Localizar conteúdo em caixas de correio na Deteção de Dados Eletrónicos (pré-visualização)
Os administradores são frequentemente encarregados de descobrir quem sabia o quê quando, da forma mais eficiente e eficaz possível, responder a pedidos relativos a litígios em curso ou potenciais, investigações internas e outros cenários. Estes pedidos são frequentemente urgentes, envolvem várias equipas de intervenientes e têm um impacto significativo se não forem concluídos em tempo útil. Saber como encontrar as informações certas é fundamental para os administradores concluirem as pesquisas com êxito e ajudarem as suas organizações a gerir os riscos e os custos associados aos requisitos de Deteção de Dados Eletrónicos.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Quando um pedido de Deteção de Dados Eletrónicos é submetido, muitas vezes só existem informações parciais disponíveis para o administrador começar a recolher conteúdos que possam estar relacionados com uma investigação específica. O pedido pode incluir nomes de funcionários, títulos de projetos, intervalos de datas aproximadas quando o projeto estava ativo e não muito mais. A partir destas informações, o administrador tem de criar consultas para localizar conteúdos relevantes em todos os serviços do Microsoft 365 para determinar as informações necessárias para um determinado projeto ou assunto. Compreender como as informações são armazenadas e geridas para estes serviços ajuda os administradores a encontrar de forma mais eficiente o que precisam de forma rápida e eficaz.
Email, chat, reunião e Microsoft 365 Copilot e Microsoft Copilot dados de atividade (pedidos de utilizador e respostas copilot) são armazenados no Exchange Online. Estão disponíveis muitas propriedades de comunicação para procurar itens incluídos no Exchange Online. Algumas propriedades, como De, Enviado, Assunto e Para são exclusivas de determinados itens e não são relevantes ao procurar ficheiros ou documentos no SharePoint e no OneDrive. Incluir estes tipos de propriedades ao procurar entre cargas de trabalho pode, por vezes, originar resultados inesperados.
Por exemplo, para localizar conteúdos relacionados com funcionários específicos (Utilizador 1 e Utilizador 2), associados a um projeto denominado Tradewinds e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:
- Adicionar as localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origens de dados ao caso
- Selecione As localizações de Exchange Online do Utilizador 1 e do Utilizador 2 como origem de dados.
- Para Palavra-chave, use Tradewinds
- Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022
Importante
Para e-mails, quando é utilizado um palavra-chave, pesquisamos assunto, corpo e muitas propriedades relacionadas com os participantes. No entanto, devido à expansão do destinatário, a pesquisa pode não devolver os resultados esperados ao utilizar o alias ou parte do alias. Por conseguinte, recomendamos a utilização do UPN completo.
Propriedades de emails pesquisáveis
A tabela seguinte lista as propriedades da mensagem de e-mail que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch .
Importante
Embora as mensagens de e-mail possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades de e-mail listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de mensagens de e-mail nas pesquisas não é suportada.
A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos. Pode introduzir estes property:value
pares na caixa palavras-chave de uma pesquisa de Deteção de Dados Eletrónicos.
Observação
Ao procurar propriedades de e-mail, não é possível procurar cabeçalhos de mensagens. As informações do cabeçalho não são indexadas para pesquisas. Além disso, os itens nos quais a propriedade especificada está vazia ou em branco não são pesquisáveis. Por exemplo, usar o par property:value de subject:"" para pesquisar mensagens de email com uma linha de assunto vazia retornará zero resultados. Isso também se aplica ao pesquisar propriedades de site e contato.
Propriedade | Descrição da propriedade | Exemplos | Resultados de pesquisa retornados pelos exemplos |
---|---|---|---|
AttachmentNames | Os nomes dos arquivos anexados a uma mensagem de email. | attachmentnames:annualreport.ppt |
Mensagens com um ficheiro anexado com o nome annualreport.ppt. No segundo exemplo, utilizar o caráter universal ( * ) devolve mensagens com a palavra anual no nome de ficheiro de um anexo. 1 |
Cco | O campo Cco de uma mensagem de email.1 | bcc:pilarp@contoso.com |
Todos os exemplos devolvem mensagens com Pilar Pinilla incluída no campo Bcc. (Consulte Expansão do Destinatário) |
Categoria | As categorias a serem pesquisadas. As categorias podem ser definidas pelos usuários usando o Outlook ou o Outlook na Web (anteriormente conhecido como Outlook Web App). Os valores possíveis são:
|
category:"Red Category" |
Mensagens a que foi atribuída a categoria vermelha nas caixas de correio de origem. |
Cc | O campo Cc de uma mensagem de email.1 | cc:pilarp@contoso.com |
Em ambos os exemplos, as mensagens com Pilar Pinilla especificadas no campo Cc. (Consulte Expansão do Destinatário) |
Folderid | O ID da pasta (GUID) de uma pasta de caixa de correio específica no formato de 48 carateres. Se você usar essa propriedade, não se esqueça de pesquisar a caixa de correio na qual a pasta especificada está localizada. Apenas a pasta especificada é pesquisada. As subpastas na pasta não são pesquisadas. Para procurar subpastas, tem de utilizar a propriedade Folderid para a subpasta que pretende procurar. Para obter mais informações sobre como procurar a propriedade Folderid e utilizar um script para obter os IDs de pasta de uma caixa de correio específica, consulte pesquisas direcionadas. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
O primeiro exemplo retorna todos os itens na pasta de caixa de correio especificada. O segundo exemplo devolve todos os itens na pasta de caixa de correio especificada que foram enviados ou recebidos por garthf@contoso.com. |
De | O remetente de uma mensagem de email.1 | from:pilarp@contoso.com |
Mensagens enviadas pelo utilizador especificado. (Consulte Expansão do Destinatário) |
HasAttachment | Indica se uma mensagem tem um anexo. Use os valores true ou false. | from:pilar@contoso.com AND hasattachment:true |
Mensagens enviadas pelo usuário especificado que têm anexos. |
Importance | A prioridade de uma mensagem de email, que um remetente pode especificar ao enviar uma mensagem. Por padrão, as mensagens são enviadas com prioridade normal, a menos que o remetente defina a prioridade como alta ou baixa. | importance:high |
Mensagens marcadas como alta prioridade, prioridade média ou baixa prioridade. |
IsRead | Indica se as mensagens foram lidas. Use os valores true ou false. | isread:true |
O primeiro exemplo retorna mensagens com a propriedade IsRead definida como True. O segundo exemplo retorna mensagens com a propriedade IsRead definida como False. |
ItemClass | Use essa propriedade para pesquisar tipos de dados de terceiros específicos que sua organização importou para o Office 365. Utilize a seguinte sintaxe para esta propriedade: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
O primeiro exemplo retorna itens do Facebook que contêm a palavra "contoso" na propriedade Subject. O segundo exemplo retorna itens do Twitter que foram postados por Ann Beebe e que contêm a frase de palavra-chave "Northwind Traders". |
Tipo | O tipo de mensagem de email a ser pesquisada. Valores possíveis: contacts documentos externaldata faxes mensagem instantânea diários reuniões microsoftteams (retorna itens de chats, reuniões e chamadas no Microsoft Teams) notes postagens rssfeeds tarefas caixa postal |
kind:email |
O primeiro exemplo retorna mensagens de email que atendem aos critérios de pesquisa. O segundo exemplo retorna mensagens de email, conversas de mensagens instantâneas (incluindo conversas e chats do Skype for Business no Microsoft Teams) e mensagens de voz que atendem aos critérios de pesquisa. O terceiro exemplo devolve itens que foram importados para caixas de correio no Microsoft 365 a partir de origens de dados de terceiros, como o Twitter, Facebook e Cisco Jabber, que cumprem os critérios de pesquisa. Para obter mais informações, consulte Arquivando dados de terceiros no Office 365. |
Participantes | Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco.1 | participants:garthf@contoso.com |
Mensagens enviadas ou enviadas para garthf@contoso.com. O segundo exemplo retorna todas as mensagens enviadas por ou para um usuário no domínio contoso.com. (Consulte Expansão do Destinatário) |
Received | A data em que uma mensagem de email foi recebida pelo destinatário. | received:2021-04-15 |
Mensagens recebidas a 15 de abril de 2021. O segundo exemplo devolve todas as mensagens recebidas entre 1 de janeiro de 2021 e 31 de março de 2021. |
Destinatários | Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco.1 | recipients:garthf@contoso.com |
Mensagens enviadas para garthf@contoso.com. O segundo exemplo retorna mensagens enviadas para qualquer destinatário no domínio contoso.com. (Consulte Expansão do Destinatário) |
Enviado | A data em que uma mensagem de email foi enviada pelo remetente. | sent:2021-07-01 |
Mensagens que foram enviadas na data especificada ou dentro do intervalo de datas especificado. |
Tamanho | O tamanho de um item, em bytes. | size>26214400 |
Mensagens com mais de 25 MB. O segundo exemplo retorna mensagens de 1 a 1.048.567 bytes (1 MB) de tamanho. |
Assunto | O texto na linha de assunto de uma mensagem de email.
Observação: quando você usa a propriedade Subject em uma consulta, a pesquisa retorna todas as mensagens nas quais a linha de assunto contém o texto que você está procurando. Em outras palavras, a consulta não retorna apenas as mensagens que têm uma correspondência exata. Por exemplo, se procurar |
subject:"Quarterly Financials" |
Mensagens que contêm a frase "Finanças Trimestrais" em qualquer lugar no texto da linha de assunto. O segundo exemplo retorna todas as mensagens que contêm a palavra northwind na linha de assunto. |
Para | O campo Para de uma mensagem de email.1 | to:annb@contoso.com |
Todos os exemplos retornam mensagens em que Clara Barbosa é especificada na linha Para:. |
Observação
1 Para o valor de uma propriedade de destinatário, pode utilizar o endereço de e-mail (também denominado nome principal de utilizador (UPN)), o nome a apresentar ou o alias para especificar um utilizador. Por exemplo, pode utilizar annb@contoso.com, annb ou "Ann Beebe" para especificar o utilizador Ann Beebe.
Tipos de dados confidenciais pesquisáveis
Pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview para procurar dados confidenciais, como números de card de crédito ou números de segurança social, armazenados em documentos em caixas de correio. Você pode fazer isso usando a propriedade SensitiveType
e o nome (ou ID) de um tipo de informação confidencial em uma consulta de palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number"
retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)"
devolve documentos que contêm um número de segurança social dos EUA.
Para ver uma lista dos tipos de informações confidenciais que pode procurar, aceda a Classificações> de dadosTipos de informações confidenciais no portal do Microsoft Purview. Em alternativa, pode utilizar o cmdlet Get-DlpSensitiveInformationType no PowerShell de Conformidade do & de Segurança para apresentar uma lista de tipos de informações confidenciais.
Expansão do destinatário
Ao procurar qualquer uma das propriedades do destinatário (De, Para, Cc, Bcc, Participantes e Destinatários), o Microsoft 365 tenta expandir a identidade de cada utilizador ao procurá-las no Microsoft Entra ID. Se o utilizador for encontrado no Microsoft Entra ID, a consulta é expandida para incluir o endereço de e-mail do utilizador (ou UPN), alias, nome a apresentar e LegacyExchangeDN. Por exemplo, uma consulta como participants:ronnie@contoso.com
expande para participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
.
Para evitar a expansão do destinatário, adicione um caractere curinga (asterisco) ao final do endereço de email e use um nome de domínio reduzido; por exemplo, participants:"ronnie@contoso*"
Lembre-se de envolver o endereço de email com aspas duplas.
Impedir a expansão do destinatário na consulta de pesquisa pode fazer com que os itens relevantes não sejam devolvidos nos resultados da pesquisa. As mensagens de email no Exchange podem ser salvas com formatos de texto diferentes nos campos do destinatário. A expansão do destinatário destina-se a ajudar a atenuar esse fato retornando mensagens que podem conter formatos de texto diferentes. Portanto, impedir a expansão do destinatário pode fazer com que a consulta de pesquisa não retorne todos os itens que podem ser relevantes para sua investigação.
Observação
Se precisar de rever ou reduzir os itens devolvidos por uma consulta de pesquisa devido à expansão do destinatário, considere utilizar as funcionalidades de Deteção de Dados Eletrónicos premium. Você pode pesquisar mensagens (aproveitando a expansão do destinatário), adicioná-las a um conjunto de revisão e, em seguida, usar consultas de conjunto de revisão ou filtros para revisar ou restringir os resultados.
Conteúdo armazenado em caixas de correio do Exchange Online para Descoberta Eletrônica
Uma caixa de correio no Exchange Online é usada principalmente para armazenar itens relacionados a email, como mensagens, itens de calendário, tarefas e anotações. No entanto, isso está a mudar à medida que mais aplicações baseadas na cloud também armazenam os seus dados na caixa de correio de um utilizador. Uma vantagem de armazenar dados numa caixa de correio é que pode utilizar as ferramentas de pesquisa na pesquisa de conteúdos, Descoberta Eletrônica do Microsoft Purview (Standard) e Deteção de Dados Eletrónicos (pré-visualização) para localizar, ver e exportar os dados destas aplicações baseadas na nuvem.
Os dados de alguns desses aplicativos são armazenados em pastas ocultas localizadas em uma subárvore de mensagens não interpessoais (não IPM) na caixa de correio. Os dados de outras aplicações baseadas na nuvem podem não ser armazenados na caixa de correio, mas estão associados à caixa de correio e são devolvidos nas pesquisas (se esses dados corresponderem à consulta de pesquisa). Independentemente de os dados baseados na nuvem serem armazenados ou associados a uma caixa de correio de utilizador, os dados normalmente não são visíveis num cliente de e-mail quando um utilizador abre a respetiva caixa de correio.
A tabela seguinte lista as aplicações que armazenam ou associam dados a uma caixa de correio baseada na nuvem. A tabela também descreve o tipo de conteúdo que cada aplicação produz.
Aplicativo Microsoft 365 | Descrição |
---|---|
Forms* | Forms e respostas a um formulário são armazenadas em ficheiros anexados a mensagens de e-mail e armazenados numa pasta oculta na caixa de correio do utilizador que criou o formulário. Forms criados antes de abril de 2020 são armazenados como um ficheiro PDF. Forms criadas após 2020 são armazenadas como um ficheiro JSON. As respostas a um formulário são armazenadas num ficheiro CSV. Quando você exporta conteúdo de Formulários em um arquivo PST, esses dados estão localizados na pasta ApplicationDataRoot em uma subpasta nomeada com o seguinte GUID (identificado globalmente exclusivo): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
Grupos do Microsoft 365 | Email mensagens, itens de calendário, contactos (Pessoas), notas e tarefas são armazenados na caixa de correio associada a um grupo do Microsoft 365. |
Microsoft 365 Copilot e Microsoft Copilot | Todos os dados de atividade copilot (pedidos de utilizador e respostas copilot) gerados em aplicações e serviços suportados do Microsoft 365 são armazenados em caixas de correio depositárias. |
Outlook/Exchange Online | Mensagens de email, itens de calendário, contatos (Pessoas), anotações e tarefas são armazenados na caixa de correio de um usuário. |
Pessoas | Os contatos no aplicativo Pessoas (que são os mesmos contatos que os acessíveis no Outlook) são armazenados na caixa de correio de um usuário. |
Horário das Aulas | Os planos criados na Agenda de Aulas são armazenados na caixa de correio do Grupo do Microsoft 365 correspondente que é aprovisionado quando é criado um novo plano. O alias da caixa de correio de grupo é o nome do plano. |
Skype for Business | As conversas do Skype for Business são armazenadas na pasta Histórico da Conversa nas caixas de correio dos usuários. Se a caixa de correio de um participante de uma reunião do Skype for colocada em Suspensão de Litígios ou atribuída a uma política de retenção, os ficheiros anexados a uma reunião serão mantidos na caixa de correio dos participantes. |
Sway* | Os Sways são armazenados como um arquivo HTML anexado a uma mensagem de email e armazenados em uma pasta oculta na caixa de correio do usuário que criou o sway. Quando exporta conteúdo de Sway num ficheiro PST, estes dados estão localizados na pasta ApplicationDataRoot numa subpasta com o seguinte GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
Tarefas | As tarefas no aplicativo Tarefas (que são as mesmas tarefas que podem ser acessadas no Outlook) são armazenadas na caixa de correio de um usuário. |
Teams | As conversações que fazem parte de um canal do Teams estão associadas à caixa de correio do Teams. As conversações que fazem parte da lista de Conversas no Teams (também denominada 1 x N chats) estão associadas à caixa de correio dos utilizadores que participam no chat. Além disso, as informações de resumo de reuniões e chamadas num canal do Teams estão associadas a caixas de correio de utilizadores que marcaram para a reunião ou chamada. Por isso, ao procurar conteúdos do Teams, procuraria conteúdo na caixa de correio do Teams em conversações de canal e procuraria conteúdos em 1 x N chats nas caixas de correio dos utilizadores. |
Tarefas pendentes | As tarefas (chamadas de tarefas pendentes, que são salvas em listas de tarefas pendentes) no aplicativo Tarefas Pendentes são armazenadas na caixa de correio de um usuário. |
Viva Engage | As conversações e comentários numa comunidade Viva Engage estão associados à caixa de correio do grupo do Microsoft 365, bem como à caixa de correio do utilizador do autor e quaisquer destinatários nomeados (@ mencionados ou utilizadores cc'ed). As mensagens privadas enviadas fora de uma comunidade Viva Engage são armazenadas na caixa de correio dos utilizadores que participam na mensagem privada. |
Observação
* Neste momento, se for colocada uma suspensão numa caixa de correio com suspensões em casos de Deteção de Dados Eletrónicos (pré-visualização), o conteúdo desta aplicação não será preservado pela suspensão.