Compartilhar via


Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica

Dica

A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).

Este artigo descreve as propriedades disponíveis para ajudar a encontrar conteúdo entre e-mail e chat em Exchange Online e documentos e ficheiros armazenados no SharePoint e OneDrive for Business através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview.

Isto inclui Pesquisa de conteúdos, Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium) (pesquisas de Deteção de Dados Eletrónicos na Deteção de Dados Eletrónicos (Premium) são denominadas coleções). Também pode utilizar os cmdlets *-ComplianceSearch no PowerShell de Conformidade do & de Segurança para procurar estas propriedades.

Este artigo também descreve:

  • Usar operadores de pesquisa boolianos, condições de pesquisa e outras técnicas de consulta de pesquisa para refinar os resultados da pesquisa.
  • Procurar comunicações de vários tipos relacionados com funcionários e projetos específicos durante um período de tempo específico.
  • Procurar conteúdos do site relacionados com um projeto, funcionários e/ou assuntos específicos durante um período de tempo específico.

Para obter instruções passo a passo sobre como criar diferentes pesquisas de Deteção de Dados Eletrónicos, consulte:

Observação

As pesquisas de Deteção de Dados Eletrónicos no portal de conformidade e os cmdlets *-ComplianceSearch correspondentes no PowerShell de Conformidade do & de Segurança utilizam a Linguagem de Consulta de Palavra-chave (KQL). Para obter informações mais detalhadas, consulte referência de sintaxe de Linguagem de Consulta de Palavra-chave.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Dicas e truques de pesquisa

  • O fuso horário de todas as pesquisas é Hora Universal Coordenada (UTC). A alteração de fusos horários para a sua organização não é atualmente suportada. As definições de visualização do fuso horário na vista de pesquisa são apenas aplicáveis para valores na coluna Dados e não afetam os carimbos de data/hora nos itens recolhidos.
  • As pesquisas de palavras-chave não são sensíveis a maiúsculas e minúsculas. Por exemplo, gato e GATO retornam os mesmos resultados.
  • Os operadores boolianos AND, OR, NOT e NEAR devem estar em maiúsculas.
  • A utilização de aspas interrompe os cartões universais e quaisquer operações dentro das aspas.
  • Um espaço entre duas palavras-chave ou duas property:value expressões é o mesmo que utilizar OU. Por exemplo, from:"Sara Davis" subject:reorganization devolve todas as mensagens enviadas por Sara Davis ou mensagens que contêm a palavra reorganização no assunto da mensagem. No entanto, a utilização de uma combinação de espaços e condicionais OR numa única consulta pode levar a resultados inesperados. Recomendamos que utilize espaços ou OU numa única consulta.
  • Use uma sintaxe que corresponda ao formato de property:value. Os valores não são sensíveis a maiúsculas e minúsculas e não podem ter um espaço a seguir ao operador. Se existir um espaço, o valor pretendido é uma pesquisa em texto completo. Por exemploto: pilarp, procura "pilarp" como palavra-chave, em vez de mensagens enviadas para pilarp.
  • Ao pesquisar uma propriedade de destinatário, como To, From, Cc ou Recipients, você pode usar um endereço SMTP, um alias ou um nome de exibição para indicar um destinatário. Por exemplo, pode utilizar pilarp@contoso.com, pilarp ou "Pilar Pinilla".
  • Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*).
  • Ao pesquisar uma propriedade, use aspas duplas (" ") se o valor de pesquisa consistir em várias palavras. Por exemplo, subject:budget Q1 devolve mensagens que contêm orçamento na linha de assunto e que contêm Q1 em qualquer parte da mensagem ou em qualquer uma das propriedades da mensagem. O uso de subject:"budget Q1" retorna todas as mensagens que contêm orçamento T1 em qualquer lugar na linha de assunto.
  • Para excluir o conteúdo marcado com determinado valor de propriedade dos resultados de pesquisa, coloque um sinal de subtração (-) antes do nome da propriedade. Por exemplo, -from:"Sara Davis" exclui todas as mensagens enviadas por Sara Melo.
  • Você pode exportar itens com base no tipo de mensagem. Por exemplo, para exportar conversas e chats do Skype no Microsoft Teams, use a sintaxe kind:im. Para retornar apenas mensagens de email, você usaria kind:email. Para retornar chats, reuniões e chamadas no Microsoft Teams, use kind:microsoftteams.
  • Ao procurar sites, tem de adicionar o à direita / ao final do URL ao utilizar a path propriedade para devolver apenas itens num site especificado. Se não incluir os itens à direita /, também serão devolvidos itens de um site com um nome de caminho semelhante. Por exemplo, se utilizar path:sites/HelloWorld itens de sites com o nome sites/HelloWorld_East ou sites/HelloWorld_West que também seriam devolvidos. Para devolver itens apenas do site HelloWorld, tem de utilizar path:sites/HelloWorld/.
  • A linguagem/região da consulta tem de ser definida na consulta de pesquisa antes de recolher conteúdo.
  • Ao procurar e-mails nas pastas Enviadas , a utilização do endereço SMTP do remetente não é suportada. Os itens na pasta Enviados contêm apenas nomes a apresentar.

Localizar conteúdo no Exchange Online

Os administradores são frequentemente encarregados de descobrir quem sabia o quê quando, da forma mais eficiente e eficaz possível, responder a pedidos relativos a litígios em curso ou potenciais, investigações internas e outros cenários. Estes pedidos são frequentemente urgentes, envolvem várias equipas de intervenientes e têm um impacto significativo se não forem concluídos em tempo útil. Saber como encontrar as informações certas é fundamental para os administradores concluirem as pesquisas com êxito e ajudarem as suas organizações a gerir os riscos e os custos associados aos requisitos de Deteção de Dados Eletrónicos.

Quando um pedido de Deteção de Dados Eletrónicos é submetido, muitas vezes só existem informações parciais disponíveis para o administrador começar a recolher conteúdos que possam estar relacionados com uma investigação específica. O pedido pode incluir nomes de funcionários, títulos de projetos, intervalos de datas aproximadas quando o projeto estava ativo e não muito mais. A partir destas informações, o administrador tem de criar consultas para localizar conteúdos relevantes em todos os serviços do Microsoft 365 para determinar as informações necessárias para um determinado projeto ou assunto. Compreender como as informações são armazenadas e geridas para estes serviços ajuda os administradores a encontrar de forma mais eficiente o que precisam de forma rápida e eficaz.

Email, chat, reunião e Microsoft 365 Copilot e Microsoft Copilot dados de atividade (pedidos de utilizador e respostas copilot) são armazenados no Exchange Online. Estão disponíveis muitas propriedades de comunicação para procurar itens incluídos no Exchange Online. Algumas propriedades, como De, Enviado, Assunto e Para são exclusivas de determinados itens e não são relevantes ao procurar ficheiros ou documentos no SharePoint e OneDrive for Business. Incluir estes tipos de propriedades ao procurar entre cargas de trabalho pode, por vezes, originar resultados inesperados.

Por exemplo, para localizar conteúdos relacionados com funcionários específicos (Utilizador 1 e Utilizador 2), associados a um projeto denominado Tradewinds e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:

  • Adicionar as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origens de dados ao caso
  • Selecione as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como localizações de coleção
  • Para Palavra-chave, use Tradewinds
  • Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022

Importante

Para e-mails, quando é utilizado um palavra-chave, pesquisamos assunto, corpo e muitas propriedades relacionadas com os participantes. No entanto, devido à expansão do destinatário, a pesquisa pode não devolver os resultados esperados ao utilizar o alias ou parte do alias. Por conseguinte, recomendamos a utilização do UPN completo.

Propriedades de emails pesquisáveis

A tabela seguinte lista as propriedades da mensagem de e-mail que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch .

Importante

Embora as mensagens de e-mail possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades de e-mail listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de mensagens de e-mail nas pesquisas não é suportada.

A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos. Pode introduzir estes property:value pares na caixa palavras-chave de uma pesquisa de Deteção de Dados Eletrónicos.

Observação

Ao procurar propriedades de e-mail, não é possível procurar cabeçalhos de mensagens. As informações de cabeçalho não são indexadas para coleções. Além disso, os itens nos quais a propriedade especificada está vazia ou em branco não são pesquisáveis. Por exemplo, usar o par property:value de subject:"" para pesquisar mensagens de email com uma linha de assunto vazia retornará zero resultados. Isso também se aplica ao pesquisar propriedades de site e contato.

Propriedade Descrição da propriedade Exemplos Resultados de pesquisa retornados pelos exemplos
AttachmentNames Os nomes dos arquivos anexados a uma mensagem de email. attachmentnames:annualreport.ppt

attachmentnames:annual*

Mensagens com um ficheiro anexado com o nome annualreport.ppt. No segundo exemplo, utilizar o caráter universal ( * ) devolve mensagens com a palavra anual no nome de ficheiro de um anexo. 1
Cco O campo Cco de uma mensagem de email.1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Todos os exemplos devolvem mensagens com Pilar Pinilla incluída no campo Bcc.
(Consulte Expansão do Destinatário)
Categoria As categorias a serem pesquisadas. As categorias podem ser definidas pelos usuários usando o Outlook ou o Outlook na Web (anteriormente conhecido como Outlook Web App). Os valores possíveis são:
  • azul
  • verde
  • laranja
  • roxo
  • vermelho
  • amarelo
category:"Red Category" Mensagens a que foi atribuída a categoria vermelha nas caixas de correio de origem.
Cc O campo Cc de uma mensagem de email.1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

Em ambos os exemplos, as mensagens com Pilar Pinilla especificadas no campo Cc.
(Consulte Expansão do Destinatário)
Folderid O ID da pasta (GUID) de uma pasta de caixa de correio específica no formato de 48 carateres. Se você usar essa propriedade, não se esqueça de pesquisar a caixa de correio na qual a pasta especificada está localizada. Apenas a pasta especificada é pesquisada. As subpastas na pasta não serão pesquisadas. Para procurar subpastas, tem de utilizar a propriedade Folderid para a subpasta que pretende procurar.

Para obter mais informações sobre como procurar a propriedade Folderid e utilizar um script para obter os IDs de pasta de uma caixa de correio específica, consulte Utilizar a pesquisa de Conteúdo para coleções direcionadas.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

O primeiro exemplo retorna todos os itens na pasta de caixa de correio especificada. O segundo exemplo devolve todos os itens na pasta de caixa de correio especificada que foram enviados ou recebidos por garthf@contoso.com.
De O remetente de uma mensagem de email.1 from:pilarp@contoso.com Mensagens enviadas pelo utilizador especificado.
(Consulte Expansão do Destinatário)
HasAttachment Indica se uma mensagem tem um anexo. Use os valores true ou false. from:pilar@contoso.com AND hasattachment:true Mensagens enviadas pelo usuário especificado que têm anexos.
Importance A prioridade de uma mensagem de email, que um remetente pode especificar ao enviar uma mensagem. Por padrão, as mensagens são enviadas com prioridade normal, a menos que o remetente defina a prioridade como alta ou baixa. importance:high

importance:medium

importance:low

Mensagens marcadas como alta prioridade, prioridade média ou baixa prioridade.
IsRead Indica se as mensagens foram lidas. Use os valores true ou false. isread:true

isread:false

O primeiro exemplo retorna mensagens com a propriedade IsRead definida como True. O segundo exemplo retorna mensagens com a propriedade IsRead definida como False.
ItemClass Use essa propriedade para pesquisar tipos de dados de terceiros específicos que sua organização importou para o Office 365. Utilize a seguinte sintaxe para esta propriedade: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

O primeiro exemplo retorna itens do Facebook que contêm a palavra "contoso" na propriedade Subject. O segundo exemplo retorna itens do Twitter que foram postados por Ann Beebe e que contêm a frase de palavra-chave "Northwind Traders".

Para obter uma lista completa dos valores a utilizar para tipos de dados de terceiros para a propriedade ItemClass, consulte Utilizar a pesquisa conteúdo para procurar dados de terceiros importados para Office 365.

Tipo O tipo de mensagem de email a ser pesquisada. Valores possíveis:

contacts

documentos

email

externaldata

faxes

mensagem instantânea

diários

reuniões

microsoftteams (retorna itens de chats, reuniões e chamadas no Microsoft Teams)

notes

postagens

rssfeeds

tarefas

caixa postal

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

O primeiro exemplo retorna mensagens de email que atendem aos critérios de pesquisa. O segundo exemplo retorna mensagens de email, conversas de mensagens instantâneas (incluindo conversas e chats do Skype for Business no Microsoft Teams) e mensagens de voz que atendem aos critérios de pesquisa. O terceiro exemplo devolve itens que foram importados para caixas de correio no Microsoft 365 a partir de origens de dados de terceiros, como o Twitter, Facebook e Cisco Jabber, que cumprem os critérios de pesquisa. Para obter mais informações, consulte Arquivando dados de terceiros no Office 365.
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco.1 participants:garthf@contoso.com

participants:contoso.com

Mensagens enviadas ou enviadas para garthf@contoso.com. O segundo exemplo retorna todas as mensagens enviadas por ou para um usuário no domínio contoso.com.
(Consulte Expansão do Destinatário)
Received A data em que uma mensagem de email foi recebida pelo destinatário. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

Mensagens recebidas a 15 de abril de 2021. O segundo exemplo devolve todas as mensagens recebidas entre 1 de janeiro de 2021 e 31 de março de 2021.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco.1 recipients:garthf@contoso.com

recipients:contoso.com

Mensagens enviadas para garthf@contoso.com. O segundo exemplo retorna mensagens enviadas para qualquer destinatário no domínio contoso.com.
(Consulte Expansão do Destinatário)
Enviado A data em que uma mensagem de email foi enviada pelo remetente. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

Mensagens que foram enviadas na data especificada ou dentro do intervalo de datas especificado.
Tamanho O tamanho de um item, em bytes. size>26214400

size:1..1048567

Mensagens com mais de 25 MB. O segundo exemplo retorna mensagens de 1 a 1.048.567 bytes (1 MB) de tamanho.
Assunto O texto na linha de assunto de uma mensagem de email.

Observação: quando você usa a propriedade Subject em uma consulta, a pesquisa retorna todas as mensagens nas quais a linha de assunto contém o texto que você está procurando. Em outras palavras, a consulta não retorna apenas as mensagens que têm uma correspondência exata. Por exemplo, se procurar subject:"Quarterly Financials", os seus resultados incluem mensagens com o assunto "Quarterly Financials 2018".

subject:"Quarterly Financials"

subject:northwind

Mensagens que contêm a frase "Finanças Trimestrais" em qualquer lugar no texto da linha de assunto. O segundo exemplo retorna todas as mensagens que contêm a palavra northwind na linha de assunto.
Para O campo Para de uma mensagem de email.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Todos os exemplos retornam mensagens em que Clara Barbosa é especificada na linha Para:.

Observação

1 Para o valor de uma propriedade de destinatário, você pode usar o endereço de email (também chamado de nome UPN ou UPN), nome de exibição ou alias para especificar um usuário. Por exemplo, pode utilizar annb@contoso.com, annb ou "Ann Beebe" para especificar o utilizador Ann Beebe.

Expansão do destinatário

Dica

Utilize a nova experiência de Deteção de Dados Eletrónicos (pré-visualização) e o construtor de condições para utilizar propriedades comuns da caixa de correio e do site, como MessageIDs e ChatThreadIds , ao procurar destinatários ou mensagens específicos.

Ao procurar qualquer uma das propriedades do destinatário (De, Para, Cc, Bcc, Participantes e Destinatários), o Microsoft 365 tenta expandir a identidade de cada utilizador ao procurá-las no Microsoft Entra ID. Se o utilizador for encontrado no Microsoft Entra ID, a consulta é expandida para incluir o endereço de e-mail do utilizador (ou UPN), alias, nome a apresentar e LegacyExchangeDN. Por exemplo, uma consulta como participants:ronnie@contoso.com expande para participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Para evitar a expansão do destinatário, adicione um caractere curinga (asterisco) ao final do endereço de email e use um nome de domínio reduzido; por exemplo, participants:"ronnie@contoso*" Lembre-se de envolver o endereço de email com aspas duplas.

No entanto, lembre-se de que impedir a expansão do destinatário na consulta de pesquisa pode resultar em itens relevantes não serem retornados nos resultados da pesquisa. As mensagens de email no Exchange podem ser salvas com formatos de texto diferentes nos campos do destinatário. A expansão do destinatário destina-se a ajudar a atenuar esse fato retornando mensagens que podem conter formatos de texto diferentes. Portanto, impedir a expansão do destinatário pode fazer com que a consulta de pesquisa não retorne todos os itens que podem ser relevantes para sua investigação.

Observação

Se precisar de rever ou reduzir os itens devolvidos por uma consulta de pesquisa devido à expansão do destinatário, considere utilizar a Deteção de Dados Eletrónicos (Premium). Você pode pesquisar mensagens (aproveitando a expansão do destinatário), adicioná-las a um conjunto de revisão e, em seguida, usar consultas de conjunto de revisão ou filtros para revisar ou restringir os resultados. Para obter mais informações, consulte Coletar dados para um caso e Consultar os dados em um conjunto de revisão.

Localizar conteúdos no SharePoint e no OneDrive

Dica

Utilize a nova experiência de Deteção de Dados Eletrónicos (pré-visualização) e opções de exportação de pesquisa para transferir todos os anexos de lista para sites do SharePoint.

Ao procurar documentos e ficheiros localizados no SharePoint ou OneDrive for Business, poderá fazer sentido ajustar a abordagem de consulta com base nos metadados dos documentos e ficheiros de interesse. Os ficheiros e documentos têm propriedades relevantes como Autor, Criado, CreatedBy, FileName, LastModifiedTime e Título. A maioria destas propriedades não é relevante ao procurar conteúdos de comunicações no Exchange Online e a utilização destas propriedades pode originar resultados inesperados se forem utilizadas em documentos e comunicações. Além disso, FileName e Title de um documento podem não ser os mesmos e utilizar um ou outro para tentar localizar um ficheiro com conteúdo específico pode levar a resultados diferentes ou imprecisos. Tenha estas propriedades em mente ao procurar conteúdo específico de documentos e ficheiros no SharePoint e OneDrive for Business.

Por exemplo, para localizar conteúdos relacionados com documentos criados pelo Utilizador 1, para um projeto denominado Tradewinds, para ficheiros específicos denominados Finanças e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:

  • Adicionar o site OneDrive for Business do Utilizador 1 como uma origem de dados ao caso
  • Selecione o site OneDrive for Business do Utilizador 1 como uma localização de coleção
  • Adicionar localizações de sites do SharePoint adicionais relacionadas com o projeto como localizações de coleção
  • Para FileName, utilize Finanças
  • Para Palavra-chave, use Tradewinds
  • Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022

Propriedades de sites pesquisáveis

A tabela seguinte lista as propriedades do SharePoint e OneDrive for Business que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch.

Importante

Embora os documentos e ficheiros armazenados no SharePoint e OneDrive for Business possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades do documento e do ficheiro listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de documentos ou ficheiros nas pesquisas não é suportada.

A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos.

Propriedade Descrição da propriedade Exemplo Resultados de pesquisa retornados pelos exemplos
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original. Certifique-se de usar o nome de exibição do usuário para esta propriedade. author:"Garth Fort" Todos os documentos criados por Paulo Araújo.
ContentType O tipo de conteúdo do SharePoint de um item, como Item, Documento ou Vídeo. contenttype:document Todos os documentos seriam ser retornados.
Criado em A data em que um item foi criado. created>=2021-06-01 Todos os itens criados em ou depois de 1 de junho de 2021.
CreatedBy A pessoa que criou ou carregou um item. Certifique-se de usar o nome de exibição do usuário para esta propriedade. createdby:"Garth Fort" Todos os itens criados ou carregados por Paulo Araújo.
DetectedLanguage O idioma de um item. detectedlanguage:english Todos os itens em inglês.
DocumentLink O caminho (URL) de uma pasta específica em um site do SharePoint OneDrive for Business site. Se você usar essa propriedade, não se esqueça de pesquisar o site no qual a pasta especificada está localizada. Recomendamos que utilize esta propriedade em vez das propriedades Site e Caminho .

Para devolver itens localizados em subpastas da pasta que especificar para a propriedade documentlink, tem de adicionar /* ao URL da pasta especificada; Por exemplo documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Para obter mais informações sobre como procurar a propriedade documentlink e utilizar um script para obter os URLs de ligação de documentos para pastas num site específico, veja Utilizar a pesquisa de Conteúdo para coleções direcionadas.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

O primeiro exemplo retorna todos os itens na pasta OneDrive for Business especificada. O segundo exemplo retorna documentos na pasta do site especificada (e todas as subpastas) que contêm a palavra "confidencial" no nome do arquivo.
FileExtension A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. fileextension:xlsx Todos os arquivos do Excel (Excel 2007 e posterior)
FileName O nome de um arquivo. filename:"marketing plan"

filename:estimate

O primeiro exemplo retorna os arquivos com a frase exata "plano de marketing" no título. O segundo exemplo retorna arquivos com a palavra "estimativa" no nome de arquivo.
LastModifiedTime A data em que um item foi alterado pela última vez. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

O primeiro exemplo devolve itens que foram alterados em ou depois de 1 de maio de 2021. O segundo exemplo devolve itens alterados entre 1 de maio de 2021 e 1 de junho de 2021.
ModifiedBy A pessoa que alterou um item pela última vez. Certifique-se de usar o nome de exibição do usuário para esta propriedade. modifiedby:"Garth Fort" Todos os itens que foram alterados pela última vez por Paulo Araújo.
SharedWithUsersOWSUser Documentos que foram compartilhados com o usuário especificado e exibidos na página Compartilhado comigo no site do OneDrive for Business usuário. Esses são documentos que foram explicitamente compartilhados com o usuário especificado por outras pessoas em sua organização. Quando você exporta documentos que correspondem a uma consulta de pesquisa que usa a propriedade SharedWithUsersOWSUser, os documentos são exportados do local de conteúdo original da pessoa que compartilhou o documento com o usuário especificado. Para obter mais informações, consulte Procurando o conteúdo do site compartilhado em sua organização. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

Ambos os exemplos retornam todos os documentos internos que foram explicitamente compartilhados com Garth Fort e que aparecem na página Compartilhado comigo na conta do OneDrive for Business de Garth Fort.
Tamanho O tamanho de um item, em bytes. size>=1

size:1..10000

O primeiro exemplo retorna itens com mais de 1 byte. O segundo exemplo retorna itens de 1 a 10.000 bytes de tamanho.
Título O título do documento. A propriedade Title consiste em metadados especificados em documentos do Microsoft Office. É diferente do nome do arquivo do documento. title:"communication plan" Qualquer documento que contém a frase "plano de comunicação" na propriedade de metadados Title de um documento do Office.

Propriedades de contato pesquisáveis

A tabela seguinte lista as propriedades de contacto indexadas e que pode procurar com ferramentas de pesquisa de Deteção de Dados Eletrónicos. Essas são as propriedades que estão disponíveis para os usuários configurarem para os contatos (também chamados de contatos pessoais) localizados no catálogo de endereços pessoal da caixa de correio de um usuário. Para pesquisar contatos, você pode selecionar as caixas de correio a serem pesquisadas e, em seguida, usar uma ou mais propriedades de contato na consulta de palavra-chave.

Dica

Para procurar valores que contenham espaços ou carateres especiais, utilize aspas duplas (" ") para conter a expressão; por exemplo, businessaddress:"123 Main Street".

Propriedade Descrição da propriedade
BusinessAddress O endereço na propriedade Business Address. A propriedade também é chamada de endereço de Trabalho na página de propriedades do contato.
BusinessPhone O número de telefone em qualquer uma das propriedades de número de Telefone Comercial.
CompanyName O nome na propriedade Company.
Departamento O nome na propriedade Department.
DisplayName O nome de exibição do contato. Esse é o nome na propriedade Full Name do contato.
EmailAddress O endereço de qualquer propriedade de endereço de email para o contato. Os usuários podem adicionar vários endereços de email para um contato. Usar essa propriedade retornaria contatos que correspondam a qualquer um dos endereços de email do contato.
FileAs A propriedade Arquivar como. Essa propriedade é usada para especificar como o contato é listado na lista de contatos do usuário. Por exemplo, um contacto pode ser listado como NomePróprio, Apelido ou Apelido, NomePróprio.
GivenName O nome na propriedade First Name.
HomeAddress O endereço em qualquer uma das propriedades de endereço Residencial.
HomePhone O número de telefone em qualquer uma das propriedades do número de telefone Residencial.
IMAddress A propriedade de endereço de mensagem instantânea, que normalmente é um endereço de email usado para mensagens instantâneas.
MiddleName O nome na propriedade nome do Meio.
MobilePhone O número de telefone na propriedade número de telefone Celular.
Nickname O nome na propriedade Nickname.
OfficeLocation O valor na propriedade Office ou Office location.
OtherAddress O valor da propriedade de endereço Other.
Surname O nome na propriedade Sobrenome.
Título O título na propriedade Cargo.

Operadores de pesquisa

Operadores de pesquisa boolianos, como AND, OR e NOT, ajudam a definir pesquisas mais precisas incluindo ou excluindo palavras específicas na consulta de pesquisa. Outras técnicas, como o uso de operadores de propriedade (como >= ou ..), aspas, parênteses e curingas, ajudam a refinar uma consulta de pesquisa. A tabela a seguir lista os operadores que você pode usar para restringir ou ampliar os resultados de pesquisa.

Operador Uso Descrição
E palavra-chave1 AND palavra-chave2 Devolve itens que incluem todas as palavras-chave ou property:value expressões especificadas. Por exemplo, from:"Ann Beebe" AND subject:northwind devolveria todas as mensagens enviadas por Ann Beebe que continham a palavra northwind na linha do assunto. 2
+ keyword1 + keyword2 + keyword3 Devolve itens que contêmkeyword2 ou keyword3e que também contêm keyword1. Por conseguinte, este exemplo é equivalente à consulta (keyword2 OR keyword3) AND keyword1.

A consulta keyword1 + keyword2 (com um espaço a seguir ao + símbolo) não é igual à utilização do operador E . Esta consulta seria equivalente a "keyword1 + keyword2" e devolveria itens com a fase "keyword1 + keyword2"exata .

OU palavra-chave1 OR palavra-chave2 Devolve itens que incluem uma ou mais das palavras-chave ou property:value expressões especificadas. 2
NÃO palavra-chave1 NOT palavra-chave2

NOT from:"Clara Barbosa"

NOT kind:im

Exclui itens especificados por um palavra-chave ou uma property:value expressão. No segundo exemplo, as mensagens enviadas por Ann Beebe são excluídas. O terceiro exemplo exclui conversas de mensagens instantâneas, como conversas do Skype for Business que são salvas na pasta de caixa de correio histórico de conversas. 2
NEAR palavra-chave1 NEAR(n) palavra-chave2 Devolve itens com palavras próximas umas das outras. Na sintaxe keyword1 NEAR(n) keyword2 , n é igual ao número de palavras, incluindo a palavra-chave1 e a palavra-chave2. Por exemplo, para identificar instâncias em que o termo melhor está dentro de 3 palavras do pior (frase de exemplo, "O melhor é oposto do pior"). Utilizaria o melhor NEAR(5) pior. Esta ação devolve quaisquer itens em que existam três ou menos palavras entre as melhores (palavra-chave1) e as piores (palavra-chave2). Especificar 5 no exemplo de sintaxe inclui as duas palavras-chave e a diferença de 3 palavras entre as mesmas é o intervalo NEAR. Se não for especificado nenhum número, o valor n predefinido é 8. 2
: property:valor Os dois pontos (:) na property:value sintaxe especificam que o valor da propriedade que está a ser pesquisada contém o valor especificado. Por exemplo, recipients:garthf@contoso.com devolve qualquer mensagem enviada para garthf@contoso.com.
= property=value O mesmo que o : operador.
< property<value Indica que a propriedade que está sendo pesquisada é menor do que o valor especificado. 1
> property>value Indica que a propriedade que está sendo pesquisada é maior do que o valor especificado.1
<= property<=value Indica que a propriedade que está sendo pesquisada é menor ou igual a um valor específico.1
>= property>=value Indica que a propriedade que está sendo pesquisada é maior ou igual a um valor específico.1
.. property:value1..value2 Indica que a propriedade que está sendo pesquisada é maior ou igual a value1 e menor ou igual a value2.1
" " "valor justo"

assunto:"Finanças trimestrais"

Numa consulta palavra-chave (onde escreve o property:value par na caixa Palavra-chave), utilize aspas duplas (" ") para procurar uma expressão ou termo exato. No entanto, se utilizar a condição de condição de pesquisaAssunto ou Assunto/Título, não adicione aspas duplas ao valor porque as aspas são adicionadas automaticamente ao utilizar estas condições de pesquisa. Se adicionar aspas ao valor, serão adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro.
* gato*

assunto:set*

As pesquisas de prefixos (também denominadas correspondência de prefixos) em que um caráter universal ( * ) é colocado no final de uma palavra em palavras-chave ou property:value consultas. Nas pesquisas de prefixos, a pesquisa devolve resultados com termos que contêm a palavra seguida de zero ou mais carateres. Por exemplo, title:set* devolve documentos que contêm a palavra "set", "setup" e "setting" (e outras palavras que começam com "set") no título do documento.

Nota: Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*).

Além disso, adicionar um ponto final ( . ) a uma pesquisa de prefixo altera os resultados que são devolvidos. Isso ocorre porque um ponto é tratado como uma palavra irrelevante. Por exemplo, procurar gato* e procurar gato.* irá devolver resultados diferentes. Recomendamos que não utilize um ponto final numa pesquisa de prefixo.

( ) (justo OR grátis) AND (from:contoso.com)

(IPO OR inicial) AND (ação OR títulos)

(finanças trimestrais)

Os parênteses agrupam expressões booleanas, property:value itens e palavras-chave. Por exemplo, (quarterly financials) devolve itens que contêm as palavras trimestrais e financeiras.

Observação

1 Use esse operador para propriedades que têm valores numéricos ou de data.
2 Operadores de pesquisa boolianos devem estar em maiúsculas; por exemplo, AND. Se você usar um operador em minúsculas, como e , ele será tratado como uma palavra-chave na consulta de pesquisa.

Condições de pesquisa

Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você inicia a pesquisa.

Condições para propriedades comuns

Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.

Condition Descrição
Date Para o e-mail, a data em que uma mensagem foi criada ou importada a partir de um ficheiro PST. Para documentos, a data em que um documento foi modificado pela última vez.

Se estiver à procura de mensagens de e-mail para um período de tempo específico, deve utilizar a mensagem Condições recebidas e enviadas se não tiver a certeza se as mensagens de e-mail podem ter sido importadas em vez de terem sido criadas nativamente no Exchange.
Sender/Author Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.
(Consulte Expansão do Destinatário)
Tamanho (em bytes) Para emails e documentos, o tamanho do item (em bytes).
Subject/Title Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. Conforme explicado anteriormente, a propriedade Title são metadados especificados Microsoft Office documentos. Pode escrever o nome de mais do que um valor de assunto/título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro.

Rótulo de retenção Tanto para o e-mail como para documentos, as etiquetas de retenção que podem ser aplicadas automaticamente ou manualmente a mensagens e documentos. As etiquetas de retenção podem ser utilizadas para declarar registos e ajudá-lo a gerir o ciclo de vida dos dados do conteúdo ao impor regras de retenção e eliminação especificadas pela etiqueta. Você pode digitar parte do nome do rótulo de retenção e usar um curinga ou digitar o nome completo do rótulo. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção.

Condições para propriedades de email

Crie uma condição com propriedades de correio ao procurar caixas de correio ou pastas públicas no Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Tipo de mensagem Tipo de mensagem para pesquisar. Essa propriedade é igual à propriedade de email Kind. Valores possíveis:
  • contacts
  • documentos
  • email
  • externaldata
  • fax
  • mensagem instantânea
  • diários
  • reuniões
  • microsoftteams
  • notes
  • postagens
  • rssfeeds
  • tarefas
  • caixa postal
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco. (Consulte Expansão do Destinatário)
Tipo A propriedade de classe de mensagem para um item de email. Essa é a mesma propriedade que a propriedade de email ItemClass. Também é uma condição de vários valores. Assim, para selecionar múltiplas classes de mensagens, mantenha premida a tecla CTRL e, em seguida, selecione duas ou mais classes de mensagens na lista pendente que pretende adicionar à condição. Cada classe de mensagem selecionada na lista será conectada logicamente pelo operador OR na consulta de pesquisa correspondente.

Para obter uma lista das classes de mensagem (e sua ID de classe de mensagem correspondente) que são usadas pelo Exchange e que você pode selecionar na lista Classe de mensagem, consulte Tipos de Item e Classes de Mensagem.

Received A data em que uma mensagem de email foi recebida pelo destinatário. Essa propriedade é igual à propriedade de email Received.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco. (Consulte Expansão do Destinatário)
Remetente O remetente de uma mensagem de email.
Enviado A data em que uma mensagem de email foi enviada pelo remetente. Essa propriedade é igual à propriedade de email Sent.
Assunto O texto na linha de assunto de uma mensagem de email.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro.

Para O destinatário de uma mensagem de email no campo Para.

Condições para propriedades de documentos

Crie uma condição usando propriedades de documento ao pesquisar documentos no SharePoint e OneDrive for Business sites. A tabela a seguir lista as propriedades de documentos que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original.
Título O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. Ele é diferente do nome do arquivo do documento.
Criado em A data em que um documento foi criado.
Última modificação A data em que um documento foi alterado pela última vez.
Tipo de arquivo A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.

Nota: Se incluir uma condição Tipo de ficheiro utilizando o operador É Igual ou Igual a qualquer um dos operadores numa consulta de pesquisa, não pode utilizar uma pesquisa de prefixo (ao incluir o caráter universal ( * ) no final do tipo de ficheiro) para devolver todas as versões de um tipo de ficheiro. Se o fizer, o caráter universal será ignorado. Por exemplo, se incluir a condição Equals any of doc*, apenas os ficheiros com uma extensão de .doc serão devolvidos. Os ficheiros com uma extensão de .docx não serão devolvidos. Para devolver todas as versões de um tipo de ficheiro, utilizou o par property:value numa consulta palavra-chave; por exemplo, filetype:doc*.

Operadores usados com condições

Ao adicionar uma condição, você pode selecionar um operador que é relevante para o tipo de propriedade da condição. A tabela a seguir descreve os operadores que são usados com condições e lista o equivalente que é usado na consulta de pesquisa.

Operador Equivalente de consulta Descrição
After property>date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada.
Before property<date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada.
Between date..date Use com condições de data e tamanho. Quando usado com uma condição de data, retorna itens que foram enviados, recebidos ou modificados no intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado.
Contains any of (property:value) OR (property:value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada.
Doesn't contain any of -property:value

NOT property:value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada.
Doesn't equal any of -property=value

NOT property=value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm a cadeia de caracteres específica.
Igual a size=value Retorna itens que são iguais ao tamanho especificado.1
Igual a qualquer (property=value) OR (property=value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Devolve itens que correspondem a um ou mais valores de cadeia especificados.
Maior size>value Retorna itens em que a propriedade especificada é maior do que o valor especificado.1
Greater or equal size>=value Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado.1
Menos size<value Retorna itens que são maiores ou iguais ao valor específico.1
Less or equal size<=value Retorna itens que são maiores ou iguais ao valor específico.1
Not equal size<>value Retorna itens que não são iguais ao tamanho especificado.1

Observação

1 Esse operador está disponível somente para condições que usam a propriedade Size.

Diretrizes para o uso de condições

Lembre-se do seguinte ao usar condições de pesquisa.

  • Uma condição está logicamente conectada à consulta de palavra-chave (especificada na caixa de palavra-chave) pelo operador AND. Isso significa que os itens precisam atender à consulta de palavra-chave e à condição para serem incluídos nos resultados. É assim que as condições ajudam a restringir os resultados.

  • Se você adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições serão logicamente conectadas pelo operador AND. Isso significa que apenas os itens que atenderem a todas as condições (além de qualquer consulta de palavra-chave) serão retornados.

  • Se você adicionar mais de uma condição à mesma propriedade, as condições serão logicamente conectadas pelo operador OR. Isso significa que os itens que atenderem à consulta de palavra-chave e a qualquer uma das condições serão retornados. Portanto, grupos das mesmas condições são conectados uns aos outros pelo operador OR, e conjuntos de condições exclusivas são conectados pelo operador AND.

  • Se você adicionar vários valores (separados por vírgulas ou ponto-e-vírgula) a uma única condição, os valores serão conectados pelo operador OR. Isso significa que os itens serão retornados se contiverem qualquer um dos valores especificados para a propriedade na condição.

  • Qualquer condição que utilize um operador com lógica Contém e É Igual a devolverá resultados de pesquisa semelhantes para pesquisas de cadeias simples. Uma pesquisa de cadeia simples é uma cadeia na condição que não inclui um caráter universal). Por exemplo, uma condição que utilize Igual a qualquer um dos irá devolver os mesmos itens que uma condição que utiliza Contém qualquer um dos.

  • A consulta de pesquisa criada usando a caixa de palavras-chave e condições é exibida na página Pesquisa, no painel de detalhes da pesquisa selecionada. Numa consulta, tudo à direita da notação (c:c) indica condições que são adicionadas à consulta. (c:c) não deve ser utilizado em consultas enetered manualmente e não é igual a E ou OU.

  • As condições só adicionam propriedades à consulta de pesquisa; não adicionam operadores. É por isso que a consulta apresentada no painel de detalhes não mostra operadores à direita da (c:c) notação. A KQL adiciona os operadores lógicos (de acordo com as regras explicadas anteriormente) ao executar a consulta.

  • Você pode usar o controle de arrastar e soltar para sequenciar novamente a ordem das condições. Selecione o controlo de uma condição e mova-a para cima ou para baixo.

  • Conforme explicado anteriormente, algumas propriedades da condição permitem-lhe escrever vários valores (separados por ponto e vírgula). Cada valor é ligado logicamente pelo operador OR e resulta na consulta (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). A ilustração seguinte mostra um exemplo de uma condição com múltiplos valores.

    Uma condição com vários valores.

    Observação

    Não pode adicionar várias condições (ao selecionar Adicionar condição para a mesma propriedade). Em vez disso, tem de fornecer vários valores para a condição (separados por ponto e vírgula), conforme mostrado no exemplo anterior.

Exemplos

Os exemplos a seguir mostram a versão baseada em GUI de uma consulta de pesquisa com condições, a sintaxe de consulta de pesquisa exibida no painel de detalhes da pesquisa selecionada (que também é retornada pelo cmdlet Get-ComplianceSearch) e a lógica da consulta KQL correspondente.

Exemplo 1

Este exemplo devolve itens de e-mail ou documentos que contêm o palavra-chave "relatório", que foram enviados ou criados antes de 1 de abril de 2021 e que contêm a palavra "northwind" no campo assunto das mensagens de e-mail ou na propriedade de título dos documentos. A consulta exclui páginas da Web que atendem aos outros critérios de pesquisa.

GUI:

Segundo exemplo de condições de pesquisa.

Sintaxe de consulta de pesquisa:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Lógica de consulta de pesquisa:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Exemplo 2

Este exemplo devolve mensagens de e-mail ou reuniões de calendário enviadas entre 1 de dezembro de 2019 e 30 de novembro de 2020 e que contêm palavras que começam com "telemóvel" ou "smartphone".

GUI:

Terceiro exemplo de condições de pesquisa.

Sintaxe de consulta de pesquisa:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Lógica de consulta de pesquisa:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Caracteres especiais

Alguns carateres especiais não são incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Isso também inclui os caracteres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Tipos de dados confidenciais pesquisáveis

Pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade para procurar dados confidenciais, como números de card de crédito ou números de segurança social, armazenados em documentos no SharePoint e OneDrive for Business sites. Você pode fazer isso usando a propriedade SensitiveType e o nome (ou ID) de um tipo de informação confidencial em uma consulta de palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number" retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)" devolve documentos que contêm um número de segurança social dos EUA.

Para ver uma lista dos tipos de informações confidenciais que pode procurar, aceda a Classificações> de dadosTipos de informações confidenciais no portal de conformidade. Em alternativa, pode utilizar o cmdlet Get-DlpSensitiveInformationType no PowerShell de Conformidade do & de Segurança para apresentar uma lista de tipos de informações confidenciais.

Limitações para pesquisar tipos de dados confidenciais

  • Para pesquisar tipos de informações confidenciais personalizados, você precisa especificar a ID do tipo de informação confidencial na propriedade SensitiveType. O uso do nome de um tipo personalizado de informações confidenciais (conforme mostrado no exemplo para tipos de informações confidenciais internos na seção anterior) não retornará nenhum resultado. Utilize a coluna Publisher na página Tipos de informações confidenciais no portal de conformidade (ou a propriedade Publisher no PowerShell) para diferenciar entre tipos de informações confidenciais incorporados e personalizados. Os tipos de dados confidenciais internos têm um valor de Microsoft Corporation para a propriedade Publicador.

    Para apresentar o nome e o ID dos tipos de dados confidenciais personalizados na sua organização, execute o seguinte comando no PowerShell de Conformidade do & de Segurança:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    Em seguida, você pode usar a ID na propriedade de pesquisa SensitiveType para retornar documentos que contêm o tipo de dados confidenciais personalizado; por exemplo, SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Você não pode usar tipos de informações confidenciais e a propriedade de pesquisa SensitiveType para pesquisar dados confidenciais em repouso em caixas de correio do Exchange Online. Isto inclui mensagens de chat 1:1, mensagens de chat de grupo 1:N e conversações de canal de equipa no Microsoft Teams porque todo este conteúdo está armazenado em caixas de correio. No entanto, você pode usar políticas de prevenção contra perda de dados (DLP) para proteger dados confidenciais de email em trânsito. Para obter mais informações, veja Saiba mais sobre a prevenção de perda de dados e Procurar e localizar dados pessoais.

Pesquisar conteúdo de site compartilhado com usuários externos

Também pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade para procurar documentos armazenados no SharePoint e OneDrive for Business sites que foram partilhados com pessoas fora da sua organização. Isso pode ajudá-lo a identificar informações confidenciais ou proprietárias que estão sendo compartilhadas fora de sua organização. Pode fazê-lo ao utilizar a ViewableByExternalUsers propriedade numa consulta palavra-chave. Essa propriedade retorna documentos ou sites que foram compartilhados com usuários externos usando um dos seguintes métodos de compartilhamento:

  • Um convite de compartilhamento que exige que os usuários se conectem à sua organização como um usuário autenticado.
  • Um link de convidado anônimo, que permite que qualquer pessoa com este link acesse o recurso sem precisar ser autenticado.

Aqui estão alguns exemplos:

  • A consulta ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" devolve todos os itens que foram partilhados com pessoas fora da sua organização e contêm um número de card de crédito.
  • A consulta ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" devolve uma lista de documentos em todos os sites de equipa na organização que foram partilhados com utilizadores externos.

Dica

Uma consulta de pesquisa, como ViewableByExternalUsers:true AND ContentType:document , por exemplo, pode devolver muitos ficheiros .aspx nos resultados da pesquisa. Para eliminar estes (ou outros tipos de ficheiros), pode utilizar a FileExtension propriedade para excluir tipos de ficheiro específicos; por exemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx, .

O que é considerado conteúdo que é compartilhado com pessoas de fora de sua organização? Documentos no SharePoint e nos sites OneDrive for Business da sua organização que são compartilhados enviando um convite de compartilhamento ou que são compartilhados em locais públicos. Por exemplo, as seguintes atividades de usuário resultarem em conteúdo que pode ser exibido por usuários externos:

  • Um usuário compartilha um arquivo ou uma pasta com uma pessoa de fora da organização.
  • Um usuário cria e envia um link de um arquivo compartilhado a uma pessoa de fora da organização. O link permite que o usuário externo exiba (ou edite) o arquivo.
  • Um usuário envia um convite de compartilhamento ou um link de convidado a uma pessoa de fora da organização para exibir (ou editar) um arquivo compartilhado.

Problemas ao usar a propriedade ViewableByExternalUsers

Embora a ViewableByExternalUsers propriedade represente a status se um documento ou site é partilhado com utilizadores externos, existem algumas ressalvas sobre o que esta propriedade faz e não reflete. Nos seguintes cenários, o valor da ViewableByExternalUsers propriedade não será atualizado e os resultados de uma consulta de pesquisa que utilize esta propriedade podem ser imprecisos.

  • Alterações na política de compartilhamento, como desativar o compartilhamento externo para um site ou para a organização. A propriedade ainda mostrará documentos compartilhados anteriormente como acessíveis externamente, mesmo que o acesso externo possa ter sido revogado.
  • Alterações na associação de grupo, como adicionar ou remover usuários externos do Grupos do Microsoft 365 ou grupos de Segurança do Microsoft 365. A propriedade não será atualizada automaticamente para itens aos qual o grupo tem acesso.
  • Enviar convites de compartilhamento para usuários externos em que o destinatário não aceitou o convite e, portanto, ainda não tem acesso ao conteúdo.

Nestes cenários, a ViewableByExternalUsers propriedade não refletirá a partilha atual status até que o site ou biblioteca de documentos seja novamente rabiscado e reindexado.

Pesquisando o conteúdo do site compartilhado em sua organização

Conforme explicado anteriormente, pode utilizar a SharedWithUsersOWSUser propriedade para procurar documentos que tenham sido partilhados entre pessoas na sua organização. Quando uma pessoa compartilha um arquivo (ou pasta) com outro usuário dentro de sua organização, um link para o arquivo compartilhado é exibido na página Compartilhado comigo na conta OneDrive for Business da pessoa com quem o arquivo foi compartilhado. Por exemplo, para procurar os documentos que foram partilhados com Sara Davis, pode utilizar a consulta SharedWithUsersOWSUser:"sarad@contoso.com". Se você exportar os resultados dessa pesquisa, os documentos originais (localizados no local do conteúdo da pessoa que compartilhou os documentos com Sara) serão baixados.

Os documentos têm de ser explicitamente partilhados com um utilizador específico para serem devolvidos nos resultados da pesquisa ao utilizar a SharedWithUsersOWSUser propriedade . Por exemplo, quando uma pessoa compartilha um documento em sua conta do OneDrive, ela tem a opção de compartilhá-lo com qualquer pessoa (dentro ou fora da organização), compartilhá-lo apenas com pessoas dentro da organização ou compartilhá-lo com uma pessoa específica. Eis uma captura de ecrã da janela Partilhar no OneDrive que mostra as três opções de partilha.

Apenas os ficheiros partilhados com pessoas específicas serão devolvidos por uma consulta de pesquisa que utiliza a propriedade SharedWithUsersOWSUser.

Apenas os documentos partilhados através da terceira opção (partilhado com Pessoas específicas) serão devolvidos por uma consulta de pesquisa que utilize a SharedWithUsersOWSUser propriedade .

Pesquisando conversas do Skype for Business

Você pode usar a seguinte consulta de palavra-chave para pesquisar especificamente conteúdo em conversas do Skype for Business:

kind:im

A consulta de pesquisa anterior também retorna chats do Microsoft Teams. Para evitar isso, você pode restringir os resultados da pesquisa para incluir apenas conversas do Skype for Business usando a seguinte consulta de palavra-chave:

kind:im AND subject:conversation

A consulta de palavra-chave anterior exclui chats no Microsoft Teams porque as conversas do Skype for Business são salvas como mensagens de email com uma linha de assunto que começa com a palavra "Conversa".

Para pesquisar conversas do Skype for Business que ocorreram dentro de um intervalo de datas específico, use a seguinte consulta de palavra-chave:

kind:im AND subject:conversation AND (received=startdate..enddate)

Limites de carateres para pesquisas

Existe um limite de 4000 carateres para consultas de pesquisa ao procurar conteúdos em sites do SharePoint e contas do OneDrive. Eis como o número total de carateres na consulta de pesquisa é calculado:

  • Os carateres no palavra-chave consulta de pesquisa (incluindo campos de utilizador e de filtro) contam para este limite.
  • Os carateres em qualquer propriedade de localização (como os URLs de todos os sites do SharePoint ou localizações do OneDrive que estão a ser pesquisadas) contam para este limite.
  • Os carateres em todos os filtros de permissões de pesquisa que são aplicados ao utilizador que executa a contagem de pesquisa em relação ao limite.

Para obter mais informações sobre os limites de carateres, veja Limites de pesquisa de Deteção de Dados Eletrónicos.

Observação

O limite de 4000 carateres aplica-se à Pesquisa de conteúdos, Deteção de Dados Eletrónicos (Standard) e Deteção de Dados Eletrónicos (Premium).