Partager via

Utiliser le générateur de conditions pour créer des requêtes de recherche dans eDiscovery (préversion)

  • Article

Le générateur de conditions fournit une expérience de recherche facile à utiliser lorsque vous créez des requêtes de recherche dans eDiscovery (préversion). Utilisez le générateur de conditions dans les jeux de recherche et de révision pour construire des requêtes mot clé simples et complexes, des requêtes avec des opérateurs (AND, OR) ou les deux pour aider à identifier les éléments de votre organization.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Utilisation du générateur de conditions

Pour créer une requête et un filtrage conditionnel personnalisé pour votre recherche, utilisez les contrôles suivants :

  • Mots clés : cette condition courante est toujours disponible en tant que première condition dans votre requête et vous permet de commencer rapidement à effectuer des tâches de recherche. La condition Keywords prend uniquement en charge l’opérateur Equal et peut être exclue de votre requête en laissant le champ de valeur vide. Pour ajouter des conditions de mots clés supplémentaires, sélectionnez Ajouter des conditions , puis Mots clés.
  • Ajouter des conditions : vous permet d’ajouter une condition pour les sources de données spécifiques pour la recherche. Pour ajouter des conditions supplémentaires à votre requête, sélectionnez Ajouter des conditions pour afficher la liste des conditions disponibles. Chaque sélection de valeur de condition ajoute une nouvelle condition à votre requête. Choisissez l’opérateur AND/OR comme il convient.
  • AND/OR : ces opérateurs logiques conditionnels vous permettent de sélectionner l’opération de requête qui s’applique à une condition spécifique. Ces opérateurs vous permettent d’utiliser plusieurs conditions connectées à votre requête.
  • Sélection d’un opérateur : selon la condition sélectionnée, les opérateurs compatibles pour la condition peuvent être sélectionnés. Par exemple, si la condition Date est sélectionnée, les opérateurs disponibles sont Before, After et Between. Si la condition Taille (en octets) est sélectionnée, les opérateurs disponibles sont Supérieur, Supérieur ou égal, Inférieur à, Inférieur ou égal, Entre et Égal.
  • Valeur : En fonction de la condition sélectionnée, les valeurs compatibles pour la condition sont disponibles dans le volet détails de la valeur ou vous pouvez ajouter inline. Selon le type de condition associé à la valeur, vous voyez des options pour définir, filtrer ou rechercher des valeurs associées à la condition sélectionnée. Par exemple, si vous sélectionnez Expéditeur comme condition, vous pouvez rechercher et ajouter des utilisateurs spécifiques dans votre organization ou des utilisateurs externes. Si vous sélectionnez Taille (en octets) comme condition, vous voyez l’option permettant d’entrer un nombre pour la taille comme valeur. Si la valeur est vide, la bordure du champ de valeur est affichée en rouge pour vous informer qu’une valeur est nécessaire.
  • Supprimer une condition de filtre : pour supprimer une condition individuelle, sélectionnez l’icône supprimer à droite de chaque ligne de filtre.
  • Enregistrer en tant que brouillon : pour enregistrer l’ensemble actuel de conditions sous forme de brouillon, sélectionnez Enregistrer en tant que brouillon dans la liste déroulante de la requête.
  • Ignorer : pour ignorer toutes les modifications apportées à la recherche, y compris les conditions et la source de données, sélectionnez Ignorer dans la liste déroulante Enregistrer en tant que brouillon .

Instructions relatives à l’utilisation des conditions

Gardez les points suivants à l’esprit lorsque vous utilisez des critères de recherche.

  • Une condition est logiquement connectée à la requête mot clé (spécifiée dans la zone mot clé) par les opérateurs AND et OR. Cela signifie que les éléments doivent satisfaire la requête de mot-clé et la condition pour être inclus dans les résultats.
  • Si vous ajoutez au moins deux conditions uniques à une requête de recherche (conditions qui spécifient des propriétés différentes), ces conditions sont connectées logiquement par les opérateurs AND et OR . Cela signifie que seuls les éléments qui répondent à toutes les conditions (en plus des requêtes de mot-clé) sont renvoyés.
  • Si vous ajoutez plusieurs conditions pour la même propriété, celles-ci sont connectées sur le plan logique par l’opérateur OR. Cela signifie que les éléments renvoyés sont ceux qui satisfont la requête de mot-clé et l’une des conditions. Par conséquent, les groupes de mêmes conditions sont connectés par l’opérateur OR et les ensembles de conditions uniques sont connectés par l’opérateur AND.
  • Si vous ajoutez plusieurs valeurs (séparées par des virgules ou des points-virgules) à une condition unique, ces valeurs sont connectées par l’opérateur OU. Les éléments renvoyés sont ceux qui contiennent l’une des valeurs spécifiées pour la propriété dans la condition.
  • Toute condition qui utilise un opérateur avec la logique Contains et Equals retourne des résultats de recherche similaires pour les recherches de chaînes simples. Une recherche de chaîne simple est une chaîne dans la condition qui n’inclut pas de caractère générique). Par exemple, une condition qui utilise Equals any of retourne les mêmes éléments qu’une condition qui utilise Contains any of.
  • La requête de recherche créée à l’aide de la zone de mots clés et des conditions s’affiche dans la page Rechercher , dans le volet d’informations de la recherche sélectionnée. Dans une requête, tout ce qui se trouve à droite de la notation (c:c) indique des conditions qui sont ajoutées à la requête. (c:c) ne doit pas être utilisé dans les requêtes entrées manuellement et n’est pas égal à AND ou OR.
  • Les conditions ajoutent uniquement des propriétés à la requête de recherche ; ils n’ajoutent pas d’opérateurs. C’est pourquoi la requête affichée dans le volet de détails n’affiche pas les opérateurs à droite de la (c:c) notation. KQL ajoute les opérateurs logiques (selon les règles expliquées précédemment) lors de l’exécution de la requête.
  • Vous pouvez utiliser le contrôle glisser-déplacer pour resséquencer l’ordre des conditions. Sélectionnez le contrôle d’une condition et déplacez-le vers le haut ou vers le bas.
  • Certaines propriétés de condition vous permettent de taper plusieurs valeurs (séparées par des points-virgules). Chaque valeur est logiquement connectée par l’opérateur OR et génère la requête (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). L’illustration suivante montre un exemple de condition avec plusieurs valeurs.

Rechercher et sélectionner des conditions

Lorsque vous sélectionnez Ajouter des conditions dans le générateur de conditions, le volet volant Choisir les conditions à ajouter s’affiche pour vous aider à affiner votre requête de recherche avec des conditions spécifiques. Utilisez les options des sections suivantes pour vous aider à choisir les conditions applicables :

Filtrer les conditions par zone

Filtrez rapidement l’affichage des conditions pour les boîtes aux lettres et les propriétés de site pour vous aider à localiser une condition spécifique pour votre requête de recherche. Filtrez les conditions disponibles dans les groupes globaux suivants :

  • Tout : affiche toutes les conditions et tous les groupes de conditions.
  • Courant : filtre et affiche uniquement les conditions qui s’appliquent aux boîtes aux lettres et aux sites.
  • Boîtes aux lettres Exchange : filtre et affiche uniquement les conditions qui s’appliquent aux boîtes aux lettres.
  • Sites SharePoint et OneDrive : filtre et affiche uniquement les conditions qui s’appliquent aux sites SharePoint et OneDrive.

Sélecteur de conditions

Pour rechercher rapidement une condition spécifique, utilisez le champ Dites-nous ce que vous recherchez pour entrer le nom de la condition. Les résultats sont automatiquement limités au filtre des groupes globaux. Par exemple, pour rechercher une condition nommée Type (ou une condition qui contient le type de terme dans le nom de la condition), sélectionnez Tout comme filtre global, puis entrez le type dans le champ Dites-nous ce que vous recherchez . La vue condition retourne toutes les conditions de tous les groupes de conditions qui contiennent le type de terme. Sélectionnez la condition applicable à ajouter à votre requête de recherche.

Exemple de sélecteur de conditions.

Exemple de scénario

L’administrateur eDiscovery doit créer une requête pour rechercher les e-mails envoyés de User1 à User4 qui ont été envoyés entre le 15 septembre 2024 et le 15 octobre 2024 contenant les mots clés de conformité et d’audit. Pour cet exemple, l’administrateur crée la requête suivante à l’aide du nouveau générateur de requêtes :

  1. Pour le premier filtre, l’administrateur utilise la condition Keywords, l’opérateur Equal et l’audit de conformité commevaleur mot clé.
  2. Ensuite, l’administrateur sélectionne Ajouter des conditions, sélectionne Expéditeur, puis sélectionne l’opérateur Contient un opérateur , puis sélectionne User1 dans la liste des utilisateurs disponibles dans le volet Détails de la valeur . Cela peut inclure des utilisateurs externes.
  3. Ensuite, l’administrateur sélectionne Ajouter des conditions, sélectionne le filtre À , puis sélectionne l’opérateur Contains any, puis sélectionne User4 dans la liste des utilisateurs disponibles dans le volet Détails de la valeur . Cela peut inclure des utilisateurs externes.
  4. Pour définir la plage de dates, l’administrateur sélectionne Ajouter des conditions, sélectionne Date, puis l’opérateur Between , puis sélectionne les dates de début et de fin pour la valeur.
  5. Enfin, l’administrateur sélectionne Exécuter la requête pour retourner les résultats applicables.

Exemple de générateur de conditions.

Utilisation des conditions de recherche

Vous pouvez ajouter des conditions à une requête de recherche pour affiner une recherche et retourner un ensemble de résultats plus affiné. Chaque condition ajoute une clause à la requête de recherche KQL qui est créée et exécutée lorsque vous démarrez la recherche.

Caractères spéciaux

Certains caractères spéciaux ne sont pas inclus dans l’index de recherche et ne peuvent donc pas faire l’objet d’une recherche. Cela inclut également les caractères spéciaux qui représentent les opérateurs de recherche dans la requête de recherche. Voici une liste de caractères spéciaux qui sont remplacés par un espace vide dans la requête de recherche réelle ou qui provoquent une erreur de recherche.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Conditions de propriétés communes

Créez une condition avec des propriétés communes lorsque vous recherchez des boîtes aux lettres et des sites dans la même recherche. Le tableau suivant répertorie les propriétés disponibles à utiliser lors de l’ajout d’une condition.

Condition Description
Type de contenu Appliqué aux éléments Exchange et SharePoint, il fait référence au type ou à la catégorie du contenu.

Par exemple, ContentKind :SharePointDocument, ContentKind :Copilot, etc.
Application source de contenu Identifie l’application ou le service d’où provient le contenu.

Par exemple, ContentSourceApplication :OneDriveForBusiness, ContentSourceApplication :SharePoint, etc.
Date Pour le courrier électronique, date à laquelle un message a été créé ou importé à partir d’un fichier PST. Pour les documents, date de la dernière modification d’un document.

Si vous recherchez des messages électroniques pour une période spécifique, vous devez utiliser les conditions de message Reçu et Envoyé si vous ne savez pas si les messages électroniques ont été importés au lieu d’être créés en mode natif dans Exchange.
Identifier Pour l’e-mail, l’ID d’un message spécifique. Les ID de message sont inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permettent de créer une recherche spécifique pour un message individuel.

Pour les messages Microsoft Teams, l’ID de la conversation ou de la réaction. ChatThreadID est inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permet de créer une recherche spécifique pour une conversation ou une réaction individuelle.
Expéditeur/auteur Pour la messagerie électronique, personne ayant envoyé le message. Pour les documents, personne mentionnée dans le champ Auteur des documents Office. Vous pouvez saisir plusieurs noms, séparés par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.
(Voir Extension de destinataire)
Taille (en octets) Pour la messagerie électronique et les documents, taille de l’élément (en octets).
Objet/Titre Pour la messagerie électronique, texte de la ligne d’objet d’un message. Pour les documents, titre du document. La propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Vous pouvez taper le nom de plusieurs valeurs d’objet/titre, séparées par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.
Étiquette de rétention Pour les e-mails et les documents, les étiquettes de rétention sont appliquées aux messages et aux documents. Les étiquettes de rétention peuvent être utilisées pour déclarer des enregistrements et vous aider à gérer le cycle de vie des données du contenu en appliquant des règles de rétention et de suppression spécifiées par l’étiquette. Pour plus d’informations sur les étiquettes de rétention, consultez En savoir plus sur les stratégies de rétention et les étiquettes de rétention.
Type d’informations sensibles (SIT) Pour les e-mails et les documents, les types d’informations sensibles sont inclus dans les messages et les documents. Les SIT sont des classifieurs basés sur des modèles et ils détectent des informations sensibles telles que la sécurité sociale, les carte de crédit ou les numéros de compte bancaire pour identifier les éléments sensibles. Pour plus d’informations sur les SIT, consultez En savoir plus sur les types d’informations sensibles.
Étiquette de confidentialité Pour les e-mails et les documents, les étiquettes de confidentialité sont appliquées aux messages et aux documents. Les étiquettes de confidentialité vous permettent de classifier et de protéger les données de votre organization, tout en veillant à ce que la productivité des utilisateurs et leur capacité à collaborer ne soient pas entravées. Pour plus d’informations sur les étiquettes de confidentialité, consultez En savoir plus sur les étiquettes de confidentialité.

Conditions pour les propriétés de messagerie

Créez une condition à l’aide des propriétés de messagerie lors de la recherche de boîtes aux lettres ou de dossiers publics dans Exchange Online. Le tableau suivant répertorie les propriétés d’e-mail que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés d’e-mail décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Type de message Type de message à rechercher. Il s’agit de la même propriété que la propriété de messagerie Kind. Valeurs possibles :
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants Tous les champs de personnes dans un e-mail. Ces champs sont From, To, Cc et Cci. (Voir Extension de destinataire)
Received Date à laquelle un message électronique a été reçu par un destinataire. Il s’agit de la même propriété que la propriété de messagerie Received.
Recipients Tous les champs de destinataire dans un e-mail. Ces champs sont To, Cc et Cci. (Voir Extension de destinataire)
Expéditeur Expéditeur d’un message électronique.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. Il s’agit de la même propriété que la propriété de messagerie Sent.
Sujet Texte de la ligne d’objet d’un message électronique.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.
À Destinataire d’un message électronique dans le champ À.
Rubrique Résumé de l’main sujet ou thème abordé dans un fil de messagerie ou une conversation.
Type Propriété de classe de message pour un élément de messagerie. Il s’agit de la même propriété que la propriété d’e-mail ItemClass. Il s’agit également d’une condition à valeurs multiples. Par conséquent, pour sélectionner plusieurs classes de message, maintenez la touche Ctrl enfoncée , puis sélectionnez au moins deux classes de message dans la liste déroulante que vous souhaitez ajouter à la condition. Chaque classe de message que vous sélectionnez dans la liste est connectée logiquement par l’opérateur OR dans la requête de recherche correspondante.

Pour obtenir la liste des classes de message (et leur ID de classe de message correspondant) utilisées par Exchange et que vous pouvez sélectionner dans la liste Classe de message , voir Types d’éléments et classes de message.

Conditions des propriétés de document

Créez une condition à l’aide des propriétés de document lors de la recherche de documents sur des sites SharePoint et OneDrive. Le tableau suivant répertorie les propriétés de document que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés de site décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Auteur Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine.
Créé Date de création d’un document.
Type de fichier Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. Il s’agit de la même propriété que la propriété de site FileExtension.

Note: Si vous incluez une condition de type de fichier à l’aide de l’opérateur Égal ou Égal à l’un des opérateurs dans une requête de recherche, vous ne pouvez pas utiliser une recherche de préfixe (en incluant le caractère générique ( * ) à la fin du type de fichier) pour renvoyer toutes les versions d’un type de fichier. Si vous le faites, le caractère générique est ignoré. Par exemple, si vous incluez la condition Equals any of doc*, seuls les fichiers avec une extension de .doc sont retournés. Les fichiers avec une extension de .docx ne sont pas retournés. Pour retourner toutes les versions d’un type de fichier, utilisez la paire propriété :value dans une requête mot clé , par exemple. filetype:doc*
Dernière modification Date de la dernière modification apportée à un document.
Path URL ou emplacement d’un fichier ou d’un dossier dans un site SharePoint.
Titre Titre du document. Cette propriété correspond aux métadonnées spécifiées dans les documents Office. Il est différent du nom de fichier du document.

Opérateurs utilisés avec des conditions

Lorsque vous ajoutez une condition, vous pouvez sélectionner un opérateur pertinent par rapport au type de propriété pour la condition. Le tableau suivant décrit les opérateurs qui sont utilisés avec les conditions et répertorie l’équivalent utilisé dans la requête de recherche.

Opérateur Équivalent dans la requête Description
Après property>date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés après la date spécifiée.
Avant property<date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés avant la date spécifiée.
Between date..date Utilisé avec les conditions de date et de taille. Lorsqu’il est utilisé avec une condition de date, renvoie les éléments qui ont été envoyés, reçus ou modifiés dans la plage de dates spécifiée. Lorsqu’il est utilisé avec une condition de taille, renvoie les éléments dont la taille est comprise dans la plage spécifiée.
Contient l’un des éléments (property:value) OR (property:value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui contiennent une partie d’une ou plusieurs valeurs de chaîne spécifiées.
Ne contient pas -property:value

NOT property:value

 Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent aucune partie de la valeur de chaîne spécifiée.
N’est pas égal à -property=value

NOT property=value

 Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent pas la chaîne spécifique.
Égal à size=value Retourne les éléments qui sont égaux à la taille spécifiée. 1
Est égal à l’un des éléments (property=value) OR (property=value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Retourne des éléments qui correspondent à une ou plusieurs valeurs de chaîne spécifiées.
Plus size>value Retourne les éléments pour lesquels la propriété spécifiée est supérieure à la valeur spécifiée. 1
Supérieur ou égal size>=value Retourne les éléments pour lesquels la propriété spécifiée est supérieure ou égale à la valeur spécifiée. 1
Moins size<value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Inférieur ou égal size<=value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Différent de size<>value Retourne les éléments qui n’ont pas la taille spécifiée. 1

Remarque

1 Cet opérateur est disponible uniquement pour les conditions qui utilisent la propriété Size.