Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica
Dica
A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).
Este artigo descreve as propriedades disponíveis para ajudar a encontrar conteúdo entre e-mail e chat em Exchange Online e documentos e ficheiros armazenados no SharePoint e OneDrive for Business através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview.
Isto inclui Pesquisa de conteúdos, Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium) (pesquisas de Deteção de Dados Eletrónicos na Deteção de Dados Eletrónicos (Premium) são denominadas coleções). Também pode utilizar os cmdlets *-ComplianceSearch no PowerShell de Conformidade do & de Segurança para procurar estas propriedades.
Este artigo também descreve:
- Usar operadores de pesquisa boolianos, condições de pesquisa e outras técnicas de consulta de pesquisa para refinar os resultados da pesquisa.
- Procurar comunicações de vários tipos relacionados com funcionários e projetos específicos durante um período de tempo específico.
- Procurar conteúdos do site relacionados com um projeto, funcionários e/ou assuntos específicos durante um período de tempo específico.
Para obter instruções passo a passo sobre como criar diferentes pesquisas de Deteção de Dados Eletrónicos, consulte:
- Pesquisa de conteúdo
- Procurar conteúdos na Deteção de Dados Eletrónicos (Standard)
- Criar uma estimativa de coleção na Deteção de Dados Eletrónicos (Premium)
Observação
As pesquisas de Deteção de Dados Eletrónicos no portal de conformidade e os cmdlets *-ComplianceSearch correspondentes no PowerShell de Conformidade do & de Segurança utilizam a Linguagem de Consulta de Palavra-chave (KQL). Para obter informações mais detalhadas, consulte referência de sintaxe de Linguagem de Consulta de Palavra-chave.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.
Dicas e truques de pesquisa
- O fuso horário de todas as pesquisas é Hora Universal Coordenada (UTC). A alteração de fusos horários para a sua organização não é atualmente suportada. As definições de visualização do fuso horário na vista de pesquisa são apenas aplicáveis para valores na coluna Dados e não afetam os carimbos de data/hora nos itens recolhidos.
- As pesquisas de palavras-chave não são sensíveis a maiúsculas e minúsculas. Por exemplo, gato e GATO retornam os mesmos resultados.
- Os operadores boolianos AND, OR, NOT e NEAR devem estar em maiúsculas.
- A utilização de aspas interrompe os cartões universais e quaisquer operações dentro das aspas.
- Um espaço entre duas palavras-chave ou duas
property:value
expressões é o mesmo que utilizar OU. Por exemplo,from:"Sara Davis" subject:reorganization
devolve todas as mensagens enviadas por Sara Davis ou mensagens que contêm a palavra reorganização no assunto da mensagem. No entanto, a utilização de uma combinação de espaços e condicionais OR numa única consulta pode levar a resultados inesperados. Recomendamos que utilize espaços ou OU numa única consulta. - Use uma sintaxe que corresponda ao formato de
property:value
. Os valores não são sensíveis a maiúsculas e minúsculas e não podem ter um espaço a seguir ao operador. Se existir um espaço, o valor pretendido é uma pesquisa em texto completo. Por exemploto: pilarp
, procura "pilarp" como palavra-chave, em vez de mensagens enviadas para pilarp. - Ao pesquisar uma propriedade de destinatário, como To, From, Cc ou Recipients, você pode usar um endereço SMTP, um alias ou um nome de exibição para indicar um destinatário. Por exemplo, pode utilizar pilarp@contoso.com, pilarp ou "Pilar Pinilla".
- Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*).
- Ao pesquisar uma propriedade, use aspas duplas (" ") se o valor de pesquisa consistir em várias palavras. Por exemplo,
subject:budget Q1
devolve mensagens que contêm orçamento na linha de assunto e que contêm Q1 em qualquer parte da mensagem ou em qualquer uma das propriedades da mensagem. O uso desubject:"budget Q1"
retorna todas as mensagens que contêm orçamento T1 em qualquer lugar na linha de assunto. - Para excluir o conteúdo marcado com determinado valor de propriedade dos resultados de pesquisa, coloque um sinal de subtração (-) antes do nome da propriedade. Por exemplo,
-from:"Sara Davis"
exclui todas as mensagens enviadas por Sara Melo. - Você pode exportar itens com base no tipo de mensagem. Por exemplo, para exportar conversas e chats do Skype no Microsoft Teams, use a sintaxe
kind:im
. Para retornar apenas mensagens de email, você usariakind:email
. Para retornar chats, reuniões e chamadas no Microsoft Teams, usekind:microsoftteams
. - Ao procurar sites, tem de adicionar o à direita
/
ao final do URL ao utilizar apath
propriedade para devolver apenas itens num site especificado. Se não incluir os itens à direita/
, também serão devolvidos itens de um site com um nome de caminho semelhante. Por exemplo, se utilizarpath:sites/HelloWorld
itens de sites com o nomesites/HelloWorld_East
ousites/HelloWorld_West
que também seriam devolvidos. Para devolver itens apenas do site HelloWorld, tem de utilizarpath:sites/HelloWorld/
. - A linguagem/região da consulta tem de ser definida na consulta de pesquisa antes de recolher conteúdo.
- Ao procurar e-mails nas pastas Enviadas , a utilização do endereço SMTP do remetente não é suportada. Os itens na pasta Enviados contêm apenas nomes a apresentar.
Localizar conteúdo no Exchange Online
Os administradores são frequentemente encarregados de descobrir quem sabia o quê quando, da forma mais eficiente e eficaz possível, responder a pedidos relativos a litígios em curso ou potenciais, investigações internas e outros cenários. Estes pedidos são frequentemente urgentes, envolvem várias equipas de intervenientes e têm um impacto significativo se não forem concluídos em tempo útil. Saber como encontrar as informações certas é fundamental para os administradores concluirem as pesquisas com êxito e ajudarem as suas organizações a gerir os riscos e os custos associados aos requisitos de Deteção de Dados Eletrónicos.
Quando um pedido de Deteção de Dados Eletrónicos é submetido, muitas vezes só existem informações parciais disponíveis para o administrador começar a recolher conteúdos que possam estar relacionados com uma investigação específica. O pedido pode incluir nomes de funcionários, títulos de projetos, intervalos de datas aproximadas quando o projeto estava ativo e não muito mais. A partir destas informações, o administrador tem de criar consultas para localizar conteúdos relevantes em todos os serviços do Microsoft 365 para determinar as informações necessárias para um determinado projeto ou assunto. Compreender como as informações são armazenadas e geridas para estes serviços ajuda os administradores a encontrar de forma mais eficiente o que precisam de forma rápida e eficaz.
Email, chat, reunião e Microsoft 365 Copilot e Microsoft Copilot dados de atividade (pedidos de utilizador e respostas copilot) são armazenados no Exchange Online. Estão disponíveis muitas propriedades de comunicação para procurar itens incluídos no Exchange Online. Algumas propriedades, como De, Enviado, Assunto e Para são exclusivas de determinados itens e não são relevantes ao procurar ficheiros ou documentos no SharePoint e OneDrive for Business. Incluir estes tipos de propriedades ao procurar entre cargas de trabalho pode, por vezes, originar resultados inesperados.
Por exemplo, para localizar conteúdos relacionados com funcionários específicos (Utilizador 1 e Utilizador 2), associados a um projeto denominado Tradewinds e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:
- Adicionar as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origens de dados ao caso
- Selecione as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como localizações de coleção
- Para Palavra-chave, use Tradewinds
- Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022
Importante
Para e-mails, quando é utilizado um palavra-chave, pesquisamos assunto, corpo e muitas propriedades relacionadas com os participantes. No entanto, devido à expansão do destinatário, a pesquisa pode não devolver os resultados esperados ao utilizar o alias ou parte do alias. Por conseguinte, recomendamos a utilização do UPN completo.
Propriedades de emails pesquisáveis
A tabela seguinte lista as propriedades da mensagem de e-mail que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch .
Importante
Embora as mensagens de e-mail possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades de e-mail listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de mensagens de e-mail nas pesquisas não é suportada.
A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos. Pode introduzir estes property:value
pares na caixa palavras-chave de uma pesquisa de Deteção de Dados Eletrónicos.
Observação
Ao procurar propriedades de e-mail, não é possível procurar cabeçalhos de mensagens. As informações de cabeçalho não são indexadas para coleções. Além disso, os itens nos quais a propriedade especificada está vazia ou em branco não são pesquisáveis. Por exemplo, usar o par property:value de subject:"" para pesquisar mensagens de email com uma linha de assunto vazia retornará zero resultados. Isso também se aplica ao pesquisar propriedades de site e contato.
Propriedade | Descrição da propriedade | Exemplos | Resultados de pesquisa retornados pelos exemplos |
---|---|---|---|
AttachmentNames | Os nomes dos arquivos anexados a uma mensagem de email. | attachmentnames:annualreport.ppt |
Mensagens com um ficheiro anexado com o nome annualreport.ppt. No segundo exemplo, utilizar o caráter universal ( * ) devolve mensagens com a palavra anual no nome de ficheiro de um anexo. 1 |
Cco | O campo Cco de uma mensagem de email.1 | bcc:pilarp@contoso.com |
Todos os exemplos devolvem mensagens com Pilar Pinilla incluída no campo Bcc. (Consulte Expansão do Destinatário) |
Categoria | As categorias a serem pesquisadas. As categorias podem ser definidas pelos usuários usando o Outlook ou o Outlook na Web (anteriormente conhecido como Outlook Web App). Os valores possíveis são:
|
category:"Red Category" |
Mensagens a que foi atribuída a categoria vermelha nas caixas de correio de origem. |
Cc | O campo Cc de uma mensagem de email.1 | cc:pilarp@contoso.com |
Em ambos os exemplos, as mensagens com Pilar Pinilla especificadas no campo Cc. (Consulte Expansão do Destinatário) |
Folderid | O ID da pasta (GUID) de uma pasta de caixa de correio específica no formato de 48 carateres. Se você usar essa propriedade, não se esqueça de pesquisar a caixa de correio na qual a pasta especificada está localizada. Apenas a pasta especificada é pesquisada. As subpastas na pasta não serão pesquisadas. Para procurar subpastas, tem de utilizar a propriedade Folderid para a subpasta que pretende procurar. Para obter mais informações sobre como procurar a propriedade Folderid e utilizar um script para obter os IDs de pasta de uma caixa de correio específica, consulte Utilizar a pesquisa de Conteúdo para coleções direcionadas. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
O primeiro exemplo retorna todos os itens na pasta de caixa de correio especificada. O segundo exemplo devolve todos os itens na pasta de caixa de correio especificada que foram enviados ou recebidos por garthf@contoso.com. |
De | O remetente de uma mensagem de email.1 | from:pilarp@contoso.com |
Mensagens enviadas pelo utilizador especificado. (Consulte Expansão do Destinatário) |
HasAttachment | Indica se uma mensagem tem um anexo. Use os valores true ou false. | from:pilar@contoso.com AND hasattachment:true |
Mensagens enviadas pelo usuário especificado que têm anexos. |
Importance | A prioridade de uma mensagem de email, que um remetente pode especificar ao enviar uma mensagem. Por padrão, as mensagens são enviadas com prioridade normal, a menos que o remetente defina a prioridade como alta ou baixa. | importance:high |
Mensagens marcadas como alta prioridade, prioridade média ou baixa prioridade. |
IsRead | Indica se as mensagens foram lidas. Use os valores true ou false. | isread:true |
O primeiro exemplo retorna mensagens com a propriedade IsRead definida como True. O segundo exemplo retorna mensagens com a propriedade IsRead definida como False. |
ItemClass | Use essa propriedade para pesquisar tipos de dados de terceiros específicos que sua organização importou para o Office 365. Utilize a seguinte sintaxe para esta propriedade: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
O primeiro exemplo retorna itens do Facebook que contêm a palavra "contoso" na propriedade Subject. O segundo exemplo retorna itens do Twitter que foram postados por Ann Beebe e que contêm a frase de palavra-chave "Northwind Traders". Para obter uma lista completa dos valores a utilizar para tipos de dados de terceiros para a propriedade ItemClass, consulte Utilizar a pesquisa conteúdo para procurar dados de terceiros importados para Office 365. |
Tipo | O tipo de mensagem de email a ser pesquisada. Valores possíveis: contacts documentos externaldata faxes mensagem instantânea diários reuniões microsoftteams (retorna itens de chats, reuniões e chamadas no Microsoft Teams) notes postagens rssfeeds tarefas caixa postal |
kind:email |
O primeiro exemplo retorna mensagens de email que atendem aos critérios de pesquisa. O segundo exemplo retorna mensagens de email, conversas de mensagens instantâneas (incluindo conversas e chats do Skype for Business no Microsoft Teams) e mensagens de voz que atendem aos critérios de pesquisa. O terceiro exemplo devolve itens que foram importados para caixas de correio no Microsoft 365 a partir de origens de dados de terceiros, como o Twitter, Facebook e Cisco Jabber, que cumprem os critérios de pesquisa. Para obter mais informações, consulte Arquivando dados de terceiros no Office 365. |
Participantes | Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco.1 | participants:garthf@contoso.com |
Mensagens enviadas ou enviadas para garthf@contoso.com. O segundo exemplo retorna todas as mensagens enviadas por ou para um usuário no domínio contoso.com. (Consulte Expansão do Destinatário) |
Received | A data em que uma mensagem de email foi recebida pelo destinatário. | received:2021-04-15 |
Mensagens recebidas a 15 de abril de 2021. O segundo exemplo devolve todas as mensagens recebidas entre 1 de janeiro de 2021 e 31 de março de 2021. |
Destinatários | Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco.1 | recipients:garthf@contoso.com |
Mensagens enviadas para garthf@contoso.com. O segundo exemplo retorna mensagens enviadas para qualquer destinatário no domínio contoso.com. (Consulte Expansão do Destinatário) |
Enviado | A data em que uma mensagem de email foi enviada pelo remetente. | sent:2021-07-01 |
Mensagens que foram enviadas na data especificada ou dentro do intervalo de datas especificado. |
Tamanho | O tamanho de um item, em bytes. | size>26214400 |
Mensagens com mais de 25 MB. O segundo exemplo retorna mensagens de 1 a 1.048.567 bytes (1 MB) de tamanho. |
Assunto | O texto na linha de assunto de uma mensagem de email.
Observação: quando você usa a propriedade Subject em uma consulta, a pesquisa retorna todas as mensagens nas quais a linha de assunto contém o texto que você está procurando. Em outras palavras, a consulta não retorna apenas as mensagens que têm uma correspondência exata. Por exemplo, se procurar |
subject:"Quarterly Financials" |
Mensagens que contêm a frase "Finanças Trimestrais" em qualquer lugar no texto da linha de assunto. O segundo exemplo retorna todas as mensagens que contêm a palavra northwind na linha de assunto. |
Para | O campo Para de uma mensagem de email.1 | to:annb@contoso.com |
Todos os exemplos retornam mensagens em que Clara Barbosa é especificada na linha Para:. |
Observação
1 Para o valor de uma propriedade de destinatário, você pode usar o endereço de email (também chamado de nome UPN ou UPN), nome de exibição ou alias para especificar um usuário. Por exemplo, pode utilizar annb@contoso.com, annb ou "Ann Beebe" para especificar o utilizador Ann Beebe.
Expansão do destinatário
Dica
Utilize a nova experiência de Deteção de Dados Eletrónicos (pré-visualização) e o construtor de condições para utilizar propriedades comuns da caixa de correio e do site, como MessageIDs e ChatThreadIds , ao procurar destinatários ou mensagens específicos.
Ao procurar qualquer uma das propriedades do destinatário (De, Para, Cc, Bcc, Participantes e Destinatários), o Microsoft 365 tenta expandir a identidade de cada utilizador ao procurá-las no Microsoft Entra ID. Se o utilizador for encontrado no Microsoft Entra ID, a consulta é expandida para incluir o endereço de e-mail do utilizador (ou UPN), alias, nome a apresentar e LegacyExchangeDN. Por exemplo, uma consulta como participants:ronnie@contoso.com
expande para participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
.
Para evitar a expansão do destinatário, adicione um caractere curinga (asterisco) ao final do endereço de email e use um nome de domínio reduzido; por exemplo, participants:"ronnie@contoso*"
Lembre-se de envolver o endereço de email com aspas duplas.
No entanto, lembre-se de que impedir a expansão do destinatário na consulta de pesquisa pode resultar em itens relevantes não serem retornados nos resultados da pesquisa. As mensagens de email no Exchange podem ser salvas com formatos de texto diferentes nos campos do destinatário. A expansão do destinatário destina-se a ajudar a atenuar esse fato retornando mensagens que podem conter formatos de texto diferentes. Portanto, impedir a expansão do destinatário pode fazer com que a consulta de pesquisa não retorne todos os itens que podem ser relevantes para sua investigação.
Observação
Se precisar de rever ou reduzir os itens devolvidos por uma consulta de pesquisa devido à expansão do destinatário, considere utilizar a Deteção de Dados Eletrónicos (Premium). Você pode pesquisar mensagens (aproveitando a expansão do destinatário), adicioná-las a um conjunto de revisão e, em seguida, usar consultas de conjunto de revisão ou filtros para revisar ou restringir os resultados. Para obter mais informações, consulte Coletar dados para um caso e Consultar os dados em um conjunto de revisão.
Localizar conteúdos no SharePoint e no OneDrive
Dica
Utilize a nova experiência de Deteção de Dados Eletrónicos (pré-visualização) e opções de exportação de pesquisa para transferir todos os anexos de lista para sites do SharePoint.
Ao procurar documentos e ficheiros localizados no SharePoint ou OneDrive for Business, poderá fazer sentido ajustar a abordagem de consulta com base nos metadados dos documentos e ficheiros de interesse. Os ficheiros e documentos têm propriedades relevantes como Autor, Criado, CreatedBy, FileName, LastModifiedTime e Título. A maioria destas propriedades não é relevante ao procurar conteúdos de comunicações no Exchange Online e a utilização destas propriedades pode originar resultados inesperados se forem utilizadas em documentos e comunicações. Além disso, FileName e Title de um documento podem não ser os mesmos e utilizar um ou outro para tentar localizar um ficheiro com conteúdo específico pode levar a resultados diferentes ou imprecisos. Tenha estas propriedades em mente ao procurar conteúdo específico de documentos e ficheiros no SharePoint e OneDrive for Business.
Por exemplo, para localizar conteúdos relacionados com documentos criados pelo Utilizador 1, para um projeto denominado Tradewinds, para ficheiros específicos denominados Finanças e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:
- Adicionar o site OneDrive for Business do Utilizador 1 como uma origem de dados ao caso
- Selecione o site OneDrive for Business do Utilizador 1 como uma localização de coleção
- Adicionar localizações de sites do SharePoint adicionais relacionadas com o projeto como localizações de coleção
- Para FileName, utilize Finanças
- Para Palavra-chave, use Tradewinds
- Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022
Propriedades de sites pesquisáveis
A tabela seguinte lista as propriedades do SharePoint e OneDrive for Business que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch.
Importante
Embora os documentos e ficheiros armazenados no SharePoint e OneDrive for Business possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades do documento e do ficheiro listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de documentos ou ficheiros nas pesquisas não é suportada.
A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos.
Propriedade | Descrição da propriedade | Exemplo | Resultados de pesquisa retornados pelos exemplos |
---|---|---|---|
Autor | O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | author:"Garth Fort" |
Todos os documentos criados por Paulo Araújo. |
ContentType | O tipo de conteúdo do SharePoint de um item, como Item, Documento ou Vídeo. | contenttype:document |
Todos os documentos seriam ser retornados. |
Criado em | A data em que um item foi criado. | created>=2021-06-01 |
Todos os itens criados em ou depois de 1 de junho de 2021. |
CreatedBy | A pessoa que criou ou carregou um item. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | createdby:"Garth Fort" |
Todos os itens criados ou carregados por Paulo Araújo. |
DetectedLanguage | O idioma de um item. | detectedlanguage:english |
Todos os itens em inglês. |
DocumentLink | O caminho (URL) de uma pasta específica em um site do SharePoint OneDrive for Business site. Se você usar essa propriedade, não se esqueça de pesquisar o site no qual a pasta especificada está localizada. Recomendamos que utilize esta propriedade em vez das propriedades Site e Caminho . Para devolver itens localizados em subpastas da pasta que especificar para a propriedade documentlink, tem de adicionar /* ao URL da pasta especificada; Por exemplo |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
O primeiro exemplo retorna todos os itens na pasta OneDrive for Business especificada. O segundo exemplo retorna documentos na pasta do site especificada (e todas as subpastas) que contêm a palavra "confidencial" no nome do arquivo. |
FileExtension | A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. | fileextension:xlsx |
Todos os arquivos do Excel (Excel 2007 e posterior) |
FileName | O nome de um arquivo. | filename:"marketing plan" |
O primeiro exemplo retorna os arquivos com a frase exata "plano de marketing" no título. O segundo exemplo retorna arquivos com a palavra "estimativa" no nome de arquivo. |
LastModifiedTime | A data em que um item foi alterado pela última vez. | lastmodifiedtime>=2021-05-01 |
O primeiro exemplo devolve itens que foram alterados em ou depois de 1 de maio de 2021. O segundo exemplo devolve itens alterados entre 1 de maio de 2021 e 1 de junho de 2021. |
ModifiedBy | A pessoa que alterou um item pela última vez. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | modifiedby:"Garth Fort" |
Todos os itens que foram alterados pela última vez por Paulo Araújo. |
SharedWithUsersOWSUser | Documentos que foram compartilhados com o usuário especificado e exibidos na página Compartilhado comigo no site do OneDrive for Business usuário. Esses são documentos que foram explicitamente compartilhados com o usuário especificado por outras pessoas em sua organização. Quando você exporta documentos que correspondem a uma consulta de pesquisa que usa a propriedade SharedWithUsersOWSUser, os documentos são exportados do local de conteúdo original da pessoa que compartilhou o documento com o usuário especificado. Para obter mais informações, consulte Procurando o conteúdo do site compartilhado em sua organização. | sharedwithusersowsuser:garthf |
Ambos os exemplos retornam todos os documentos internos que foram explicitamente compartilhados com Garth Fort e que aparecem na página Compartilhado comigo na conta do OneDrive for Business de Garth Fort. |
Tamanho | O tamanho de um item, em bytes. | size>=1 |
O primeiro exemplo retorna itens com mais de 1 byte. O segundo exemplo retorna itens de 1 a 10.000 bytes de tamanho. |
Título | O título do documento. A propriedade Title consiste em metadados especificados em documentos do Microsoft Office. É diferente do nome do arquivo do documento. | title:"communication plan" |
Qualquer documento que contém a frase "plano de comunicação" na propriedade de metadados Title de um documento do Office. |
Propriedades de contato pesquisáveis
A tabela seguinte lista as propriedades de contacto indexadas e que pode procurar com ferramentas de pesquisa de Deteção de Dados Eletrónicos. Essas são as propriedades que estão disponíveis para os usuários configurarem para os contatos (também chamados de contatos pessoais) localizados no catálogo de endereços pessoal da caixa de correio de um usuário. Para pesquisar contatos, você pode selecionar as caixas de correio a serem pesquisadas e, em seguida, usar uma ou mais propriedades de contato na consulta de palavra-chave.
Dica
Para procurar valores que contenham espaços ou carateres especiais, utilize aspas duplas (" ") para conter a expressão; por exemplo, businessaddress:"123 Main Street"
.
Propriedade | Descrição da propriedade |
---|---|
BusinessAddress | O endereço na propriedade Business Address. A propriedade também é chamada de endereço de Trabalho na página de propriedades do contato. |
BusinessPhone | O número de telefone em qualquer uma das propriedades de número de Telefone Comercial. |
CompanyName | O nome na propriedade Company. |
Departamento | O nome na propriedade Department. |
DisplayName | O nome de exibição do contato. Esse é o nome na propriedade Full Name do contato. |
EmailAddress | O endereço de qualquer propriedade de endereço de email para o contato. Os usuários podem adicionar vários endereços de email para um contato. Usar essa propriedade retornaria contatos que correspondam a qualquer um dos endereços de email do contato. |
FileAs | A propriedade Arquivar como. Essa propriedade é usada para especificar como o contato é listado na lista de contatos do usuário. Por exemplo, um contacto pode ser listado como NomePróprio, Apelido ou Apelido, NomePróprio. |
GivenName | O nome na propriedade First Name. |
HomeAddress | O endereço em qualquer uma das propriedades de endereço Residencial. |
HomePhone | O número de telefone em qualquer uma das propriedades do número de telefone Residencial. |
IMAddress | A propriedade de endereço de mensagem instantânea, que normalmente é um endereço de email usado para mensagens instantâneas. |
MiddleName | O nome na propriedade nome do Meio. |
MobilePhone | O número de telefone na propriedade número de telefone Celular. |
Nickname | O nome na propriedade Nickname. |
OfficeLocation | O valor na propriedade Office ou Office location. |
OtherAddress | O valor da propriedade de endereço Other. |
Surname | O nome na propriedade Sobrenome. |
Título | O título na propriedade Cargo. |
Operadores de pesquisa
Operadores de pesquisa boolianos, como AND, OR e NOT, ajudam a definir pesquisas mais precisas incluindo ou excluindo palavras específicas na consulta de pesquisa. Outras técnicas, como o uso de operadores de propriedade (como >=
ou ..
), aspas, parênteses e curingas, ajudam a refinar uma consulta de pesquisa. A tabela a seguir lista os operadores que você pode usar para restringir ou ampliar os resultados de pesquisa.
Operador | Uso | Descrição |
---|---|---|
E | palavra-chave1 AND palavra-chave2 | Devolve itens que incluem todas as palavras-chave ou property:value expressões especificadas. Por exemplo, from:"Ann Beebe" AND subject:northwind devolveria todas as mensagens enviadas por Ann Beebe que continham a palavra northwind na linha do assunto.
2 |
+ | keyword1 + keyword2 + keyword3 | Devolve itens que contêmkeyword2 ou keyword3 e que também contêm keyword1 . Por conseguinte, este exemplo é equivalente à consulta (keyword2 OR keyword3) AND keyword1 . A consulta |
OU | palavra-chave1 OR palavra-chave2 | Devolve itens que incluem uma ou mais das palavras-chave ou property:value expressões especificadas.
2 |
NÃO | palavra-chave1 NOT palavra-chave2 NOT from:"Clara Barbosa" NOT kind:im |
Exclui itens especificados por um palavra-chave ou uma property:value expressão. No segundo exemplo, as mensagens enviadas por Ann Beebe são excluídas. O terceiro exemplo exclui conversas de mensagens instantâneas, como conversas do Skype for Business que são salvas na pasta de caixa de correio histórico de conversas.
2 |
NEAR | palavra-chave1 NEAR(n) palavra-chave2 | Devolve itens com palavras próximas umas das outras. Na sintaxe keyword1 NEAR(n) keyword2 , n é igual ao número de palavras, incluindo a palavra-chave1 e a palavra-chave2. Por exemplo, para identificar instâncias em que o termo melhor está dentro de 3 palavras do pior (frase de exemplo, "O melhor é oposto do pior"). Utilizaria o melhor NEAR(5) pior. Esta ação devolve quaisquer itens em que existam três ou menos palavras entre as melhores (palavra-chave1) e as piores (palavra-chave2). Especificar 5 no exemplo de sintaxe inclui as duas palavras-chave e a diferença de 3 palavras entre as mesmas é o intervalo NEAR. Se não for especificado nenhum número, o valor n predefinido é 8. 2 |
: | property:valor | Os dois pontos (:) na property:value sintaxe especificam que o valor da propriedade que está a ser pesquisada contém o valor especificado. Por exemplo, recipients:garthf@contoso.com devolve qualquer mensagem enviada para garthf@contoso.com. |
= | property=value | O mesmo que o : operador. |
< | property<value | Indica que a propriedade que está sendo pesquisada é menor do que o valor especificado. 1 |
> | property>value | Indica que a propriedade que está sendo pesquisada é maior do que o valor especificado.1 |
<= | property<=value | Indica que a propriedade que está sendo pesquisada é menor ou igual a um valor específico.1 |
>= | property>=value | Indica que a propriedade que está sendo pesquisada é maior ou igual a um valor específico.1 |
.. | property:value1..value2 | Indica que a propriedade que está sendo pesquisada é maior ou igual a value1 e menor ou igual a value2.1 |
" " | "valor justo" assunto:"Finanças trimestrais" |
Numa consulta palavra-chave (onde escreve o property:value par na caixa Palavra-chave), utilize aspas duplas (" ") para procurar uma expressão ou termo exato. No entanto, se utilizar a condição de condição de pesquisaAssunto ou Assunto/Título, não adicione aspas duplas ao valor porque as aspas são adicionadas automaticamente ao utilizar estas condições de pesquisa. Se adicionar aspas ao valor, serão adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro. |
* | gato* assunto:set* |
As pesquisas de prefixos (também denominadas correspondência de prefixos) em que um caráter universal ( * ) é colocado no final de uma palavra em palavras-chave ou property:value consultas. Nas pesquisas de prefixos, a pesquisa devolve resultados com termos que contêm a palavra seguida de zero ou mais carateres. Por exemplo, title:set* devolve documentos que contêm a palavra "set", "setup" e "setting" (e outras palavras que começam com "set") no título do documento. Nota: Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*). Além disso, adicionar um ponto final ( . ) a uma pesquisa de prefixo altera os resultados que são devolvidos. Isso ocorre porque um ponto é tratado como uma palavra irrelevante. Por exemplo, procurar gato* e procurar gato.* irá devolver resultados diferentes. Recomendamos que não utilize um ponto final numa pesquisa de prefixo. |
( ) | (justo OR grátis) AND (from:contoso.com) (IPO OR inicial) AND (ação OR títulos) (finanças trimestrais) |
Os parênteses agrupam expressões booleanas, property:value itens e palavras-chave. Por exemplo, (quarterly financials) devolve itens que contêm as palavras trimestrais e financeiras. |
Observação
1 Use esse operador para propriedades que têm valores numéricos ou de data.
2 Operadores de pesquisa boolianos devem estar em maiúsculas; por exemplo, AND. Se você usar um operador em minúsculas, como e , ele será tratado como uma palavra-chave na consulta de pesquisa.
Condições de pesquisa
Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você inicia a pesquisa.
- Condições para propriedades comuns
- Condições para propriedades de email
- Condições para propriedades de documentos
- Operadores usados com condições
- Diretrizes para o uso de condições
- Exemplos
Condições para propriedades comuns
Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.
Condition | Descrição |
---|---|
Date | Para o e-mail, a data em que uma mensagem foi criada ou importada a partir de um ficheiro PST. Para documentos, a data em que um documento foi modificado pela última vez. Se estiver à procura de mensagens de e-mail para um período de tempo específico, deve utilizar a mensagem Condições recebidas e enviadas se não tiver a certeza se as mensagens de e-mail podem ter sido importadas em vez de terem sido criadas nativamente no Exchange. |
Sender/Author | Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR. (Consulte Expansão do Destinatário) |
Tamanho (em bytes) | Para emails e documentos, o tamanho do item (em bytes). |
Subject/Title | Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. Conforme explicado anteriormente, a propriedade Title são metadados especificados Microsoft Office documentos. Pode escrever o nome de mais do que um valor de assunto/título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR. Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro. |
Rótulo de retenção | Tanto para o e-mail como para documentos, as etiquetas de retenção que podem ser aplicadas automaticamente ou manualmente a mensagens e documentos. As etiquetas de retenção podem ser utilizadas para declarar registos e ajudá-lo a gerir o ciclo de vida dos dados do conteúdo ao impor regras de retenção e eliminação especificadas pela etiqueta. Você pode digitar parte do nome do rótulo de retenção e usar um curinga ou digitar o nome completo do rótulo. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção. |
Condições para propriedades de email
Crie uma condição com propriedades de correio ao procurar caixas de correio ou pastas públicas no Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.
Condition | Descrição |
---|---|
Tipo de mensagem | Tipo de mensagem para pesquisar. Essa propriedade é igual à propriedade de email Kind. Valores possíveis:
|
Participantes | Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco. (Consulte Expansão do Destinatário) |
Tipo | A propriedade de classe de mensagem para um item de email. Essa é a mesma propriedade que a propriedade de email ItemClass. Também é uma condição de vários valores. Assim, para selecionar múltiplas classes de mensagens, mantenha premida a tecla CTRL e, em seguida, selecione duas ou mais classes de mensagens na lista pendente que pretende adicionar à condição. Cada classe de mensagem selecionada na lista será conectada logicamente pelo operador OR na consulta de pesquisa correspondente. Para obter uma lista das classes de mensagem (e sua ID de classe de mensagem correspondente) que são usadas pelo Exchange e que você pode selecionar na lista Classe de mensagem, consulte Tipos de Item e Classes de Mensagem. |
Received | A data em que uma mensagem de email foi recebida pelo destinatário. Essa propriedade é igual à propriedade de email Received. |
Destinatários | Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco. (Consulte Expansão do Destinatário) |
Remetente | O remetente de uma mensagem de email. |
Enviado | A data em que uma mensagem de email foi enviada pelo remetente. Essa propriedade é igual à propriedade de email Sent. |
Assunto | O texto na linha de assunto de uma mensagem de email. Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro. |
Para | O destinatário de uma mensagem de email no campo Para. |
Condições para propriedades de documentos
Crie uma condição usando propriedades de documento ao pesquisar documentos no SharePoint e OneDrive for Business sites. A tabela a seguir lista as propriedades de documentos que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.
Condition | Descrição |
---|---|
Autor | O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original. |
Título | O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. Ele é diferente do nome do arquivo do documento. |
Criado em | A data em que um documento foi criado. |
Última modificação | A data em que um documento foi alterado pela última vez. |
Tipo de arquivo | A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.
Nota: Se incluir uma condição Tipo de ficheiro utilizando o operador É Igual ou Igual a qualquer um dos operadores numa consulta de pesquisa, não pode utilizar uma pesquisa de prefixo (ao incluir o caráter universal ( * ) no final do tipo de ficheiro) para devolver todas as versões de um tipo de ficheiro. Se o fizer, o caráter universal será ignorado. Por exemplo, se incluir a condição |
Operadores usados com condições
Ao adicionar uma condição, você pode selecionar um operador que é relevante para o tipo de propriedade da condição. A tabela a seguir descreve os operadores que são usados com condições e lista o equivalente que é usado na consulta de pesquisa.
Operador | Equivalente de consulta | Descrição |
---|---|---|
After | property>date |
Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada. |
Before | property<date |
Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada. |
Between | date..date |
Use com condições de data e tamanho. Quando usado com uma condição de data, retorna itens que foram enviados, recebidos ou modificados no intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado. |
Contains any of | (property:value) OR (property:value) |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada. |
Doesn't contain any of | -property:value |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada. |
Doesn't equal any of | -property=value |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm a cadeia de caracteres específica. |
Igual a | size=value |
Retorna itens que são iguais ao tamanho especificado.1 |
Igual a qualquer | (property=value) OR (property=value) |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Devolve itens que correspondem a um ou mais valores de cadeia especificados. |
Maior | size>value |
Retorna itens em que a propriedade especificada é maior do que o valor especificado.1 |
Greater or equal | size>=value |
Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado.1 |
Menos | size<value |
Retorna itens que são maiores ou iguais ao valor específico.1 |
Less or equal | size<=value |
Retorna itens que são maiores ou iguais ao valor específico.1 |
Not equal | size<>value |
Retorna itens que não são iguais ao tamanho especificado.1 |
Observação
1 Esse operador está disponível somente para condições que usam a propriedade Size.
Diretrizes para o uso de condições
Lembre-se do seguinte ao usar condições de pesquisa.
Uma condição está logicamente conectada à consulta de palavra-chave (especificada na caixa de palavra-chave) pelo operador AND. Isso significa que os itens precisam atender à consulta de palavra-chave e à condição para serem incluídos nos resultados. É assim que as condições ajudam a restringir os resultados.
Se você adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições serão logicamente conectadas pelo operador AND. Isso significa que apenas os itens que atenderem a todas as condições (além de qualquer consulta de palavra-chave) serão retornados.
Se você adicionar mais de uma condição à mesma propriedade, as condições serão logicamente conectadas pelo operador OR. Isso significa que os itens que atenderem à consulta de palavra-chave e a qualquer uma das condições serão retornados. Portanto, grupos das mesmas condições são conectados uns aos outros pelo operador OR, e conjuntos de condições exclusivas são conectados pelo operador AND.
Se você adicionar vários valores (separados por vírgulas ou ponto-e-vírgula) a uma única condição, os valores serão conectados pelo operador OR. Isso significa que os itens serão retornados se contiverem qualquer um dos valores especificados para a propriedade na condição.
Qualquer condição que utilize um operador com lógica Contém e É Igual a devolverá resultados de pesquisa semelhantes para pesquisas de cadeias simples. Uma pesquisa de cadeia simples é uma cadeia na condição que não inclui um caráter universal). Por exemplo, uma condição que utilize Igual a qualquer um dos irá devolver os mesmos itens que uma condição que utiliza Contém qualquer um dos.
A consulta de pesquisa criada usando a caixa de palavras-chave e condições é exibida na página Pesquisa, no painel de detalhes da pesquisa selecionada. Numa consulta, tudo à direita da notação
(c:c)
indica condições que são adicionadas à consulta.(c:c)
não deve ser utilizado em consultas enetered manualmente e não é igual a E ou OU.As condições só adicionam propriedades à consulta de pesquisa; não adicionam operadores. É por isso que a consulta apresentada no painel de detalhes não mostra operadores à direita da
(c:c)
notação. A KQL adiciona os operadores lógicos (de acordo com as regras explicadas anteriormente) ao executar a consulta.Você pode usar o controle de arrastar e soltar para sequenciar novamente a ordem das condições. Selecione o controlo de uma condição e mova-a para cima ou para baixo.
Conforme explicado anteriormente, algumas propriedades da condição permitem-lhe escrever vários valores (separados por ponto e vírgula). Cada valor é ligado logicamente pelo operador OR e resulta na consulta
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)
. A ilustração seguinte mostra um exemplo de uma condição com múltiplos valores.Observação
Não pode adicionar várias condições (ao selecionar Adicionar condição para a mesma propriedade). Em vez disso, tem de fornecer vários valores para a condição (separados por ponto e vírgula), conforme mostrado no exemplo anterior.
Exemplos
Os exemplos a seguir mostram a versão baseada em GUI de uma consulta de pesquisa com condições, a sintaxe de consulta de pesquisa exibida no painel de detalhes da pesquisa selecionada (que também é retornada pelo cmdlet Get-ComplianceSearch) e a lógica da consulta KQL correspondente.
Exemplo 1
Este exemplo devolve itens de e-mail ou documentos que contêm o palavra-chave "relatório", que foram enviados ou criados antes de 1 de abril de 2021 e que contêm a palavra "northwind" no campo assunto das mensagens de e-mail ou na propriedade de título dos documentos. A consulta exclui páginas da Web que atendem aos outros critérios de pesquisa.
GUI:
Sintaxe de consulta de pesquisa:
report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)
Lógica de consulta de pesquisa:
report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)
Exemplo 2
Este exemplo devolve mensagens de e-mail ou reuniões de calendário enviadas entre 1 de dezembro de 2019 e 30 de novembro de 2020 e que contêm palavras que começam com "telemóvel" ou "smartphone".
GUI:
Sintaxe de consulta de pesquisa:
phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")
Lógica de consulta de pesquisa:
phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))
Caracteres especiais
Alguns carateres especiais não são incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Isso também inclui os caracteres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Tipos de dados confidenciais pesquisáveis
Pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade para procurar dados confidenciais, como números de card de crédito ou números de segurança social, armazenados em documentos no SharePoint e OneDrive for Business sites. Você pode fazer isso usando a propriedade SensitiveType
e o nome (ou ID) de um tipo de informação confidencial em uma consulta de palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number"
retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)"
devolve documentos que contêm um número de segurança social dos EUA.
Para ver uma lista dos tipos de informações confidenciais que pode procurar, aceda a Classificações> de dadosTipos de informações confidenciais no portal de conformidade. Em alternativa, pode utilizar o cmdlet Get-DlpSensitiveInformationType no PowerShell de Conformidade do & de Segurança para apresentar uma lista de tipos de informações confidenciais.
Limitações para pesquisar tipos de dados confidenciais
Para pesquisar tipos de informações confidenciais personalizados, você precisa especificar a ID do tipo de informação confidencial na propriedade
SensitiveType
. O uso do nome de um tipo personalizado de informações confidenciais (conforme mostrado no exemplo para tipos de informações confidenciais internos na seção anterior) não retornará nenhum resultado. Utilize a coluna Publisher na página Tipos de informações confidenciais no portal de conformidade (ou a propriedade Publisher no PowerShell) para diferenciar entre tipos de informações confidenciais incorporados e personalizados. Os tipos de dados confidenciais internos têm um valor deMicrosoft Corporation
para a propriedade Publicador.Para apresentar o nome e o ID dos tipos de dados confidenciais personalizados na sua organização, execute o seguinte comando no PowerShell de Conformidade do & de Segurança:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
Em seguida, você pode usar a ID na propriedade de pesquisa
SensitiveType
para retornar documentos que contêm o tipo de dados confidenciais personalizado; por exemplo,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
Você não pode usar tipos de informações confidenciais e a propriedade de pesquisa
SensitiveType
para pesquisar dados confidenciais em repouso em caixas de correio do Exchange Online. Isto inclui mensagens de chat 1:1, mensagens de chat de grupo 1:N e conversações de canal de equipa no Microsoft Teams porque todo este conteúdo está armazenado em caixas de correio. No entanto, você pode usar políticas de prevenção contra perda de dados (DLP) para proteger dados confidenciais de email em trânsito. Para obter mais informações, veja Saiba mais sobre a prevenção de perda de dados e Procurar e localizar dados pessoais.
Pesquisar conteúdo de site compartilhado com usuários externos
Também pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal de conformidade para procurar documentos armazenados no SharePoint e OneDrive for Business sites que foram partilhados com pessoas fora da sua organização. Isso pode ajudá-lo a identificar informações confidenciais ou proprietárias que estão sendo compartilhadas fora de sua organização. Pode fazê-lo ao utilizar a ViewableByExternalUsers
propriedade numa consulta palavra-chave. Essa propriedade retorna documentos ou sites que foram compartilhados com usuários externos usando um dos seguintes métodos de compartilhamento:
- Um convite de compartilhamento que exige que os usuários se conectem à sua organização como um usuário autenticado.
- Um link de convidado anônimo, que permite que qualquer pessoa com este link acesse o recurso sem precisar ser autenticado.
Aqui estão alguns exemplos:
- A consulta
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
devolve todos os itens que foram partilhados com pessoas fora da sua organização e contêm um número de card de crédito. - A consulta
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
devolve uma lista de documentos em todos os sites de equipa na organização que foram partilhados com utilizadores externos.
Dica
Uma consulta de pesquisa, como ViewableByExternalUsers:true AND ContentType:document
, por exemplo, pode devolver muitos ficheiros .aspx nos resultados da pesquisa. Para eliminar estes (ou outros tipos de ficheiros), pode utilizar a FileExtension
propriedade para excluir tipos de ficheiro específicos; por exemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
, .
O que é considerado conteúdo que é compartilhado com pessoas de fora de sua organização? Documentos no SharePoint e nos sites OneDrive for Business da sua organização que são compartilhados enviando um convite de compartilhamento ou que são compartilhados em locais públicos. Por exemplo, as seguintes atividades de usuário resultarem em conteúdo que pode ser exibido por usuários externos:
- Um usuário compartilha um arquivo ou uma pasta com uma pessoa de fora da organização.
- Um usuário cria e envia um link de um arquivo compartilhado a uma pessoa de fora da organização. O link permite que o usuário externo exiba (ou edite) o arquivo.
- Um usuário envia um convite de compartilhamento ou um link de convidado a uma pessoa de fora da organização para exibir (ou editar) um arquivo compartilhado.
Problemas ao usar a propriedade ViewableByExternalUsers
Embora a ViewableByExternalUsers
propriedade represente a status se um documento ou site é partilhado com utilizadores externos, existem algumas ressalvas sobre o que esta propriedade faz e não reflete. Nos seguintes cenários, o valor da ViewableByExternalUsers
propriedade não será atualizado e os resultados de uma consulta de pesquisa que utilize esta propriedade podem ser imprecisos.
- Alterações na política de compartilhamento, como desativar o compartilhamento externo para um site ou para a organização. A propriedade ainda mostrará documentos compartilhados anteriormente como acessíveis externamente, mesmo que o acesso externo possa ter sido revogado.
- Alterações na associação de grupo, como adicionar ou remover usuários externos do Grupos do Microsoft 365 ou grupos de Segurança do Microsoft 365. A propriedade não será atualizada automaticamente para itens aos qual o grupo tem acesso.
- Enviar convites de compartilhamento para usuários externos em que o destinatário não aceitou o convite e, portanto, ainda não tem acesso ao conteúdo.
Nestes cenários, a ViewableByExternalUsers
propriedade não refletirá a partilha atual status até que o site ou biblioteca de documentos seja novamente rabiscado e reindexado.
Pesquisando o conteúdo do site compartilhado em sua organização
Conforme explicado anteriormente, pode utilizar a SharedWithUsersOWSUser
propriedade para procurar documentos que tenham sido partilhados entre pessoas na sua organização. Quando uma pessoa compartilha um arquivo (ou pasta) com outro usuário dentro de sua organização, um link para o arquivo compartilhado é exibido na página Compartilhado comigo na conta OneDrive for Business da pessoa com quem o arquivo foi compartilhado. Por exemplo, para procurar os documentos que foram partilhados com Sara Davis, pode utilizar a consulta SharedWithUsersOWSUser:"sarad@contoso.com"
. Se você exportar os resultados dessa pesquisa, os documentos originais (localizados no local do conteúdo da pessoa que compartilhou os documentos com Sara) serão baixados.
Os documentos têm de ser explicitamente partilhados com um utilizador específico para serem devolvidos nos resultados da pesquisa ao utilizar a SharedWithUsersOWSUser
propriedade . Por exemplo, quando uma pessoa compartilha um documento em sua conta do OneDrive, ela tem a opção de compartilhá-lo com qualquer pessoa (dentro ou fora da organização), compartilhá-lo apenas com pessoas dentro da organização ou compartilhá-lo com uma pessoa específica. Eis uma captura de ecrã da janela Partilhar no OneDrive que mostra as três opções de partilha.
Apenas os documentos partilhados através da terceira opção (partilhado com Pessoas específicas) serão devolvidos por uma consulta de pesquisa que utilize a SharedWithUsersOWSUser
propriedade .
Pesquisando conversas do Skype for Business
Você pode usar a seguinte consulta de palavra-chave para pesquisar especificamente conteúdo em conversas do Skype for Business:
kind:im
A consulta de pesquisa anterior também retorna chats do Microsoft Teams. Para evitar isso, você pode restringir os resultados da pesquisa para incluir apenas conversas do Skype for Business usando a seguinte consulta de palavra-chave:
kind:im AND subject:conversation
A consulta de palavra-chave anterior exclui chats no Microsoft Teams porque as conversas do Skype for Business são salvas como mensagens de email com uma linha de assunto que começa com a palavra "Conversa".
Para pesquisar conversas do Skype for Business que ocorreram dentro de um intervalo de datas específico, use a seguinte consulta de palavra-chave:
kind:im AND subject:conversation AND (received=startdate..enddate)
Limites de carateres para pesquisas
Existe um limite de 4000 carateres para consultas de pesquisa ao procurar conteúdos em sites do SharePoint e contas do OneDrive. Eis como o número total de carateres na consulta de pesquisa é calculado:
- Os carateres no palavra-chave consulta de pesquisa (incluindo campos de utilizador e de filtro) contam para este limite.
- Os carateres em qualquer propriedade de localização (como os URLs de todos os sites do SharePoint ou localizações do OneDrive que estão a ser pesquisadas) contam para este limite.
- Os carateres em todos os filtros de permissões de pesquisa que são aplicados ao utilizador que executa a contagem de pesquisa em relação ao limite.
Para obter mais informações sobre os limites de carateres, veja Limites de pesquisa de Deteção de Dados Eletrónicos.
Observação
O limite de 4000 carateres aplica-se à Pesquisa de conteúdos, Deteção de Dados Eletrónicos (Standard) e Deteção de Dados Eletrónicos (Premium).