條件建構器提供簡便易用的搜尋體驗,方便你在 eDiscovery 中建立搜尋查詢。 在搜尋與審查集中使用條件建構器,構建簡單與複雜的關鍵字查詢、帶有運算符 (AND、或) ,或兩者兼具的查詢,以協助識別組織中的項目。
提示
立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。
使用 Condition Builder
要建立查詢並自訂條件篩選,請使用以下控制項:
關鍵字條件總是作為查詢的第一個條件,讓你輕鬆開始搜尋任務。 此條件僅支援 Equal 運算子,並可透過 Delete 從查詢中移除。 在關鍵字條件的值欄位,套用邏輯運算子如 AND、OR 和 NEAR。 例如,輸入
red AND blueAND 會被視為邏輯運算子,而非字面關鍵字。 要搜尋像"red and blue"這樣的精確片語,請用引號包住文字。 這會告訴搜尋引擎將文字視為單一字串。 你也可以在鍵盤上選擇 Enter 鍵,為下一個關鍵字建立新的格子。 如果你貼上一個以換行 () 的關鍵字清單,系統會自動為每個關鍵字產生獨立的格子。當使用條件建構器輸入多個關鍵字區段時,查詢可轉換為 KeyQL,且每個關鍵字區段以 c:s 分隔。 如果你的查詢包含多個關鍵字條件,結果的 KeyQL 會包含 c:s 以確保關鍵字細分,讓你看到每個區段的點擊率。 這種行為是自動發生的,不需要在 KeyQL 建構器中手動輸入 c:s。
注意事項
要在 統計 檢視中產生關鍵字報告,您必須填入至少兩個或以上的關鍵字網格。 如果你只輸入一個關鍵字,顯示的總點擊數會反映該關鍵字的結果,且不會產生關鍵字報告。
新增條件:為搜尋的特定資料來源新增條件。 若要在查詢中新增額外條件,請選擇 新增條件 以顯示可用條件清單。 每個條件值選擇都會為你的查詢加入一個新的條件。 請依情況選擇 AND/OR 運算子。
AND/OR:這些條件邏輯運算子讓你能選擇適用於特定條件的查詢操作。 這些運算子讓你使用與查詢相連結的多種條件。 關鍵字 條件後 的運算子必須是 AND。
選擇運算子:根據所選條件,可選擇與該條件相容的運算子。 例如,如果你選擇 日期 條件,可用的運算子是 「之前」、「 之後」和 「中間」。 如果你選擇「 大小 ((位元) 組) 」條件,可用運算子為: 大於、 大或等、 小於、 小或等、 介於中間,以及 相等。
價值:根據所選條件,符合條件的值會顯示在值細節窗格中,或你也可以內嵌新增。 根據與該值相關的條件類型,你會看到定義、篩選或搜尋與所選條件相關的值的選項。 例如,如果你選擇「 寄件人 」作為條件,你可以搜尋並新增組織內或外部使用者的特定使用者。 如果你選擇「 大小 ((位元) 組) 」作為條件,你會看到輸入大小的數字作為值的選項。 如果值是空白,值欄位邊框會以紅色顯示,幫助你通知需要某個值。
刪除篩選條件:要移除單一條件,請選擇每個篩選器行右側的刪除圖示。
清除篩選器值: 要清除特定條件的值,請選擇每個篩選器線右側的移除圖示。
另存為草稿:要將目前的條件集儲存為草稿,請在條件建構區上方選擇「 另存為草稿 」。
棄置:若要捨棄搜尋中所做的任何變更,包括條件和資料來源,請在條件建構器區域上方選擇 棄置 。
使用條件的指引
使用搜尋條件時請留意以下指引:
- 條件邏輯上連接關鍵字查詢, (由 AND 運算子) 的關鍵字條件中指定。 這種連結意味著項目必須同時滿足關鍵字查詢與結果中包含的條件。
- 所有緊隨 關鍵字 條件後的條件都會被歸為一組。
- 如果你在搜尋查詢中加入兩個或多個獨特條件, (條件指定不同的屬性) ,這些條件會透過 AND 和 OR 運算子邏輯連接。 這種連結意味著搜尋只會回傳符合所有條件的項目, (以及任何關鍵字查詢) 。
- 如果你在單一條件上加上多個以逗號或分號分隔的值,) (以逗號或分號分隔,這些值就會透過 OR 運算子連接起來。 這種連結表示只要項目包含條件中指定的屬性值,搜尋就會回傳。
- 任何使用包含 Contains 與 Equals 操作邏輯的條件,對於簡單字串搜尋也會回傳類似的搜尋結果。 簡單的字串搜尋是指條件中不包含萬用字元的字串。 例如,使用 Eequix 的條件 與使用 Contains 任意 的條件會回傳相同的項目。
- 你使用關鍵字框和條件建立的搜尋查詢會出現在 搜尋 頁面的詳細資料窗格中,針對所選搜尋。 在查詢中,符號
(c:c)右側的所有東西都顯示你要加入查詢的條件。 不要在手動輸入的查詢中使用(c:c)。(c:c)不等於 AND 或 OR。
尋找並選擇條件
當你在條件建構器中選擇 「新增條件 」時,你可以快速存取一些常用條件,例如 日期、 主題/標題、 參與者 ,以及你最近使用的條件。 選擇 「顯示更多 」,以及 「選擇要新增哪些條件 」的畫面會幫助你用具體條件來篩選搜尋查詢。 請利用以下章節中的選項協助您選擇適用的條件。
濾水器區域條件
快速篩選條件檢視中的信箱與網站屬性,協助找到搜尋查詢所需的特定條件。 篩選以下全域群組中的可用條件:
- 全部:顯示所有病症及病症組別。
- 共通:僅篩選並顯示適用於郵箱與網站的條件。
- 交換信箱:僅篩選並顯示適用於信箱的條件。
- SharePoint 與 OneDrive 網站:僅篩選並顯示適用於 SharePoint 與 OneDrive 網站的條件。
條件選擇器
若要快速搜尋特定病症,請使用 「告訴我們你在找什麼 」欄位輸入該病症名稱。 結果會自動依全域群組的篩選範圍範圍進行。 例如,要搜尋任何名為 Type (或條件名稱) 中包含 type 這個詞的條件,請選擇全域篩選器,然後在「告訴我們你要找什麼」欄位輸入 type。 條件檢視會回傳包含該術 語類型的所有條件群組中的所有條件。 選擇適用條件加入您的搜尋查詢。
重要事項
你只能在條件建構器中各使用一次關鍵字和KeyQL 條件。
情境範例
電子發現管理員需要建立查詢,以查找 User1 寄給 User2 的電子郵件,這些郵件在 2024 年 9 月 15 日至 2024 年 10 月 15 日之間,包含 「合規 」和 「稽核」這兩個關鍵字。 在此範例中,管理員使用新的查詢建構器建立以下查詢:
- 在第一個篩選條件中,管理員使用 關鍵字 條件、 等 值運算子及 合規性審核 作為關鍵字 值。
- 接著,管理員選擇新增條件,選擇發送者,然後選擇「包含任意」操作符,最後輸入User1@contoso.com「值」欄位。 這可能包括外部使用者。
- 接著,管理員選擇新增條件,選擇 To 篩選,然後選擇 Contains any of operator,接著在 Value 欄位選擇User2@contoso.com。 這可能包括外部使用者。
- 要定義日期範圍,管理員選擇「新增條件」,選擇「日期」,再選擇「中間」運算子,最後選擇值的起始日期與結束日期。
- 最後,管理員選擇 執行查詢 以回傳符合條件及其值的結果。
使用搜尋條件
你可以在搜尋查詢中加入條件,縮小搜尋範圍並回傳更精細的結果集。 每個條件都會在 KeyQL 搜尋查詢中加入一個子句,當你開始搜尋時會建立並執行。
特殊角色
有些特殊字元不包含在搜尋索引中,因此無法被搜尋。 此限制同樣適用於搜尋查詢中代表搜尋運算子的特殊字元。 這裡有一份特殊字元清單,這些字元會在實際搜尋查詢中被空白取代,或會造成搜尋錯誤。
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
共同性質的條件
在同一搜尋中搜尋信箱和網站時,使用常見屬性建立條件。 下表列出加入條件時可用的屬性。
| 條件 | 描述 |
|---|---|
| 內容類型1 | 它同時適用於 Exchange 和 SharePoint 項目,指的是內容的類型或類別。 例如, ContentKind:SharePointDocument、 ContentKind:Copilot 等。 |
| 內容來源申請1 | 識別內容來源的應用程式或服務。 例如, ContentSourceApplication:OneDriveForBusiness、 ContentSourceApplication:SharePoint 等。 |
| Date | 電子郵件則指訊息建立或從 PST 檔案匯入的日期。 文件則指文件最後修改的日期。 如果你在搜尋特定期間的電子郵件,請使用「 已接收 與 已發送 」條件,不確定郵件是否會被匯入而非原生建立。 |
| 識別碼1 | 電子郵件的話,就是特定訊息的識別碼。
訊息 ID 包含在稽核紀錄中,資料遺失防護 (DLP) 警示,或檢視一套元資料,並允許您針對單一訊息建立專屬搜尋。 對於 Microsoft Teams 訊息,則是聊天或回應的 ID。 ChatThreadID 包含在稽核紀錄中,資料遺失防止 (DLP) 警示,或檢視設定的元資料,並允許你針對個別聊天或回應建立特定搜尋。 |
| 發送者/作者 | 電子郵件方面,是發送訊息的人。 文件請參考 Office 文件中作者欄位中引用的人。 你可以輸入多個名字,並用逗號分隔。 兩個或以上的值由 OR 運算子邏輯連接。 (請參閱受助者擴展) |
| 大小 (位元組) | 無論是電子郵件還是文件,項目大小都以位元組) (。 |
| 主題/標題 | 電子郵件的話,就是訊息主旨中的文字。 文件則為文件標題。 標題屬性是 Microsoft Office 文件中指定的元資料。 你可以輸入多個主題或標題的名稱,並用逗號分隔。 兩個或以上的值由 OR 運算子邏輯連接。 注意:此條件值中不要加上雙引號,因為使用此搜尋條件時引號會自動加入。 如果你在該值上加上引號,條件值會加上兩對雙引號,搜尋查詢會回傳錯誤。 |
| 保留標籤 | 無論是電子郵件還是文件,保留標籤都套用於訊息和文件。 保留標籤可用來宣告紀錄,並透過執行標籤指定的保留與刪除規則,協助你管理內容的資料生命週期。 欲了解更多關於保留標籤的資訊,請參閱 「了解保留政策」及「保留標籤」。 |
郵件性質的條件
在 Exchange Online 搜尋信箱或公共資料夾時,使用郵件屬性建立條件。 下表列出可用於條件的電子郵件屬性。 這些屬性是先前描述的電子郵件屬性的子集。 以下描述為方便你而重複說明。
| 條件 | 描述 |
|---|---|
| 訊息類型 | 搜尋訊息類型。 此屬性與 Kind 電子郵件屬性相同。 可能的數值:
|
| 參與者 | 所有人都會在電子郵件中填寫。 這些欄位分別是 From、To、Cc 和 Bcc。 (請參閱受助者擴展) |
| Received | 收件人收到電子郵件的日期。 此屬性與 Received 電子郵件屬性相同。 |
| 收件者 | 電子郵件中所有收件人欄位。 這些欄位分別是 To、Cc 和 Bcc。 (請參閱受助者擴展) |
| 寄件者 | 電子郵件的寄件人。 |
| 寄件日期 | 電子郵件由寄件人發出的日期。 這個屬性和 Sent email 屬性是一樣的。 |
| 主旨 | 電子郵件主旨中的文字。 注意:此條件值中不要加上雙引號,因為使用此搜尋條件時引號會自動加入。 如果你在該值上加上引號,條件值會加上兩對雙引號,搜尋查詢會回傳錯誤。 |
| 收件者 | 收件人欄位中收到的電子郵件。 |
| 主題一 | 電子郵件串或對話中討論的主要主題或主題摘要。 |
| 項目類別 | 電子郵件項目的訊息類別屬性。 這是一個多值條件。 要選擇多個訊息類別,按住 CTRL 鍵,並在下拉選單中選擇兩個或以上你想加入條件的訊息類別。 列表中所選的每個訊息類別,皆透過對應搜尋查詢中的 OR 運算子邏輯連結。 關於 Exchange 使用的訊息類別 (及其對應的訊息類別 ID 清單,您可以) 訊息類別列表中選擇,請參見項目類型與訊息類別。 |
文件屬性的條件
在 SharePoint 和 OneDrive 網站上搜尋文件時,使用文件屬性建立條件。 下表列出可用於條件的文件屬性。 這些物業是先前描述的場地物業的子集。 以下描述為方便你而重複說明。
| 條件 | 描述 |
|---|---|
| 作者 | Office 文件中的作者欄位,如果文件被複製也會保留。 舉例來說,如果使用者建立文件並寄給別人,再由他人上傳到 SharePoint,文件仍保留原始作者身份。 |
| 已建立 | 文件建立的日期。 |
| 檔案類型 | 檔案的副檔名;例如,docx、one、pptx 或 XLX。 這和 FileExtension 網站的屬性是一樣的。
便條: 如果您在搜尋查詢中包含使用 Equals 或 Equals 任意 運算子的檔案類型條件,則無法使用前綴搜尋 (,方法是在檔案類型末尾加上萬用字元 ( * ) ,) 回傳該檔案類型的所有版本。 如果你有,這個萬用卡就會被忽略。 例如,如果你包含 |
| 上次修改日期 | 文件最後一次更改的日期。 |
| 路徑一 | SharePoint 網站中檔案或資料夾的網址或位置。 |
| 敏感資訊類型 (SIT) 1 | 文件中包含的敏感資訊類型。 SIT是基於模式的分類器,能偵測敏感資訊如社會安全號碼、信用卡號碼或銀行帳號,以識別敏感項目。 欲了解更多關於SIT的資訊,請參閱 了解敏感資訊類型。 |
| 靈敏度標籤1 | 敏感性標籤套用於文件上。 敏感度標籤讓你能分類並保護組織的資料,同時確保使用者的生產力與協作能力不受阻礙。 欲了解更多敏感度標籤資訊,請參閱 「了解敏感度標籤」。 |
| 標題 | 文件標題。 標題屬性是 Office 文件中指定的元資料。 它和文件的檔名是不同的。 |
條件下的運算子
加入條件時,選擇與條件屬性類型相符的運算子。 下表說明了適用於條件的運算子,並列出搜尋查詢中使用的等價運算子。
| 運算子 | 查詢等價 | 描述 |
|---|---|---|
| 之後 | property>date |
使用日期條件。 退回在指定日期後寄出、接收或修改的物品。 |
| 之前 | property<date |
使用日期條件。 退回在指定日期前寄出、接收或修改的物品。 |
| 間 | date..date |
使用日期與大小條件。 若使用日期條件,則會回傳在指定日期範圍內已發送、接收或修改的項目。 當使用大小條件時,會回傳大小在指定範圍內的項目。 |
| 包含任一 | (property:value) OR (property:value) |
使用條件來指定字串值的屬性。 回傳包含一個或多個指定字串值任一部分的項目。 |
| 不包含任何 | -property:value |
使用條件來指定字串值的屬性。 回傳不包含指定字串值任何部分的項目。 |
| 不等於任何 | -property=value |
使用條件來指定字串值的屬性。 回傳不包含特定字串的項目。 |
| 等於2 | size=value |
回傳等於指定大小的物品。 |
| 等於任一 | (property=value) OR (property=value) |
使用條件來指定字串值的屬性。 回傳與一個或多個指定字串值相符的項目。 |
| 大二 | size>value |
回傳指定屬性大於指定值的項目。 |
| 大或等2 | size>=value |
回傳指定屬性大於或等於指定值的項目。 |
| 減2 | size<value |
回傳低於指定價值的項目。 |
| 大小於2 | size<=value |
回傳小於或等於指定值的項目。 |
| 不等於2 | size<>value |
退回不等於指定大小的物品。 |
注意事項
1 此操作員為 eDiscovery 高級功能條件。
2 此運算子僅適用於使用 Size 性質的條件。