Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Muitas vezes, os administradores têm de descobrir quem sabia o quê e quando. Precisam de responder a pedidos sobre litígios em curso ou potenciais, investigações internas e outros cenários da forma mais eficiente e eficaz possível. Estes pedidos são frequentemente urgentes, envolvem várias equipas de intervenientes e têm um impacto significativo se não forem concluídos em tempo útil. Saber como encontrar as informações certas é fundamental para os administradores concluirem as pesquisas com êxito e ajudarem as suas organizações a gerir os riscos e os custos associados aos requisitos de Deteção de Dados Eletrónicos.
Para saber mais sobre como localizar conteúdos em caixas de correio na Deteção de Dados Eletrónicos, veja o seguinte vídeo:
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Quando um pedido de Deteção de Dados Eletrónicos é submetido, os administradores recebem frequentemente apenas informações parciais para começar a recolher conteúdos que possam estar relacionados com uma investigação específica. O pedido pode incluir nomes de utilizador, títulos de projeto, intervalos de datas aproximadas quando o projeto estava ativo e não muito mais. A partir destas informações, os administradores precisam de criar consultas para localizar conteúdos relevantes em todos os serviços do Microsoft 365 para determinar as informações necessárias para um determinado projeto ou assunto. Compreender como as informações são armazenadas e geridas para estes serviços ajuda os administradores a encontrar de forma mais eficiente o que precisam de forma rápida e eficaz.
Exchange Online armazena e-mails, conversas, reuniões e dados de atividade do Microsoft 365 Copilot e Microsoft 365 Copilot Chat (pedidos de utilizador e respostas copilot). Estão disponíveis muitas propriedades de comunicação para procurar itens incluídos no Exchange Online. Algumas propriedades, como De, Enviado, Assunto e Para são exclusivas de determinados itens e não são relevantes ao procurar ficheiros ou documentos no SharePoint e no OneDrive. Incluir estes tipos de propriedades ao procurar entre cargas de trabalho pode, por vezes, originar resultados inesperados.
Por exemplo, para localizar conteúdos relacionados com utilizadores específicos (Utilizador 1 e Utilizador 2), associados a um projeto denominado Tradewinds e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:
- Adicionar as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origens de dados ao caso
- Selecione As localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origem de dados.
- Para Palavra-chave, use Tradewinds
- Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022
Ao procurar e-mails ou outros conteúdos de caixa de correio que possam incluir anexos na nuvem, a ligação de anexo na nuvem para uma localização de armazenamento no SharePoint ou no OneDrive deve ser considerada como anexos do ficheiro de mensagem em vez de documentos separados.
Este comportamento é semelhante à forma como uma pesquisa devolve e-mails com anexos locais incorporados. Estes anexos são obtidos como se fossem parte dos e-mails. Os limites de conformidade do SharePoint ou do OneDrive não são refletidos na coleção de anexos na nuvem incluídos em mensagens reativas.
Importante
Para e-mails, quando utiliza um palavra-chave, a pesquisa inclui o assunto, o corpo e muitas propriedades relacionadas com os participantes. No entanto, devido à expansão do destinatário, a pesquisa pode não devolver os resultados esperados ao utilizar o alias ou parte do alias. Por conseguinte, utilize o UPN completo.
Propriedades de e-mail pesquisáveis no KeyQL
Importante
Embora as mensagens de e-mail possam ter outras propriedades suportadas noutros serviços do Microsoft 365, as ferramentas de pesquisa de Deteção de Dados Eletrónicos suportam apenas as propriedades de e-mail listadas nesta tabela. Não pode incluir outras propriedades de mensagens de e-mail nas pesquisas.
A tabela seguinte lista as propriedades da mensagem de e-mail suportadas na pesquisa com o editor de KeyQL de Deteção de Dados Eletrónicos no portal do Microsoft Purview ou através dos cmdlets New-ComplianceSearch ou Set-ComplianceSearch. Para obter uma lista das propriedades suportadas do construtor de condições, veja Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos.
A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos. Pode introduzir estes property:value pares na caixa palavras-chave de uma pesquisa de Deteção de Dados Eletrónicos.
Observação
Ao procurar propriedades de e-mail, não pode procurar cabeçalhos de mensagens. As informações de cabeçalho não são indexadas para pesquisas. Além disso, não pode procurar itens em que a propriedade especificada esteja vazia ou em branco. Por exemplo, utilizar o par property:value de assunto:"" para procurar mensagens de e-mail com uma linha de assunto vazia devolve zero resultados. Esta limitação também se aplica ao pesquisar propriedades de site e contacto.
| Propriedade | Descrição da propriedade | Exemplos | Resultados de pesquisa retornados pelos exemplos |
|---|---|---|---|
| AttachmentNames | Os nomes dos arquivos anexados a uma mensagem de email. | attachmentnames:annualreport.ppt |
Mensagens com um ficheiro anexado com o nome annualreport.ppt. No segundo exemplo, utilizar o caráter universal ( * ) devolve mensagens com a palavra anual no nome de ficheiro de um anexo. 1 |
| Cco | O campo Cco de uma mensagem de email.1 | bcc:pilarp@contoso.com |
Todos os exemplos devolvem mensagens com Pilar Pinilla incluída no campo Bcc. (Consulte Expansão do Destinatário) |
| Categoria | As categorias a serem pesquisadas. Os utilizadores podem definir categorias com o Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App). Os valores possíveis são:
|
category:"Red Category" |
Mensagens atribuídas à categoria vermelha nas caixas de correio de origem. |
| Cc | O campo Cc de uma mensagem de email.1 | cc:pilarp@contoso.com |
Em ambos os exemplos, as mensagens com Pilar Pinilla especificadas no campo Cc. (Consulte Expansão do Destinatário) |
| De | O remetente de uma mensagem de email.1 | from:pilarp@contoso.com |
Mensagens enviadas pelo utilizador especificado. (Consulte Expansão do Destinatário) |
| HasAttachment | Indica se uma mensagem tem um anexo. Use os valores true ou false. | from:pilar@contoso.com AND hasattachment:true |
Mensagens enviadas pelo usuário especificado que têm anexos. |
| Importance | A prioridade de uma mensagem de email, que um remetente pode especificar ao enviar uma mensagem. Por padrão, as mensagens são enviadas com prioridade normal, a menos que o remetente defina a prioridade como alta ou baixa. | importance:high |
Mensagens marcadas como alta prioridade, prioridade média ou baixa prioridade. |
| IsRead | Indica se as mensagens são lidas. Use os valores true ou false. | isread:true |
O primeiro exemplo retorna mensagens com a propriedade IsRead definida como True. O segundo exemplo retorna mensagens com a propriedade IsRead definida como False. |
| ItemClass | Use essa propriedade para pesquisar tipos de dados de terceiros específicos que sua organização importou para o Office 365. Utilize a seguinte sintaxe para esta propriedade: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
O primeiro exemplo retorna itens do Facebook que contêm a palavra "contoso" na propriedade Subject. O segundo exemplo retorna itens do Twitter que foram postados por Ann Beebe e que contêm a frase de palavra-chave "Northwind Traders". |
| Tipo | O tipo de mensagem de email a ser pesquisada. Valores possíveis: contacts documentos externaldata faxes mensagem instantânea diários reuniões microsoftteams (retorna itens de chats, reuniões e chamadas no Microsoft Teams) notes postagens rssfeeds tarefas caixa postal |
kind:email |
O primeiro exemplo retorna mensagens de email que atendem aos critérios de pesquisa. O segundo exemplo retorna mensagens de email, conversas de mensagens instantâneas (incluindo conversas e chats do Skype for Business no Microsoft Teams) e mensagens de voz que atendem aos critérios de pesquisa. O terceiro exemplo devolve itens que foram importados para caixas de correio no Microsoft 365 a partir de origens de dados de terceiros, como o Twitter, Facebook e Cisco Jabber, que cumprem os critérios de pesquisa. Para obter mais informações, consulte Arquivando dados de terceiros no Office 365. |
| Participantes | Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco.1 | participants:garthf@contoso.com |
Mensagens enviadas ou enviadas para garthf@contoso.com. O segundo exemplo retorna todas as mensagens enviadas por ou para um usuário no domínio contoso.com. (Consulte Expansão do Destinatário) |
| Received | A data em que uma mensagem de e-mail é recebida por um destinatário. | received:2021-04-15 |
Mensagens recebidas a 15 de abril de 2021. O segundo exemplo devolve todas as mensagens recebidas entre 1 de janeiro de 2021 e 31 de março de 2021. |
| Destinatários | Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco.1 | recipients:garthf@contoso.com |
Mensagens enviadas para garthf@contoso.com. O segundo exemplo retorna mensagens enviadas para qualquer destinatário no domínio contoso.com. (Consulte Expansão do Destinatário) |
| Enviado | A data em que uma mensagem de e-mail é enviada pelo remetente. | sent:2021-07-01 |
Mensagens enviadas na data especificada ou enviadas dentro do intervalo de datas especificado. |
| Tamanho | O tamanho de um item, em bytes. | size>26214400 |
Mensagens com mais de 25 MB. O segundo exemplo retorna mensagens de 1 a 1.048.567 bytes (1 MB) de tamanho. |
| Assunto | O texto na linha de assunto de uma mensagem de email.
Observação: quando você usa a propriedade Subject em uma consulta, a pesquisa retorna todas as mensagens nas quais a linha de assunto contém o texto que você está procurando. Em outras palavras, a consulta não retorna apenas as mensagens que têm uma correspondência exata. Por exemplo, se procurar |
subject:"Quarterly Financials" |
Mensagens que contêm a frase "Finanças Trimestrais" em qualquer lugar no texto da linha de assunto. O segundo exemplo retorna todas as mensagens que contêm a palavra northwind na linha de assunto. |
| Para | O campo Para de uma mensagem de email.1 | to:annb@contoso.com |
Todos os exemplos retornam mensagens em que Clara Barbosa é especificada na linha Para:. |
Observação
1 Para o valor de uma propriedade de destinatário, pode utilizar o endereço de e-mail (também denominado nome principal de utilizador (UPN)), o nome a apresentar ou o alias para especificar um utilizador. Por exemplo, pode utilizar annb@contoso.com, annb ou "Ann Beebe" para especificar o utilizador Ann Beebe.
Tipos de dados confidenciais pesquisáveis
Pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview para procurar dados confidenciais, como números de card de crédito ou números de segurança social, armazenados em documentos em caixas de correio. Você pode fazer isso usando a propriedade SensitiveType e o nome (ou ID) de um tipo de informação confidencial em uma consulta de palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number" retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)" devolve documentos que contêm um número de segurança social dos EUA.
Para ver uma lista dos tipos de informações confidenciais que pode procurar, aceda a Classificações> de dadosTipos de informações confidenciais no portal do Microsoft Purview. Em alternativa, pode utilizar o cmdlet Get-DlpSensitiveInformationType no PowerShell de Conformidade do & de Segurança para apresentar uma lista de tipos de informações confidenciais.
Expansão do destinatário
As caixas de correio são armazenamento flexível e os clientes que se ligam a uma caixa de correio controlam alguns aspetos das informações dos destinatários, especialmente para o remetente. Os clientes podem escolher as propriedades SMTP, Name ou LegacyDN como endereço do remetente. Para compensar as variações no comportamento do cliente e a forma como os dados são armazenados, a expansão do destinatário da pesquisa de Deteção de Dados Eletrónicos é uma funcionalidade útil.
Muitas vezes, as informações do remetente criadas por alguns clientes armazenam apenas o nome do remetente, como João Cardoso, sem incluir o endereço SMTP como johndoe@contoso.com. Além disso, os itens federados com sistemas legados só podem armazenar o LegacyExchangeDN, que é um identificador exclusivo utilizado em versões mais antigas do Exchange para representar uma caixa de correio ou uma lista de distribuição. Os sistemas federados referem-se a mensagens ou dados integrados de diferentes sistemas ou organizações, muitas vezes envolvendo sistemas legados que utilizam formatos ou identificadores mais antigos.
A função de expansão do destinatário resolve o problema de não procurar de forma suficientemente abrangente ao expandir a pesquisa para capturar conteúdos armazenados com estas variações. A consulta Microsoft Entra ID expande todos os valores especificados no filtro de participante. Esta expansão inclui o endereço de e-mail do utilizador, UPN, alias, nome a apresentar e LegacyExchangeDN. Esta expansão garante que as pesquisas lançam uma rede mais ampla, capturando todo o conteúdo relevante, independentemente da forma como as informações dos participantes são armazenadas e melhora a precisão e a integralidade das pesquisas de Deteção de Dados Eletrónicos.
Observação
A expansão do destinatário não resolve casos em que o utilizador parte e já não está presente no Microsoft Entra ID. Neste cenário, o sistema não pode expandir a identidade para incluir variações como UPN, alias ou LegacyExchangeDN. Para garantir resultados de pesquisa abrangentes, tem de incluir manualmente todos os identificadores conhecidos (por exemplo, endereços SMTP anteriores, aliases ou nomes a apresentar) para o utilizador falecido na sua consulta.
Quando pesquisa qualquer uma das propriedades do destinatário (De, Para, Cc, Bcc, Participantes e Destinatários), o Microsoft 365 tenta expandir a identidade de cada utilizador ao procurá-las no Microsoft Entra ID. Se o utilizador for encontrado no Microsoft Entra ID, a consulta é expandida para incluir o endereço de e-mail do utilizador (ou UPN), alias, nome a apresentar e LegacyExchangeDN. Por exemplo, uma consulta como participants:ronnie@contoso.com expande para participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Para impedir a expansão do destinatário, adicione um caráter universal (asterisco) ao final do endereço de e-mail e utilize um nome de domínio reduzido; por exemplo, participants:"ronnie@contoco*" certifique-se de que coloca o endereço de e-mail entre aspas duplas.
Impedir a expansão do destinatário na consulta de pesquisa pode fazer com que os itens relevantes não sejam devolvidos nos resultados da pesquisa. As mensagens de email no Exchange podem ser salvas com formatos de texto diferentes nos campos do destinatário. A expansão do destinatário destina-se a ajudar a mitigar este facto ao devolver mensagens que podem conter formatos de texto diferentes. Assim, impedir a expansão do destinatário pode fazer com que a consulta de pesquisa não devolva todos os itens que possam ser relevantes para a sua investigação.
A expansão do destinatário não foi concebida para suportar cenários que envolvam alterações de nome de utilizador e alias. Se o SMTP/UPN de um utilizador for alterado, Microsoft Entra ID poderá não encontrar o utilizador, o que leva a resultados de pesquisa incompletos. Além disso, o LegacyExchangeDN, que raramente muda, pode não estar presente no substrato para todos os itens de e-mail. A expansão do destinatário apenas processa casos em que o cliente utiliza LegacyExchangeDN em vez de SMTP. Se o endereço SMTP for alterado, mas o LegacyExchangeDN não for alterado, a expansão do destinatário não ajudará e terá de localizar e utilizar manualmente todas as variações destes endereços. Esta limitação pode levar os utilizadores a acreditar erradamente que a expansão do destinatário deteta todas as variações, incluindo alterações de nome e SMTP.
Quando utiliza a condição De com a condição de igual (=), apenas o nome a apresentar é consultado no índice. Isto significa que, se utilizar um endereço SMTP nas condições De ou Remetente , a pesquisa devolve um resultado se ambas as condições seguintes forem cumpridas:
- O endereço SMTP utilizado na condição corresponde a um utilizador ativo ou inativo no Microsoft Entra.
- O nome a apresentar do utilizador ativo ou inativo não foi alterado desde que o item de destino foi enviado ou recebido.
Quando utiliza as condições Remetente ou De numa pesquisa de Deteção de Dados Eletrónicos, o sistema tenta a expansão do destinatário e expande a consulta para incluir o Nome a Apresentar. Se for bem-sucedida, a consulta inclui todos os endereços de e-mail atribuídos ao endereço SMTP do utilizador e ao nome a apresentar do Exchange legado. Se a expansão do destinatário não for bem-sucedida, a pesquisa utiliza apenas o valor fornecido nas condições De e Remetente para procurar no índice. As condições que podem resultar na falha da expansão do destinatário são:
- Utilizadores falecidos sem uma caixa de correio inativa retida.
- Utilizadores ativos ou inativos em que o endereço SMTP já não está presente num objeto.
- Utilizadores ativos ou inativos em que o nome a apresentar foi alterado (quando o nome a apresentar é utilizado com as condições Remetente ou De ).
Em alguns cenários, a expansão do destinatário também pode causar resultados em itens adicionais quando são utilizadas pesquisas na organização. Por exemplo, o nome a apresentar de um utilizador pode fazer parte do nome a apresentar de outro utilizador. Por exemplo, um utilizador pode ter um nome a apresentar de John Doe e outro utilizador pode ter um nome a apresentar de John Doe Jr. Uma pesquisa ao nível da organização pode devolver resultados de ambas as caixas de correio. Considere suprimir a expansão do destinatário neste cenário ao adicionar um período no final do endereço SMTP.
As considerações adicionais incluem que a expansão do destinatário só suporta o envio a partir da sua própria caixa de correio e nenhuma atividade delegada ou de envio como. Confirme que revê os limites relevantes, incluindo a precisão do número máximo de membros do grupo de distribuição e o nível máximo de aninhamento para grupos de distribuição. Os grupos de segurança são suportados e apenas os grupos de distribuição e o grupo de distribuição devem ser válidos quando o e-mail é enviado.
Observação
Se precisar de rever ou reduzir os itens devolvidos por uma consulta de pesquisa devido à expansão do destinatário, considere utilizar as funcionalidades de Deteção de Dados Eletrónicos premium. Você pode pesquisar mensagens (aproveitando a expansão do destinatário), adicioná-las a um conjunto de revisão e, em seguida, usar consultas de conjunto de revisão ou filtros para revisar ou restringir os resultados.
Conteúdo armazenado em caixas de correio do Exchange Online para Descoberta Eletrônica
Utiliza principalmente uma caixa de correio no Exchange Online para armazenar itens relacionados com o e-mail, como mensagens, itens de calendário, tarefas e notas. No entanto, isso está a mudar à medida que mais aplicações baseadas na cloud também armazenam os seus dados na caixa de correio de um utilizador. Uma vantagem de armazenar dados numa caixa de correio é que pode utilizar as ferramentas de pesquisa na Deteção de Dados Eletrónicos para localizar, ver e exportar os dados destas aplicações baseadas na cloud.
Os dados de alguns desses aplicativos são armazenados em pastas ocultas localizadas em uma subárvore de mensagens não interpessoais (não IPM) na caixa de correio. Os dados de outras aplicações baseadas na nuvem podem não ser armazenados na caixa de correio, mas estão associados à caixa de correio e são devolvidos em pesquisas se esses dados corresponderem à consulta de pesquisa. Independentemente de os dados baseados na nuvem serem armazenados ou associados a uma caixa de correio de utilizador, os dados normalmente não são visíveis num cliente de e-mail quando um utilizador abre a respetiva caixa de correio.
A tabela seguinte lista as aplicações que armazenam ou associam dados a uma caixa de correio baseada na nuvem. A tabela também descreve o tipo de conteúdo que cada aplicação produz.
| Aplicativo Microsoft 365 | Descrição |
|---|---|
| Horário das Aulas | Os planos que criar na Agenda de Aulas são armazenados na caixa de correio do Grupo do Microsoft 365 correspondente que é aprovisionado quando cria um novo plano. O alias da caixa de correio de grupo é o nome do plano. |
| Forms* | Forms e respostas a um formulário são armazenadas em ficheiros anexados a mensagens de e-mail e armazenados numa pasta oculta na caixa de correio do utilizador que criou o formulário. Forms criados antes de abril de 2020 são armazenados como um ficheiro PDF. Forms criadas após 2020 são armazenadas como um ficheiro JSON. As respostas a um formulário são armazenadas num ficheiro CSV. Quando você exporta conteúdo de Formulários em um arquivo PST, esses dados estão localizados na pasta ApplicationDataRoot em uma subpasta nomeada com o seguinte GUID (identificado globalmente exclusivo): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Microsoft 365 Copilot e Microsoft 365 Copilot Chat | Todos os dados de atividade copilot (pedidos de utilizador e respostas copilot) gerados em aplicações e serviços suportados do Microsoft 365 são armazenados em caixas de correio depositárias. |
| Grupos do Microsoft 365 | Email mensagens, itens de calendário, contactos (Pessoas), notas e tarefas são armazenados na caixa de correio associada a um grupo do Microsoft 365. |
| Outlook/Exchange Online | Mensagens de email, itens de calendário, contatos (Pessoas), anotações e tarefas são armazenados na caixa de correio de um usuário. |
| Pessoas | Os contatos no aplicativo Pessoas (que são os mesmos contatos que os acessíveis no Outlook) são armazenados na caixa de correio de um usuário. |
| Skype for Business | As conversas do Skype for Business são armazenadas na pasta Histórico da Conversa nas caixas de correio dos usuários. Se a caixa de correio de um participante de uma reunião do Skype for colocada em Suspensão de Litígios ou atribuída a uma política de retenção, os ficheiros anexados a uma reunião serão mantidos na caixa de correio dos participantes. |
| Sway* | Os Sways são armazenados como um arquivo HTML anexado a uma mensagem de email e armazenados em uma pasta oculta na caixa de correio do usuário que criou o sway. Quando exporta conteúdo de Sway num ficheiro PST, estes dados estão localizados na pasta ApplicationDataRoot numa subpasta com o seguinte GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Tarefas | As tarefas no aplicativo Tarefas (que são as mesmas tarefas que podem ser acessadas no Outlook) são armazenadas na caixa de correio de um usuário. |
| Teams | As conversações que fazem parte de um canal do Teams estão associadas à caixa de correio do Teams. As conversações que fazem parte da lista de Conversas no Teams (também denominada 1 x N chats) estão associadas à caixa de correio dos utilizadores que participam no chat. Além disso, as informações de resumo de reuniões e chamadas num canal do Teams estão associadas a caixas de correio de utilizadores que marcaram para a reunião ou chamada. Por isso, ao procurar conteúdos do Teams, pode procurar conteúdos na caixa de correio do Teams em conversações de canal e procurar conteúdos nas caixas de correio dos utilizadores em 1 x N conversas. |
| Tarefas pendentes | As tarefas (chamadas de tarefas pendentes, que são salvas em listas de tarefas pendentes) no aplicativo Tarefas Pendentes são armazenadas na caixa de correio de um usuário. |
| Viva Engage | As conversações e comentários numa comunidade Viva Engage estão associados à caixa de correio do grupo do Microsoft 365, bem como à caixa de correio do utilizador do autor e quaisquer destinatários nomeados (@ mencionados ou utilizadores cc'ed). As mensagens privadas enviadas fora de uma comunidade Viva Engage são armazenadas na caixa de correio dos utilizadores que participam na mensagem privada. |
Observação
* Neste momento, se colocar uma suspensão numa caixa de correio utilizando suspensões em casos de Deteção de Dados Eletrónicos, a suspensão não preserva o conteúdo desta aplicação.