Ricerca di contenuto nelle cassette postali in eDiscovery (anteprima)
Gli amministratori sono spesso incaricati di scoprire chi sapeva cosa quando nel modo più efficiente ed efficace possibile per rispondere alle richieste relative a controversie in corso o potenziali, indagini interne e altri scenari. Tali richieste sono spesso urgenti, coinvolgono diversi team di stakeholder e influiscono in modo significativo se non vengono completate in modo tempestivo. Sapere come trovare le informazioni corrette è fondamentale per gli amministratori al fine di completare correttamente le ricerche e aiutare le organizzazioni a gestire i rischi e i costi associati ai requisiti di eDiscovery.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Quando viene inviata una richiesta di eDiscovery, spesso sono disponibili solo informazioni parziali con cui l'amministratore può iniziare a raccogliere contenuti eventualmente correlati a una particolare indagine. La richiesta può includere nomi di dipendenti, titoli di progetto, intervalli di date approssimative in cui il progetto era attivo e non molto altro ancora. Sulla base di queste informazioni, l'amministratore deve creare query per trovare contenuti pertinenti nei servizi di Microsoft 365 e determinare le informazioni necessarie per un determinato progetto o soggetto. La comprensione del modo in cui le informazioni vengono archiviate e gestite per questi servizi consente agli amministratori di trovare in modo più efficiente ciò di cui hanno bisogno in modo rapido ed efficace.
Email, chat, riunioni, Microsoft 365 Copilot e Microsoft Copilot dati dell'attività (richieste utente e risposte copilot) vengono tutti archiviati in Exchange Online. Sono disponibili diverse proprietà di comunicazione per la ricerca di elementi inclusi in Exchange Online. Alcune proprietà, ad esempio From, Sent, Subject e To , sono univoche per determinati elementi e non sono rilevanti durante la ricerca di file o documenti in SharePoint e OneDrive. L'inclusione di questi tipi di proprietà durante la ricerca in vari carichi di lavoro può talvolta portare a risultati imprevisti.
Ad esempio, per trovare contenuti correlati a dipendenti specifici (Utente 1 e Utente 2), associati a un progetto denominato Tradewinds e per il periodo da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:
- Aggiungere le posizioni di Exchange Online di Utente 1 e 2 come origini dati al caso
- Selezionare Le posizioni di Exchange Online dell'utente 1 e dell'utente 2 come origine dati.
- Per Keyword, usare Tradewinds
- Per Date range, usare l'intervallo dal January 1 2020 a January 31 2022
Importante
Per le e-mail, quando viene usata una parola chiave, viene eseguita la ricerca dell'oggetto, del corpo e di varie proprietà correlate ai partecipanti. Tuttavia, a causa dell'espansione dei destinatari, la ricerca potrebbe non restituire i risultati previsti quando si usa l'alias o parte dell'alias. È quindi consigliabile usare l'UPN completo.
Proprietà di posta elettronica disponibili per la ricerca
Nella tabella seguente sono elencate le proprietà dei messaggi di posta elettronica in cui è possibile eseguire ricerche usando gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview o usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch .
Importante
Anche se i messaggi di posta elettronica possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà e-mail elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà dei messaggi di posta elettronica nelle ricerche non è supportato.
Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi. È possibile digitare queste coppie di property:value
nella casella delle parole chiave per una ricerca di eDiscovery.
Nota
Durante la ricerca delle proprietà dei messaggi di posta elettronica, non è possibile cercare le intestazioni dei messaggi. Le informazioni sull'intestazione non vengono indicizzate per le ricerche. Inoltre, gli elementi in cui la proprietà specificata è vuota o non compilata non sono ricercabili. Ad esempio, l'uso della coppia property:value di subject:"" per cercare i messaggi di posta elettronica con una riga dell'oggetto vuota restituirà zero risultati. Ciò vale anche per la ricerca delle proprietà di siti e contatti.
Proprietà | Descrizione proprietà | Esempi | Risultati di ricerca restituiti dagli esempi |
---|---|---|---|
AttachmentNames | I nomi dei file allegati a un messaggio di posta elettronica. | attachmentnames:annualreport.ppt |
Messaggi che contengono un file allegato denominato annualreport.ppt. Nel secondo esempio, utilizzando il carattere jolly (*) si ottengono dei messaggi contenenti la parola annual nel nome file di un allegato.1 |
Ccn | Il campo Ccn di un messaggio di posta elettronica.1 | bcc:pilarp@contoso.com |
Tutti gli esempi restituiscono messaggi contenenti Pilar Pinilla nel campo Ccn. (Vedere Espansione dei destinatari) |
Categoria | Le categorie da cercare. Le categorie possono essere definite dagli utenti tramite Outlook o Outlook per il web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
|
category:"Red Category" |
I messaggi ai quali è stata assegnata la categoria di colore rosso nelle cassette postali di origine. |
Cc | Il campo CC (Cc) di un messaggio di posta elettronica.1 | cc:pilarp@contoso.com |
In entrambi gli esempi, vengono restituiti i messaggi contenenti Pilar Pinilla specificati nel campo Cc. (Vedere Espansione dei destinatari) |
Folderid | L'ID cartella (GUID) di una cartella di cassetta postale specifica in formato 48 caratteri. Se si utilizza questa proprietà, assicurarsi di cercare nella cassetta postale in cui si trova la cartella specificata. Viene eseguita la ricerca solo nella cartella specificata. Le sottocartelle nella cartella non sono sottoposte a ricerca. Per cercare nelle sottocartelle, è necessario utilizzare la proprietà Folderid per la sottocartella in cui si vuole eseguire la ricerca. Per altre informazioni sulla ricerca della proprietà Folderid e sull'uso di uno script per ottenere gli ID cartella per una cassetta postale specifica, vedere ricerche di destinazione. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
Il primo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata. Il secondo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata che sono stati inviati o ricevuti da garthf@contoso.com. |
Da | Il mittente di un messaggio di posta elettronica.1 | from:pilarp@contoso.com |
Messaggi inviati dall'utente specificato. (Vedere Espansione dei destinatari) |
HasAttachment | Indica se un messaggio contiene un allegato. Usare i valori true o false. | from:pilar@contoso.com AND hasattachment:true |
Messaggi inviati dall'utente specificato con allegati. |
Priorità | La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). | importance:high |
I messaggi contrassegnati con priorità alta, media o bassa. |
IsRead | Indica se i messaggi sono stati letti. Usare i valori true o false. | isread:true |
Il primo esempio restituisce i messaggi con la proprietà IsRead impostata su True. Il secondo esempio restituisce i messaggi con la proprietà IsRead impostata su False. |
Itemclass | Utilizzare questa proprietà per cercare tipi di dati di terze parti specifici importati dall'organizzazione in Office 365. Utilizzare la sintassi seguente per questa proprietà: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
Il primo esempio restituisce elementi Facebook che contengono la parola "contoso" nella proprietà Subject. Il secondo esempio restituisce gli elementi di Twitter pubblicati da Ann Beebe e contenenti la parola chiave "Northwind Traders". |
Kind | Il tipo di messaggio di posta elettronica da cercare. Valori possibili: contatti docs (documenti) externaldata (dati esterni) faxes (fax) im (IM) journals (journal) meetings (riunioni) microsoftteams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams) notes (note) post (inserimenti) rssfeeds (feed RSS) attività voicemail (segreteria telefonica) |
kind:email |
Il primo esempio restituisce i messaggi di posta elettronica, le chat e i messaggi vocali che soddisfano i criteri di ricerca. Il secondo esempio restituisce i messaggi di posta elettronica, le conversazioni di messaggistica istantanea (comprese le conversazioni Skype for Business e le chat in Microsoft Teams) e i messaggi vocali che soddisfano i criteri di ricerca. Il terzo esempio restituisce gli elementi importati nelle cassette postali di Microsoft 365 da origini dati di terze parti, ad esempio Twitter, Facebook e Cisco Jabber, che soddisfano i criteri di ricerca. Per altre informazioni, vedere Archiviazione di dati di terze parti in Office 365. |
Partecipanti | Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn.1 | participants:garthf@contoso.com |
Messaggi inviati da o a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com. (Vedere Espansione dei destinatari) |
Ricevuto | La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. | received:2021-04-15 |
I messaggi ricevuti il 15 aprile 2021. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2021 e il 31 marzo 2021. |
Destinatari | Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn.1 | recipients:garthf@contoso.com |
Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com. (Vedere Espansione dei destinatari) |
Posta inviata | La data in cui un messaggio di posta elettronica viene inviato dal mittente. | sent:2021-07-01 |
I messaggi inviati in una data specifica o entro l'intervallo di date specificato. |
Dimensioni | Le dimensioni di un elemento, in byte. | size>26214400 |
I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce i messaggi di dimensioni comprese tra 1 e 1.048.567 byte (1 MB). |
Oggetto | Il testo nella riga dell'oggetto di un messaggio di posta elettronica.
Nota: Quando si usa la proprietà Subject in una query, la ricerca restituisce tutti i messaggi in cui la riga dell'oggetto contiene il testo che si sta cercando. In altre parole, la query non restituisce solo i messaggi che hanno una corrispondenza esatta. Ad esempio, se si cerca |
subject:"Quarterly Financials" |
Messaggi che contengono la frase "Quarterly Financials" in un punto qualsiasi del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto. |
A | Il campo A di un messaggio di posta elettronica.1 | to:annb@contoso.com |
Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:). |
Nota
1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo di posta elettronica (noto anche come nome dell'entità utente), il nome visualizzato o l'alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.
Tipi di dati sensibili disponibili per la ricerca
È possibile usare gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview per cercare dati sensibili, ad esempio numeri di carta di credito o numeri di previdenza sociale, archiviati in documenti nelle cassette postali. A tale scopo, usare la proprietà SensitiveType
e il nome (o ID) di un tipo di informazioni sensibili in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number"
restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)"
restituisce i documenti che contengono un numero di previdenza sociale degli Stati Uniti.
Per visualizzare un elenco dei tipi di informazioni riservate che è possibile cercare, passare a Classificazioni> dei datiTipi di informazioni sensibili nel portale Microsoft Purview. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in PowerShell Security & Compliance per visualizzare un elenco di tipi di informazioni riservate.
Espansione del destinatario
Durante la ricerca in una delle proprietà del destinatario (Da, A, Cc, Ccn, Partecipanti e Destinatari), Microsoft 365 tenta di espandere l'identità di ogni utente cercandoli in Microsoft Entra ID. Se l'utente viene trovato in Microsoft Entra ID, la query viene espansa per includere l'indirizzo di posta elettronica (o UPN) dell'utente, l'alias, il nome visualizzato e LegacyExchangeDN. Ad esempio, una query comeparticipants:ronnie@contoso.com
viene ampliata a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
.
Per impedire l'espansione del destinatario, aggiungere un carattere jolly (asterisco) alla fine dell'indirizzo e-mail e usare un nome di dominio ridotto; Ad esempio, participants:"ronnie@contoso*"
Assicurarsi di racchiudere l'indirizzo e-mail tra virgolette doppie.
Impedire l'espansione del destinatario nella query di ricerca può comportare la mancata restituzione di elementi pertinenti nei risultati della ricerca. È possibile salvare i messaggi e-mail in Exchange con formati di testo differenti nei campi dei destinatari. L'espansione del destinatario ha lo scopo di mitigare tale fatto restituendo messaggi che possono contenere formati di testo differenti. Pertanto, impedire l'espansione del destinatario può comportare la mancata restituzione di tutti gli elementi rilevanti per l'indagine.
Nota
Se è necessario esaminare o ridurre gli elementi restituiti da una query di ricerca a causa dell'espansione del destinatario, provare a usare le funzionalità premium di eDiscovery. È possibile cercare messaggi (sfruttando l'espansione del destinatario), aggiungerli a un insieme da rivedere e quindi usare query o filtri dell'insieme da rivedere per esaminare o restringere i risultati.
Contenuto archiviato nelle cassette postali Exchange Online per eDiscovery
Una cassetta postale in Exchange Online viene usata principalmente per archiviare elementi correlati alla posta elettronica, ad esempio messaggi, elementi del calendario, attività e note. Ma questo sta cambiando perché un numero maggiore di app basate sul cloud archivia anche i dati nella cassetta postale di un utente. Uno dei vantaggi dell'archiviazione dei dati in una cassetta postale è che è possibile usare gli strumenti di ricerca nella ricerca del contenuto, Microsoft Purview eDiscovery (Standard) ed eDiscovery (anteprima) per trovare, visualizzare ed esportare i dati da queste app basate sul cloud.
I dati di alcune di queste app vengono archiviati in cartelle nascoste che si trovano in un sottoalbero di messaggi non relazionali (non IPM) nella cassetta postale. I dati di altre app basate sul cloud potrebbero non essere archiviati nella cassetta postale, ma sono associati alla cassetta postale e vengono restituiti nelle ricerche (se tali dati corrispondono alla query di ricerca). Indipendentemente dal fatto che i dati basati sul cloud siano archiviati o associati a una cassetta postale utente, i dati in genere non sono visibili in un client di posta elettronica quando un utente apre la cassetta postale.
La tabella seguente elenca le app che archivia o associa i dati a una cassetta postale basata sul cloud. La tabella descrive anche il tipo di contenuto prodotto da ogni app.
App di Microsoft 365 | Descrizione |
---|---|
Forms* | Forms e le risposte a un modulo vengono archiviate in file collegati ai messaggi di posta elettronica e archiviati in una cartella nascosta nella cassetta postale dell'utente che ha creato il modulo. Forms creati prima di aprile 2020 vengono archiviati come file PDF. Forms creati dopo il 2020 vengono archiviati come file JSON. Le risposte a un modulo vengono archiviate in un file CSV. Quando si esporta contenuto da Forms in un file PST, questi dati si trovano nella cartella ApplicationDataRoot in una sottocartella denominata con il GUID (Globally Unique Identified) seguente: c9a559d2-7aab-4f13-a6ed-e7e9c52aec87. |
Gruppi di Microsoft 365 | Email messaggi, elementi del calendario, contatti (Persone), note e attività vengono archiviati nella cassetta postale associata a un gruppo di Microsoft 365. |
Microsoft 365 Copilot e Microsoft Copilot | Tutti i dati dell'attività Copilot (richieste utente e risposte Copilot) generati nelle app e nei servizi di Microsoft 365 supportati vengono archiviati nelle cassette postali dei responsabili. |
Outlook/Exchange Online | Email messaggi, elementi del calendario, contatti (Persone), note e attività vengono archiviati nella cassetta postale di un utente. |
Persone | I contatti nell'app Persone (che sono gli stessi contatti di quelli accessibili in Outlook) vengono archiviati nella cassetta postale di un utente. |
Pianificazione classi | I piani creati in Pianificazione classi vengono archiviati nella cassetta postale del gruppo microsoft 365 corrispondente di cui viene effettuato il provisioning quando viene creato un nuovo piano. L'alias per la cassetta postale del gruppo è il nome del piano. |
Skype for Business | Le conversazioni in Skype for Business vengono archiviate nella cartella Cronologia conversazioni nella cassetta postale di un utente. Se la cassetta postale di un partecipante a una riunione Skype viene inserita nel blocco per controversia legale o assegnata a un criterio di conservazione, i file allegati a una riunione vengono conservati nella cassetta postale dei partecipanti. |
Sway* | Gli sway vengono archiviati come file HTML collegato a un messaggio di posta elettronica e archiviati in una cartella nascosta nella cassetta postale dell'utente che ha creato lo sway. Quando si esporta contenuto da Sway in un file PST, questi dati si trovano nella cartella ApplicationDataRoot in una sottocartella denominata con il GUID seguente: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba. |
Attività | Le attività nell'app Attività (che sono le stesse attività di quelle accessibili in Outlook) vengono archiviate nella cassetta postale di un utente. |
Teams | Le conversazioni che fanno parte di un canale di Teams sono associate alla cassetta postale di Teams. Le conversazioni che fanno parte dell'elenco chat in Teams (chiamate anche 1 x N chat) sono associate alla cassetta postale degli utenti che partecipano alla chat. Inoltre, le informazioni di riepilogo per le riunioni e le chiamate in un canale di Teams sono associate alle cassette postali degli utenti che hanno partecipato alla riunione o alla chiamata. Pertanto, quando si cerca il contenuto di Teams, si cerca nella cassetta postale di Teams il contenuto nelle conversazioni di canale e si cerca contenuto nelle cassette postali degli utenti in 1 x N chat. |
To-Do | Le attività (denominate attività, salvate negli elenchi attività) nell'app To-Do vengono archiviate nella cassetta postale di un utente. |
Viva Engage | Le conversazioni e i commenti all'interno di una community Viva Engage sono associati alla cassetta postale del gruppo di Microsoft 365, nonché alla cassetta postale utente dell'autore e agli eventuali destinatari denominati (@ utenti menzionati o cc'ed). I messaggi privati inviati all'esterno di una community Viva Engage vengono archiviati nella cassetta postale degli utenti che partecipano al messaggio privato. |
Nota
* Al momento, se un blocco viene inserito in una cassetta postale usando blocchi in casi di eDiscovery (anteprima), il contenuto di questa app non viene conservato dal blocco.