管理員通常需要找出誰知道什麼以及何時知道。 他們需要以最高效和最有效的方式回應有關正在進行或潛在訴訟、內部調查和其他場景的請求。 這些請求通常是緊急的,涉及多個利害關係人團隊,如果不及時完成,會產生重大影響。 瞭解如何尋找正確的資訊,對於系統管理員成功完成搜尋並協助其組織管理與電子檔探索需求相關的風險和成本至關重要。
若要深入瞭解如何在電子檔探索的信箱中尋找內容,請觀看下列影片:
提示
開始使用 Microsoft Security Copilot,探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。
提交電子檔探索要求時,系統管理員通常只會收到部分資訊,以開始收集可能與特定調查相關的內容。 請求可能包括使用者名稱、專案標題、專案處於作用中的粗略日期範圍,僅此而已。 系統管理員必須根據這項資訊建立查詢,以尋找 Microsoft 365 服務中的相關內容,以判斷特定專案或主旨所需的資訊。 瞭解這些服務的資訊儲存和管理方式有助於管理員更有效地快速有效地找到他們需要的內容。
Exchange Online 儲存電子郵件、聊天、會議,以及 Microsoft 365 Copilot 和Microsoft 365 Copilot Chat活動資料 (使用者提示和 Copilot 回應) 。 許多通訊屬性可用來搜尋 Exchange Online 中包含的專案。 某些屬性 ( 例如 From、 Sent、 Subject 和 To ) 是特定專案所獨有的,而且在 SharePoint 和 OneDrive 中搜尋檔案或檔時不相關。 在跨工作負載搜尋時包含這些類型的屬性有時會導致非預期的結果。
例如,若要尋找與特定使用者相關的內容, (使用者 1 和 使用者 2) ,與名為 Tradewinds 的專案相關聯,以及在 2020 年 1 月至 2022 年 1 月期間,您可以使用具有下列屬性的查詢:
- 將使用者 1 和使用者 2 的 Exchange Online 位置新增為案例的資料來源
- 選取 [使用者 1] 和 [使用者 2] 的 Exchange Online 位置作為資料來源。
- 對於 關鍵字,請使用 Tradewinds
- 針對 [日期範圍],請使用 2020 年 1 月 1 日至2022 年 1 月 31 日 的範圍
搜尋可能包含雲端附件的電子郵件或其他信箱內容時,SharePoint 或 OneDrive 中儲存位置的雲端附件連結應該視為郵件檔案的附件,而不是個別的檔。
此行為類似於搜尋傳回內嵌本機附件的電子郵件的方式,這些附件的擷取方式就像它們是電子郵件的一部分一樣。 SharePoint 或 OneDrive 的任何合規性界限都不會反映在回應式訊息中包含的雲端附件集合中。
重要事項
對於電子郵件,當您使用關鍵字時,搜尋會包含主旨、內文,以及與參與者相關的許多屬性。 不過,由於收件者擴充,使用別名或部分別名時,搜尋可能不會傳回預期的結果。 因此,請使用完整的 UPN。
KeyQL 中可搜尋的電子郵件屬性
重要事項
雖然電子郵件訊息可能具有其他 Microsoft 365 服務支援的其他屬性,但電子檔探索搜尋工具僅支援此表格中列出的電子郵件屬性。 您無法在搜尋中包含其他電子郵件訊息屬性。
下表列出使用 Microsoft Purview 入口網站中的電子檔探索 KeyQL 編輯器,或使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 搜尋時支援的電子郵件訊息屬性。 如需支援的條件產生器屬性清單,請參閱 使用條件產生器在電子檔探索中建立搜尋查詢。
此表格包含每一個內容的 property:value 語法範例,以及範例所傳回的搜尋結果說明。 您可以在電子檔探索搜尋的關鍵字方塊中輸入這些 property:value 配對。
注意事項
搜尋電子郵件屬性時,您無法搜尋郵件標頭。 標頭資訊不會為搜尋編製索引。 此外,您無法搜尋指定屬性為空白或空白的項目。 例如,使用 property:value 主題:「 」 配對來搜尋主旨行為空的電子郵件訊息,會傳回零結果。 此限制也適用於搜尋網站和聯絡人屬性。
| Property | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
|---|---|---|---|
| 附件名稱 | 附加至電子郵件訊息的檔案名稱。 | attachmentnames:annualreport.ppt |
具有名為 annualreport.ppt的附加檔案的訊息。 在第二個範例中,使用萬用字元 ( * ) 會傳回附件檔名中包含 annual 一詞的郵件。1 |
| 密件副本 | 電子郵件訊息的密件副本欄位。1 | bcc:pilarp@contoso.com |
所有範例都會傳回 Pilar Pinilla 包含在密件副本欄位中的訊息。 (請參閱收件者擴充) |
| 類別 | 要搜尋的類別。 使用者可以使用 Outlook 或先前稱為 Outlook Web App) 的Outlook 網頁版 (來定義類別。 可能的值為:
|
category:"Red Category" |
在來源信箱中 指派紅色類別 的郵件。 |
| 副本 | 電子郵件訊息的 Cc 欄位。1 | cc:pilarp@contoso.com |
在這兩個範例中,在 Cc 欄位中指定了 Pilar Pinilla 的訊息。 (請參閱收件者擴充) |
| 寄件者 | 電子郵件訊息的寄件者。1 | from:pilarp@contoso.com |
指定使用者傳送的訊息。 (請參閱收件者擴充) |
| HasAttachment | 指出訊息是否有附件。 使用 值 true 或 false。 | from:pilar@contoso.com AND hasattachment:true |
指定使用者傳送的具有附件的訊息。 |
| Importance | 電子郵件訊息的重要性,寄件者可以在傳送訊息時指定。 依預設,訊息會以正常重要性傳送,除非寄件者將重要性設定為 高 或 低。 | importance:high |
標示為高重要性、中重要性或低重要性的郵件。 |
| 是讀取 | 指出是否已讀取訊息。 使用 值 true 或 false。 | isread:true |
第一個範例會傳回 IsRead 屬性設定為 True 的訊息。 第二個範例會傳回 IsRead 屬性設定為 False 的訊息。 |
| ItemClass | 使用此屬性來搜尋貴組織匯入至 Office 365 的特定協力廠商資料類型。 針對此屬性使用下列語法: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
第一個範例會傳回 Subject 屬性中包含單字 “contoso” 的 Facebook 項目。 第二個範例會傳回 Ann Beebe 張貼的 Twitter 專案,其中包含關鍵字片語 「Northwind Traders」。 |
| 類型 | 要搜尋的電子郵件訊息類型。 可能的值: 連絡人 文件 電子郵件 外部資料 傳真 我 期刊 會議 MicrosoftTeams (在 Microsoft Teams) 中傳回聊天、會議和通話中的項目 筆記 帖子 RSS饋送 工作 語音信箱 |
kind:email |
第一個範例會傳回符合搜尋準則的電子郵件訊息。 第二個範例會傳回電子郵件訊息、立即訊息交談 (,包括 Microsoft Teams) 中的商務用 Skype交談和聊天,以及符合搜尋準則的語音訊息。 第三個範例會傳回從符合搜尋條件的協力廠商資料來源 (例如 Twitter、Facebook 和 Cisco Jabber) 匯入至 Microsoft 365 信箱的專案。 如需詳細資訊,請參閱在 Office 365 中封存協力廠商資料。 |
| 參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位是 From、To、Cc 和 Bcc.1 | participants:garthf@contoso.com |
由 傳送或傳送至 garthf@contoso.com的訊息。 第二個範例會傳回 contoso.com 網域中使用者傳送或傳送給使用者的所有訊息。 (請參閱收件者擴充) |
| Received | 收件者收到電子郵件訊息的日期。 | received:2021-04-15 |
2021 年 4 月 15 日收到的訊息。 第二個範例會傳回 2021 年 1 月 1 日至 2021 年 3 月 31 日期間收到的所有訊息。 |
| 收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位是 To、Cc 和 Bcc.1 | recipients:garthf@contoso.com |
發送到 garthf@contoso.com的訊息。 第二個範例會傳回傳送給 contoso.com 網域中任何收件者的郵件。 (請參閱收件者擴充) |
| 寄件日期 | 寄件者傳送電子郵件訊息的日期。 | sent:2021-07-01 |
在指定日期傳送或在指定日期範圍內傳送的訊息。 |
| 大小 | 項目的大小,以位元組為單位。 | size>26214400 |
大於 25 MB 的訊息。 第二個範例會傳回大小為 1 到 1,048,567 個位元組 (1 MB) 的訊息。 |
| 主旨 | 電子郵件訊息主旨行中的文字。
便條: 當您在查詢中使用 Subject 屬性時,搜尋會傳回主旨行包含您要搜尋之文字的所有郵件。 換句話說,查詢不會只傳回那些完全相符的訊息。 例如,如果您搜尋 |
subject:"Quarterly Financials" |
主旨行文字中任何位置包含「季度財務」一詞的郵件。 第二個範例會傳回主旨行中包含 northwind 一詞的所有訊息。 |
| 收件者 | 電子郵件訊息的 [收件者] 欄位。1 | to:annb@contoso.com |
所有範例都會傳回在 To: 行中指定 Ann Beebe 的訊息。 |
注意事項
1 針對收件者屬性的值,您可以使用電子郵件地址 (也稱為使用者主體名稱 (UPN) ) 、顯示名稱或別名來指定使用者。 例如,您可以使用 annb@contoso.com、 annb 或 “Ann Beebe” 來指定使用者 Ann Beebe。
可搜尋的敏感性資料類型
您可以使用 Microsoft Purview 入口網站中的電子檔探索搜尋工具來搜尋儲存在信箱檔中的敏感性數據,例如信用卡號碼或社會安全號碼。 您可以在關鍵詞查詢中使用敏感性資訊類型的屬性和名稱 (或識別碼) 來 SensitiveType 執行此動作。 例如,查詢 SensitiveType:"Credit Card Number" 會傳回包含信用卡號碼的文件。 查詢 SensitiveType:"U.S. Social Security Number (SSN)" 會傳回包含美國社會安全號碼的文件。
若要查看您可以搜尋的敏感性資訊類型清單,請移至 Microsoft Purview 入口網站中的 數據分類>敏感性資訊類型 。 或者,您可以使用安全性 & 合規性 PowerShell 中的 Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。
收件者擴展
信箱是彈性儲存體,連線到信箱的用戶端會控制收件者資訊的某些層面,特別是對於寄件者而言。 用戶端可以選擇 SMTP、 名稱或 LegacyDN 屬性作為寄件者位址。 為了補償用戶端行為和資料儲存方式的變化,電子檔探索搜尋的收件者擴充是一項有用的功能。
通常,某些用戶端建立的寄件者資訊只會儲存寄件者的名稱,例如 John Doe,而不包含 SMTP 位址,例如 johndoe@contoso.com。 此外,具有舊版系統的同盟專案可能只會儲存 LegacyExchangeDN,這是舊版 Exchange 中用來代表信箱或通訊群組清單的唯一識別碼。 聯合系統是指從不同系統或組織整合的訊息或數據,通常涉及使用舊格式或識別碼的遺留系統。
收件者擴充功能透過擴展搜尋來擷取與這些變體一起儲存的內容,解決了搜尋範圍不夠廣的問題。 查詢 Microsoft Entra ID 會展開參與者篩選中指定的任何值。 此擴充包含使用者的電子郵件地址、UPN、別名、顯示名稱和 LegacyExchangeDN。 這種擴展確保搜尋撒下更廣泛的網,無論參與者資訊如何儲存,都可以捕獲所有相關內容,並提高電子取證搜尋的準確性和全面性。
注意事項
收件者擴充無法解決使用者離開且不再存在於 Microsoft Entra ID 中的情況。 在此案例中,系統無法展開身分識別,以包含 UPN、別名或 LegacyExchangeDN 等變化。 為確保完整的搜尋結果,您必須手動包含所有已知識別碼, (例如,在查詢中包含所有已知識別碼,例如已離職使用者) 的先前 SMTP 位址、別名或顯示名稱。
當您搜尋任何收件者屬性 (寄件者、收件者、副本、密件副本、參與者和收件者) 時,Microsoft 365 會嘗試透過在Microsoft Entra ID 中查詢每個使用者來擴充其身分。 如果在Microsoft Entra識別碼中找到使用者,則會展開查詢,以包含使用者的電子郵件地址 (或 UPN) 、別名、顯示名稱和 LegacyExchangeDN。 例如,查詢 (例如 participants:ronnie@contoso.com ) 會展開至 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"。
若要防止收件者擴充,請在電子郵件地址結尾新增萬用字元 (星號) ,並使用縮減的網域名稱;例如, participants:"ronnie@contoco*" 請務必用雙引號將電子郵件地址括起來。
防止搜尋查詢中的收件者展開可能會導致搜尋結果中未傳回相關專案。 Exchange 中的 Email 訊息可以在收件者欄位中以不同的文字格式儲存。 收件者擴充旨在透過傳回可能包含不同文字格式的訊息來協助減輕此事實。 因此,防止收件者擴充可能會導致搜尋查詢不會傳回可能與您的調查相關的所有專案。
收件者擴充並非設計為支援涉及使用者名稱和別名變更的案例。 如果使用者的 SMTP/UPN 變更,Microsoft Entra ID 可能找不到使用者,導致搜尋結果不完整。 此外,很少變更的 LegacyExchangeDN 可能不會出現在所有電子郵件專案的基質中。 收件者擴充只會處理用戶端使用 LegacyExchangeDN 而不是 SMTP 的情況。 如果 SMTP 位址變更,但 LegacyExchangeDN 沒有變更,則收件者擴充不會有任何幫助,而且您必須手動尋找並使用這些位址的所有變化。 此限制可能會導致使用者錯誤地認為收件者擴充會捕獲所有變體,包括名稱和 SMTP 變更。
當您將 [從 ] 條件搭配相 等 條件 (=) 時,索引中只能查詢顯示名稱。 這表示如果您在 「寄件者 」或「 寄件者 」條件中使用 SMTP 位址,如果同時符合下列兩個條件,搜尋會傳回結果:
- 條件中使用的 SMTP 位址符合 Microsoft Entra 中的作用中或非作用中使用者。
- 自從傳送或接收目標項目以來,作用中或非作用中使用者的顯示名稱未變更。
當您在電子檔探索搜尋中使用 [寄件者] 或 [寄件者] 條件時,系統會嘗試收件者展開,並展開查詢以包含 [顯示名稱]。 如果成功,查詢會包含指派給使用者 SMTP 位址和舊版 Exchange 顯示名稱的所有電子郵件地址。 如果收件者擴充不成功,搜尋只會使用 [ 寄件者 ] 和 [ 寄件者 ] 條件中提供的值來搜尋索引。 可能導致收件者擴充失敗的條件包括:
- 沒有保留非作用中信箱的離職使用者。
- SMTP 位址不再存在於物件上的作用中或非作用中使用者。
- 顯示名稱已變更 (顯示名稱與寄件者或寄件者條件) 一起使用時的作用中或非作用中使用者。
在某些情況下,使用組織搜尋時,收件者擴充也可能導致其他專案命中。 例如,一個使用者的顯示名稱可能構成另一個使用者顯示名稱的一部分。 例如,使用者的顯示名稱可能為 John Doe ,而另一個使用者的顯示名稱可能為 John Doe Jr。整個組織的搜尋可能會從這兩個信箱傳回結果點擊。 在此案例中,請考慮在 SMTP 位址結尾新增句點,以抑制收件者擴充。
其他考量包括收件者擴充僅支援從您自己的信箱傳送,而不支援委派或傳送身分活動。 請務必檢閱相關限制,包括通訊群組成員數目上限的精確度,以及通訊群組巢狀層級上限。 支援安全性群組,而且傳送電子郵件時,只有通訊群組和通訊群組應該有效。
注意事項
如果您需要檢閱或減少搜尋查詢因收件者擴充而傳回的專案,請考慮使用進階電子檔探索功能。 您可以利用收件者展開) 搜尋郵件 (、將它們新增至檢閱集,然後使用檢閱集查詢或篩選來檢閱或縮小結果範圍。
儲存在 Exchange Online 信箱中的內容,以進行電子檔探索
您主要使用 Exchange Online 中的信箱來儲存電子郵件相關專案,例如訊息、行事曆專案、工作和筆記。 但隨著越來越多的基於雲的應用程序也將其數據存儲在用戶的郵箱中,這種情況正在改變。 將數據儲存在信箱中的其中一個優點是,您可以使用電子檔探索中的搜尋工具,從這些雲端式應用程式尋找、檢視及匯出數據。
其中一些應用程式的資料儲存在位於信箱中非人際訊息 (非 IPM) 子樹狀結構中的隱藏資料夾中。 來自其他雲端式應用程式的資料可能不會儲存在信箱 中 ,但它 會與信箱相關聯 ,如果該資料符合搜尋查詢,則會在搜尋中傳回。 無論雲端式資料是否儲存在使用者信箱中或與使用者信箱相關聯,當使用者開啟其信箱時,資料通常不會在電子郵件用戶端中可見。
下表列出儲存資料或將資料與雲端信箱產生關聯的應用程式。 此表格也會說明每個應用程式所產生的內容類型。
| Microsoft 365 應用程式 | 描述 |
|---|---|
| 上課時間表 | 您在課程表中建立的計劃會儲存在您建立新計劃時布建的對應 Microsoft 365 群組的信箱中。 群組信箱的別名是方案的名稱。 |
| 表單* | Forms 和表單的回應會儲存在附加至電子郵件訊息的檔案中,並儲存在建立表單之使用者信箱中的隱藏資料夾中。 2020 年 4 月之前建立的 Forms 會儲存為 PDF 檔案。 2020年之後建立的Forms會儲存為JSON檔案。 對表單的回應會儲存在 CSV 檔案中。 當您從 PST 檔案中的 Forms 匯出內容時,此資料位於 ApplicationDataRoot 資料夾中的子資料夾中,該子資料夾以下列全域唯一識別的 (GUID) 命名:c9a559d2-7aab-4f13-a6ed-e7e9c52aec87。 |
| Microsoft 365 Copilot 和 Microsoft 365 Copilot Chat | 在支援的 Microsoft 365 應用程式和服務中產生的所有 Copilot 活動資料 (使用者提示和 Copilot 回應) 都會儲存在監管人信箱中。 |
| Microsoft 365 群組 | Email訊息、行事曆項目、連絡人 (人員) 、筆記和工作會儲存在與 Microsoft 365 群組相關聯的信箱中。 |
| Outlook/Exchange Online | Email訊息、行事曆項目、連絡人 (人員) 、筆記和工作都會儲存在使用者的信箱中。 |
| People | 人員 應用程式中的連絡人 (與 Outlook) 中可存取的連絡人相同,儲存在使用者的信箱中。 |
| 商務用 Skype | 商務商務用 Skype 中的交談會儲存在使用者信箱的 [交談歷程記錄] 資料夾中。 如果 Skype 會議參與者的信箱處於 訴訟保留 狀態或指派給 保留原則,則附加至會議的檔案會保留在參與者信箱中。 |
| Sway* | Sway 會儲存為附加至電子郵件訊息的 HTML 檔案,並儲存在建立 Sway 之使用者信箱中的隱藏資料夾中。 當您在 PST 檔案中從 Sway 匯出內容時,此資料位於 ApplicationDataRoot 資料夾中,位於以下列 GUID 命名的子資料夾中:905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba。 |
| 工作 | 工作應用程式中的工作 (與 Outlook) 中可存取的工作相同,儲存在使用者的信箱中。 |
| Teams | 屬於 Teams 頻道一部分的交談會與 Teams 信箱相關聯。 屬於 Teams 中聊天清單一部分的交談 (也稱為 1 x N 聊天) 與參與聊天之使用者的信箱相關聯。 此外,Teams 頻道中會議和通話的摘要資訊會與撥入會議或通話的使用者信箱相關聯。 因此,搜尋 Teams 內容時,您會在 Teams 信箱中搜尋頻道交談中的內容,並在使用者信箱中搜尋 1 x N 聊天中的內容。 |
| To-Do | 任務 (稱為 待辦事項,保存在待辦事項清單中,) 在 To-Do 應用程式中儲存在使用者的郵箱中。 |
| Viva Engage | Viva Engage社群內的交談和註解會與Microsoft 365群組信箱,以及作者的使用者信箱,以及任何具名收件者 (@提及或抄送使用者) 相關聯。 在 Viva Engage 社群外部傳送的私人訊息會儲存在參與私人訊息之使用者的信箱中。 |
注意事項
* 目前,如果您在電子檔探索案例中使用保留來保留信箱,則保留不會保留此應用程式的內容。