电子数据展示的关键字查询和搜索条件

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

本文介绍可用于使用Microsoft Purview 合规门户中的电子数据展示搜索工具在 sharePoint 上存储的Exchange Online和文档 OneDrive for Business和文件中查找电子邮件和聊天内容的属性。

这包括内容搜索、Microsoft Purview 电子数据展示 (Standard) 和Microsoft Purview 电子数据展示 (Premium) (电子数据展示中的电子数据展示搜索, (Premium) 称为集合) 。 还可以使用安全性中的 *-ComplianceSearch cmdlet & Compliance PowerShell 搜索这些属性。

本文还介绍了:

  • 使用布尔搜索运算符、搜索条件和其他搜索查询技术来优化搜索结果。
  • 在特定时间范围内搜索与特定员工和项目相关的各种通信类型。
  • 在特定时间段内搜索与特定项目、员工和/或主题相关的网站内容。

有关如何创建不同电子数据展示搜索的分步说明,请参阅:

注意

合规性门户中的电子数据展示搜索以及安全性 & 合规性 PowerShell 中的相应 *-ComplianceSearch cmdlet 使用关键字查询语言 (KQL) 。 有关详细信息,请参阅 关键字查询语言语法参考

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

搜索提示和技巧

  • 所有搜索的时区为协调世界时 (UTC) 。 当前不支持更改组织的时区。 搜索视图中的时区显示设置仅适用于 “数据 ”列中的值,不会影响所收集项的时间戳。
  • 关键字搜索不区分大小写。 例如, catCAT 将返回相同的结果。
  • 布尔运算符 ANDORNOTNEAR 必须为大写。
  • 使用引号会停止通配符和引号内的任何操作。
  • 两个关键字或两个 property:value 表达式之间的空格与使用 OR 相同。 例如, from:"Sara Davis" subject:reorganization 返回由 Sara Davis 发送的所有消息或主题行中包含单词重组的消息。 但是,在单个查询中混合使用空格和 OR 条件可能会导致意外结果。 建议在单个查询中使用空格或 OR
  • 使用与格式匹配的 property:value 语法。 值不区分大小写,并且运算符后面不能有空格。 如果有空格,则预期值为全文搜索。 例如to: pilarp,搜索“pilarp”作为关键字 (keyword) ,而不是搜索发送到 pilarp 的消息。
  • 在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。 例如,可以使用 pilarp@contoso.com、pilarp 或“Pilar Pinilla”。
  • 只能使用前缀搜索;例如 cat*set*。 不支持后缀搜索 (*cat) 、 (c*t) 的内缀搜索以及 (*cat*) 的子字符串搜索。
  • 在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如, subject:budget Q1 返回在主题行中包含 预算 的消息,以及邮件中的任何位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1" 返回主题行中任意位置包含 预算 Q1 的所有消息。
  • 若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。 例如, -from:"Sara Davis" 排除 Sara Davis 发送的任何消息。
  • 可以根据消息类型导出项目。 例如,若要在 Microsoft Teams 中导出 Skype 对话和聊天,请使用 语法 kind:im。 若要仅返回电子邮件,请使用 kind:email。 若要返回 Microsoft Teams 中的聊天、会议和通话,请使用 kind:microsoftteams
  • 搜索网站时,使用 path 属性仅返回指定网站中的项时,必须向 URL 末尾添加尾随/。 如果未包含尾随 /,则还会返回具有类似路径名称的网站中的项目。 例如,如果使用 path:sites/HelloWorld ,也将返回名为 sites/HelloWorld_Eastsites/HelloWorld_West 的网站中的项目。 若要仅从 HelloWorld 网站返回项目,必须使用 path:sites/HelloWorld/
  • 在收集内容之前,必须在搜索查询中定义 查询语言-国家/地区
  • “已发送 ”文件夹中搜索电子邮件时,不支持使用发件人的 SMTP 地址。 “已发送”文件夹中的项目仅包含显示名称。

在 Exchange Online 中查找内容

管理员通常负责找出谁知道何时以最有效和最有效的方式响应有关正在进行的或潜在诉讼、内部调查和其他方案的请求。 这些请求通常是紧急的,涉及多个利益干系人团队,如果不及时完成,将产生重大影响。 了解如何查找正确的信息对于管理员成功完成搜索并帮助其组织管理与电子数据展示要求相关的风险和成本至关重要。

提交电子数据展示请求时,通常只有部分信息可供管理员开始收集可能与特定调查相关的内容。 请求可能包括员工姓名、项目标题、项目活动时的大致日期范围,而不是更多。 根据此信息,管理员需要创建查询以查找跨 Microsoft 365 服务的相关内容,以确定特定项目或主题所需的信息。 了解如何为这些服务存储和管理信息,可帮助管理员更高效地快速有效地找到所需的内容。

Email、聊天、会议和智能 Microsoft 365 Copilot 副驾驶®以及Microsoft Copilot活动数据 (用户提示和 Copilot 响应) 都存储在 Exchange Online 中。 许多通信属性可用于搜索Exchange Online中包含的项。 某些属性(如“发件人”、“已发送”、“主题”和“收件人”)对于某些项目是唯一的,在 SharePoint 中搜索文件或文档时不相关,OneDrive for Business。 在跨工作负载搜索时包括这些类型的属性有时可能会导致意外结果。

例如,若要在 2020 年 1 月至 2022 年 1 月期间查找与特定员工 (用户 1 和用户 2) 相关的内容,可以使用具有以下属性的查询:

  • 将用户 1 和用户 2 的Exchange Online位置作为数据源添加到案例中
  • 选择用户 1 和用户 2 的Exchange Online位置作为收集位置
  • 对于 关键字,请使用 Tradewinds
  • 对于 “日期范围”,请使用 2020 年 1 月 1 日至 20221 月 31 日的范围

重要

对于电子邮件,使用关键字 (keyword) 时,我们会搜索主题、正文和许多与参与者相关的属性。 但是,由于收件人扩展,使用别名或别名的一部分时,搜索可能不会返回预期结果。 因此,我们建议使用完整的 UPN。

可搜索的电子邮件属性

下表列出了可以使用合规性门户中的电子数据展示搜索工具或使用 New-ComplianceSearchSet-ComplianceSearch cmdlet 搜索的电子邮件属性。

重要

虽然其他 Microsoft 365 服务可能支持电子邮件的其他属性,但电子数据展示搜索工具仅支持此表中列出的电子邮件属性。 不支持尝试在搜索中包含其他电子邮件属性。

该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。 可以在电子数据展示搜索的关键字框中输入这些 property:value 对。

注意

搜索电子邮件属性时,无法搜索邮件头。 不会为集合编制标头信息的索引。 此外,指定属性为空或空白的项目不可搜索。 例如,使用 subject:“”property:value 对搜索主题行为空的电子邮件将返回零结果。 搜索网站和联系人属性时,这同样适用。

属性 属性描述 示例 示例返回的搜索结果
AttachmentNames 电子邮件附件的文件名。 attachmentnames:annualreport.ppt

attachmentnames:annual*

具有名为 annualreport.ppt的附加文件的消息。 第二个示例中,使用通配符 ( * ) 在附件的文件名中返回带有单词 year 的邮件。1
Bcc 电子邮件的密件抄送字段。1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

所有示例都返回密件抄送字段中包含 Pilar Pinilla 的消息。
(请参阅收件人扩展)
类别 搜索类别。 用户可以使用 Outlook 或以前称为Outlook Web App) Outlook 网页版 (定义类别。 可能的值有:
  • 蓝色
  • 绿色
  • 橙色
  • 紫色
  • 红色
  • 黄色
category:"Red Category" 已在源 邮箱中分配 红色类别的邮件。
Cc 电子邮件的“抄送”字段。1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

在这两个示例中,在抄送字段中指定了 Pilar Pinilla 的消息。
(请参阅收件人扩展)
Folderid 文件夹 ID (48 个字符格式的特定邮箱文件夹的 GUID) 。 如果使用此属性,请确保搜索指定文件夹所在的邮箱。 仅搜索指定的文件夹。 不会搜索文件夹中的任何子文件夹。 若要搜索子文件夹,需要对要搜索的子文件夹使用 Folderid 属性。

有关搜索 Folderid 属性和使用脚本获取特定邮箱的文件夹 ID 的详细信息,请参阅 对目标集合使用内容搜索

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

第一个示例返回指定邮箱文件夹中的所有项目。 第二个示例返回指定邮箱文件夹中由 garthf@contoso.com发送或接收的所有项目。
From 电子邮件的发件人。1 from:pilarp@contoso.com 指定用户发送的消息。
(请参阅收件人扩展)
HasAttachment 指示邮件是否具有附件。 使用值 truefalse from:pilar@contoso.com AND hasattachment:true 由具有附件的指定用户发送的邮件。
重要性 The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. importance:high

importance:medium

importance:low

将重要性标记为高、中等或低的邮件。
IsRead 指示是否已读取消息。 使用值 truefalse isread:true

isread:false

第一个示例返回 IsRead 属性设置为 True 的消息。 第二个示例返回 IsRead 属性设置为 False 的消息。
ItemClass 使用此属性可搜索组织导入到Office 365的特定第三方数据类型。 对此属性使用以下语法: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

第一个示例返回 Subject 属性中包含单词“contoso”的Facebook项。 第二个示例返回 Ann Beebe 发布的 Twitter 项目,其中包含关键字 (keyword) 短语“Northwind Traders”。

有关用于 ItemClass 属性的第三方数据类型的值的完整列表,请参阅使用内容搜索搜索导入到Office 365的第三方数据

Kind 要搜索的电子邮件类型。 可能的值:

联系人

文档

电子邮件

externaldata

传真

即时消息

日志

会议

microsoftteams (从Microsoft Teams) 中的聊天、会议和通话中返回项目

notes

公告

RSS 源

任务

语音邮件

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

第一个示例返回满足搜索条件的电子邮件。 第二个示例返回电子邮件、即时消息对话 (包括Microsoft Teams) 中的Skype for Business对话和聊天,以及满足搜索条件的语音邮件。 第三个示例返回从满足搜索条件的第三方数据源(例如 Twitter、Facebook 和 Cisco Jabber)导入到 Microsoft 365 邮箱中的项目。 有关详细信息,请参阅在 Office 365 中存档第三方数据
参与者 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。1 participants:garthf@contoso.com

participants:contoso.com

由 发送或发送到 garthf@contoso.com的消息。 第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。
(请参阅收件人扩展)
接收时间 收件人接收电子邮件的日期。 received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

2021 年 4 月 15 日收到的消息。 第二个示例返回在 2021 年 1 月 1 日至 2021 年 3 月 31 日之间收到的所有消息。
收件人 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。1 recipients:garthf@contoso.com

recipients:contoso.com

发送到 garthf@contoso.com的消息。 第二个示例返回发送至 contoso.com 域中的任何收件人的邮件。
(请参阅收件人扩展)
发件箱 发件人发送电子邮件的日期。 sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

在指定日期或指定日期范围内发送的邮件。
Size 邮件的大小(以字节为单位)。 size>26214400

size:1..1048567

邮件超过 25 MB。 第二个示例返回大小介于 1 到 1,048,567 (1 MB) 字节之间的邮件。
主题 电子邮件主题行中的文本。

注意: 在查询中使用 Subject 属性时,搜索将返回主题行包含要搜索的文本的所有邮件。 换句话说,查询不会仅返回具有完全匹配的那些消息。 例如,如果搜索 subject:"Quarterly Financials",则结果将包括主题为“季度财务 2018”的消息。

subject:"Quarterly Financials"

subject:northwind

主题行文本中任意位置包含短语“季度财务”的邮件。 第二个示例返回主题行中包含单词"northwind"的所有邮件。
收件人 电子邮件的"收件人"字段。1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。

注意

1 对于收件人属性的值,可以使用电子邮件地址 (也称为 用户主体名称 或 UPN) 、显示名称或别名来指定用户。 例如,可以使用 annb@contoso.com、annb 或“Ann Beebe”来指定用户 Ann Beebe。

收件人扩展

提示

使用新的 电子数据展示 (预览版) 体验和条件生成器在搜索特定收件人或邮件时使用通用邮箱和网站 属性 ,例如 MessageIDChatThreadIds

(发件人、收件人、密件抄送、密件抄送、参与者和收件人) 搜索任何收件人属性时,Microsoft 365 尝试通过在Microsoft Entra ID中查找来扩展每个用户的标识。 如果在 Microsoft Entra ID 中找到用户,则查询会展开,以包括用户的电子邮件地址 (或 UPN) 、别名、显示名称和 LegacyExchangeDN。 例如,查询(如) participants:ronnie@contoso.com 将扩展为 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"

若要防止收件人扩展,请在电子邮件地址末尾添加一个 (星号) 的野生卡字符,并使用简化的域名;例如,participants:"ronnie@contoso*"请确保用双引号将电子邮件地址括起来。

但是,请注意,阻止搜索查询中的收件人扩展可能会导致搜索结果中未返回相关项目。 Exchange 中的Email邮件可以在收件人字段中使用不同的文本格式进行保存。 收件人扩展旨在通过返回可能包含不同文本格式的邮件来帮助缓解这一事实。 因此,阻止收件人扩展可能会导致搜索查询未返回可能与调查相关的所有项目。

注意

如果需要查看或减少由于收件人扩展而由搜索查询返回的项目,请考虑使用电子数据展示 (Premium) 。 可以搜索邮件 (利用收件人扩展) ,将它们添加到审阅集,然后使用审阅集查询或筛选器查看或缩小结果范围。 有关详细信息,请参阅 收集案例的数据查询审阅集中的数据

在 SharePoint 和 OneDrive 中查找内容

提示

使用新的 电子数据展示 (预览) 体验和搜索 导出选项 下载 SharePoint 网站的所有列表附件。

在 SharePoint 或 OneDrive for Business中搜索文档和文件时,根据相关文档和文件的元数据调整查询方法可能有意义。 文件和文档具有相关属性,例如 AuthorCreatedCreatedByFileNameLastModifiedTimeTitle。 在Exchange Online中搜索通信内容时,这些属性中的大多数都无关,如果跨文档和通信使用,使用这些属性可能会导致意外结果。 此外, 文档的文件名标题 可能不同,使用其中一个或另一个尝试查找具有特定内容的文件可能会导致不同或不准确的结果。 在 SharePoint 和 OneDrive for Business 中搜索特定文档和文件内容时,请记住这些属性。

例如,若要查找与用户 1 创建的文档、名为 Tradewinds 的项目、名为 Financials 的特定文件以及从 2020 年 1 月到 2022 年 1 月创建的文档相关的内容,可以使用具有以下属性的查询:

  • 将用户 1 的OneDrive for Business站点作为数据源添加到案例中
  • 选择用户 1 的OneDrive for Business网站作为收集位置
  • 将与项目相关的其他 SharePoint 网站位置添加为集合位置
  • 对于 FileName,请使用 Financials
  • 对于 关键字,请使用 Tradewinds
  • 对于 “日期范围”,请使用 2020 年 1 月 1 日至 20221 月 31 日的范围

可搜索网站属性

下表列出了 SharePoint 和 OneDrive for Business属性,这些属性可以使用Microsoft Purview 合规门户中的电子数据展示搜索工具或使用 New-ComplianceSearchSet-ComplianceSearch cmdlet 进行搜索。

重要

虽然存储在 SharePoint 和 OneDrive for Business 上的文档和文件在其他 Microsoft 365 服务中可能支持其他属性,但电子数据展示搜索工具仅支持此表中列出的文档和文件属性。 不支持尝试在搜索中包含其他文档或文件属性。

该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。

属性 属性描述 示例 示例返回的搜索结果
作者 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。 请确保对此属性使用用户的显示名称。 author:"Garth Fort" 所有文档的作者均为 Garth Fort。
ContentType 项目的 SharePoint 内容类型,例如 Item、Document 或 Video。 contenttype:document 将返回所有文档。
已创建 创建项目的日期。 created>=2021-06-01 2021 年 6 月 1 日或之后创建的所有项目。
CreatedBy 创建或上载项目的人员。 请确保对此属性使用用户的显示名称。 createdby:"Garth Fort" 所有项目均由 Garth Fort 创建或上载。
DetectedLanguage 项目的语言。 detectedlanguage:english 所有项目均为英语。
DocumentLink SharePoint 或 OneDrive for Business 网站上特定文件夹的路径 (URL) 。 如果使用此属性,请确保搜索指定文件夹所在的网站。 建议使用此属性而不是 “站点 ”和 “路径” 属性。

若要返回位于为 documentlink 属性指定的文件夹的子文件夹中的项目,必须向指定文件夹的 URL 添加 /*;例如 documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


有关搜索 documentlink 属性和使用脚本获取特定网站上文件夹的文档链接 URL 的详细信息,请参阅 使用目标集合的内容搜索

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

第一个示例返回指定OneDrive for Business文件夹中的所有项。 第二个示例返回指定网站文件夹中的文档 (以及文件名中包含单词“confidential”的所有子文件夹) 。
FileExtension 文件的扩展名;例如,docx、one、pptx 或 xlsx。 fileextension:xlsx Excel 2007 及更高版本 (所有 Excel 文件)
FileName 文件的名称。 filename:"marketing plan"

filename:estimate

第一个示例返回标题中具有完全匹配短语“marketing plan”的文件。 第二个示例返回文件名中具有单词“estimate”的文件。
LastModifiedTime 项目的上次更改日期。 lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

第一个示例返回在 2021 年 5 月 1 日或之后更改的项目。 第二个示例返回在 2021 年 5 月 1 日至 2021 年 6 月 1 日之间更改的项目。
ModifiedBy 上次更改项目的人员。 请确保对此属性使用用户的显示名称。 modifiedby:"Garth Fort" 由 Garth Fort 最后更改的所有项目。
SharedWithUsersOWSUser 已与指定用户共享并显示在用户OneDrive for Business网站的“与我共享”页上的文档。 这些文档是由组织中的其他人与指定用户显式共享的文档。 导出与使用 SharedWithUsersOWSUser 属性的搜索查询匹配的文档时,将从与指定用户共享文档的人员的原始内容位置导出文档。 有关详细信息,请参阅 搜索组织内共享的网站内容 sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

这两个示例都返回与 Garth Fort 显式共享并在 Garth Fort 的 OneDrive for Business 帐户的“与我共享”页面上显示的所有内部文档。
Size 邮件的大小(以字节为单位)。 size>=1

size:1..10000

第一个示例返回大于 1 字节的项目。 第二个示例返回大小介于 1 到 10,000 字节之间的项目。
标题 文档的标题。 Title 属性是在 Office 文档Microsoft中指定的元数据。 它不同于文档的文件名。 title:"communication plan" Office 文档的 Title 元数据属性中包含短语“communication plan”的任何文档。

可搜索联系人属性

下表列出了已编制索引且可以使用电子数据展示搜索工具进行搜索的联系人属性。 这些属性可供用户为联系人配置, (也称为个人联系人) ,位于用户邮箱的个人通讯簿中。 若要搜索联系人,可以选择要搜索的邮箱,然后在关键字 (keyword) 查询中使用一个或多个联系人属性。

提示

若要搜索包含空格或特殊字符的值,请使用双引号 (“”) 包含短语;例如 。 businessaddress:"123 Main Street"

属性 属性描述
BusinessAddress “商务地址”属性中的地址。 属性也称为联系人属性页上的工作地址。
BusinessPhone 任何商务电话号码属性中的 电话号码
CompanyName 公司属性中的名称。
部门 Department 属性中的名称。
DisplayName 联系人的显示名称。 这是联系人的 “全名” 属性中的姓名。
EmailAddress 联系人的任何电子邮件地址属性的地址。 用户可以为联系人添加多个电子邮件地址。 使用此属性将返回与任何联系人的电子邮件地址匹配的联系人。
FileAs File as 属性。 此属性用于指定如何在用户的联系人列表中列出联系人。 例如,联系人可以列为 FirstName、LastNameLastName、FirstName
GivenName 名字属性中 的名称
HomeAddress 任何 “家庭 地址”属性中的地址。
HomePhone 任何 家庭 电话号码属性中的电话号码。
IMAddress IM 地址属性,通常是用于即时消息的电子邮件地址。
MiddleName 中间名称属性中的名称。
MobilePhone 移动电话号码属性中的电话号码。
Nickname Nickname 属性中的名称。
OfficeLocation OfficeOffice 位置属性中的值。
OtherAddress Other 地址属性的值。
Surname 姓氏属性中的名称。
标题 “职务”属性中的标题。

搜索运算符

布尔搜索运算符(如 ANDORNOT)通过包括或排除搜索查询中的特定字词来帮助定义更精确的搜索。 其他技术(例如,使用属性运算符 (如 >=..) 、引号、括号和通配符)有助于优化搜索查询。 下表列出了可用于缩小或扩大搜索结果的运算符。

运算符 用法 说明
AND keyword1 AND keyword2 返回包含所有指定关键字或 property:value 表达式的项。 例如, from:"Ann Beebe" AND subject:northwind 将返回由 Ann Beebe 发送的所有消息,这些邮件在主题行中包含单词 northwind。 2
+ keyword1 + keyword2 + keyword3 返回 包含keyword2keyword3 也包含 keyword1的项。 因此,此示例等效于查询 (keyword2 OR keyword3) AND keyword1

查询 keyword1 + keyword2 (符号) 后的 + 空格与使用 AND 运算符不同。 此查询将等效于 "keyword1 + keyword2" 并返回具有确切阶段 "keyword1 + keyword2"的项。

OR keyword1 OR keyword2 返回包含一个或多个指定关键字或 property:value 表达式的项。 2
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

NOT kind:im

排除关键字 (keyword) 或property:value表达式指定的项。 第二个示例中排除了 Ann Beebe 发送的消息。 第三个示例排除任何即时消息对话,例如保存到“对话历史记录”邮箱文件夹的Skype for Business对话。 2
NEAR keyword1 NEAR(n) keyword2 返回彼此靠近的字词的项。 在 keyword1 NEAR (n) keyword2 语法中, n 等于 keyword1keyword2 中包括的单词数。 例如,若要确定 “最佳 ”一词在 最差 (示例句子的 3 个单词内的情况,“Best 与 best 相反”。) ,最好使用 5) 最差的 NEAR (。 这将返回 最佳 (keyword1) 和 最差 (关键字 2) 之间有 3 个或更少的单词的任何项。 在语法示例中指定 5 包括 2 个关键字,它们之间的 3 个单词的差异是 NEAR 范围。 如果未指定数字,则默认值 n 为 8。 2
: property:value 语法中的 property:value 冒号 (:) 指定要搜索的属性的值包含指定的值。 例如, recipients:garthf@contoso.com 返回发送到 garthf@contoso.com的任何消息。
= property=value 与 运算符相同 :
< property<value 表示正在搜索的属性小于指定的值。 1
> property>value 表示正在搜索的属性大于指定的值。1
<= property<=value 表示正在搜索的属性小于等于指定的值。1
>= property>=value 表示正在搜索的属性大于等于指定的值。1
.. property:value1..value2 表示正在搜索的属性大于等于 value1,小于等于 value2。1
" " "fair value"

subject:"Quarterly Financials"

在关键字 (keyword) 查询 (property:value 中,在“关键字”框中键入对) ,请使用双引号 (“”) 搜索确切的短语或术语。 但是,如果使用 “主题”“主题/标题”搜索条件 ,请不要向值添加双引号,因为在使用这些搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,并且搜索查询将返回错误。
* 猫*

subject:set*

前缀搜索 (也称为 前缀匹配) 其中通配符 ( * ) 放置在关键字或 property:value 查询中的单词的末尾。 在前缀搜索中,搜索返回包含单词后跟零个或多个字符的字词的结果。 例如, title:set* 返回包含单词“set”、“setup”和“setting”的文档, (文档标题中以“set”开头的其他单词 ) 。

注意: 只能使用前缀搜索;例如 cat*set*。 不支持后缀搜索 (*cat) 、 (c*t) 的内缀搜索以及 (*cat*) 的子字符串搜索。

此外, ( 添加句点。) 前缀搜索将更改返回的结果。 这是因为句点被视为停止词。 例如,搜索 cat* 和搜索 cat.* 将返回不同的结果。 建议不要在前缀搜索中使用句点。

( ) (fair OR free) AND (from:contoso.com)

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

括号将布尔短语、 property:value 项和关键字组合在一起。 例如, (quarterly financials) 返回包含“季度”和“财务”一词的项。

注意

1 为含有日期或数值的属性使用此运算符。
2 布尔搜索运算符必须为大写形式;例如, AND 。 如果使用小写运算符(如 ),它将被视为搜索查询中的关键字 (keyword) 。

搜索条件

可以向搜索查询添加条件,以缩小搜索范围并返回更精细的结果集。 每个条件向开始搜索时创建和运行的 KQL 搜索查询添加一个子句。

通用属性的条件

在同一搜索中同时搜索邮箱和网站时,使用通用属性创建一个条件。 下表列出了添加条件时要使用的可用属性。

条件 说明
日期 对于电子邮件,是创建邮件或从 PST 文件导入邮件的日期。 对于文档,上次修改文档的日期。

如果要搜索特定时间段的电子邮件,如果不确定电子邮件是否已导入,而不是在 Exchange 中本机创建,则应使用邮件 “已接收 ”和“ 已发送 ”条件。
发件人/作者 对于电子邮件而言,是指发送邮件的人。 对于文档而言,是指从 Office 文档的作者字段中引用的人员。 你可以键入多个名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。
(请参阅收件人扩展)
大小 ((以字节为单位)) 对于电子邮件和文档而言,是项目的大小(以字节为单位)。
主题/标题 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 如前所述,Title 属性是在 Office 文档中Microsoft指定的元数据。 可以键入多个主题/标题值的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,并且搜索查询将返回错误。

保留标签 对于电子邮件和文档,可以自动或手动应用于邮件和文档的保留标签。 保留标签可用于声明记录,并通过强制执行标签指定的保留和删除规则来帮助管理内容的数据生命周期。 可以键入保留标签名称的一部分,并使用通配符或键入完整的标签名称。 有关保留标签的详细信息,请参阅 了解保留策略和保留标签

邮件属性的条件

搜索 Exchange Online 中的邮箱或公用文件夹时,使用邮件属性创建条件。 下表列出了可以用于条件的电子邮件属性。 这些属性是前面所述的电子邮件属性的子集。 为了方便起见,将重复这些说明。

条件 说明
消息类型 要搜索的邮件类型。 此属性与“Kind”电子邮件属性相同。 可能的值:
  • 联系人
  • 文档
  • 电子邮件
  • externaldata
  • fax
  • 即时消息
  • 日志
  • 会议
  • microsoftteams
  • notes
  • 公告
  • RSS 源
  • 任务
  • 语音邮件
参与者 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
类型 电子邮件项的邮件类属性。 此属性与 ItemClass 电子邮件属性相同。 这也是一个多值条件。 因此,若要选择多个邮件类,请按住 Ctrl 键,然后在要添加到条件的下拉列表中选择两个或多个邮件类。 在列表中选择的每个消息类都将在逻辑上由相应的搜索查询中的 OR 运算符连接。

有关 Exchange 使用的邮件类 (及其相应的邮件类 ID) 的列表,可以在 “邮件类 ”列表中选择,请参阅 项目类型和邮件类

接收时间 收件人接收电子邮件的日期。 此属性与“Received”电子邮件属性相同。
收件人 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
发件人 电子邮件的发件人。
发件箱 发件人发送电子邮件的日期。 此属性与“Sent”电子邮件属性相同。
主题 电子邮件主题行中的文本。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,并且搜索查询将返回错误。

To “收件人”字段中电子邮件的收件人。

文档属性的条件

在 SharePoint 上搜索文档和OneDrive for Business网站时,使用文档属性创建条件。 下表列出了可以用于条件的文档属性。 这些属性是前面所述的网站属性的子集。 为了方便起见,将重复这些说明。

条件 说明
作者 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。
标题 文档的标题。 Title 属性是 Office 文档中指定的元数据。 它不同于文档的文件名。
已创建 创建文档的日期。
上次修改时间 上次修改文档的日期。
文件类型 文件的扩展名;例如,docx、one、pptx 或 xlsx。 此属性与 FileExtension 网站属性相同。

注意: 如果在搜索查询中包含使用 EqualsEquals 任 一运算符的文件类型条件,则不能通过将通配符 ( * ) 包含在文件类型) 末尾来返回文件类型的所有版本来使用前缀搜索 (。 如果这样做,将忽略通配符。 例如,如果包含 条件 Equals any of doc*,则仅返回扩展名 .doc 为 的文件。 不会返回扩展名 .docx 为 的文件。 若要返回文件类型的所有版本,请在关键字 (keyword) 查询中使用 property:value 对;例如 。 filetype:doc*

与条件一起使用的运算符

当您添加一个条件时,您可以选择与该条件的属性类型相关的运算符。 下表描述了与条件一起使用的运算符,并列出了在搜索查询中使用的等效项。

运算符 查询等效项 说明
活动后 property>date 使用日期条件。 返回在指定日期后发送、接收或修改的项。
活动前 property<date 使用日期条件。 返回在指定日期前发送、接收或修改的项。
Between date..date 使用日期和大小条件。 当使用日期条件时,返回在指定的日期范围内发送、接收或修改的项。 当使用大小条件时,返回大小在指定范围内的项。
包含任意 (property:value) OR (property:value) 与指定字符串值的属性条件一起使用。 返回包含一个或多个指定字符串值任何部分的项目。
不包含任何 -property:value

NOT property:value

与指定字符串值的属性条件一起使用。 返回不包含指定字符串值任何部分的项目。
不等于任何 -property=value

NOT property=value

与指定字符串值的属性条件一起使用。 返回不包含特定字符串的项目。
等于 size=value 返回等于指定大小的项。1
等于任何 (property=value) OR (property=value) 与指定字符串值的属性条件一起使用。 返回与一个或多个指定字符串值匹配的项。
size>value 返回指定属性大于指定值的项。1
大于或等于 size>=value 返回指定属性大于或等于指定值的项。1
size<value 返回大于或等于特定值的项。1
小于或等于 size<=value 返回大于或等于特定值的项。1
不等于 size<>value 返回不等于指定大小的项。1

注意

1 此运算符仅适用于使用 Size 属性的条件。

使用条件的准则

在使用搜索条件时,请牢记以下几点。

  • 可通过使用 AND 运算符在逻辑上将条件连接至关键字查询(在关键字框中指定)。 这意味着,项目必须满足关键字查询和要在结果中包括的条件。 这就是条件如何帮助缩小结果范围的原理。

  • 如果将两个或多个唯一性条件(指定不同属性的条件)添加到搜索查询中,这些条件将在逻辑上使用 AND 运算符来连接。 这意味着仅返回满足所有条件(除了任何关键字查询以外)的项目。

  • 如果您对相同属性添加多个条件,则使用 OR 运算符在逻辑上对这些条件进行连接。 这意味着将返回满足关键字查询以及任何一个条件的项。 因此,相同条件的组通过 OR 运算符彼此相连,然后唯一性条件集通过 AND 运算符彼此相连。

  • 如果向单个条件中添加多个值(用逗号或分号分隔),这些值将通过 OR 运算符来连接。 这意味着如果这些项包含条件中指定的任何属性值,则返回这些项。

  • 使用 包含等于 逻辑的运算符的任何条件都将为简单字符串搜索返回类似的搜索结果。 简单字符串搜索是条件中不包含通配符) 的字符串。 例如,使用 Equals any 的条件 将返回与使用 Contains 的任何 条件相同的项。

  • 使用关键字框和条件创建的搜索查询显示在 “搜索 ”页上所选搜索的详细信息窗格中。 在查询中,表示法 (c:c) 右侧的所有内容都指示添加到查询的条件。 (c:c) 不应在手动加密的查询中使用,并且不等于 ANDOR

  • 条件仅向搜索查询添加属性;它们不会添加运算符。 这就是详细信息窗格中显示的查询不显示表示法右侧的 (c:c) 运算符的原因。 执行查询时,KQL 会添加逻辑运算符(根据前面所述的规则)。

  • 可以使用拖放控件重新排列条件的顺序。 选择条件的控件,并将其向上或向下移动。

  • 如前所述,某些条件属性允许键入多个值, (用分号分隔) 。 每个值在逻辑上由 OR 运算符连接,并生成查询 (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)。 下图显示了具有多个值的条件示例。

    具有多个值的一个条件。

    注意

    无法通过为同一属性) 选择 “添加条件” 来 (添加多个条件。 相反,必须为条件提供多个值, (用分号) 分隔,如上一个示例中所示。

示例

以下示例演示具有条件的基于 GUI 的搜索查询版本、所选搜索 (详细信息窗格中显示的搜索查询语法(也由 Get-ComplianceSearch cmdlet) 返回),以及相应 KQL 查询的逻辑。

示例 1

此示例返回包含 2021 年 4 月 1 日之前发送或创建的关键字 (keyword) “report”的电子邮件项目或文档,并在电子邮件的主题字段或文档的 title 属性中包含单词“northwind”。 查询不包括符合其他搜索条件的网页。

GUI

搜索条件的第二个示例。

搜索查询语法

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

搜索查询逻辑

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

示例 2

此示例返回在 2019 年 12 月 1 日至 2020 年 11 月 30 日之间发送且包含以“电话”或“智能手机”开头的字词的电子邮件或日历会议。

GUI

搜索条件的第三个示例。

搜索查询语法

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

搜索查询逻辑

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

特殊字符

某些特殊字符不包括在搜索索引中,因此不可搜索。 这还包括表示搜索查询中搜索运算符的特殊字符。 下面是特殊字符的列表,这些字符要么被实际搜索查询中的空格替换,要么会导致搜索错误。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

可搜索敏感数据类型

您可以使用合规性门户中的电子数据展示搜索工具来搜索存储在 SharePoint 和 OneDrive for Business 网站上的文档中的敏感数据,例如信用卡号码或社会保险号。 为此,SensitiveType可以使用 属性以及关键字 (keyword) 查询中敏感信息类型的名称 (或 ID) 。 例如,查询SensitiveType:"Credit Card Number"返回包含信用卡号的文档。 该查询 SensitiveType:"U.S. Social Security Number (SSN)" 返回包含美国社会安全号码的文档。

若要查看可搜索的敏感信息类型的列表,请转到合规性门户中 的数据分类>敏感信息类型 。 或者,可以使用 Security & Compliance PowerShell 中的 Get-DlpSensitiveInformationType cmdlet 来显示敏感信息类型的列表。

搜索敏感数据类型的限制

  • 若要搜索自定义敏感信息类型,必须在 属性中 SensitiveType 指定敏感信息类型的 ID。 使用自定义敏感信息类型的名称 (如上一部分中内置敏感信息类型的示例所示,) 不会返回任何结果。 使用合规性门户中“敏感信息类型”页上的“发布服务器”列 (或 PowerShell) 中的 Publisher 属性来区分内置敏感信息类型和自定义敏感信息类型。 对于 Publisher 属性,内置敏感数据类型的值Microsoft Corporation为 。

    若要显示组织中自定义敏感数据类型的名称和 ID,请在 Security & Compliance PowerShell 中运行以下命令:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    然后,可以使用搜索属性中的 SensitiveType ID 返回包含自定义敏感数据类型的文档;例如, SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • 不能使用敏感信息类型和SensitiveType搜索属性在Exchange Online邮箱中搜索静态敏感数据。 这包括 Microsoft Teams 中的 1:1 聊天消息、1:N 群组聊天消息和团队频道对话,因为所有这些内容都存储在邮箱中。 但是,可以使用数据丢失防护 (DLP) 策略来保护传输中的敏感电子邮件数据。 有关详细信息,请参阅 了解数据丢失防护搜索和查找个人数据

搜索与外部用户共享的网站内容

还可以使用合规性门户中的电子数据展示搜索工具搜索存储在 SharePoint 上的文档,以及已与组织外部人员共享的OneDrive for Business网站。 这可以帮助你识别与组织外部人员共享的敏感信息或专有信息。 可以通过在关键字 (keyword) 查询中使用 ViewableByExternalUsers 属性来执行此操作。 此属性使用以下共享方法之一返回已与外部用户共享的文档或网站:

  • 要求用户以经过身份验证的用户身份登录到组织的共享邀请。
  • 匿名来宾链接,允许具有此链接的任何人访问资源,而无需进行身份验证。

下面是一些示例:

  • 该查询ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"返回已与组织外部人员共享的所有项,并包含信用卡编号。
  • 该查询 ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" 返回组织中已与外部用户共享的所有团队网站上的文档列表。

提示

搜索查询(如 ) ViewableByExternalUsers:true AND ContentType:document 可能会在搜索结果中返回大量.aspx文件。 若要消除这些 (或) 的其他类型的文件,可以使用 FileExtension 属性排除特定文件类型;例如 ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx

哪些内容视为与组织的外部人员共享的内容? 组织 SharePoint 中的文档和OneDrive for Business通过发送共享邀请共享或在公共位置共享的网站。 例如,下列用户活动会产生外部用户可以查看的内容:

  • 用户与组织外部的人员共享文件或文件夹。
  • 用户创建共享文件并将链接发送给组织外部的人员。 此链接允许外部用户查看(或编辑)该文件。
  • 用户向组织外部的人员发送共享邀请或来宾链接以查看(或编辑)共享文件。

使用 ViewableByExternalUsers 属性时出现问题

虽然 属性 ViewableByExternalUsers 表示文档或网站是否与外部用户共享的状态,但对于此属性的作用和不反映,有一些注意事项。 在以下方案中,属性的值 ViewableByExternalUsers 不会更新,并且使用此属性的搜索查询的结果可能不准确。

  • 对共享策略的更改,例如关闭网站或组织的外部共享。 即使外部访问可能已撤销,该属性仍会将以前共享的文档显示为可从外部访问。
  • 对组成员身份的更改,例如向Microsoft 365 组添加或删除外部用户,或者Microsoft 365 个安全组。 对于组有权访问的项,属性不会自动更新。
  • 向外部用户发送共享邀请,其中收件人尚未接受邀请,因此尚无权访问内容。

在这些方案中,在重新绘制网站或文档库并重新编制索引之前, ViewableByExternalUsers 属性不会反映当前共享状态。

搜索组织内共享的网站内容

如前所述,可以使用 SharedWithUsersOWSUser 属性,以便搜索组织中人员之间已共享的文档。 当某人与组织中的其他用户共享文件 (或文件夹) 时,共享文件的链接将显示在与我共享的人员OneDrive for Business帐户中的“与我共享”页面上。 例如,若要搜索已与 Sara Davis 共享的文档,可以使用查询 SharedWithUsersOWSUser:"sarad@contoso.com"。 如果导出此搜索结果,将下载原始文档 (位于与 Sara) 共享文档的人员的内容位置。

使用 SharedWithUsersOWSUser 属性时,必须与特定用户显式共享文档才能在搜索结果中返回。 例如,当某人在其 OneDrive 帐户中共享文档时,他们可以选择与组织内外) (任何人共享文档,仅与组织内部人员共享文档,或与特定人员共享文档。 下面是 OneDrive 中 “共享” 窗口的屏幕截图,其中显示了三个共享选项。

使用 SharedWithUsersOWSUser 属性的搜索查询仅返回与特定人员共享的文件。

使用 属性的搜索查询SharedWithUsersOWSUser仅返回使用第三个选项共享的文档 (与特定人员共享) 。

搜索Skype for Business对话

可以使用以下关键字 (keyword) 查询专门搜索Skype for Business对话中的内容:

kind:im

上一个搜索查询还返回来自 Microsoft Teams 的聊天。 若要防止出现这种情况,可以使用以下关键字 (keyword) 查询缩小搜索结果范围,使其仅包含Skype for Business对话:

kind:im AND subject:conversation

前面的关键字 (keyword) 查询排除Microsoft Teams 中的聊天,因为Skype for Business对话保存为电子邮件,主题行以“对话”一词开头。

若要搜索在特定日期范围内发生的Skype for Business对话,请使用以下关键字 (keyword) 查询:

kind:im AND subject:conversation AND (received=startdate..enddate)

搜索的字符限制

在 SharePoint 网站和 OneDrive 帐户中搜索内容时,搜索查询有 4,000 个字符的限制。 下面介绍如何计算搜索查询中的字符总数:

  • 关键字 (keyword) 搜索查询中的字符 (包括用户字段和筛选器字段) 计入此限制。
  • 任何位置属性中的字符 (,例如要搜索的所有 SharePoint 网站或 OneDrive 位置的 URL,) 计入此限制。
  • 应用于针对限制运行搜索计数的用户的所有搜索权限筛选器中的字符。

有关字符限制的详细信息,请参阅 电子数据展示搜索限制

注意

4,000 个字符的限制适用于内容搜索、电子数据展示 (Standard) 和电子数据展示 (Premium) 。