Condividi tramite


Ricerca di contenuto nelle cassette postali in eDiscovery (anteprima)

Gli amministratori sono spesso incaricati di scoprire chi sapeva cosa quando nel modo più efficiente ed efficace possibile per rispondere alle richieste relative a controversie in corso o potenziali, indagini interne e altri scenari. Tali richieste sono spesso urgenti, coinvolgono diversi team di stakeholder e influiscono in modo significativo se non vengono completate in modo tempestivo. Sapere come trovare le informazioni corrette è fondamentale per gli amministratori al fine di completare correttamente le ricerche e aiutare le organizzazioni a gestire i rischi e i costi associati ai requisiti di eDiscovery.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Quando viene inviata una richiesta di eDiscovery, spesso sono disponibili solo informazioni parziali con cui l'amministratore può iniziare a raccogliere contenuti eventualmente correlati a una particolare indagine. La richiesta può includere nomi di dipendenti, titoli di progetto, intervalli di date approssimative in cui il progetto era attivo e non molto altro ancora. Sulla base di queste informazioni, l'amministratore deve creare query per trovare contenuti pertinenti nei servizi di Microsoft 365 e determinare le informazioni necessarie per un determinato progetto o soggetto. La comprensione del modo in cui le informazioni vengono archiviate e gestite per questi servizi consente agli amministratori di trovare in modo più efficiente ciò di cui hanno bisogno in modo rapido ed efficace.

Email, chat, riunioni, Microsoft 365 Copilot e Microsoft Copilot dati dell'attività (richieste utente e risposte copilot) vengono tutti archiviati in Exchange Online. Sono disponibili diverse proprietà di comunicazione per la ricerca di elementi inclusi in Exchange Online. Alcune proprietà, ad esempio From, Sent, Subject e To , sono univoche per determinati elementi e non sono rilevanti durante la ricerca di file o documenti in SharePoint e OneDrive. L'inclusione di questi tipi di proprietà durante la ricerca in vari carichi di lavoro può talvolta portare a risultati imprevisti.

Ad esempio, per trovare contenuti correlati a dipendenti specifici (Utente 1 e Utente 2), associati a un progetto denominato Tradewinds e per il periodo da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:

  • Aggiungere le posizioni di Exchange Online di Utente 1 e 2 come origini dati al caso
  • Selezionare Le posizioni di Exchange Online dell'utente 1 e dell'utente 2 come origine dati.
  • Per Keyword, usare Tradewinds
  • Per Date range, usare l'intervallo dal January 1 2020 a January 31 2022

Importante

Per le e-mail, quando viene usata una parola chiave, viene eseguita la ricerca dell'oggetto, del corpo e di varie proprietà correlate ai partecipanti. Tuttavia, a causa dell'espansione dei destinatari, la ricerca potrebbe non restituire i risultati previsti quando si usa l'alias o parte dell'alias. È quindi consigliabile usare l'UPN completo.

Proprietà di posta elettronica disponibili per la ricerca

Nella tabella seguente sono elencate le proprietà dei messaggi di posta elettronica in cui è possibile eseguire ricerche usando gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview o usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch .

Importante

Anche se i messaggi di posta elettronica possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà e-mail elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà dei messaggi di posta elettronica nelle ricerche non è supportato.

Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi. È possibile digitare queste coppie di property:value nella casella delle parole chiave per una ricerca di eDiscovery.

Nota

Durante la ricerca delle proprietà dei messaggi di posta elettronica, non è possibile cercare le intestazioni dei messaggi. Le informazioni sull'intestazione non vengono indicizzate per le ricerche. Inoltre, gli elementi in cui la proprietà specificata è vuota o non compilata non sono ricercabili. Ad esempio, l'uso della coppia property:value di subject:"" per cercare i messaggi di posta elettronica con una riga dell'oggetto vuota restituirà zero risultati. Ciò vale anche per la ricerca delle proprietà di siti e contatti.

Proprietà Descrizione proprietà Esempi Risultati di ricerca restituiti dagli esempi
AttachmentNames I nomi dei file allegati a un messaggio di posta elettronica. attachmentnames:annualreport.ppt

attachmentnames:annual*

Messaggi che contengono un file allegato denominato annualreport.ppt. Nel secondo esempio, utilizzando il carattere jolly (*) si ottengono dei messaggi contenenti la parola annual nel nome file di un allegato.1
Ccn Il campo Ccn di un messaggio di posta elettronica.1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Tutti gli esempi restituiscono messaggi contenenti Pilar Pinilla nel campo Ccn.
(Vedere Espansione dei destinatari)
Categoria Le categorie da cercare. Le categorie possono essere definite dagli utenti tramite Outlook o Outlook per il web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
  • blue (blu)
  • green (verde)
  • arancione
  • purple (viola)
  • red (rosso)
  • yellow (giallo)
category:"Red Category" I messaggi ai quali è stata assegnata la categoria di colore rosso nelle cassette postali di origine.
Cc Il campo CC (Cc) di un messaggio di posta elettronica.1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

In entrambi gli esempi, vengono restituiti i messaggi contenenti Pilar Pinilla specificati nel campo Cc.
(Vedere Espansione dei destinatari)
Folderid L'ID cartella (GUID) di una cartella di cassetta postale specifica in formato 48 caratteri. Se si utilizza questa proprietà, assicurarsi di cercare nella cassetta postale in cui si trova la cartella specificata. Viene eseguita la ricerca solo nella cartella specificata. Le sottocartelle nella cartella non sono sottoposte a ricerca. Per cercare nelle sottocartelle, è necessario utilizzare la proprietà Folderid per la sottocartella in cui si vuole eseguire la ricerca.

Per altre informazioni sulla ricerca della proprietà Folderid e sull'uso di uno script per ottenere gli ID cartella per una cassetta postale specifica, vedere ricerche di destinazione.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

Il primo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata. Il secondo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata che sono stati inviati o ricevuti da garthf@contoso.com.
Da Il mittente di un messaggio di posta elettronica.1 from:pilarp@contoso.com Messaggi inviati dall'utente specificato.
(Vedere Espansione dei destinatari)
HasAttachment Indica se un messaggio contiene un allegato. Usare i valori true o false. from:pilar@contoso.com AND hasattachment:true Messaggi inviati dall'utente specificato con allegati.
Priorità La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). importance:high

importance:medium

importance:low

I messaggi contrassegnati con priorità alta, media o bassa.
IsRead Indica se i messaggi sono stati letti. Usare i valori true o false. isread:true

isread:false

Il primo esempio restituisce i messaggi con la proprietà IsRead impostata su True. Il secondo esempio restituisce i messaggi con la proprietà IsRead impostata su False.
Itemclass Utilizzare questa proprietà per cercare tipi di dati di terze parti specifici importati dall'organizzazione in Office 365. Utilizzare la sintassi seguente per questa proprietà: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

Il primo esempio restituisce elementi Facebook che contengono la parola "contoso" nella proprietà Subject. Il secondo esempio restituisce gli elementi di Twitter pubblicati da Ann Beebe e contenenti la parola chiave "Northwind Traders".
Kind Il tipo di messaggio di posta elettronica da cercare. Valori possibili:

contatti

docs (documenti)

email

externaldata (dati esterni)

faxes (fax)

im (IM)

journals (journal)

meetings (riunioni)

microsoftteams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams)

notes (note)

post (inserimenti)

rssfeeds (feed RSS)

attività

voicemail (segreteria telefonica)

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

Il primo esempio restituisce i messaggi di posta elettronica, le chat e i messaggi vocali che soddisfano i criteri di ricerca. Il secondo esempio restituisce i messaggi di posta elettronica, le conversazioni di messaggistica istantanea (comprese le conversazioni Skype for Business e le chat in Microsoft Teams) e i messaggi vocali che soddisfano i criteri di ricerca. Il terzo esempio restituisce gli elementi importati nelle cassette postali di Microsoft 365 da origini dati di terze parti, ad esempio Twitter, Facebook e Cisco Jabber, che soddisfano i criteri di ricerca. Per altre informazioni, vedere Archiviazione di dati di terze parti in Office 365.
Partecipanti Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn.1 participants:garthf@contoso.com

participants:contoso.com

Messaggi inviati da o a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com.
(Vedere Espansione dei destinatari)
Ricevuto La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

I messaggi ricevuti il 15 aprile 2021. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2021 e il 31 marzo 2021.
Destinatari Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn.1 recipients:garthf@contoso.com

recipients:contoso.com

Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com.
(Vedere Espansione dei destinatari)
Posta inviata La data in cui un messaggio di posta elettronica viene inviato dal mittente. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

I messaggi inviati in una data specifica o entro l'intervallo di date specificato.
Dimensioni Le dimensioni di un elemento, in byte. size>26214400

size:1..1048567

I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce i messaggi di dimensioni comprese tra 1 e 1.048.567 byte (1 MB).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.

Nota: Quando si usa la proprietà Subject in una query, la ricerca restituisce tutti i messaggi in cui la riga dell'oggetto contiene il testo che si sta cercando. In altre parole, la query non restituisce solo i messaggi che hanno una corrispondenza esatta. Ad esempio, se si cerca subject:"Quarterly Financials", i risultati includono messaggi con l'oggetto "Quarterly Financials 2018".

subject:"Quarterly Financials"

subject:northwind

Messaggi che contengono la frase "Quarterly Financials" in un punto qualsiasi del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto.
A Il campo A di un messaggio di posta elettronica.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:).

Nota

1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo di posta elettronica (noto anche come nome dell'entità utente), il nome visualizzato o l'alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.

Tipi di dati sensibili disponibili per la ricerca

È possibile usare gli strumenti di ricerca di eDiscovery nel portale di Microsoft Purview per cercare dati sensibili, ad esempio numeri di carta di credito o numeri di previdenza sociale, archiviati in documenti nelle cassette postali. A tale scopo, usare la proprietà SensitiveType e il nome (o ID) di un tipo di informazioni sensibili in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number" restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)" restituisce i documenti che contengono un numero di previdenza sociale degli Stati Uniti.

Per visualizzare un elenco dei tipi di informazioni riservate che è possibile cercare, passare a Classificazioni> dei datiTipi di informazioni sensibili nel portale Microsoft Purview. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in PowerShell Security & Compliance per visualizzare un elenco di tipi di informazioni riservate.

Espansione del destinatario

Durante la ricerca in una delle proprietà del destinatario (Da, A, Cc, Ccn, Partecipanti e Destinatari), Microsoft 365 tenta di espandere l'identità di ogni utente cercandoli in Microsoft Entra ID. Se l'utente viene trovato in Microsoft Entra ID, la query viene espansa per includere l'indirizzo di posta elettronica (o UPN) dell'utente, l'alias, il nome visualizzato e LegacyExchangeDN. Ad esempio, una query comeparticipants:ronnie@contoso.com viene ampliata a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Per impedire l'espansione del destinatario, aggiungere un carattere jolly (asterisco) alla fine dell'indirizzo e-mail e usare un nome di dominio ridotto; Ad esempio, participants:"ronnie@contoso*" Assicurarsi di racchiudere l'indirizzo e-mail tra virgolette doppie.

Impedire l'espansione del destinatario nella query di ricerca può comportare la mancata restituzione di elementi pertinenti nei risultati della ricerca. È possibile salvare i messaggi e-mail in Exchange con formati di testo differenti nei campi dei destinatari. L'espansione del destinatario ha lo scopo di mitigare tale fatto restituendo messaggi che possono contenere formati di testo differenti. Pertanto, impedire l'espansione del destinatario può comportare la mancata restituzione di tutti gli elementi rilevanti per l'indagine.

Nota

Se è necessario esaminare o ridurre gli elementi restituiti da una query di ricerca a causa dell'espansione del destinatario, provare a usare le funzionalità premium di eDiscovery. È possibile cercare messaggi (sfruttando l'espansione del destinatario), aggiungerli a un insieme da rivedere e quindi usare query o filtri dell'insieme da rivedere per esaminare o restringere i risultati.

Contenuto archiviato nelle cassette postali Exchange Online per eDiscovery

Una cassetta postale in Exchange Online viene usata principalmente per archiviare elementi correlati alla posta elettronica, ad esempio messaggi, elementi del calendario, attività e note. Ma questo sta cambiando perché un numero maggiore di app basate sul cloud archivia anche i dati nella cassetta postale di un utente. Uno dei vantaggi dell'archiviazione dei dati in una cassetta postale è che è possibile usare gli strumenti di ricerca nella ricerca del contenuto, Microsoft Purview eDiscovery (Standard) ed eDiscovery (anteprima) per trovare, visualizzare ed esportare i dati da queste app basate sul cloud.

I dati di alcune di queste app vengono archiviati in cartelle nascoste che si trovano in un sottoalbero di messaggi non relazionali (non IPM) nella cassetta postale. I dati di altre app basate sul cloud potrebbero non essere archiviati nella cassetta postale, ma sono associati alla cassetta postale e vengono restituiti nelle ricerche (se tali dati corrispondono alla query di ricerca). Indipendentemente dal fatto che i dati basati sul cloud siano archiviati o associati a una cassetta postale utente, i dati in genere non sono visibili in un client di posta elettronica quando un utente apre la cassetta postale.

La tabella seguente elenca le app che archivia o associa i dati a una cassetta postale basata sul cloud. La tabella descrive anche il tipo di contenuto prodotto da ogni app.

App di Microsoft 365 Descrizione
Forms* Forms e le risposte a un modulo vengono archiviate in file collegati ai messaggi di posta elettronica e archiviati in una cartella nascosta nella cassetta postale dell'utente che ha creato il modulo. Forms creati prima di aprile 2020 vengono archiviati come file PDF. Forms creati dopo il 2020 vengono archiviati come file JSON. Le risposte a un modulo vengono archiviate in un file CSV. Quando si esporta contenuto da Forms in un file PST, questi dati si trovano nella cartella ApplicationDataRoot in una sottocartella denominata con il GUID (Globally Unique Identified) seguente: c9a559d2-7aab-4f13-a6ed-e7e9c52aec87.
Gruppi di Microsoft 365 Email messaggi, elementi del calendario, contatti (Persone), note e attività vengono archiviati nella cassetta postale associata a un gruppo di Microsoft 365.
Microsoft 365 Copilot e Microsoft Copilot Tutti i dati dell'attività Copilot (richieste utente e risposte Copilot) generati nelle app e nei servizi di Microsoft 365 supportati vengono archiviati nelle cassette postali dei responsabili.
Outlook/Exchange Online Email messaggi, elementi del calendario, contatti (Persone), note e attività vengono archiviati nella cassetta postale di un utente.
Persone I contatti nell'app Persone (che sono gli stessi contatti di quelli accessibili in Outlook) vengono archiviati nella cassetta postale di un utente.
Pianificazione classi I piani creati in Pianificazione classi vengono archiviati nella cassetta postale del gruppo microsoft 365 corrispondente di cui viene effettuato il provisioning quando viene creato un nuovo piano. L'alias per la cassetta postale del gruppo è il nome del piano.
Skype for Business Le conversazioni in Skype for Business vengono archiviate nella cartella Cronologia conversazioni nella cassetta postale di un utente. Se la cassetta postale di un partecipante a una riunione Skype viene inserita nel blocco per controversia legale o assegnata a un criterio di conservazione, i file allegati a una riunione vengono conservati nella cassetta postale dei partecipanti.
Sway* Gli sway vengono archiviati come file HTML collegato a un messaggio di posta elettronica e archiviati in una cartella nascosta nella cassetta postale dell'utente che ha creato lo sway. Quando si esporta contenuto da Sway in un file PST, questi dati si trovano nella cartella ApplicationDataRoot in una sottocartella denominata con il GUID seguente: 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba.
Attività Le attività nell'app Attività (che sono le stesse attività di quelle accessibili in Outlook) vengono archiviate nella cassetta postale di un utente.
Teams Le conversazioni che fanno parte di un canale di Teams sono associate alla cassetta postale di Teams. Le conversazioni che fanno parte dell'elenco chat in Teams (chiamate anche 1 x N chat) sono associate alla cassetta postale degli utenti che partecipano alla chat. Inoltre, le informazioni di riepilogo per le riunioni e le chiamate in un canale di Teams sono associate alle cassette postali degli utenti che hanno partecipato alla riunione o alla chiamata. Pertanto, quando si cerca il contenuto di Teams, si cerca nella cassetta postale di Teams il contenuto nelle conversazioni di canale e si cerca contenuto nelle cassette postali degli utenti in 1 x N chat.
To-Do Le attività (denominate attività, salvate negli elenchi attività) nell'app To-Do vengono archiviate nella cassetta postale di un utente.
Viva Engage Le conversazioni e i commenti all'interno di una community Viva Engage sono associati alla cassetta postale del gruppo di Microsoft 365, nonché alla cassetta postale utente dell'autore e agli eventuali destinatari denominati (@ utenti menzionati o cc'ed). I messaggi privati inviati all'esterno di una community Viva Engage vengono archiviati nella cassetta postale degli utenti che partecipano al messaggio privato.

Nota

* Al momento, se un blocco viene inserito in una cassetta postale usando blocchi in casi di eDiscovery (anteprima), il contenuto di questa app non viene conservato dal blocco.