共用方式為

在電子發現中建立案件搜尋

在 eDiscovery 中搜尋,可以找到與案件相關的現場內容,如電子郵件、文件及即時通訊對話。 使用搜尋功能在這些雲端 Microsoft 365 資料來源中尋找內容:

  • Exchange Online 信箱
  • SharePoint 網站
  • OneDrive 帳戶
  • Microsoft Teams
  • Microsoft 365 群組
  • Viva Engage

你可以建立並執行與案件相關的各種搜尋。 利用關鍵字等條件來建立搜尋查詢,回傳與案件最相關的資料。 您也可以:

  • 查看搜尋統計數據,可能幫助你精細搜尋關鍵字以縮小搜尋範圍。
  • 預覽搜尋結果以快速驗證是否找到相關資料。
  • 修改查詢,然後重新執行搜尋。

在你搜尋並找到與調查相關的資料後,你可以將結果送入審查集進行進一步調查,或匯出給調查團隊外的人員審查。

注意事項

對於擁有歐盟通用資料保護法規 (GDPR) 要求以保護及促進歐盟 (歐盟) 內個人隱私權的組織,您也可以管理對組織內人員提交的資料主體請求 (DSR) 調查。 使用者資料搜尋案件工具已退役,其功能已與電子發現合併。 你現在可以使用搜尋功能,在所有支援 eDiscovery 搜尋的地點找到支援 DSR 的內容。

提示

立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。

搜尋技巧

  • 所有搜尋的時區均為協調世界時 (UTC) 。 你無法更改組織的時區。 搜尋檢視中的時區顯示設定只適用於 資料 欄的數值,不會影響收集項目的時間戳記。

  • 關鍵字搜尋並不區分大小寫。 例如, catCAT 會回傳相同的結果。

  • 布林運算子 ANDORNOTNEAR 必須使用大寫字母。

    重要事項

    請在 KeyQL 條件欄位中使用這些運算子。 搜尋在 關鍵字 條件欄位中不支援這些運算子。 搜尋會將這些運算子視為字面上的關鍵字。

  • 使用引號可以阻止萬用牌和引號內的任何操作。

  • 兩個關鍵字或兩個 property:value 表達式之間的空格,等同於使用 OR。 例如,回 from:"Sara Davis" subject:reorganization 傳所有由 Sara Davis 發送的訊息,或主旨行中包含「重組」一詞的訊息。 然而,在單一查詢中混合使用空格與 OR 條件句,可能會導致意想不到的結果。 在單一查詢中使用空格或 OR

  • 使用與格式相符 property:value 的語法。 值不區分大小寫,且在運算元後面不能有空格。 如果有空格,你的目標值是全文搜尋。 例如 to: pilarp ,搜尋「pilarp」作為關鍵字,而非發送到 pilarp 的訊息。

  • 在搜尋收件人屬性(如收件人、寄件人、副本或收件人)時,可以使用 SMTP 地址、別名或顯示名稱來表示收件人。 例如,你可以使用 pilarp@contoso.com、pilarp 或「Pilar Pinilla」。

  • 你只能使用前綴搜尋;例如, cat*set*。 不支援 (*cat) 的後綴搜尋、c *t) (的中綴搜尋,以及 (*cat*) 的子字串搜尋。

  • 搜尋物件時,若搜尋值包含多個字,請使用雙引號 (“ ”) 。 例如,回 subject:budget Q1 傳主旨行包含 預算 且訊息中任何訊息屬性中包含 Q1 的訊息。 使用後 subject:"budget Q1" ,主旨行中包含 預算Q1 的所有訊息都會回傳。

  • 若要排除標示特定房產價值的內容,請在房產名稱前加 (-) 負號。 例如,排除 -from:"Sara Davis" Sara Davis 發送的任何訊息。

  • 你可以根據訊息類型匯出商品。 例如,若要匯出 Microsoft Teams 中的 Skype 對話與聊天,請使用 語法 kind:im。 若要只回覆電子郵件,請使用 kind:email。 若要在 Microsoft Teams 中回傳聊天、會議和通話,請使用 kind:microsoftteams

  • 搜尋網站時,使用該屬性只返回指定網站的項目時,必須在網址path末尾加上尾部/。 如果沒有包含尾段 /,則來自路徑名稱相似網站的物品也會被回傳。 例如,如果你使用path:sites/HelloWorld了來自網站的sites/HelloWorld_Eastsites/HelloWorld_West物品,或是退回的。 若要只從 HelloWorld 網站退貨,必須使用 path:sites/HelloWorld/.

  • 你必須在搜尋查詢中定義 查詢語言-國家/地區 ,才能收集內容。

  • 在「 已發送 」資料夾中搜尋電子郵件時,搜尋不支援使用寄件人 SMTP 地址。 「已發送」資料夾中的項目僅包含顯示名稱。

建立搜尋查詢

提示

你比較喜歡互動式配置指南的體驗嗎? 請參考 「設計搜尋 指南」。

當你建立新案件時,系統會自動導向案件中的 搜尋 標籤,並準備為該案件建立搜尋。 您也可以在您的組織中的內容搜尋案例中建立新的搜尋。 搜尋能幫助你找到想收集的物品。

  1. 選擇 在案件中建立搜尋 或內容搜尋案件。 如果這個新案件沒有先前的搜尋紀錄,你也可以在主窗格開始搜尋相關資料的選項中選擇「建立搜尋」。

  2. 在「 輸入詳情開始 」頁面,請填寫以下欄位:

    • 搜尋名稱:為搜尋命名 () 。 搜尋名稱必須在你的組織中獨一無二。
    • 搜尋說明:新增可選描述,幫助他人理解此搜尋。

  3. 選擇 建立 以建立新搜尋,並開始查詢以尋找案件相關的資料。

  4. 在搜尋的 查詢 標籤中,新增搜尋資料來源。 若要將資料來源加入搜尋查詢,請參閱 eDiscovery 中的資料來源 ,以獲得逐步指引。

  5. 選擇 「管理 」以更新與所選來源相關的信箱或網站。 否則,選擇 儲存並關閉

  6. 檢視您的選擇,並確認每個資料來源所包含的資源。 選取 [儲存]。 你已經鎖定了搜尋查詢所檢視的資料來源。

  7. 資料來源 區塊中,選擇任何資料來源的橢圓選單,以取得該資料來源的管理選項。

    管理選項請從以下選項中選擇:

    • 管理資料來源:為所選使用者或網站管理資料來源。
    • 停用信箱:為所選使用者或網站關閉信箱。 再次選擇此選項以啟用使用者或網站的信箱。
    • 停用網站:為所選使用者或網站停用該網站。 再次選擇此選項以啟用該網站或該用戶。
    • 頻繁協作者:為經常與該使用者協作的使用者選擇相關的信箱與網站。
    • 管理員:選擇使用者管理員的相關信箱與網站。
    • 直接下屬:選擇使用者直接下屬的相關信箱與網站。
    • 使用者擁有的群組:選擇使用者擁有的群組的相關信箱與網站。
    • 使用者所屬群組:選擇使用者所屬群組的相關信箱與網站。

    對於群組來源,請從以下選項中選擇:

    • 成員:選擇與群組成員相關的信箱和網站。

  8. 使用 資料來源 指令列控制項來新增、更新、同步,並視需要搜尋其他資料來源進行搜尋。

    • 搜尋並新增:選擇 + 圖示以新增資料來源。
    • 管理:選擇鉛筆圖示以管理指派的資料來源。
    • 同步:選擇同步圖示以同步資料來源,並更新與組織中最新的資料來源。
    • 搜尋:選擇搜尋圖示以搜尋目前包含在查詢中的資料來源。

  9. 要定義搜尋查詢的參數,請在 查詢 標籤中選擇以下選項:

    • 條件建構器:搜尋中的 條件建構 器選項提供使用者簡單的搜尋體驗,方便使用者使用。 使用關鍵字或自訂條件來聚焦搜尋查詢範圍。 此外,你也可以使用搜尋中的關鍵字查詢語言 (KeyQL) 查詢條件選項,提供指引,讓你能快速將冗長複雜的查詢直接貼上到編輯器中。 它也幫助你從零建立搜尋查詢,辨識潛在錯誤並顯示解決問題的提示。

      你也可以使用 Microsoft Security Copilot 快速建立 KeyQL 查詢。 如需指引,請參閱本文 以下章節

    • 以檔案搜尋 (預覽) :上傳一個或多個檔案,以尋找特定案件相關或相似的內容。 使用審計活動 csv 來尋找特定使用者在特定時間內的相關訊息與檔案。 或者提供範例證據以尋找相似內容。 每個檔案最大檔案大小限制為 10 MB,檔案可為 csv 或 txt。 以檔案搜尋時,查詢建置與 KeyQL 選項被禁用。

  10. 選取 [執行查詢]。 如果你想儲存你設定的查詢參數並稍後執行查詢,請選擇 另存為草稿

以檔案搜尋 (預覽)

注意事項

此功能目前處於早期預覽階段。 請檢查審查集或匯出結果以確保完整性與精確性。 在預覽期間,Microsoft 保留根據回饋進行修改或終止此功能的權利。

此功能在兩方面協助電子發現調查人員:

依相似檔案搜尋

在當今數位職場中,重要文件經常被複製、修改並移動,以存放於多個地點。 當調查人員擁有範例文件並希望尋找相似內容時,此功能會分析上傳的範例證據檔以萃取最獨特的詞彙,並自動產生查詢以尋找概念相似的檔案。 此功能對於辨識專門或獨特文件的變體特別有用,因為這些文件在手動查詢表述中較為困難。

透過稽核日誌搜尋

對於涉及稽核日誌的調查,此功能接受輸入的稽核日誌 CSV。 它利用稽核日誌條目,例如已發送的訊息或存取的文件,來尋找搜尋範圍內的相關檔案。 它利用稽核日誌中的資訊,如識別碼或地點,來尋找匹配的文件或訊息。 此功能使調查人員能將稽核活動與租戶中相關內容連結。

在這兩種情況下,當你將項目加入審查集時,匹配的項目會被歸類在輸入證據檔案或稽核日誌下,方便審查。

建立KeyQL搜尋查詢並Microsoft Copilot (預覽)

搜尋中的「自然語言查詢」 (預覽) KeyQL 建構器選項,讓你能利用自然語言和Microsoft Security Copilot快速產生關鍵字查詢語言 (KeyQL) 語句。 使用建構器構建具有額外功能的複雜查詢,包括 AND、OR 及條件分組,同時使用自然語言提示。

這個功能幫助你更容易建立查詢,透過使用預設的提示來建立,例如情境。 它也讓你能精煉和強化自訂提示,以達到更準確的搜尋查詢。 你也可以選擇以提示建議作為起點,建立並精煉針對常見或自訂搜尋情境的 KeyQL 查詢。

要用 Copilot 建立搜尋查詢,請完成以下步驟:

  1. 在你為查詢選擇資料來源後,選擇 「用 Copilot 草擬查詢」。
  2. 自然語言提示 窗格中,請選擇以下選項之一:
    • 請輸入你的搜尋問題。 你可以依情況加入使用者、資料來源及其他內容細節。
    • 選擇 「檢視提示」 以選擇以下其中一個提示建議:
      • 找到所有包含預算與財務字眼的電子郵件,並附上附件
      • 搜尋2020年1月內所有包含「財政年度」一詞的聊天
      • 搜尋包含機密與預算等詞彙的類型 .docx 檔案
  3. 複習自然語言題目。 要用 Copilot 精煉提示,請選擇精
  4. 提示確定後,選擇產生 KeyQL
  5. 請在關鍵字查詢語言 (KeyQL) 結果欄目中檢視KeyQL查詢。 如果你需要精煉 KeyQL 查詢結果,可以在自然語言提示面板中更新提示,並再次選擇產生 KeyQL。 1. 當 KeyQL 結果確定後,選擇複製 KeyQL
  6. 將KeyQL結果貼上關鍵字查詢語言 (KeyQL) 標籤的查詢欄位。你可以用 Copilot 關閉 Draft a query
  7. 選取 [執行查詢]。 如果你想儲存你設定的查詢參數並稍後執行查詢,請選擇 另存為草稿

執行搜尋查詢

在手動或使用 Security Copilot 建立搜尋查詢後,執行該查詢以產生搜尋結果。

要執行搜尋查詢,請完成以下步驟:

  1. 前往 Microsoft Purview 入口網站 ,並用已分配 eDiscovery 權限的使用者帳號憑證登入。

  2. 選擇 電子發現 解決方案卡片,然後在左側導覽中選擇 案件 (預覽)

  3. 選取案例。 在搜尋標籤中,選擇已儲存 搜尋。

  4. 選取 [執行查詢]

  5. 選擇 「執行查詢」後,你會看到 「選擇搜尋結果 」的跳板。 選擇你想為查詢產生的視圖及其設定。 您可以選擇 統計 資料或 範例 檢視:

    • 統計:此視圖生成依主要指標排列的收集數據估計摘要。 請選擇以下一項或多項選項:

    • 包含分類:細化你的視角,包含人物、敏感資訊類型、項目類型及錯誤。

    • 包含查詢關鍵字報告:評估搜尋查詢不同部分的相關性。

    • 調查部分索引項目:部分索引項目通常佔數據來源中約1%的內容數量。 選擇此選項 (且僅此選項) ,會產生 (項目數量及部分索引項目位置) 的摘要資訊,涵蓋選取資料來源中部分索引的項目。 部分編目項目不會被重新索引或處理。 為了進一步處理範圍資料來源中部分索引的項目,請考慮以下進階索引選項:

      • 沒有搜尋結果的地點排除部分索引項目:選擇此額外選項可縮小部分索引項目的範圍, (或若選擇進階索引選項,) 則限制部分索引項目僅包含與搜尋相關項目的資料來源。 這會排除部分索引的項目,這些項目不包含與你的搜尋相關的資料來源。

        例如,你選擇多個信箱、SharePoint 網站和 OneDrive 網站作為搜尋資料來源。 搜尋執行時,只有少數信箱和網站有與搜尋條件相關的項目被索引,其他信箱和網站都沒有原生索引的相關項目。 若選擇此選項,郵箱中部分索引的項目及包含與搜尋相關的原生索引項目的網站,將包含在搜尋統計結果中。 信箱和網站上未包含任何原生索引項目、與搜尋相關的部分索引項目會被忽略,且不會在搜尋統計結果中報告。

      • 對部分索引項目進行進階索引:進階索引的範圍取決於你是否選擇「 排除部分索引項目於無搜尋結果 的位置」。 進階索引流程會執行部分索引項目的統計樣本,判斷這些項目是否符合查詢:

        • 透過排除部分索引項目於無搜尋結果的位置」選項選取:此設定僅適用於部分索引項目,且資料來源的索引項目與搜尋查詢完全一致。 這些項目會被抽樣、索引,匹配搜尋查詢的項目會依適用) 顯示在搜尋統計 (中。
        • 選擇「排除部分索引項目於無搜尋結果地點」選項:此設定適用於所有資料來源中所有部分索引項目。 所有項目都會被抽樣、索引,符合搜尋查詢的項目會依適用) 顯示在搜尋統計 (中。

        重要事項

        此功能不適用於 限量格式 的案件。

    • 範例:此視圖會產生完整搜尋結果的代表性選擇。 定義以下選項的參數:

      • 選擇每個地點要產生的樣本數量:選擇 110100
      • 選擇要取樣的地點數量:選擇10100100010000

  6. eDiscovery 的租戶範圍來源設定選項允許您在組織範圍內搜尋時加入更多資料來源。 新增更多資料來源可能會導致搜尋時間比平常更長。

    將組織範圍的來源「所有人員與群組」配置為包含一種或多種使用者或內容類型:

    • 「所有個人與團體」應包含未授權及本地用戶
    • 「所有人員與群組」應該包含訪客用戶
    • 「所有人員與群組」應包含共用的 Teams 頻道
    • 「所有個人與團體」應包含已離職的使用者

    重要事項

    對於大型組織而言,跨所有 Exchange 郵箱與 SharePoint 網站進行租戶範圍的搜尋是長期執行的流程。 服務限速會影響可搜尋的信箱和網站數量。 在執行這些租戶範圍搜尋前,請先查閱 《電子發現限制 》中的規模限制與吞吐量指引,並計劃依適用時間分批進行搜尋。 為提升效能與操作性,應將搜尋劃分為範圍化的搜尋,並依 照區域 、事業單位或部門 () ,使每次搜尋針對部分郵箱與站點。

  7. 選擇 執行查詢 即可立即執行查詢。

根據你選擇的查詢檢視選項,你會自動被導向 統計範例 標籤。搜尋查詢評估開始,並計算剩餘處理時間。 欲了解更多關於評估與微調搜尋結果的資訊,請參閱 「檢視與評估搜尋結果」。

在某些情況下,基於現有搜尋建立新搜尋可能會有幫助。 此方法保留原始資料來源與搜尋,同時進行修改以取得新的搜尋統計,且不改變原始搜尋內容。 當你建立重複搜尋時,你會保留所有資料來源和原始搜尋的搜尋結果,並保留在新的搜尋中。 這種方法保留了原始搜尋的完整性,並讓你能探索新的洞見。

要從現有搜尋建立新搜尋,請完成以下步驟:

  1. 選取案例。 在 搜尋 標籤中,開啟搜尋。
  2. 選取 [複製]
  3. 在同一情況下,會自動建立新的搜尋。

新的搜尋名稱包含來源搜尋標題,標題前綴 為 Copy , 並附上時間戳記。 例如,如果原始搜尋標題是 「搜尋預算郵件」,新的搜尋標題則是 「搜尋預算郵件副本」+時間戳記。 要編輯新的搜尋標題,請選擇標題文字旁的編輯控制項。

從現有的保留建立新的搜尋

在某些情況下,基於現有的保留建立新的搜尋可能會有幫助。 這種方法允許你使用原始資料來源和保留時的搜尋,重新執行新的搜尋。 當你從現有的保留建立搜尋時,你會保留所有資料來源和該保留的搜尋資料。

注意事項

要從現有的保留建立搜尋,必須指定合規 搜尋 角色。 如需新增使用者至角色群組的詳細資訊,請參閱 指派電子文件探索權限

要從現有的保留建立新的搜尋,請完成以下步驟:

  1. 選取案例。 在 「預留政策 」分頁,選擇並開啟預留政策。
  2. 選擇 建立搜尋
  3. 新搜尋會自動建立,你也會自動被導向新的搜尋。

新的搜尋名稱包含來源持有政策名稱,標題前綴為 Copy of ,並加上時間戳記。 例如,如果原始保留政策標題為 「保留以保留 Contoso 專案」,新的搜尋標題則是 「保留副本以保留 Contoso 專案」+ 時間戳記。 要編輯新的搜尋標題,請選擇標題文字旁的編輯控制項。

如果你需要減少與案件相關的先前搜尋次數,可以在電子發現中刪除特定搜尋。 若搜尋包含相關的匯出與審查集,這些匯出與審查集的歷史仍可在 流程管理器稽核日誌中查閱。

要刪除案件中的現有搜尋,請完成以下步驟:

  1. 選擇一個案件,並選擇搜尋來刪除。
  2. 在搜尋頁面右上角選擇省略號 (...) ,然後選擇 刪除搜尋
  3. 刪除搜尋對話框中選擇「是」以刪除案件中的搜尋內容。

注意事項

你無法在 程序 進行中刪除搜尋。 等所有程序完成後再刪除搜尋。

  • Last updated on