Suchen von Inhalten in Postfächern in eDiscovery (Vorschau)
Administratoren sind häufig damit beauftragt, herauszufinden, wer was wann wusste, auf die effizienteste und effektivste Weise, um auf Anfragen zu laufenden oder potenziellen Rechtsstreitigkeiten, internen Untersuchungen und anderen Szenarien zu reagieren. Diese Anforderungen sind häufig dringend, umfassen mehrere Stakeholderteams und haben erhebliche Auswirkungen, wenn sie nicht rechtzeitig abgeschlossen werden. Zu wissen, wie sie die richtigen Informationen finden, ist wichtig für Administratoren, um Suchvorgänge erfolgreich abzuschließen und ihren Organisationen dabei zu helfen, das Risiko und die Kosten im Zusammenhang mit den eDiscovery-Anforderungen zu verwalten.
Tipp
Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.
Wenn eine eDiscovery-Anforderung übermittelt wird, stehen dem Administrator häufig nur teilweise Informationen zur Verfügung, um mit dem Sammeln von Inhalten zu beginnen, die sich möglicherweise auf eine bestimmte Untersuchung beziehen. Die Anforderung kann Mitarbeiternamen, Projekttitel, grobe Datumsbereiche zum Zeitpunkt der Aktiven des Projekts und nicht viel mehr enthalten. Anhand dieser Informationen muss der Administrator Abfragen erstellen, um relevante Inhalte in Microsoft 365-Diensten zu finden, um die informationen zu ermitteln, die für ein bestimmtes Projekt oder Thema erforderlich sind. Das Verständnis, wie Informationen für diese Dienste gespeichert und verwaltet werden, hilft Administratoren dabei, das, was sie benötigen, schnell und effektiv zu finden.
Email, Chats, Besprechungen sowie Microsoft 365 Copilot- und Microsoft Copilot-Aktivitätsdaten (Benutzereingabeaufforderungen und Copilot-Antworten) werden alle in Exchange Online gespeichert. Viele Kommunikationseigenschaften sind für die Suche nach Elementen verfügbar, die in Exchange Online enthalten sind. Einige Eigenschaften wie From, Sent, Subject und To sind für bestimmte Elemente eindeutig und bei der Suche nach Dateien oder Dokumenten in SharePoint und OneDrive nicht relevant. Das Einschließen dieser Typen von Eigenschaften bei der Suche über Workloads hinweg kann manchmal zu unerwarteten Ergebnissen führen.
Um z. B. Inhalte im Zusammenhang mit bestimmten Mitarbeitern (Benutzer 1 und Benutzer 2) zu finden, die einem Projekt mit dem Namen Tradewinds zugeordnet sind, und während Januar 2020 bis Januar 2022 können Sie eine Abfrage mit den folgenden Eigenschaften verwenden:
- Fügen Sie dem Fall die Exchange Online Speicherorte von Benutzer 1 und Benutzer 2 als Datenquellen hinzu.
- Wählen Sie Benutzer 1 und Benutzer 2 Exchange Online Speicherorte als Datenquelle aus.
- Verwenden Sie für Das SchlüsselwortTradewinds.
- Verwenden Sie für Datumsbereich den Bereich vom 1. Januar 2020 bis zum 31. Januar 2022 .
Wichtig
Bei E-Mails, wenn ein Schlüsselwort (keyword) verwendet wird, suchen wir nach Betreff, Text und vielen Eigenschaften, die sich auf die Teilnehmer beziehen. Aufgrund der Empfängererweiterung gibt die Suche jedoch möglicherweise keine erwarteten Ergebnisse zurück, wenn der Alias oder ein Teil des Alias verwendet wird. Daher wird empfohlen, den vollständigen UPN zu verwenden.
Durchsuchbare E-Mail-Eigenschaften
In der folgenden Tabelle sind die E-Mail-Nachrichteneigenschaften aufgeführt, die mithilfe der eDiscovery-Suchtools im Microsoft Purview-Portal oder mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch durchsucht werden können.
Wichtig
Während E-Mail-Nachrichten möglicherweise andere Eigenschaften aufweisen, die in anderen Microsoft 365-Diensten unterstützt werden, werden nur die in dieser Tabelle aufgeführten E-Mail-Eigenschaften in eDiscovery-Suchtools unterstützt. Der Versuch, andere E-Mail-Nachrichteneigenschaften in Suchvorgänge einzuschließen, wird nicht unterstützt.
Die Tabelle enthält ein Beispiel für die Property:value-Syntax für jede Eigenschaft und eine Beschreibung der von den Beispielen zurückgegebenen Suchergebnisse. Sie können diese property:value Paare in das Feld Schlüsselwörter für eine eDiscovery-Suche eingeben.
Hinweis
Beim Durchsuchen von E-Mail-Eigenschaften ist es nicht möglich, nach Nachrichtenkopfzeilen zu suchen. Headerinformationen sind für Suchvorgänge nicht indiziert. Darüber hinaus können Elemente, in denen die angegebene Eigenschaft leer oder leer ist, nicht durchsucht werden. Wenn Sie beispielsweise das property:value-Paar von subject:"" verwenden, um nach E-Mail-Nachrichten mit einer leeren Betreffzeile zu suchen, wird null Ergebnisse zurückgegeben. Dies gilt auch für die Suche nach Website- und Kontakteigenschaften.
| Eigenschaft | Beschreibung der Eigenschaft | Beispiele | Von den Beispielen zurückgegebene Suchergebnisse |
|---|---|---|---|
| AttachmentNames | Die Namen der an eine E-Mail angefügten Dateien. | attachmentnames:annualreport.ppt |
Nachrichten mit einer angefügten Datei namensannualreport.ppt. Im zweiten Beispiel gibt die Verwendung des Platzhalterzeichens ( * ) Nachrichten mit dem Wort annual im Dateinamen einer Anlage zurück. 1 |
| Bcc | Das Bcc-Feld einer E-Mail-Nachricht. 1 | bcc:pilarp@contoso.com |
Alle Beispiele geben Nachrichten mit Pilar Pinilla zurück, die im Feld Bcc enthalten sind. (Siehe Empfängererweiterung) |
| Kategorie | Die Kategorien, nach denen gesucht wird. Kategorien können von Benutzern mithilfe von Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) definiert werden. Die folgenden Werte sind möglich:
|
category:"Red Category" |
Nachrichten, denen die rote Kategorie in den Quellpostfächern zugewiesen wurde. |
| Cc | Das Cc-Feld einer E-Mail-Nachricht. 1 | cc:pilarp@contoso.com |
In beiden Beispielen werden Nachrichten mit Pilar Pinilla im Feld Cc angegeben. (Siehe Empfängererweiterung) |
| Folderid | Die Ordner-ID (GUID) eines bestimmten Postfachordners im 48-Zeichen-Format. Wenn Sie diese Eigenschaft verwenden, müssen Sie das Postfach durchsuchen, in dem sich der angegebene Ordner befindet. Es wird nur der angegebene Ordner durchsucht. Alle Unterordner im Ordner werden nicht durchsucht. Zum Durchsuchen von Unterordnern müssen Sie die Folderid-Eigenschaft für den Zu durchsuchenden Unterordner verwenden. Weitere Informationen zum Suchen nach der Folderid-Eigenschaft und zum Verwenden eines Skripts zum Abrufen der Ordner-IDs für ein bestimmtes Postfach finden Sie unter Gezielte Suchvorgänge. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
Im ersten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben. Im zweiten Beispiel werden alle Elemente im angegebenen Postfachordner zurückgegeben, die von garthf@contoso.comgesendet oder empfangen wurden. |
| Von | Der Absender einer E-Mail-Nachricht.1 | from:pilarp@contoso.com |
Vom angegebenen Benutzer gesendete Nachrichten. (Siehe Empfängererweiterung) |
| HasAttachment | Gibt an, ob eine Nachricht über eine Anlage verfügt. Verwenden Sie die Werte true oder false. | from:pilar@contoso.com AND hasattachment:true |
Vom angegebenen Benutzer gesendete Nachrichten mit Anlagen. |
| Importance | Die Wichtigkeit einer E-Mail-Nachricht, die ein Absender festlegen kann, wenn er eine Nachricht sendet. Standardmäßig werden Nachrichten mit normaler Wichtigkeit gesendet, außer wenn der Absender die Wichtigkeit auf Hoch oder Niedrig setzt. | importance:high |
Nachrichten, deren Wichtigkeit auf "Hoch", "Mittel" bzw. "Niedrig" eingestellt ist. |
| IsRead | Gibt an, ob Nachrichten gelesen wurden. Verwenden Sie die Werte true oder false. | isread:true |
Im ersten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf True festgelegt ist. Im zweiten Beispiel werden Nachrichten zurückgegeben, deren IsRead-Eigenschaft auf False festgelegt ist. |
| ItemClass | Verwenden Sie diese Eigenschaft, um bestimmte Datentypen von Drittanbietern zu durchsuchen, die Ihre organization in Office 365 importiert haben. Verwenden Sie die folgende Syntax für diese Eigenschaft: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
Im ersten Beispiel werden Facebook Elemente zurückgegeben, die das Wort "contoso" in der Subject-Eigenschaft enthalten. Das zweite Beispiel gibt Twitter-Elemente zurück, die von Ann Beebe gepostet wurden und die den Schlüsselwort (keyword) Ausdruck "Northwind Traders" enthalten. |
| Art | Der Typ der zu suchden E-Mail-Nachricht. Mögliche Werte: contacts docs externaldata faxes im journals meetings microsoftteams (gibt Elemente aus Chats, Besprechungen und Anrufen in Microsoft Teams zurück) notes posts rssfeeds tasks voicemail |
kind:email |
Im ersten Beispiel werden E-Mail-Nachrichten zurückgegeben, die die Suchkriterien erfüllen. Das zweite Beispiel gibt E-Mail-Nachrichten, Chatunterhaltungen (einschließlich Skype for Business Unterhaltungen und Chats in Microsoft Teams) und Sprachnachrichten zurück, die die Suchkriterien erfüllen. Im dritten Beispiel werden Elemente zurückgegeben, die aus Datenquellen von Drittanbietern wie Twitter, Facebook und Cisco Jabber in Postfächer in Microsoft 365 importiert wurden, die die Suchkriterien erfüllen. Weitere Informationen finden Sie unter Archivieren von Drittanbieterdaten in Office 365. |
| Teilnehmer | Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc.1 | participants:garthf@contoso.com |
Nachrichten, die von oder an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die von oder an einen Benutzer in der Domäne contoso.com gesendet wurden. (Siehe Empfängererweiterung) |
| Auszahlung | Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. | received:2021-04-15 |
Nachrichten, die am 15. April 2021 empfangen wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die zwischen dem 1. Januar 2021 und dem 31. März 2021 empfangen wurden. |
| Empfänger | Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc.1 | recipients:garthf@contoso.com |
Nachrichten, die an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden Nachrichten zurückgegeben, die an einen beliebigen Empfänger in der Domäne contoso.com geschickt wurden. (Siehe Empfängererweiterung) |
| Gesendet | Das Datum, an dem eine E-Mail vom Absender gesendet wurde. | sent:2021-07-01 |
Nachrichten, die am angegebenen Tag oder im angegebenen Datumsbereich gesendet wurden. |
| Größe | Die Größe eines Elements in Byte. | size>26214400 |
Nachrichten mit mehr als 25 MB. Im zweiten Beispiel werden Nachrichten von 1 bis 1.048.567 Bytes (1 MB) zurückgegeben. |
| Betreff | Der Text in der Betreffzeile einer E-Mail.
Anmerkung: Wenn Sie die Subject-Eigenschaft in einer Abfrage verwenden, gibt die Suche alle Nachrichten zurück, in denen die Betreffzeile den gesuchten Text enthält. Anders ausgedrückt: Die Abfrage gibt nicht nur die Nachrichten zurück, die eine genaue Übereinstimmung aufweisen. Wenn Sie beispielsweise nach |
subject:"Quarterly Financials" |
Nachrichten, die den Ausdruck "Vierteljährliche Finanzen" an einer beliebigen Stelle im Text der Betreffzeile enthalten. Im zweiten Beispiel werden alle Nachrichten mit dem Wort "northwind" in der Betreffzeile zurückgegeben. |
| An | Das Feld „An" einer E-Mail-Nachricht.1 | to:annb@contoso.com |
In allen Beispielen wegen Nachrichten zurückgegeben, in deren Zeile "An" der Name "Ann Beebe" angegeben ist. |
Hinweis
1 Für den Wert einer Empfängereigenschaft können Sie die E-Mail-Adresse (auch benutzerprinzipalname (UPN) genannt), den Anzeigenamen oder den Alias verwenden, um einen Benutzer anzugeben. Sie können beispielsweise , annb oder "Ann Beebe" verwenden annb@contoso.com, um den Benutzer Ann Beebe anzugeben.
Durchsuchbare vertrauliche Datentypen
Sie können eDiscovery-Suchtools im Microsoft Purview-Portal verwenden, um nach vertraulichen Daten zu suchen, z. B. Nach Gutschriften Karte Nummern oder Sozialversicherungsnummern, die in Dokumenten in Postfächern gespeichert sind. Dazu können Sie die SensitiveType -Eigenschaft und den Namen (oder die ID) eines vertraulichen Informationstyps in einer Schlüsselwort (keyword) Abfrage verwenden. Die Abfrage SensitiveType:"Credit Card Number" gibt z. B. Dokumente zurück, die eine Gutschrift Karte Nummer enthalten. Die Abfrage SensitiveType:"U.S. Social Security Number (SSN)" gibt Dokumente zurück, die eine US-Sozialversicherungsnummer enthalten.
Eine Liste der Typen vertraulicher Informationen, nach denen Sie suchen können, finden Sie im Microsoft Purview-Portal unter Datenklassifizierungen>Vertrauliche Informationstypen . Alternativ können Sie das Cmdlet Get-DlpSensitiveInformationType in Security & Compliance PowerShell verwenden, um eine Liste vertraulicher Informationstypen anzuzeigen.
Empfängererweiterung
Beim Durchsuchen einer der Empfängereigenschaften (From, To, Cc, Bcc, Participants und Recipients) versucht Microsoft 365, die Identität jedes Benutzers zu erweitern, indem er in Microsoft Entra ID nachschlagen wird. Wenn der Benutzer in Microsoft Entra ID gefunden wird, wird die Abfrage erweitert, um die E-Mail-Adresse (oder upN), den Alias, den Anzeigenamen und legacyExchangeDN des Benutzers einzuschließen. Beispielsweise wird eine Abfrage wie participants:ronnie@contoso.com auf participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"erweitert.
Um die Empfängererweiterung zu verhindern, fügen Sie am Ende der E-Mail-Adresse ein Karte Zeichen (Sternchen) hinzu, und verwenden Sie einen reduzierten Domänennamen. Achten Sie beispielsweise darauf, participants:"ronnie@contoso*" die E-Mail-Adresse in doppelte Anführungszeichen einzuschließen.
Das Verhindern der Empfängererweiterung in der Suchabfrage kann dazu führen, dass relevante Elemente in den Suchergebnissen nicht zurückgegeben werden. Email Nachrichten in Exchange können in unterschiedlichen Textformaten in den Empfängerfeldern gespeichert werden. Die Empfängererweiterung soll dazu beitragen, diese Tatsache zu entschärfen, indem Nachrichten zurückgegeben werden, die möglicherweise unterschiedliche Textformate enthalten. Das Verhindern der Empfängererweiterung kann daher dazu führen, dass die Suchabfrage nicht alle Elemente zurückgibt, die für Ihre Untersuchung relevant sein könnten.
Hinweis
Wenn Sie die von einer Suchabfrage aufgrund der Empfängererweiterung zurückgegebenen Elemente überprüfen oder reduzieren müssen, sollten Sie die Verwendung von Premium-eDiscovery-Features in Betracht ziehen. Sie können nach Nachrichten suchen (indem Sie die Empfängererweiterung nutzen), sie einem Überprüfungssatz hinzufügen und dann Überprüfungssatzabfragen oder Filter verwenden, um die Ergebnisse zu überprüfen oder einzugrenzen.
In Exchange Online Postfächern für eDiscovery gespeicherte Inhalte
Ein Postfach in Exchange Online wird hauptsächlich zum Speichern von E-Mail-bezogenen Elementen wie Nachrichten, Kalenderelementen, Aufgaben und Notizen verwendet. Dies ändert sich jedoch, da cloudbasierte Apps ihre Daten auch im Postfach eines Benutzers speichern. Ein Vorteil des Speicherns von Daten in einem Postfach besteht darin, dass Sie die Suchtools in der Inhaltssuche, Microsoft Purview-eDiscovery (Standard) und eDiscovery (Vorschau) verwenden können, um die Daten aus diesen cloudbasierten Apps zu suchen, anzuzeigen und zu exportieren.
Die Daten aus einigen dieser Apps werden in ausgeblendeten Ordnern gespeichert, die sich in einer Nicht-Zwischenperson-Nachrichten-Unterstruktur (non-IPM) im Postfach befinden. Daten aus anderen cloudbasierten Apps werden möglicherweise nicht im Postfach gespeichert, aber sie sind dem Postfach zugeordnet und werden bei Suchvorgängen zurückgegeben (wenn diese Daten mit der Suchabfrage übereinstimmen). Unabhängig davon, ob cloudbasierte Daten in einem Benutzerpostfach gespeichert oder einem Benutzerpostfach zugeordnet sind, sind die Daten in der Regel nicht in einem E-Mail-Client sichtbar, wenn ein Benutzer sein Postfach öffnet.
In der folgenden Tabelle sind die Apps aufgeführt, die daten entweder speichern oder einem cloudbasierten Postfach zuordnen. Die Tabelle beschreibt auch den Inhaltstyp, den jede App erzeugt.
| Microsoft 365-App | Beschreibung |
|---|---|
| Forms* | Forms und Antworten auf ein Formular werden in Dateien gespeichert, die an E-Mail-Nachrichten angefügt sind, und in einem ausgeblendeten Ordner im Postfach des Benutzers gespeichert, der das Formular erstellt hat. Forms, die vor April 2020 erstellt wurden, werden als PDF-Datei gespeichert. Forms, die nach 2020 erstellt wurden, werden als JSON-Datei gespeichert. Antworten auf ein Formular werden in einer CSV-Datei gespeichert. Wenn Sie Inhalte aus Forms in eine PST-Datei exportieren, befinden sich diese Daten im Ordner ApplicationDataRoot in einem Unterordner namens mit der folgenden GUID (Globally Unique Identified): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Microsoft 365-Gruppen | Email Nachrichten, Kalenderelemente, Kontakte (Personen), Notizen und Aufgaben werden in dem Postfach gespeichert, das einer Microsoft 365-Gruppe zugeordnet ist. |
| Microsoft 365 Copilot und Microsoft Copilot | Alle Copilot-Aktivitätsdaten (Benutzeraufforderungen und Copilot-Antworten), die in unterstützten Microsoft 365-Apps und -Diensten generiert werden, werden in verwahrten Postfächern gespeichert. |
| Outlook/Exchange Online | Email Nachrichten, Kalenderelemente, Kontakte (Personen), Notizen und Aufgaben werden im Postfach eines Benutzers gespeichert. |
| Personen | Kontakte in der Personen-App (bei denen es sich um die gleichen Kontakte handelt, auf die in Outlook zugegriffen werden kann) werden im Postfach eines Benutzers gespeichert. |
| Klassenzeitplan | Im Kursplan erstellte Pläne werden im Postfach der entsprechenden Microsoft 365-Gruppe gespeichert, die beim Erstellen eines neuen Plans bereitgestellt wird. Der Alias für das Gruppenpostfach ist der Name des Plans. |
| Skype for Business | Unterhaltungen in Skype for Business werden im Ordner Unterhaltungsverlauf im Postfach eines Benutzers gespeichert. Wenn das Postfach eines Teilnehmers einer Skype-Besprechung im Beweissicherungsverfahren oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden an eine Besprechung angefügte Dateien im Teilnehmerpostfach aufbewahrt. |
| Sway* | Sways werden als HTML-Datei gespeichert, die an eine E-Mail-Nachricht angefügt und in einem ausgeblendeten Ordner im Postfach des Benutzers gespeichert wird, der den Sway erstellt hat. Wenn Sie Inhalte aus Sway in einer PST-Datei exportieren, befinden sich diese Daten im Ordner ApplicationDataRoot in einem Unterordner namens mit der folgenden GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Aufgaben | Aufgaben in der Aufgaben-App (bei denen es sich um die gleichen Aufgaben handelt, auf die in Outlook zugegriffen werden kann) werden im Postfach eines Benutzers gespeichert. |
| Teams | Unterhaltungen, die Teil eines Teams-Kanals sind, sind dem Teams-Postfach zugeordnet. Unterhaltungen, die Teil der Chatliste in Teams sind (auch als 1 x N Chats bezeichnet), werden dem Postfach der Benutzer zugeordnet, die am Chat teilnehmen. Darüber hinaus sind Zusammenfassungsinformationen für Besprechungen und Anrufe in einem Teams-Kanal den Postfächern von Benutzern zugeordnet, die sich in die Besprechung oder den Anruf einwählten. Wenn Sie also nach Teams-Inhalten suchen, würden Sie das Teams-Postfach nach Inhalten in Kanalunterhaltungen und Benutzerpostfächer nach Inhalten in 1 x N Chats durchsuchen. |
| To-Do | Aufgaben (sogenannte Aufgaben, die in Aufgabenlisten gespeichert werden) in der To-Do App werden im Postfach eines Benutzers gespeichert. |
| Viva Engage | Unterhaltungen und Kommentare innerhalb einer Viva Engage Community sind dem Microsoft 365-Gruppenpostfach sowie dem Benutzerpostfach des Autors und allen benannten Empfängern (@ erwähnte oder Cc'ed-Benutzer) zugeordnet. Private Nachrichten, die außerhalb einer Viva Engage Community gesendet werden, werden im Postfach der Benutzer gespeichert, die an der privaten Nachricht teilnehmen. |
Hinweis
* Wenn in eDiscovery -Fällen (Vorschau) ein Haltepunkt für ein Postfach mithilfe von Haltebereichen platziert wird, werden Inhalte aus dieser App derzeit nicht vom Halteraum beibehalten.