Поиск содержимого в почтовых ящиках в eDiscovery (предварительная версия)
Администраторам часто поручается выяснить, кто знал, что, когда наиболее эффективным и эффективным способом можно ответить на запросы, касающиеся текущих или потенциальных судебных разбирательств, внутренних расследований и других сценариев. Эти запросы часто являются срочными, включают несколько заинтересованных групп и оказывают значительное влияние, если они не выполняются своевременно. Знание того, как найти нужную информацию, очень важно, чтобы администраторы успешно завершили поиск и помогли своим организациям управлять рисками и затратами, связанными с требованиями к обнаружению электронных данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
При отправке запроса на обнаружение электронных данных администратор часто может получить только частичную информацию, чтобы начать сбор содержимого, которое может быть связано с конкретным исследованием. Запрос может включать имена сотрудников, названия проектов, приблизительные диапазоны дат, когда проект был активен, и не многое другое. На основе этих сведений администратор должен создать запросы, чтобы найти релевантное содержимое в службах Microsoft 365, чтобы определить сведения, необходимые для конкретного проекта или темы. Понимание того, как информация хранится и управляется для этих служб, помогает администраторам быстрее и эффективнее находить то, что им нужно.
данные Email, чата, собрания и Microsoft 365 Copilot и Microsoft Copilot действий (запросы пользователей и ответы Copilot) хранятся в Exchange Online. Многие свойства связи доступны для поиска элементов, включенных в Exchange Online. Некоторые свойства, такие как From, Sent, Subject и To , являются уникальными для определенных элементов и не имеют значения при поиске файлов или документов в SharePoint и OneDrive. Включение этих типов свойств при поиске между рабочими нагрузками иногда может привести к непредвиденным результатам.
Например, чтобы найти содержимое, связанное с конкретными сотрудниками (User 1 и User 2), связанным с проектом Tradewinds, и в период с января 2020 г. по январь 2022 г. можно использовать запрос со следующими свойствами:
- Добавление расположений Exchange Online пользователя 1 и пользователя 2 в качестве источников данных в дело
- Выберите User 1 и User 2's Exchange Online расположения в качестве источника данных.
- Для ключевого слова используйте Tradewinds.
- Для диапазона дат используйте диапазон с 1 января 2020 г. по 31 января 2022 г.
Важно!
Для сообщений электронной почты, когда используется ключевое слово, мы ищем тему, текст и многие свойства, связанные с участниками. Однако из-за расширения получателя поиск может не возвращать ожидаемые результаты при использовании псевдонима или части псевдонима. Поэтому рекомендуется использовать полное имя участника-пользователя.
Доступные для поиска свойства электронного сообщения
В следующей таблице перечислены свойства сообщений электронной почты, которые можно искать с помощью средств поиска eDiscovery на портале Microsoft Purview или командлета New-ComplianceSearch или Set-ComplianceSearch .
Важно!
Хотя сообщения электронной почты могут иметь другие свойства, поддерживаемые в других службах Microsoft 365, в средствах поиска eDiscovery поддерживаются только свойства электронной почты, перечисленные в этой таблице. Попытка включить в поиск другие свойства сообщений электронной почты не поддерживается.
Таблица содержит пример синтаксиса property:value для каждого свойства и описание результатов поиска, возвращаемых примерами. Эти пары можно ввести property:value в поле ключевых слов для поиска eDiscovery.
Примечание.
При поиске свойств сообщения электронной почты невозможно найти заголовки сообщений. Сведения заголовка не индексируются для поиска. Кроме того, элементы, в которых указанное свойство является пустым или пустым, недоступны для поиска. Например, при использовании пары property:valueобъекта subject:"" для поиска сообщений электронной почты с пустой строкой темы возвращается ноль результатов. Это также относится к поиску свойств сайта и контакта.
| Свойство | Описание свойства | Примеры | Результаты поиска, возвращаемые примерами |
|---|---|---|---|
| AttachmentNames | Имена файлов, вложенных в сообщение электронной почты. | attachmentnames:annualreport.ppt |
Сообщения с вложенным файлом с именемannualreport.ppt. Во втором примере с помощью подстановочного знака ( * ) возвращаются сообщения со словом annual в имени файла вложения. 1 |
| СК | Поле СК сообщения электронной почты. 1 | bcc:pilarp@contoso.com |
Все примеры возвращают сообщения с Pilar Pinilla , включенные в поле СК. (См. раздел Расширение получателей) |
| Категория | Категории поиска. Категории могут быть определены пользователями с помощью Outlook или Outlook в Интернете (прежнее название — Outlook Web App). Возможные значения:
|
category:"Red Category" |
Сообщениям, которым назначена красная категория в исходных почтовых ящиках. |
| Копия | Поле Копия сообщения электронной почты. 1 | cc:pilarp@contoso.com |
В обоих примерах сообщения с Pilar Pinilla указаны в поле Копия. (См. раздел Расширение получателей) |
| Folderid | Идентификатор папки (GUID) определенной папки почтового ящика в 48-символьном формате. Если вы используете это свойство, обязательно выполните поиск в почтовом ящике, в который находится указанная папка. Выполняется поиск только в указанной папке. Все вложенные папки в папке не выполняются. Для поиска вложенных папок необходимо использовать свойство Folderid для вложенной папки, которую требуется выполнить поиск. Дополнительные сведения о поиске свойства Folderid и использовании скрипта для получения идентификаторов папок для определенного почтового ящика см. в разделе Целевой поиск. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
В первом примере возвращаются все элементы в указанной папке почтового ящика. Во втором примере возвращаются все элементы в указанной папке почтового ящика, которые были отправлены или получены .garthf@contoso.com |
| From | Отправитель электронного письма.1 | from:pilarp@contoso.com |
Сообщения, отправленные указанным пользователем. (См. раздел Расширение получателей) |
| HasAttachment | Указывает, есть ли в сообщении вложение. Используйте значения true или false. | from:pilar@contoso.com AND hasattachment:true |
Сообщения, отправленные указанным пользователем с вложениями. |
| Важность | Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. | importance:high |
Сообщения, которым назначена высокая, средняя или низкая важность. |
| IsRead | Указывает, были ли прочитаны сообщения. Используйте значения true или false. | isread:true |
В первом примере возвращаются сообщения со свойством IsRead, задав значение True. Во втором примере возвращаются сообщения со свойством IsRead, за которым задано значение False. |
| ItemClass | Используйте это свойство для поиска определенных сторонних типов данных, импортированных вашей организацией в Office 365. Используйте следующий синтаксис для этого свойства: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
В первом примере возвращается Facebook элементов, содержащих слово contoso в свойстве Subject. Во втором примере возвращаются элементы Twitter, опубликованные Энн Биб и содержащие ключевое слово фразу "Northwind Traders". |
| Kind | Тип сообщения электронной почты для поиска. Возможные значения: contacts docs externaldata faxes im journals meetings microsoftteams (возвращает элементы из чатов, собраний и звонков в Microsoft Teams) notes posts rssfeeds tasks voicemail |
kind:email |
В первом примере возвращаются сообщения электронной почты, соответствующие условиям поиска. Во втором примере возвращаются сообщения электронной почты, беседы с мгновенными сообщениями (в том числе Skype для бизнеса беседы и чаты в Microsoft Teams) и голосовые сообщения, соответствующие условиям поиска. В третьем примере возвращаются элементы, импортированные в почтовые ящики в Microsoft 365 из сторонних источников данных, таких как Twitter, Facebook и Cisco Jabber, которые соответствуют условиям поиска. Дополнительные сведения см. в статье Архивация сторонних данных в Office 365. |
| Участники | Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск.1". | participants:garthf@contoso.com |
Сообщения, отправленные или отправленные в garthf@contoso.com. Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com. (См. раздел Расширение получателей) |
| ПОЛУЧЕНО | Дата получения сообщения адресатом. | received:2021-04-15 |
Сообщения, полученные 15 апреля 2021 г. Во втором примере возвращаются все сообщения, полученные в период с 1 января 2021 г. по 31 марта 2021 г. |
| Recipients | Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск.1. | recipients:garthf@contoso.com |
Сообщения, отправленные в garthf@contoso.com. Второй пример возвращает сообщения, отправленные получателям на домене contoso.com. (См. раздел Расширение получателей) |
| Sent | Дата отправки сообщения отправителем. | sent:2021-07-01 |
Сообщения, отправленные в указанный день или диапазон дат. |
| Size | Размер элемента в байтах. | size>26214400 |
Сообщения больше 25 МБ. Второй пример возвращает сообщения размером от 1 до 1 048 567 байт (1 МБ). |
| Subject | Текст в строке темы сообщения электронной почты.
Заметка: При использовании свойства Subject в запросе поиск возвращает все сообщения, в которых строка темы содержит искомый текст. Другими словами, запрос не возвращает только те сообщения, которые имеют точное совпадение. Например, если вы выполняете поиск по запросу |
subject:"Quarterly Financials" |
Сообщения, содержащие фразу "Квартальные финансовые показатели" в любом месте текста строки темы. Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы. |
| Кому | Поле "Кому" электронного письма.1 | to:annb@contoso.com |
Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева". |
Примечание.
1 Для значения свойства получателя можно использовать адрес электронной почты (также называемый именем участника-пользователя( UPN), отображаемое имя или псевдоним, чтобы указать пользователя. Например, можно использовать annb@contoso.com, annb или "Ann Beebe", чтобы указать пользователя Ann Beebe.
Конфиденциальные типы данных, доступные для поиска
Вы можете использовать средства поиска электронных данных на портале Microsoft Purview для поиска конфиденциальных данных, таких как кредитные карта номера или номера социального страхования, хранящиеся в документах в почтовых ящиках. Это можно сделать с помощью SensitiveType свойства и имени (или идентификатора) типа конфиденциальной информации в запросе ключевое слово. Например, запрос SensitiveType:"Credit Card Number" возвращает документы, содержащие номер карта кредита. Запрос SensitiveType:"U.S. Social Security Number (SSN)" возвращает документы, содержащие номер социального страхования США.
Список типов конфиденциальной информации, которые можно найти, см. в разделе Классификации> данныхТипы конфиденциальной информации на портале Microsoft Purview. Вы также можете использовать командлет Get-DlpSensitiveInformationType в PowerShell по соответствию безопасности & для отображения списка типов конфиденциальной информации.
Расширение получателя
При поиске в любом из свойств получателя (From, To, Cc, СК, Участники и Получатели) Microsoft 365 пытается расширить удостоверение каждого пользователя, просматривая его в Microsoft Entra ID. Если пользователь найден в Microsoft Entra ID, запрос расширяется, чтобы включить адрес электронной почты пользователя (или имя участника-пользователя), псевдоним, отображаемое имя и legacyExchangeDN. Например, запрос, например participants:ronnie@contoso.com , разворачивается до participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Чтобы предотвратить расширение получателя, добавьте дикий символ карта (звездочка) в конец адреса электронной почты и используйте сокращенное доменное имя. Например, participants:"ronnie@contoso*" обязательно заключите адрес электронной почты двойными кавычками.
Предотвращение расширения получателя в поисковом запросе может привести к тому, что в результатах поиска не будут возвращены соответствующие элементы. Email сообщения в Exchange можно сохранить в разных текстовых форматах в полях получателей. Расширение получателей предназначено для устранения этого факта, возвращая сообщения, которые могут содержать различные текстовые форматы. Таким образом, предотвращение расширения получателей может привести к тому, что поисковый запрос не вернет все элементы, которые могут иметь отношение к вашему расследованию.
Примечание.
Если вам нужно просмотреть или уменьшить элементы, возвращаемые поисковым запросом из-за расширения получателя, рассмотрите возможность использования функций обнаружения электронных данных уровня "Премиум". Вы можете искать сообщения (используя преимущества расширения получателей), добавлять их в набор проверки, а затем использовать запросы или фильтры набора для проверки или сужения результатов.
Содержимое, хранящееся в почтовых ящиках Exchange Online для обнаружения электронных данных
Почтовый ящик в Exchange Online в основном используется для хранения элементов, связанных с электронной почтой, таких как сообщения, элементы календаря, задачи и заметки. Но это меняется, так как все больше облачных приложений также хранят свои данные в почтовом ящике пользователя. Одним из преимуществ хранения данных в почтовом ящике является то, что для поиска, просмотра и экспорта данных из этих облачных приложений можно использовать средства поиска контента, Microsoft Purview eDiscovery (Standard) и обнаружения электронных данных (предварительная версия).
Данные из некоторых из этих приложений хранятся в скрытых папках, расположенных в поддереве не межличностного сообщения (не IPM) в почтовом ящике. Данные из других облачных приложений могут не храниться в почтовом ящике, но они связаны с почтовым ящиком и возвращаются при поиске (если эти данные соответствуют поисковому запросу). Независимо от того, хранятся ли облачные данные в почтовом ящике пользователя или связаны с ним, данные обычно не видны в почтовом клиенте, когда пользователь открывает свой почтовый ящик.
В следующей таблице перечислены приложения, которые хранят или связывают данные с облачным почтовым ящиком. В таблице также описывается тип содержимого, создаваемого каждым приложением.
| Приложение Microsoft 365 | Описание |
|---|---|
| Forms* | Forms и ответы на форму хранятся в файлах, которые присоединяются к сообщениям электронной почты и хранятся в скрытой папке в почтовом ящике пользователя, создавшего форму. Forms, созданные до апреля 2020 г., хранятся в виде PDF-файла. Forms, созданные после 2020 года, хранятся в виде JSON-файла. Ответы на форму хранятся в CSV-файле. При экспорте содержимого из Forms в PST-файле эти данные находятся в папке ApplicationDataRoot во вложенной папке с именем со следующим уникальным идентификатором (GUID): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
| Группы Microsoft 365 | Email сообщения, элементы календаря, контакты (Люди), заметки и задачи хранятся в почтовом ящике, связанном с группой Microsoft 365. |
| Microsoft 365 Copilot и Microsoft Copilot | Все данные о действиях Copilot (запросы пользователей и ответы Copilot), созданные в поддерживаемых приложениях и службах Microsoft 365, хранятся в почтовых ящиках хранителей. |
| Outlook и Exchange Online | Email сообщения, элементы календаря, контакты (Люди), заметки и задачи хранятся в почтовом ящике пользователя. |
| Люди | Контакты в приложении Люди (те же контакты, что и контакты, доступные в Outlook), хранятся в почтовом ящике пользователя. |
| Расписание занятий | Планы, созданные в расписании классов, хранятся в почтовом ящике соответствующей группы Microsoft 365, которая подготавливается при создании нового плана. Псевдоним для почтового ящика группы — это имя плана. |
| Skype для бизнеса | Беседы в Skype для бизнеса хранятся в папке Журнал бесед в почтовом ящике пользователя. Если почтовый ящик участника собрания Skype помещается на удержание для судебного разбирательства или назначается политике хранения, файлы, прикрепленные к собранию, сохраняются в почтовом ящике участников. |
| Sway* | Sways хранятся в виде HTML-файла, который присоединяется к сообщению электронной почты и хранится в скрытой папке в почтовом ящике пользователя, создавшего sway. При экспорте содержимого из Sway в PST-файле эти данные находятся в папке ApplicationDataRoot во вложенной папке с именем с именем GUID: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
| Задачи | Задачи в приложении "Задачи" (те же задачи, что и задачи, доступные в Outlook) хранятся в почтовом ящике пользователя. |
| Teams | Беседы, которые являются частью канала Teams, связаны с почтовым ящиком Teams. Беседы, входящие в список чатов в Teams (также называемые 1 x N чатов), связаны с почтовым ящиком пользователей, участвующих в чате. Кроме того, сводная информация о собраниях и звонках в канале Teams связана с почтовыми ящиками пользователей, набравших на собрание или звонок. Поэтому при поиске содержимого Teams вы будете искать в почтовом ящике Teams содержимое в беседах каналов, а почтовые ящики пользователей — содержимое в 1 x N чатах. |
| To-Do | Задачи ( называемые задачами, которые сохраняются в списках задач) в приложении To-Do хранятся в почтовом ящике пользователя. |
| Viva Engage | Беседы и комментарии в Viva Engage сообществе связаны с почтовым ящиком группы Microsoft 365, а также с почтовым ящиком пользователя автора и всех именованных получателей (@упоминаемых пользователей или пользователей Cc'ed). Личные сообщения, отправленные за пределы Viva Engage сообщества, хранятся в почтовом ящике пользователей, участвующих в личных сообщениях. |
Примечание.
* В настоящее время, если удержание помещается в почтовый ящик с помощью удержаний в случаях обнаружения электронных данных (предварительная версия), содержимое из этого приложения не сохраняется удержанием.