在電子檔探索中尋找信箱中的內容
系統管理員通常會負責找出誰知道何時能以最有效率且最有效的方式,回應有關進行中或潛在訴訟、內部調查和其他案例的要求。 這些要求通常是緊急要求、牽涉到多個項目關係人小組,如果未及時完成,則會產生重大影響。 瞭解如何尋找正確的資訊,對於系統管理員而言,成功完成搜尋並協助其組織管理與電子檔探索需求相關聯的風險和成本非常重要。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
提交電子檔探索要求時,通常只有部分資訊可供系統管理員開始收集可能與特定調查相關的內容。 要求可能包括使用者名稱、項目標題、專案使用中時的粗略日期範圍,而且不會更多。 從這項資訊中,系統管理員必須建立查詢,以尋找Microsoft 365 服務的相關內容,以判斷特定專案或主旨所需的資訊。 瞭解如何儲存和管理這些服務的資訊,可協助系統管理員更有效地快速且有效地找出所需的資訊。
Email、聊天、會議和 Microsoft 365 Copilot 和 Microsoft 365 Copilot Chat 活動數據 (使用者提示和 Copilot 回應) 都會儲存在 Exchange Online 中。 許多通訊屬性都可用於搜尋包含在 Exchange Online 中的專案。 某些屬性,例如 From、 Sent、 Subject和 To 是特定專案的唯一屬性,而且在SharePoint和 OneDrive 中搜尋檔案或檔時不相關。 在工作負載之間搜尋時包含這些類型的屬性,有時可能會導致非預期的結果。
例如,若要尋找與特定使用者相關的內容, (使用者 1 和 使用者 2) 、與名為 Tradewinds 的項目相關聯,以及在 2020 年 1 月到 2022 年 1 月期間,您可以使用具有下列屬性的查詢:
- 將使用者 1 和使用者 2 的 Exchange Online 位置新增為案例的數據源
- 選取 [使用者 1] 和 [使用者 2] 的 [Exchange Online 位置] 作為數據源。
- 針對 關鍵詞,請使用 Tradewinds
- 針對 日期範圍,請使用 2020 年 1 月 1 日到 2022 年 1 月 31 日 的範圍
重要事項
針對電子郵件,使用 關鍵詞時,我們會搜尋主旨、本文和許多與參與者相關的屬性。 不過,由於收件者擴充,使用別名或部分別名時,搜尋可能不會傳回預期的結果。 因此,建議您使用完整的UPN。
可搜尋的電子郵件屬性
下表列出可在 Microsoft Purview 入口網站中使用電子檔探索搜尋工具來搜尋的電子郵件訊息屬性。
重要事項
雖然電子郵件訊息在其他Microsoft 365 服務中可能支援其他屬性,但電子檔探索搜尋工具中僅支援此數據表中所列的電子郵件屬性。 不支援嘗試在搜尋中包含其他電子郵件訊息屬性。
數據表包含每個 屬性的 property:value 語法範例,以及範例所傳回搜尋結果的描述。 您可以在電子檔案探索搜尋的關鍵字方塊中輸入這些 property:value 配對。
注意事項
搜尋電子郵件屬性時,無法搜尋郵件標頭。 標頭資訊未編製搜尋索引。 此外,無法搜尋指定屬性空白或空白的專案。 例如,使用 subject:“” 的 property:value 配對來搜尋具有空白主旨行的電子郵件訊息會傳回零個結果。 這也適用於搜尋網站和聯繫人屬性時。
| 屬性 | 屬性描述 | 範例 | 範例傳回的搜尋結果 |
|---|---|---|---|
| AttachmentNames | 附加至電子郵件訊息的檔名。 | attachmentnames:annualreport.ppt |
具有名為annualreport.ppt附加檔案的訊 息 。 在第二個範例中,使用通配符 ( * ) 會傳回附件檔名中含有 year 一字的訊息。1 |
| 密件副本 | 電子郵件訊息的 [密件抄送] 字段。1 | bcc:pilarp@contoso.com |
所有範例都會傳回包含在 [密件抄送] 字段中具有 Pinilla 的郵件。 (請參閱收件者擴 充) |
| 類別 | 要搜尋的類別。 類別可由使用者使用 Outlook 或 Outlook 網頁版 (定義,先前稱為 Outlook Web App) 。 可能的值為:
|
category:"Red Category" |
已在來源信箱中指派 紅色 類別的郵件。 |
| 副本 | 電子郵件訊息的 [副本] 字段。1 | cc:pilarp@contoso.com |
在這兩個範例中,在 [副本] 字段中指定了具有 Pinilla 的 訊息。 (請參閱收件者擴 充) |
| Folderid | 特定信箱資料夾的資料夾識別碼 (GUID) ,格式為 48 個字元。 如果您使用此屬性,請務必搜尋指定資料夾所在的信箱。 只會搜尋指定的資料夾。 不會搜尋資料夾中的任何子資料夾。 若要搜尋子資料夾,您必須針對要搜尋的子資料夾使用 Folderid 屬性。 如需搜尋 Folderid 屬性以及使用腳本來取得特定信箱之資料夾識別碼的詳細資訊,請參閱 目標搜尋。 |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
第一個範例會傳回指定信箱資料夾中的所有專案。 第二個範例會傳回所傳送或接收 garthf@contoso.com之指定信箱資料夾中的所有專案。 |
| 寄件者 | 電子郵件訊息的寄件者。1 | from:pilarp@contoso.com |
由指定的用戶傳送的訊息。 (請參閱收件者擴 充) |
| HasAttachment | 指出訊息是否有附件。 使用 true 或 false 值。 | from:pilar@contoso.com AND hasattachment:true |
由具有附件的指定使用者所傳送的訊息。 |
| Importance | 電子郵件訊息的重要性,寄件者可以在傳送郵件時指定該電子郵件訊息。 根據預設,訊息會以一般重要性傳送,除非發件者將重要性設定為 高 或 低。 | importance:high |
標示為高重要性、中度重要性或低重要性的訊息。 |
| IsRead | 指出是否已讀取訊息。 使用 true 或 false 值。 | isread:true |
第一個範例會傳回IsRead屬性設為 True的訊息。 第二個範例會傳回IsRead屬性設為 False 的訊息。 |
| ItemClass | 使用此屬性來搜尋貴組織匯入至 Office 365 的特定第三方數據類型。 針對此屬性使用下列語法: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
第一個範例會傳回 Facebook 在 Subject 屬性中包含 「contoso」 一字的專案。 第二個範例會傳回 Ann Beebe 所張貼且包含關鍵詞片語 「Northwind Traders」 的 Twitter 專案。 |
| 類型 | 要搜尋的電子郵件訊息類型。 可能的值: 連絡人 文件 電子郵件 externaldata 傳真 我 期刊 會議 microsoftteams (會從Microsoft Teams 中的聊天、會議和通話傳回專案) 筆記 職位 rssfeeds 工作 語音信箱 |
kind:email |
第一個範例會傳回符合搜尋準則的電子郵件訊息。 第二個範例會傳回電子郵件訊息、立即訊息交談 (包括Microsoft Teams) 中的 商務用 Skype 交談和聊天,以及符合搜尋準則的語音消息。 第三個範例會傳回從第三方數據源匯入Microsoft 365 中信箱的專案,例如 Twitter、Facebook 和符合搜尋準則的 Cisco Relyingber。 如需詳細資訊,請參閱在 Office 365 中封存第三方數據。 |
| 參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位為From、To、Cc和 Bcc.1 | participants:garthf@contoso.com |
由傳送或傳送至 garthf@contoso.com的訊息。 第二個範例會傳回 contoso.com 網域中由用戶傳送或傳送給使用者的所有訊息。 (請參閱收件者擴 充) |
| Received | 收件者收到電子郵件訊息的日期。 | received:2021-04-15 |
2021年4月15日收到的訊息。 第二個範例會傳回在 2021 年 1 月 1 日到 2021 年 3 月 31 日之間收到的所有訊息。 |
| 收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位為 To、Cc 和 Bcc.1 | recipients:garthf@contoso.com |
傳送至的 garthf@contoso.com訊息。 第二個範例會傳回傳送給 contoso.com 網域中任何收件者的訊息。 (請參閱收件者擴 充) |
| 寄件日期 | 寄件者傳送電子郵件訊息的日期。 | sent:2021-07-01 |
在指定日期或在指定日期範圍內傳送的訊息。 |
| 大小 | 專案大小,以位元組為單位。 | size>26214400 |
大於 25 MB 的訊息。 第二個範例會傳回 1 到 1,048,567 位元組 (1 MB) 大小的訊息。 |
| 主旨 | 電子郵件訊息主旨行中的文字。
注意: 當您在查詢中使用 Subject 屬性時,搜尋會傳回主旨行包含您要搜尋之文字的所有訊息。 換句話說,查詢不會只傳回完全相符的訊息。 例如,如果您搜尋 |
subject:"Quarterly Financials" |
在主旨行文字中的任何位置包含「每季財務」片語的訊息。 第二個範例會傳回主旨行中包含 northwind 一字的所有訊息。 |
| 收件者 | 電子郵件訊息的 [至] 欄位。1 | to:annb@contoso.com |
所有範例都會傳回在 To: 行中指定 Ann Beebe 的訊息。 |
注意事項
1 針對收件者屬性的值,您可以使用電子郵件地址 (也稱為用戶主體名稱 (UPN) ) 、顯示名稱或別名來指定使用者。 例如,您可以使用 annb@contoso.com、annb 或 “Ann Beebe” 來指定使用者 Ann Beebe。
可搜尋的敏感數據類型
您可以在 Microsoft Purview 入口網站中使用電子檔探索搜尋工具,搜尋儲存在信箱中檔中的敏感數據,例如信用卡號碼或社會安全號碼。 您可以使用關鍵字查詢中 SensitiveType 敏感性資訊類型的屬性和名稱 (或識別子) 來執行此動作。 例如,查詢 SensitiveType:"Credit Card Number" 會傳回包含信用卡號碼的檔。
SensitiveType:"U.S. Social Security Number (SSN)"查詢會傳回包含美國社會安全號碼的檔。
若要查看您可以搜尋的敏感性資訊類型清單,請移至 Microsoft Purview 入口網站中的數據 分類>敏感性資訊類型 。 或者,您可以在安全性 & 合規性 PowerShell 中使用 Get-DlpSensitiveInformationType Cmdlet 來顯示敏感性資訊類型的清單。
收件者擴充
信箱是彈性的記憶體,而收件者資訊的某些層面 (特別是針對發件者) 是由連線到信箱的用戶端所控制。 用戶端可以選擇 SMTP、 Name 或 LegacyDN 屬性作為發件者位址。 為了補償客戶端行為的變化和數據的儲存方式,電子檔探索搜尋的收件者擴充是很有用的功能。
通常,某些用戶端所建立的「 傳送專案 」只會儲存寄件人名稱,例如 John Doe,而不包含 SMTP 位址,例如 johndoe@contoso.com。 此外,具有舊版系統的同盟專案只能儲存 LegacyExchangeDN,這是舊版 Exchange 中用來代表信箱或通訊組清單的唯一標識符。 同盟系統是指從不同系統或組織整合的訊息或數據,通常涉及使用舊版格式或標識符的舊版系統。
收件者擴充函式藉由展開搜尋來擷取以這些變化儲存的內容,來解決搜尋範圍不夠大的問題。 查詢 Microsoft Entra ID 展開參與者篩選中指定的任何值。 此擴充功能包括使用者的電子郵件位址、UPN、別名、顯示名稱和 LegacyExchangeDN。 此擴充可確保搜尋能轉換更廣的網路,不論參與者資訊的儲存方式為何,都會擷取所有相關內容,並改善電子檔探索搜尋的精確度和完整性。
搜尋任何收件者屬性 (From、To、Cc、Bcc、Participants 和 Recipients) 時,Microsoft 365 會嘗試在 Microsoft Entra ID 中查閱每個使用者的身分識別。 如果在 Microsoft Entra ID 中找到使用者,則會展開查詢,以包含使用者的電子郵件位址 (或 UPN) 、別名、顯示名稱和 LegacyExchangeDN。 例如,例如 participants:ronnie@contoso.com 的查詢會展開至 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"。
若要防止收件者擴充,請將通配符 (星號) 新增至電子郵件地址的結尾,並使用縮減的功能變數名稱;例如, participants:"ronnie@contoso*" 請務必以雙引弧括住電子郵件位址。
防止搜尋查詢中的收件者展開,可能會導致搜尋結果中未傳回相關專案。 在 Exchange 中 Email 訊息可以在收件者欄位中以不同的文字格式儲存。 收件者擴充的目的是傳回可能包含不同文字格式的訊息,以協助減輕此事實。 因此,防止收件者擴充可能會導致搜尋查詢未傳回可能與您的調查相關的所有專案。
收件者擴充並非設計來支援涉及使用者名稱和別名變更的案例。 如果使用者的 SMTP/UPN 已變更,Microsoft Entra ID 可能找不到該使用者,導致搜尋結果不完整。 此外,很少變更的 LegacyExchangeDN 可能不會出現在所有電子郵件專案的基底中。 收件者擴充只會處理用戶端使用 LegacyExchangeDN 而非 SMTP 的情況。 如果 SMTP 位址變更,但 LegacyExchangeDN 尚未變更,則收件者擴充沒有説明,您需要手動尋找並使用這些位址的所有變化。 這可能會導致使用者誤以為收件者擴充會攔截所有變化,包括名稱和 SMTP 變更。
在某些情況下,使用組織搜尋時,收件者擴充也可能會對其他專案造成點擊。 例如,某個用戶的顯示名稱可能會形成另一個用戶顯示名稱的一部分。 例如,用戶的顯示名稱可能是 John Doe ,而另一位用戶的顯示名稱可能是 John Doe Jr。整個組織的搜尋可能會從這兩個信箱傳回結果點擊。 請考慮在此案例中隱藏收件者擴充,方法是在 SMTP 位址結尾新增句點。
注意事項
如果您因為收件者擴充而需要檢閱或減少搜尋查詢所傳回的專案,請考慮使用進階電子檔探索功能。 您可以搜尋訊息 (利用收件者擴充) 、將它們新增至檢閱集,然後使用檢閱集查詢或篩選來檢閱或縮小結果。
儲存在電子檔探索 Exchange Online 信箱中的內容
Exchange Online 中的信箱主要用來儲存電子郵件相關專案,例如郵件、行事歷專案、工作和筆記。 但是,隨著更多雲端式應用程式也將其數據儲存在使用者的信箱中,這會改變。 將數據儲存在信箱中的優點之一,是您可以在內容搜尋中使用搜尋工具、Microsoft Purview 電子文件探索 (Standard) ,以及使用電子檔案探索來尋找、檢視和導出這些雲端式應用程式的數據。
其中一些應用程式的數據會儲存在位於非人際訊息的隱藏資料夾中, (信箱中的非 IPM) 子樹。 其他雲端式應用程式的數據可能不會儲存在信箱 中 ,但與信箱 相關聯 ,如果該數據符合搜尋查詢) ,則會在搜尋 (中傳回。 不論雲端式數據是儲存在或與使用者信箱相關聯,當用戶開啟其信箱時,數據通常不會顯示在電子郵件用戶端中。
下表列出儲存數據或將數據與雲端式信箱建立關聯的應用程式。 下表也會描述每個應用程式所產生的內容類型。
| Microsoft 365 應用程式 | 描述 |
|---|---|
| 表單* | 表單的 Forms 和響應會儲存在附加至電子郵件訊息的檔案中,並儲存在建立表單之使用者信箱中的隱藏資料夾中。 在 2020 年 4 月之前建立的 Forms 會儲存為 PDF 檔案。 在 2020 年之後建立的 Forms 會儲存為 JSON 檔案。 表單的回應會儲存在 CSV 檔案中。 當您在 PST 檔案中從 Forms 匯出內容時,此數據會位於名為 的子資料夾中的 ApplicationDataRoot 資料夾中,其中包含下列全域唯一識別 (GUID) :c9a559d2-7aab-4f13-a6ed-e7e9c52aec87。 |
| Microsoft 365 群組 | Email 郵件、行事曆項目、聯繫人 (人員) 、附注和工作會儲存在與Microsoft 365 群組相關聯的信箱中。 |
| Microsoft 365 Copilot和 Microsoft 365 Copilot Chat | 支援Microsoft 365 應用程式和服務中產生的所有 Copilot 活動數據) (使用者提示和 Copilot 回應都會儲存在監管人信箱中。 |
| Outlook/Exchange Online | Email 郵件、行事曆項目、聯繫人 (人員) 、記事和工作會儲存在使用者的信箱中。 |
| People | 人員 應用程式中的聯繫人 (這些連絡人與 Outlook) 中可存取的聯繫人儲存在使用者的信箱中。 |
| 類別排程 | 在 [類別排程] 中建立的計劃會儲存在建立新計劃時所布建之對應Microsoft 365 群組的信箱中。 群組信箱的別名是方案的名稱。 |
| 商務用 Skype | 商務用 Skype 中的交談會儲存在使用者信箱的 [交談記錄] 資料夾中。 如果 Skype 會議參與者的信箱被置於 訴訟保留 或指派給 保留原則,則附加至會議的檔案會保留在參與者信箱中。 |
| Sway* | Sways 會儲存為附加至電子郵件訊息的 HTML 檔案,並儲存在建立通道之使用者信箱中的隱藏資料夾中。 當您在 PST 檔案中從 Sway 導出內容時,此數據會位於 ApplicationDataRoot 資料夾中具有下列 GUID 的子資料夾中:905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba。 |
| 工作 | [工作] 應用程式中的工作 (與 Outlook) 中可存取的工作相同的工作會儲存在使用者的信箱中。 |
| Teams | 屬於 Teams 頻道一部分的交談會與 Teams 信箱相關聯。 屬於 Teams 中聊天清單的交談 (也稱為 1 x N 聊天) 會與參與聊天之使用者的信箱相關聯。 此外,Teams 頻道中會議和通話的摘要資訊會與撥入會議或通話的使用者信箱相關聯。 因此,在搜尋Teams內容時,您會在Teams信箱中搜尋頻道交談中的內容,並在1 x N 聊天中搜尋使用者信箱中的內容。 |
| To-Do | 工作 (稱為 to-dos,這些工作會儲存在 To-Do 應用程式中) 的執行清單中,並儲存在使用者的信箱中。 |
| Viva Engage | Viva Engage 社群內的交談和批注會與Microsoft 365 群組信箱,以及作者的使用者信箱和任何具名收件者 (@提及或副本使用者) 相關聯。 在 Viva Engage 社群外部傳送的私人郵件會儲存在參與私人郵件之使用者的信箱中。 |
注意事項
* 目前,如果在電子檔探索案例中使用保留將保留放在信箱上,則保留不會保留來自此應用程式的內容。