérateur Contains any, puis sélectionne User2@contoso.com dans le champ Valeur . Cela peut inclure des utilisateurs externes.
  4. Pour définir la plage de dates, l’administrateur sélectionne Ajouter des conditions, sélectionne Date, puis l’opérateur Between , puis sélectionne les dates de début et de fin pour la valeur.
  5. Enfin, l’administrateur sélectionne Exécuter la requête pour retourner des résultats correspondant aux conditions et à leurs valeurs.

Exemple de recherche de générateur de conditions.

Utilisation des conditions de recherche

Vous pouvez ajouter des conditions à une requête de recherche pour affiner une recherche et retourner un ensemble de résultats plus affiné. Chaque condition ajoute une clause à la requête de recherche KeyQL qui est créée et exécutée lorsque vous démarrez la recherche.

Caractères spéciaux

Certains caractères spéciaux ne sont pas inclus dans l’index de recherche et ne peuvent donc pas faire l’objet d’une recherche. Cette limitation s’applique également aux caractères spéciaux qui représentent les opérateurs de recherche dans la requête de recherche. Voici une liste de caractères spéciaux qui sont remplacés par un espace vide dans la requête de recherche réelle ou qui provoquent une erreur de recherche.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Conditions de propriétés communes

Créez une condition avec des propriétés communes lorsque vous recherchez des boîtes aux lettres et des sites dans la même recherche. Le tableau suivant répertorie les propriétés disponibles à utiliser lors de l’ajout d’une condition.

Condition Description
Type de contenu1 Appliqué aux éléments Exchange et SharePoint, il fait référence au type ou à la catégorie du contenu.

Par exemple, ContentKind :SharePointDocument, ContentKind :Copilot, etc.
Application source de contenu1 Identifie l’application ou le service d’où provient le contenu.

Par exemple, ContentSourceApplication :OneDriveForBusiness, ContentSourceApplication :SharePoint, etc.
Date Pour le courrier électronique, date à laquelle un message a été créé ou importé à partir d’un fichier PST. Pour les documents, date de la dernière modification d’un document.

Si vous recherchez des messages électroniques pour une période spécifique, utilisez les conditions de message Reçu et Envoyé si vous ne savez pas si les messages électroniques peuvent être importés au lieu d’être créés en mode natif dans Exchange.
Identificateur1 Pour l’e-mail, l’ID d’un message spécifique. Les ID de message sont inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permettent de créer une recherche spécifique pour un message individuel.

Pour les messages Microsoft Teams, l’ID de la conversation ou de la réaction. ChatThreadID est inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permet de créer une recherche spécifique pour une conversation ou une réaction individuelle.
Expéditeur/auteur Pour la messagerie électronique, personne ayant envoyé le message. Pour les documents, personne mentionnée dans le champ Auteur des documents Office. Vous pouvez saisir plusieurs noms, séparés par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.
(Voir Extension de destinataire)
Taille (en octets) Pour la messagerie électronique et les documents, taille de l’élément (en octets).
Objet/Titre Pour la messagerie électronique, texte de la ligne d’objet d’un message. Pour les documents, titre du document. La propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Vous pouvez taper le nom de plusieurs valeurs d’objet/titre, séparées par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche retourne une erreur.
Étiquette de rétention Pour les e-mails et les documents, les étiquettes de rétention sont appliquées aux messages et aux documents. Les étiquettes de rétention peuvent être utilisées pour déclarer des enregistrements et vous aider à gérer le cycle de vie des données du contenu en appliquant des règles de rétention et de suppression spécifiées par l’étiquette. Pour plus d’informations sur les étiquettes de rétention, consultez En savoir plus sur les stratégies de rétention et les étiquettes de rétention.

Conditions pour les propriétés de messagerie

Créez une condition à l’aide des propriétés de messagerie lors de la recherche de boîtes aux lettres ou de dossiers publics dans Exchange Online. Le tableau suivant répertorie les propriétés d’e-mail que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés d’e-mail décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Type de message Type de message à rechercher. Cette propriété est identique à la propriété Kind email. Valeurs possibles :
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants Tous les champs de personnes dans un e-mail. Ces champs sont From, To, Cc et Cci. (Voir Extension de destinataire)
Received Date à laquelle un message électronique a été reçu par un destinataire. Cette propriété est identique à la propriété Received email.
Recipients Tous les champs de destinataire dans un e-mail. Ces champs sont To, Cc et Cci. (Voir Extension de destinataire)
Expéditeur Expéditeur d’un message électronique.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. Cette propriété est identique à la propriété e-mail envoyé.
Sujet Texte de la ligne d’objet d’un message électronique.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche retourne une erreur.
À Destinataire d’un message électronique dans le champ À.
Rubrique1 Résumé du sujet ou du thème principal abordé dans un fil de messagerie ou une conversation.
Classe de l’élément Propriété de classe de message pour un élément de messagerie. Il s’agit d’une condition à valeurs multiples. Pour sélectionner plusieurs classes de message, maintenez la touche Ctrl enfoncée et sélectionnez au moins deux classes de message dans la liste déroulante que vous souhaitez ajouter à la condition. Chaque classe de message sélectionnée dans la liste est connectée logiquement par l’opérateur OR dans la requête de recherche correspondante.

Pour obtenir la liste des classes de message (et leur ID de classe de message correspondant) utilisées par Exchange et que vous pouvez sélectionner dans la liste Classe de message , voir Types d’éléments et classes de message.

Conditions des propriétés de document

Créez une condition à l’aide des propriétés de document lors de la recherche de documents sur des sites SharePoint et OneDrive. Le tableau suivant répertorie les propriétés de document que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés de site décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Auteur Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine.
Créé Date de création d’un document.
Type de fichier Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. Il s’agit de la même propriété que la propriété de site FileExtension.

Note: Si vous incluez une condition de type de fichier à l’aide de l’opérateur Égal ou Égal à l’un des opérateurs dans une requête de recherche, vous ne pouvez pas utiliser une recherche de préfixe (en incluant le caractère générique ( * ) à la fin du type de fichier) pour renvoyer toutes les versions d’un type de fichier. Si vous le faites, le caractère générique est ignoré. Par exemple, si vous incluez la condition Equals any of doc*, seuls les fichiers avec une extension de .doc sont retournés. Les fichiers avec une extension de .docx ne sont pas retournés. Pour retourner toutes les versions d’un type de fichier, utilisez la paire propriété :value dans une requête mot clé , par exemple. filetype:doc*
Dernière modification Date de la dernière modification apportée à un document.
Chemind’accès 1 URL ou emplacement d’un fichier ou d’un dossier dans un site SharePoint.
Type d’informations sensibles (SIT)1 Types d’informations sensibles inclus dans les documents. Les SIT sont des classifieurs basés sur des modèles et ils détectent des informations sensibles telles que la sécurité sociale, les carte de crédit ou les numéros de compte bancaire pour identifier les éléments sensibles. Pour plus d’informations sur les SIT, consultez En savoir plus sur les types d’informations sensibles.
Étiquette de confidentialité1 Étiquettes de confidentialité appliquées aux documents. Les étiquettes de confidentialité vous permettent de classifier et de protéger les données de votre organization, tout en veillant à ce que la productivité des utilisateurs et leur capacité à collaborer ne soient pas entravées. Pour plus d’informations sur les étiquettes de confidentialité, consultez En savoir plus sur les étiquettes de confidentialité.
Titre Titre du document. Cette propriété correspond aux métadonnées spécifiées dans les documents Office. Il est différent du nom de fichier du document.

Opérateurs utilisés avec des conditions

Lorsque vous ajoutez une condition, sélectionnez un opérateur qui correspond au type de propriété de la condition. Le tableau suivant décrit les opérateurs qui fonctionnent avec des conditions et répertorie l’opérateur équivalent utilisé dans la requête de recherche.

Opérateur Équivalent dans la requête Description
Après property>date Utilisez avec des conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés après la date spécifiée.
Avant property<date Utilisez avec des conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés avant la date spécifiée.
Between date..date Utilisé avec les conditions de date et de taille. Lorsqu’il est utilisé avec une condition de date, retourne les éléments qui ont été envoyés, reçus ou modifiés dans la plage de dates spécifiée. Lorsqu’il est utilisé avec une condition de taille, renvoie les éléments dont la taille est comprise dans la plage spécifiée.
Contient l’un des éléments (property:value) OR (property:value) Utilisez avec des conditions pour les propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui contiennent une partie d’une ou plusieurs valeurs de chaîne spécifiées.
Ne contient pas -property:value

NOT property:value

 Utilisez avec des conditions pour les propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent aucune partie de la valeur de chaîne spécifiée.
N’est pas égal à -property=value

NOT property=value

 Utilisez avec des conditions pour les propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent pas la chaîne spécifique.
Égal à2 size=value Renvoie les éléments qui sont égaux à la taille spécifiée.
Est égal à l’un des éléments (property=value) OR (property=value) Utilisez avec des conditions pour les propriétés qui spécifient une valeur de chaîne. Retourne des éléments qui correspondent à une ou plusieurs valeurs de chaîne spécifiées.
Supérieur2 size>value Renvoie les éléments pour lesquels la propriété spécifiée est supérieure à la valeur spécifiée.
Supérieur ou égalà 2 size>=value Renvoie les éléments pour lesquels la propriété spécifiée est supérieure ou égale à la valeur spécifiée.
Moins2 size<value Retourne des éléments inférieurs à la valeur spécifiée.
Inférieur ou égalà 2 size<=value Retourne les éléments inférieurs ou égaux à la valeur spécifiée.
N’est pas égalà 2 size<>value Renvoie les éléments qui ne sont pas égaux à la taille spécifiée.

Remarque

1 Cet opérateur est une condition de fonctionnalité premium eDiscovery.

2 Cet opérateur est disponible uniquement pour les conditions qui utilisent la propriété Size .

  • Last updated on