在电子数据展示 (预览版) 中查找邮箱中的内容
管理员通常负责找出谁知道何时以最有效和最有效的方式响应有关正在进行的或潜在诉讼、内部调查和其他方案的请求。 这些请求通常是紧急的,涉及多个利益干系人团队,如果不及时完成,将产生重大影响。 了解如何查找正确的信息对于管理员成功完成搜索并帮助其组织管理与电子数据展示要求相关的风险和成本至关重要。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
提交电子数据展示请求时,通常只有部分信息可供管理员开始收集可能与特定调查相关的内容。 请求可能包括员工姓名、项目标题、项目活动时的大致日期范围,而不是更多。 根据此信息,管理员需要创建查询以查找跨 Microsoft 365 服务的相关内容,以确定特定项目或主题所需的信息。 了解如何为这些服务存储和管理信息,可帮助管理员更高效地快速有效地找到所需的内容。
Email、聊天、会议和智能 Microsoft 365 Copilot 副驾驶®以及Microsoft Copilot活动数据 (用户提示和 Copilot 响应) 都存储在 Exchange Online 中。 许多通信属性可用于搜索Exchange Online中包含的项。 某些属性(如“发件人”、“已发送”、“主题”和“收件人”)对于某些项目是唯一的,在 SharePoint 和 OneDrive 中搜索文件或文档时不相关。 在跨工作负载搜索时包括这些类型的属性有时可能会导致意外结果。
例如,若要在 2020 年 1 月至 2022 年 1 月期间查找与特定员工 (用户 1 和用户 2) 相关的内容,可以使用具有以下属性的查询:
- 将用户 1 和用户 2 的Exchange Online位置作为数据源添加到案例中
- 选择“用户 1”和“用户 2”Exchange Online位置作为数据源。
- 对于 关键字,请使用 Tradewinds
- 对于 “日期范围”,请使用 2020 年 1 月 1 日至 2022 年 1 月 31 日的范围
重要
对于电子邮件,使用关键字 (keyword) 时,我们会搜索主题、正文和许多与参与者相关的属性。 但是,由于收件人扩展,使用别名或别名的一部分时,搜索可能不会返回预期结果。 因此,我们建议使用完整的 UPN。
可搜索的电子邮件属性
下表列出了可以使用 Microsoft Purview 门户中的电子数据展示搜索工具或使用 New-ComplianceSearch 或 Set-ComplianceSearch cmdlet 搜索的电子邮件属性。
重要
虽然其他 Microsoft 365 服务可能支持电子邮件的其他属性,但电子数据展示搜索工具仅支持此表中列出的电子邮件属性。 不支持尝试在搜索中包含其他电子邮件属性。
该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。 可以在电子数据展示搜索的关键字框中输入这些 property:value 对。
注意
搜索电子邮件属性时,无法搜索邮件头。 不会为搜索编制标头信息的索引。 此外,指定属性为空或空白的项目不可搜索。 例如,使用 subject:“”的 property:value 对搜索主题行为空的电子邮件将返回零结果。 搜索网站和联系人属性时,这同样适用。
| 属性 | 属性描述 | 示例 | 示例返回的搜索结果 |
|---|---|---|---|
| AttachmentNames | 电子邮件附件的文件名。 | attachmentnames:annualreport.ppt |
具有名为 annualreport.ppt的附加文件的消息。 第二个示例中,使用通配符 ( * ) 在附件的文件名中返回带有单词 year 的邮件。1 |
| Bcc | 电子邮件的密件抄送字段。1 | bcc:pilarp@contoso.com |
所有示例都返回密件抄送字段中包含 Pilar Pinilla 的消息。 (请参阅收件人扩展) |
| 类别 | 搜索类别。 用户可以使用 Outlook 或以前称为Outlook Web App) Outlook 网页版 (定义类别。 可能的值有:
|
category:"Red Category" |
已在源 邮箱中分配 红色类别的邮件。 |
| Cc | 电子邮件的“抄送”字段。1 | cc:pilarp@contoso.com |
在这两个示例中,在抄送字段中指定了 Pilar Pinilla 的消息。 (请参阅收件人扩展) |
| Folderid | 文件夹 ID (48 个字符格式的特定邮箱文件夹的 GUID) 。 如果使用此属性,请确保搜索指定文件夹所在的邮箱。 仅搜索指定的文件夹。 不会搜索文件夹中的任何子文件夹。 若要搜索子文件夹,需要对要搜索的子文件夹使用 Folderid 属性。 有关搜索 Folderid 属性和使用脚本获取特定邮箱的文件夹 ID 的详细信息,请参阅 定向搜索。 |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
第一个示例返回指定邮箱文件夹中的所有项目。 第二个示例返回指定邮箱文件夹中由 garthf@contoso.com发送或接收的所有项目。 |
| From | 电子邮件的发件人。1 | from:pilarp@contoso.com |
指定用户发送的消息。 (请参阅收件人扩展) |
| HasAttachment | 指示邮件是否具有附件。 使用值 true 或 false。 | from:pilar@contoso.com AND hasattachment:true |
由具有附件的指定用户发送的邮件。 |
| 重要性 | The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. | importance:high |
将重要性标记为高、中等或低的邮件。 |
| IsRead | 指示是否已读取消息。 使用值 true 或 false。 | isread:true |
第一个示例返回 IsRead 属性设置为 True 的消息。 第二个示例返回 IsRead 属性设置为 False 的消息。 |
| ItemClass | 使用此属性可搜索组织导入到Office 365的特定第三方数据类型。 对此属性使用以下语法: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
第一个示例返回 Subject 属性中包含单词“contoso”的Facebook项。 第二个示例返回 Ann Beebe 发布的 Twitter 项目,其中包含关键字 (keyword) 短语“Northwind Traders”。 |
| Kind | 要搜索的电子邮件类型。 可能的值: 联系人 文档 电子邮件 externaldata 传真 即时消息 日志 会议 microsoftteams (从Microsoft Teams) 中的聊天、会议和通话中返回项目 notes 公告 RSS 源 任务 语音邮件 |
kind:email |
第一个示例返回满足搜索条件的电子邮件。 第二个示例返回电子邮件、即时消息对话 (包括Microsoft Teams) 中的Skype for Business对话和聊天,以及满足搜索条件的语音邮件。 第三个示例返回从满足搜索条件的第三方数据源(例如 Twitter、Facebook 和 Cisco Jabber)导入到 Microsoft 365 邮箱中的项目。 有关详细信息,请参阅在 Office 365 中存档第三方数据。 |
| 参与者 | 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。1 | participants:garthf@contoso.com |
由 发送或发送到 garthf@contoso.com的消息。 第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。 (请参阅收件人扩展) |
| 接收时间 | 收件人接收电子邮件的日期。 | received:2021-04-15 |
2021 年 4 月 15 日收到的消息。 第二个示例返回在 2021 年 1 月 1 日至 2021 年 3 月 31 日之间收到的所有消息。 |
| 收件人 | 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。1 | recipients:garthf@contoso.com |
发送到 garthf@contoso.com的消息。 第二个示例返回发送至 contoso.com 域中的任何收件人的邮件。 (请参阅收件人扩展) |
| 发件箱 | 发件人发送电子邮件的日期。 | sent:2021-07-01 |
在指定日期或指定日期范围内发送的邮件。 |
| Size | 邮件的大小(以字节为单位)。 | size>26214400 |
邮件超过 25 MB。 第二个示例返回大小介于 1 到 1,048,567 (1 MB) 字节之间的邮件。 |
| 主题 | 电子邮件主题行中的文本。
注意: 在查询中使用 Subject 属性时,搜索将返回主题行包含要搜索的文本的所有邮件。 换句话说,查询不会仅返回具有完全匹配的那些消息。 例如,如果搜索 |
subject:"Quarterly Financials" |
主题行文本中任意位置包含短语“季度财务”的邮件。 第二个示例返回主题行中包含单词"northwind"的所有邮件。 |
| 收件人 | 电子邮件的"收件人"字段。1 | to:annb@contoso.com |
所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。 |
注意
1 对于 recipient 属性的值,可以使用电子邮件地址 (也称为用户主体名称 (UPN) ) 、显示名称或别名来指定用户。 例如,可以使用 annb@contoso.com、annb 或“Ann Beebe”来指定用户 Ann Beebe。
可搜索敏感数据类型
可以使用 Microsoft Purview 门户中的电子数据展示搜索工具搜索存储在邮箱中的文档中的敏感数据,例如信用卡号码或社会安全号码。 为此,SensitiveType可以使用 属性以及关键字 (keyword) 查询中敏感信息类型的名称 (或 ID) 。 例如,查询SensitiveType:"Credit Card Number"返回包含信用卡号的文档。 该查询 SensitiveType:"U.S. Social Security Number (SSN)" 返回包含美国社会安全号码的文档。
若要查看可搜索的敏感信息类型的列表,请转到 Microsoft Purview 门户中 的数据分类>敏感信息类型 。 或者,可以使用 Security & Compliance PowerShell 中的 Get-DlpSensitiveInformationType cmdlet 来显示敏感信息类型的列表。
收件人扩展
(发件人、收件人、密件抄送、密件抄送、参与者和收件人) 搜索任何收件人属性时,Microsoft 365 尝试通过在Microsoft Entra ID中查找来扩展每个用户的标识。 如果在 Microsoft Entra ID 中找到用户,则查询会展开,以包括用户的电子邮件地址 (或 UPN) 、别名、显示名称和 LegacyExchangeDN。 例如,查询(如) participants:ronnie@contoso.com 将扩展为 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"。
若要防止收件人扩展,请在电子邮件地址末尾添加一个 (星号) 的野生卡字符,并使用简化的域名;例如,participants:"ronnie@contoso*"请确保用双引号将电子邮件地址括起来。
阻止搜索查询中的收件人扩展可能会导致搜索结果中未返回相关项目。 Exchange 中的Email邮件可以在收件人字段中使用不同的文本格式进行保存。 收件人扩展旨在通过返回可能包含不同文本格式的邮件来帮助缓解这一事实。 因此,阻止收件人扩展可能会导致搜索查询未返回可能与调查相关的所有项目。
注意
如果需要查看或减少由于收件人扩展而由搜索查询返回的项目,请考虑使用高级电子数据展示功能。 可以搜索邮件 (利用收件人扩展) ,将它们添加到审阅集,然后使用审阅集查询或筛选器查看或缩小结果范围。
存储在Exchange Online邮箱中用于电子数据展示的内容
Exchange Online 中的邮箱主要用于存储与电子邮件相关的项目,例如邮件、日历项目、任务和便笺。 但是,随着越来越多的基于云的应用也将其数据存储在用户的邮箱中,这一点正在发生变化。 在邮箱中存储数据的一个优点是,可以使用内容搜索、Microsoft Purview 电子数据展示 (Standard) 和电子数据展示 (预览) 中的搜索工具查找、查看和导出这些基于云的应用中的数据。
其中一些应用的数据存储在邮箱中的非人际邮件 (非 IPM) 子树中的隐藏文件夹中。 来自其他基于云的应用的数据可能不存储在邮箱 中 ,但它 与邮箱相关联 ,如果数据与搜索查询) 匹配,则会在搜索 (返回。 无论基于云的数据是存储在用户邮箱中还是与用户邮箱关联,当用户打开其邮箱时,数据在电子邮件客户端中通常不可见。
下表列出了存储数据或将数据与基于云的邮箱关联的应用。 该表还描述了每个应用生成的内容类型。
| Microsoft 365 应用 | 说明 |
|---|---|
| Forms* | Forms和对表单的响应存储在附加到电子邮件的文件中,并存储在创建表单的用户邮箱中的隐藏文件夹中。 在 2020 年 4 月之前创建的Forms存储为 PDF 文件。 2020 年之后创建的Forms存储为 JSON 文件。 对表单的响应存储在 CSV 文件中。 从 PST 文件中的 Forms 导出内容时,此数据位于名为 的子文件夹中的 ApplicationDataRoot 文件夹中,其中包含以下全局唯一标识 (GUID) :c9a559d2-7aab-4f13-a6ed-e7e9c52aec87。 |
| Microsoft 365 组 | Email邮件、日历项目、联系人 (人员) 、便笺和任务存储在与 Microsoft 365 组关联的邮箱中。 |
| 智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot | 在受支持的 Microsoft 365 应用和服务中生成) (用户提示和 Copilot 响应的所有 Copilot 活动数据都存储在保管邮箱中。 |
| Outlook/Exchange Online | Email邮件、日历项目、联系人 (人员) 、便笺和任务存储在用户的邮箱中。 |
| 人员 | 人员 应用中的联系人 (与 Outlook) 中可访问的联系人相同的联系人存储在用户的邮箱中。 |
| 课堂计划 | 在课堂计划中创建的计划存储在创建新计划时预配的相应 Microsoft 365 组的邮箱中。 组邮箱的别名是计划的名称。 |
| Skype for Business | Skype for Business中的对话存储在用户邮箱的“对话历史记录”文件夹中。 如果 Skype 会议参与者的邮箱置于 诉讼保留 状态或分配到 保留策略,则附加到会议的文件将保留在参与者邮箱中。 |
| Sway* | Sway 存储为附加到电子邮件的 HTML 文件,并存储在创建 sway 的用户邮箱中的隐藏文件夹中。 从 PST 文件中的 Sway 导出内容时,此数据位于名为 的子文件夹中的 ApplicationDataRoot 文件夹中,该文件夹具有以下 GUID:905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba。 |
| 任务 | 任务应用中的任务 (与 Outlook) 中可访问的任务相同的任务存储在用户的邮箱中。 |
| Teams | 作为 Teams 频道一部分的对话与 Teams 邮箱相关联。 作为 Teams 中聊天列表一部分的对话 (也称为 1 x N 聊天) 与参与聊天的用户的邮箱相关联。 此外,Teams 频道中的会议和呼叫的摘要信息与拨入会议或呼叫的用户邮箱相关联。 因此,搜索 Teams 内容时,会在 Teams 邮箱中搜索频道对话中的内容,并在用户邮箱中搜索 1 x N 聊天中的内容。 |
| 微软待办 | (名为 “未完成”的任务,这些任务保存在 To-Do 应用中的“) ”中,这些任务存储在用户的邮箱中。 |
| Viva Engage | Viva Engage社区中的对话和评论与 Microsoft 365 组邮箱以及作者的用户邮箱和) 的任何命名收件人 (@ 或抄送用户相关联。 在Viva Engage社区外部发送的私人邮件存储在参与私人邮件的用户的邮箱中。 |
注意
* 此时,如果使用电子数据展示 (预览版中的保留) 案例对邮箱进行保留,则保留不会保留此应用中的内容。