Condividi tramite


Query con parole chiave e condizioni di ricerca per eDiscovery

Consiglio

eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).

Questo articolo descrive le proprietà disponibili per trovare contenuti su posta elettronica e chat in Exchange Online e documenti e file archiviati in SharePoint e OneDrive for Business utilizzando gli strumenti di ricerca di eDiscovery nel Portale di conformità di Microsoft Purview.

Comprendono Ricerca contenuto, Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium) (le ricerche eDiscovery in eDiscovery (Premium) sono chiamate Raccolte). È anche possibile usare i cmdlet *-ComplianceSearch in Sicurezza e conformità PowerShell per cercare queste proprietà.

Questo articolo descrive anche:

  • Uso di operatori di ricerca booleani, condizioni di ricerca e altre tecniche di query di ricerca per perfezionare i risultati della ricerca.
  • Ricerca di comunicazioni di vari tipi correlate a dipendenti e progetti specifici durante un intervallo di tempo specifico.
  • Ricerca di contenuto del sito correlato a un progetto, a dipendenti e/o a argomenti specifici durante un periodo di tempo specifico.

Per istruzioni dettagliate su come creare diverse ricerche di eDiscovery, vedere:

Nota

Le ricerche di eDiscovery nel portale di conformità e i cmdlet *-ComplianceSearch corrispondenti in Sicurezza e conformità PowerShell usano il Linguaggio KQL (Keyword Query Language). Per informazioni più dettagliate, vedere le informazioni di riferimento sulla sintassi KQL (Keyword Query Language).

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Suggerimenti pratici per la ricerca

  • Il fuso orario per tutte le ricerche è Coordinated Universal Time (UTC). La modifica dei fusi orari per l'organizzazione non è attualmente supportata. Le impostazioni di visualizzazione del fuso orario nella visualizzazione di ricerca sono applicabili solo per i valori nella colonna Dati e non influiscono sui timestamp degli elementi raccolti.
  • Le ricerche per parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
  • Gli operatori booleani AND, OR, NOT e NEAR e devono essere in maiuscolo.
  • L'uso delle virgolette arresta i caratteri jolly e tutte le operazioni all'interno delle virgolette.
  • Uno spazio tra due parole chiave o due espressioni property:value equivale all'utilizzo dell'operatore OR. Ad esempio, from:"Sara Davis" subject:reorganization restituisce tutti i messaggi inviati da Sara Davis o i messaggi che contengono la parola "reorganization" nella riga dell'oggetto. Tuttavia, l'uso di una combinazione di spazi e condizionali OR in una singola query può causare risultati imprevisti. È consigliabile usare spazi o OR in una singola query.
  • Utilizzare la sintassi che corrisponde al formato property:value. I valori non fanno distinzione tra maiuscole e minuscole e non presentano uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto è una ricerca full-text. Ad esempio to: pilarp ricerca "pilarp" come parola chiave, anziché come messaggi inviati a pilarp.
  • Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile utilizzare pilarp@contoso.com, pilarp o "Pilar Pinilla".
  • È possibile utilizzare solo le ricerche di prefissi, ad esempio, cat* o set*. Le ricerche suffisso (*cat), ricerche infisso (c*t) e le ricerche di substring (*cat*) non sono supportate.
  • Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio, subject:budget Q1 restituisce i messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi parte del messaggio o in qualsiasi proprietà del messaggio. Utilizzando subject:"budget Q1", vengono restituiti tutti i messaggi che contengono budget Q1 in qualsiasi parte della riga dell'oggetto.
  • Per escludere i contenuti contrassegnati con un determinato valore della proprietà dai risultati della ricerca, inserire un segno meno (-) prima del nome della proprietà. Ad esempio, -from:"Sara Davis" esclude qualsiasi messaggio inviato da Sara Davis.
  • È possibile esportare gli elementi in base al tipo di messaggio. Ad esempio, per esportare conversazioni e chat Skype in Microsoft Teams, usare la sintassi kind:im. Per restituire solo i messaggi e-mail, usare kind:email. Per restituire chat, riunioni e chiamate in Microsoft Teams, usare kind:microsoftteams.
  • Durante la ricerca nei siti, è necessario aggiungere la parte finale / alla fine dell'URL quando si usa la proprietà path per restituire solo gli elementi di un sito specificato. Se non si include la parte finale /, vengono restituiti anche gli elementi di un sito con un nome di percorso simile. Ad esempio, se si usa path:sites/HelloWorld, verranno restituiti anche gli elementi dei siti denominati sites/HelloWorld_East o sites/HelloWorld_West. Per restituire elementi solo dal sito HelloWorld, è necessario usare path:sites/HelloWorld/.
  • È necessario definire il Paese/la regione del linguaggio di query nella query di ricerca prima di raccogliere il contenuto.
  • Durante la ricerca di e-mail nelle cartelle Posta inviata, l'uso dell'indirizzo SMTP per il mittente non è supportato. Gli elementi nella cartella Posta inviata contengono solo nomi visualizzati.

Rilevazione di contenuti in Exchange Online

Gli amministratori sono spesso incaricati di scoprire chi sapeva cosa e quando nel modo più efficiente ed efficace possibile, così da poter rispondere alle richieste relative a vertenze in corso o potenziali, indagini interne e altri scenari. Tali richieste sono spesso urgenti, coinvolgono diversi team di stakeholder e influiscono in modo significativo se non vengono completate in modo tempestivo. Sapere come trovare le informazioni corrette è fondamentale per gli amministratori al fine di completare correttamente le ricerche e aiutare le organizzazioni a gestire i rischi e i costi associati ai requisiti di eDiscovery.

Quando viene inviata una richiesta di eDiscovery, spesso sono disponibili solo informazioni parziali con cui l'amministratore può iniziare a raccogliere contenuti eventualmente correlati a una particolare indagine. La richiesta può includere nomi di dipendenti, titoli di progetto, intervalli di date approssimative in cui il progetto era attivo e non molto altro ancora. Sulla base di queste informazioni, l'amministratore deve creare query per trovare contenuti pertinenti nei servizi di Microsoft 365 e determinare le informazioni necessarie per un determinato progetto o soggetto. Comprendere come vengono archiviate e gestite le informazioni per questi servizi consente agli amministratori di trovare in modo più efficiente ciò di cui hanno bisogno in maniera rapida ed efficace.

Email, chat, riunioni, Microsoft 365 Copilot e Microsoft Copilot dati dell'attività (richieste utente e risposte copilot) vengono tutti archiviati in Exchange Online. Sono disponibili diverse proprietà di comunicazione per la ricerca di elementi inclusi in Exchange Online. Alcune proprietà, ad esempio Da, Inviato, Oggetto e A, sono univoche per determinati elementi e non sono rilevanti per la ricerca di file o documenti in SharePoint e OneDrive for Business. L'inclusione di questi tipi di proprietà durante la ricerca in vari carichi di lavoro può talvolta portare a risultati imprevisti.

Ad esempio, per trovare contenuti correlati a dipendenti specifici (Utente 1 e Utente 2), associati a un progetto denominato Tradewinds e per il periodo da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:

  • Aggiungere le posizioni di Exchange Online di Utente 1 e 2 come origini dati al caso
  • Selezionare le posizioni di Exchange Online di Utente 1 e 2 come percorsi di raccolta
  • Per Parola chiave, usare Tradewinds
  • Per Intervallo di date, usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022

Importante

Per le e-mail, quando viene usata una parola chiave, viene eseguita la ricerca dell'oggetto, del corpo e di varie proprietà correlate ai partecipanti. Tuttavia, a causa dell'espansione dei destinatari, la ricerca potrebbe non restituire i risultati previsti quando si usa l'alias o parte dell'alias. È quindi consigliabile usare l'UPN completo.

Proprietà di posta elettronica disponibili per la ricerca

Nella tabella seguente vengono elencate le proprietà dei messaggi di posta elettronica di cui è possibile eseguire la ricerca utilizzando gli strumenti di ricerca di eDiscovery nel portale di conformità o il cmdlet New-ComplianceSearch o Set-ComplianceSearch.

Importante

Anche se i messaggi di posta elettronica possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà e-mail elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà dei messaggi di posta elettronica nelle ricerche non è supportato.

Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi. È possibile digitare queste coppie di property:value nella casella delle parole chiave per una ricerca di eDiscovery.

Nota

Durante la ricerca delle proprietà dei messaggi di posta elettronica, non è possibile cercare le intestazioni dei messaggi. Le informazioni sulle intestazioni non sono indicizzate per le raccolte. Inoltre, gli elementi in cui la proprietà specificata è vuota o non compilata non sono ricercabili. Ad esempio, l'uso della coppia property:value di subject:"" per cercare i messaggi di posta elettronica con una riga dell'oggetto vuota restituirà zero risultati. Ciò vale anche per la ricerca delle proprietà di siti e contatti.

Proprietà Descrizione proprietà Esempi Risultati di ricerca restituiti dagli esempi
AttachmentNames I nomi dei file allegati a un messaggio di posta elettronica. attachmentnames:annualreport.ppt

attachmentnames:annual*

Messaggi che contengono un file allegato denominato annualreport.ppt. Nel secondo esempio, utilizzando il carattere jolly (*) si ottengono dei messaggi contenenti la parola annual nel nome file di un allegato.1
Bcc Il campo Ccn di un messaggio di posta elettronica.1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Tutti gli esempi restituiscono messaggi contenenti Pilar Pinilla nel campo Ccn.
(Visualizzare Espansione dei destinatari)
Categoria Le categorie da cercare. Le categorie possono essere definite dagli utenti tramite Outlook o Outlook per il web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
  • blue
  • green
  • arancione
  • purple
  • red (rosso)
  • yellow
category:"Red Category" I messaggi ai quali è stata assegnata la categoria di colore rosso nelle cassette postali di origine.
Cc Il campo Cc di un messaggio di posta elettronica.1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

In entrambi gli esempi, vengono restituiti i messaggi contenenti Pilar Pinilla specificati nel campo Cc.
(Visualizzare Espansione dei destinatari)
Folderid L'ID cartella (GUID) di una cartella di cassetta postale specifica in formato 48 caratteri. Se si utilizza questa proprietà, assicurarsi di cercare nella cassetta postale in cui si trova la cartella specificata. Viene eseguita la ricerca solo nella cartella specificata. Le sottocartelle nella cartella non verranno sottoposte a ricerca. Per cercare nelle sottocartelle, è necessario utilizzare la proprietà Folderid per la sottocartella in cui si vuole eseguire la ricerca.

Per altre informazioni sulla ricerca della proprietà Folderid e sull'uso di uno script per ottenere gli ID cartella per una cassetta postale specifica, vedere Usare Ricerca contenuti per raccolte mirate.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

Il primo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata. Il secondo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata che sono stati inviati o ricevuti da garthf@contoso.com.
Da Il mittente di un messaggio di posta elettronica.1 from:pilarp@contoso.com Messaggi inviati dall'utente specificato.
(Visualizzare Espansione dei destinatari)
HasAttachment Indica se un messaggio contiene un allegato. Usare i valori vero o falso. from:pilar@contoso.com AND hasattachment:true Messaggi inviati dall'utente specificato con allegati.
Priorità La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). importance:high

importance:medium

importance:low

I messaggi contrassegnati con priorità alta, media o bassa.
IsRead Indica se i messaggi sono stati letti. Usare i valori vero o falso. isread:true

isread:false

Il primo esempio restituisce i messaggi con la proprietà IsRead impostata su Vero. Il secondo esempio restituisce i messaggi con la proprietà IsRead impostata su Falso.
Itemclass Utilizzare questa proprietà per cercare tipi di dati di terze parti specifici importati dall'organizzazione in Office 365. Utilizzare la sintassi seguente per questa proprietà: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

Il primo esempio restituisce elementi Facebook che contengono la parola "contoso" nella proprietà Subject. Il secondo esempio restituisce gli elementi di Twitter pubblicati da Ann Beebe e contenenti la parola chiave "Northwind Traders".

Per un elenco completo dei valori da utilizzare per i tipi di dati di terze parti per la proprietà ItemClass, vedere Usare Ricerca contenuti per cercare i dati di terze parti importati in Office 365.

Kind Il tipo di messaggio di posta elettronica da cercare. Valori possibili:

contatti

docs

email

externaldata

faxes

im (IM)

journals (journal)

meetings

microsoftteams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams)

notes

post (inserimenti)

rssfeeds

attività

voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

Il primo esempio restituisce i messaggi di posta elettronica, le chat e i messaggi vocali che soddisfano i criteri di ricerca. Il secondo esempio restituisce i messaggi di posta elettronica, le conversazioni di messaggistica istantanea (comprese le conversazioni Skype for Business e le chat in Microsoft Teams) e i messaggi vocali che soddisfano i criteri di ricerca. Il terzo esempio restituisce gli elementi importati nelle cassette postali di Microsoft 365 da origini dati di terze parti, ad esempio Twitter, Facebook e Cisco Jabber, che soddisfano i criteri di ricerca. Per altre informazioni, vedere Archiviazione di dati di terze parti in Office 365.
Partecipanti Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, A, Cc e Ccn.1 participants:garthf@contoso.com

participants:contoso.com

Messaggi inviati da o a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com.
(Visualizzare Espansione dei destinatari)
Ricevuto La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

I messaggi ricevuti il 15 aprile 2021. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2021 e il 31 marzo 2021.
Destinatari Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn.1 recipients:garthf@contoso.com

recipients:contoso.com

Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com.
(Visualizzare Espansione dei destinatari)
Sent La data in cui un messaggio di posta elettronica viene inviato dal mittente. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

I messaggi inviati in una data specifica o entro l'intervallo di date specificato.
Dimensioni Le dimensioni di un elemento, in byte. size>26214400

size:1..1048567

I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce i messaggi di dimensioni comprese tra 1 e 1.048.567 byte (1 MB).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.

Nota: Quando si usa la proprietà Subject in una query, la ricerca restituisce tutti i messaggi in cui la riga dell'oggetto contiene il testo che si sta cercando. In altre parole, la query non restituisce solo i messaggi che hanno una corrispondenza esatta. Ad esempio, se si cerca subject:"Quarterly Financials", i risultati includono messaggi con l'oggetto "Quarterly Financials 2018".

subject:"Quarterly Financials"

subject:northwind

Messaggi che contengono la frase "Quarterly Financials" in un punto qualsiasi del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto.
A Il camp A di un messaggio di posta elettronica.1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:).

Nota

1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo e-mail (detto anche nome dell'entità utente o UPN), il nome visualizzato o l'alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.

Espansione del destinatario

Consiglio

Usare la nuova esperienza eDiscovery (anteprima) e generatore di condizioni per usare le proprietà comuni delle cassette postali e del sito, ad esempio MessageID e ChatThreadIds , durante la ricerca di destinatari o messaggi specifici.

Quando si esegue una ricerca in una delle proprietà del destinatario (Da, A, Cc, Ccn, Partecipanti e Destinatari), Microsoft 365 tenta di espandere l'identità di ogni utente cercandoli in Microsoft Entra ID. Se si rileva l'utente in Microsoft Entra ID, la query viene ampliata per includere l'indirizzo e-mail (o UPN) dell'utente, l'alias, il nome visualizzato e LegacyExchangeDN. Ad esempio, una query comeparticipants:ronnie@contoso.com viene ampliata a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Per impedire l'espansione del destinatario, aggiungere un carattere jolly (asterisco) alla fine dell'indirizzo e-mail e usare un nome di dominio ridotto; Ad esempio, participants:"ronnie@contoso*" Assicurarsi di racchiudere l'indirizzo e-mail tra virgolette doppie.

Tuttavia, tenere presente che impedire l'espansione del destinatario nella query di ricerca può comportare la mancata restituzione di elementi pertinenti nei risultati della ricerca. È possibile salvare i messaggi e-mail in Exchange con formati di testo differenti nei campi dei destinatari. L'espansione del destinatario ha lo scopo di mitigare tale fatto restituendo messaggi che possono contenere formati di testo differenti. Pertanto, impedire l'espansione del destinatario può comportare la mancata restituzione di tutti gli elementi rilevanti per l'indagine nella query di ricerca.

Nota

Se è necessario esaminare o ridurre gli elementi restituiti da una query di ricerca a causa dell'espansione del destinatario, provare a usare eDiscovery (Premium). È possibile cercare messaggi (sfruttando l'espansione del destinatario), aggiungerli a un insieme da rivedere e quindi usare query o filtri dell'insieme da rivedere per esaminare o restringere i risultati. Per altre informazioni, vedere Raccogliere dati per un caso ed Eseguire query sui dati in un insieme da rivedere.

Trovare contenuti SharePoint e OneDrive

Consiglio

Usare la nuova esperienza eDiscovery (anteprima) e cercare le opzioni di esportazione per scaricare tutti gli allegati dell'elenco per i siti di SharePoint.

Quando si cercano documenti e file in SharePoint o OneDrive for Business, può essere opportuno modificare l'approccio della query in base ai metadati per i documenti e ai file di interesse. I file e i documenti hanno proprietà rilevanti, ad esempio Author, Created, CreatedBy, FileName, LastModifiedTime e Title. La maggior parte di queste proprietà non è rilevante quando si cercano contenuti delle comunicazioni in Exchange Online; inoltre, l'uso di queste proprietà può causare risultati imprevisti se si utilizzano le suddette nei documenti e nelle comunicazioni. Inoltre, FileName e Title di un documento potrebbero non essere uguali e l'uso di una o dell'altra proprietà per cercare un file con contenuto specifico potrebbe portare a risultati diversi o imprecisi. Tenere presenti queste proprietà durante la ricerca di contenuti di documenti e file specifici in SharePoint e OneDrive for Business.

Ad esempio, per trovare contenuti correlati ai documenti creati dall'Utente 1, per un progetto denominato Tradewinds, per file specifici denominati Financials e per il periodo compreso tra gennaio 2020 e gennaio 2022, è possibile usare una query con le proprietà seguenti:

  • Aggiungere il sito OneDrive for Business dell'Utente 1 come origini dati al caso
  • Selezionare il sito OneDrive for Business dell'Utente 1 come percorso della raccolta
  • Aggiungere altri percorsi del sito di SharePoint correlati al progetto come percorsi della raccolta
  • Per FileName usare Financials
  • Per Parola chiave, usare Tradewinds
  • Per Intervallo di date, usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022

Proprietà dei siti disponibili per la ricerca

Nella tabella seguente vengono elencate le proprietà SharePoint e OneDrive for Business di cui è possibile eseguire la ricerca utilizzando gli strumenti di ricerca di eDiscovery nel portale di conformità di Microsoft Purview o tramite il cmdlet New-ComplianceSearch o Set-ComplianceSearch cmdlet.

Importante

Anche se i documenti e i file archiviati in SharePoint e OneDrive for Business possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà dei documenti e dei file elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà di documenti o file nelle ricerche non è supportato.

Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi.

Proprietà Descrizione proprietà Esempio Risultati di ricerca restituiti dagli esempi
Author Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. author:"Garth Fort" Tutti i documenti creati da Garth Fort.
ContentType Il tipo di contenuti di SharePoint di un elemento, come Item (Elemento), Document (Documento) o Video (Video). contenttype:document Vengono restituiti tutti i documenti.
Creazione La data di creazione di un elemento. created>=2021-06-01 Tutti gli elementi creati a partire dal 1° giugno 2021.
CreatedBy L'utente che ha creato o caricato un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. createdby:"Garth Fort" Tutti gli elementi creati o caricati da Garth Fort.
DetectedLanguage La lingua di un elemento. detectedlanguage:english Tutti gli elementi in lingua inglese.
DocumentLink Il percorso (URL) di una cartella specifica in un sito di SharePoint o OneDrive for Business. Se si utilizza questa proprietà, assicurarsi di cercare nel sito in cui si trova la cartella specificata. È consigliabile usare questa proprietà anziché quelle Site e Path.

Per restituire gli elementi che si trovano nelle sottocartelle della cartella specificata per la proprietà documentlink, è necessario aggiungere /* all'URL della cartella specificata, per esempio documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Per altre informazioni sulla ricerca della proprietà documentlink e sull'uso di uno script per ottenere gli URL documentlink per le cartelle in un sito specifico, vedere Usare Ricerca contenuti per raccolte mirate.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

Il primo esempio restituisce tutti gli elementi nella cartella OneDrive for Business. Il secondo esempio restituisce i documenti presenti nella cartella del sito specificata (e tutte le sottocartelle) che contengono la parola "confidential" nel nome del file.
FileExtension Estensione di un file; ad esempio docx, one, pptx o xlsx. fileextension:xlsx Tutti i file Excel (Excel 2007 e versioni successive)
FileName Il nome di un file. filename:"marketing plan"

filename:estimate

Il primo esempio restituisce i file con la frase esatta "marketing plan" nel titolo. Il secondo esempio restituisce i file con la parola "estimate" nel nome file.
LastModifiedTime La data dell'ultima modifica di un elemento. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

Il primo esempio restituisce gli elementi che sono stati modificati a partire dal 1° maggio 2021. Il secondo esempio restituisce gli elementi modificati tra il 1° maggio 2021 e il 1° giugno 2021.
ModifiedBy L'autore dell'ultima modifica di un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. modifiedby:"Garth Fort" Tutti gli elementi in cui l’ultima modifica è stata apportata da Garth Fort.
SharedWithUsersOWSUser Documenti condivisi con l'utente specificato e visualizzati nella pagina Condivisi con l'utente corrente nel sito OneDrive for Business dell'utente. Si tratta di documenti che sono stati condivisi in modo esplicito con l'utente specificato da altre persone dell'organizzazione. Quando si esportano documenti che corrispondono a una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser, i documenti vengono esportati dal percorso del contenuto originale della persona che ha condiviso il documento con l'utente specificato. Per altre informazioni, vedere Ricerca di contenuti dei siti condivisi con l'organizzazione. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

Entrambi gli esempi restituiscono tutti i documenti interni che sono stati condivisi in modo esplicito con Garth Fort e che vengono visualizzati nella pagina Condivisi con l'utente corrente nell'account OneDrive for Business di Garth Fort.
Dimensioni Le dimensioni di un elemento, in byte. size>=1

size:1..10000

Il primo esempio restituisce gli elementi di dimensioni maggiori di 1 byte. Il secondo esempio restituisce gli elementi di dimensioni comprese tra 1 e 10.000 byte.
Titolo Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È qualcosa di diverso dal nome file del documento. title:"communication plan" Qualsiasi documento contenente la frase "communication plan" nella proprietà di metadati Title di un documento di Office.

Proprietà dei contatti ricercabili

Nella tabella seguente sono elencate le proprietà dei contatti indicizzate e che è possibile cercare usando gli strumenti di ricerca di eDiscovery. Queste sono le proprietà che gli utenti possono configurare per i contatti (detti anche contatti personali) presenti nella rubrica personale della cassetta postale di un utente. Per cercare i contatti, è possibile selezionare le cassette postali da cercare e quindi usare una o più proprietà dei contatti nella query con parole chiave.

Consiglio

Per cercare valori contenenti spazi o caratteri speciali, usare le virgolette doppie (" ") per includere la frase, come riportato nell'esempio seguente: businessaddress:"123 Main Street".

Proprietà Descrizione proprietà
BusinessAddress L'indirizzo nella proprietà Business Address. La proprietà è anche denominata indirizzo Work nella pagina delle proprietà del contatto.
BusinessPhone Numero di telefono in una qualsiasi delle proprietà del numero Business Phone.
CompanyName Il nome nella proprietà Company.
Reparto Il nome nella proprietà Department.
DisplayName Il nome visualizzato del contatto. Si tratta del nome nella proprietà Full Name del contatto.
EmailAddress L'indirizzo per qualsiasi proprietà dell'indirizzo e-mail per il contatto. Gli utenti possono aggiungere diversi indirizzi e-mail per un contatto. L'utilizzo di questa proprietà restituirà i contatti che corrispondono a uno qualsiasi degli indirizzi e-mail del contatto.
FileAs La proprietà File as. Questa proprietà viene utilizzata per specificare il modo in cui il contatto è elencato nella lista contatti dell'utente. Ad esempio, un contatto può essere elencato come FirstName, LastName o LastName,FirstName.
GivenName Il nome nella proprietà First Name.
HomeAddress Indirizzo in una qualsiasi delle proprietà indirizzo Home.
HomePhone Numero di telefono in una delle proprietà del numero di telefono Home.
IMAddress La proprietà dell'indirizzo di IM, che in genere è un indirizzo e-mail usato per la messaggistica istantanea.
MiddleName Il nome nella proprietà Middle name.
MobilePhone Numero di telefono nella proprietà Mobile phone.
Nickname Il nome nella proprietà Nickname.
OfficeLocation Il valore nella proprietà Office o Office location.
OtherAddress Valore per la proprietà Other address.
Surname Il nome nella proprietà Last name.
Titolo Il titolo nella proprietà Job title.

Operatori di ricerca

Gli operatori di ricerca booleani, come AND, OR e NOT, consentono di definire ricerche più precise nelle cassette postali includendo o escludendo parole specifiche nella query di ricerca. Altre tecniche, come l'utilizzo di operatori di proprietà (come >= o ...), virgolette, parentesi e caratteri jolly, consentono di perfezionare una query di ricerca. Nella tabella seguente vengono elencati gli operatori che è possibile utilizzare per circoscrivere o ampliare i risultati della ricerca.

Operatore Utilizzo Descrizione
E keyword1 AND keyword2 Restituisce gli elementi che includono tutte le parole chiave specificate o le espressioni property:value. Ad esempio, from:"Ann Beebe" AND subject:northwind restituirà tutti i messaggi inviati da Ann Beebe che contengono la parola northwind nella riga dell'oggetto. 2
+ keyword1 + keyword2 + keyword3 Restituisce elementi che contengono okeyword2 o keyword3e e che contengono anche keyword1. Di conseguenza, questo esempio equivale alla query (keyword2 OR keyword3) AND keyword1.

La query keyword1 + keyword2 (con uno spazio dopo il simbolo +) non è uguale all'uso dell'operatore AND. Questa query equivale a "keyword1 + keyword2" e restituisce elementi con la fase "keyword1 + keyword2"esatta.

OPPURE keyword1 OR keyword2 Restituisce gli elementi che includono una o più parole chiave specificate o espressioni property:value. 2
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

NON kind:im

Esclude gli elementi specificati da una parola chiave o da un'espressione property:value. Nel secondo esempio vengono esclusi i messaggi inviati da Ann Beebe. Il terzo esempio esclude le conversazioni di messaggistica istantanea, ad esempio le conversazioni Skype for Business salvate nella cartella della cassetta postale Cronologia conversazioni. 2
NEAR keyword1 NEAR(n) keyword2 Restituisce gli elementi con parole vicine. Nella sintassi keyword1 NEAR(n) keyword2, n è uguale al numero di parole incluse in keyword1 e keyword2. Ad esempio, per identificare le istanze in cui il termine migliore è all'interno di 3 parole di peggiore (frase di esempio, 'Migliore è l'opposto di peggiore'), si userà best NEAR(5) worst. Vengono restituiti tutti gli elementi in cui sono presenti 3 parole o meno tra migliore (keyword1) e peggiore (keyword2). Specificando 5 nell'esempio di sintassi sono incluse le 2 parole chiave e la differenza di 3 parole tra di esse è l'intervallo NEAR. Se non viene specificato alcun numero, il valore n predefinito è 8. 2
: property:value I due punti (:) nella sintassi property:value specificano che il valore della proprietà da cercare contiene il valore specificato. Ad esempio, recipients:garthf@contoso.com restituisce qualsiasi messaggio inviato a garthf@contoso.com.
= property=value Equivale all'operatore :.
< property<value Indica che la proprietà da cercare è inferiore al valore specificato. 1
> property>value Indica che la proprietà da cercare è superiore al valore specificato.1
<= property<=value Indica che la proprietà da cercare è inferiore o uguale al valore specifico.1
>= property>=value Indica che la proprietà da cercare è superiore o uguale al valore specifico.1
.. property:value1..value2 Indica che la proprietà da cercare è superiore o uguale al valore 1 e inferiore o uguale al valore 2.1
" " "fair value"

subject:"Quarterly Financials"

In una query con parole chiave (in cui si digita la coppia property:value nella casella Parola chiave), usare virgolette doppie (" ") per cercare una frase o un termine esatto. Tuttavia, se si usa la condizione di ricerca Oggetto o Oggetto/Titolo, non aggiungere virgolette doppie al valore perché le virgolette vengono aggiunte automaticamente quando si usano queste condizioni di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore.
* cat*

subject:set*

Le ricerche di prefissi (dette anche corrispondenze dei prefissi) in cui un carattere jolly ( * ) viene inserito alla fine di una parola in parole chiave o query property:value. Nelle ricerche di prefissi, la ricerca restituisce risultati con termini che contengono la parola seguita da zero o più caratteri. Ad esempio, title:set* restituisce i documenti che contengono la parola set, setup e setting (e altre parole che iniziano con "set") nel titolo del documento.

Nota: è possibile utilizzare solo le ricerche di prefissi; ad esempio, cat* o set*. Le ricerche suffisso (*cat), ricerche infisso (c*t) e le ricerche di substring (*cat*) non sono supportate.

Inoltre, l'aggiunta di un punto ( . ) a una ricerca di prefissi modifica i risultati restituiti. Questo perché un punto viene considerato come una parola di arresto. Ad esempio, la ricerca di cat* e di cat.* restituisce risultati differenti. È consigliabile non usare un punto in una ricerca di prefissi.

( ) (fair OR free) AND (from:contoso.com)

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

Le parentesi raggruppano le frasi booleane, gli elementi property:value e le parole chiave. Ad esempio, (quarterly financials) restituisce gli elementi che contengono le parole quarterly e financials.

Nota

1 Utilizzare questo operatore per le proprietà che dispongono di valori numerici o di data.
2 Gli operatori di ricerca booleani devono essere scritti in lettere maiuscole; ad esempio, AND. Se si usa un operatore minuscolo, ad esempio and, verrà considerato come una parola chiave nella query di ricerca.

Condizioni di ricerca

È possibile aggiungere delle condizioni a una query di ricerca per circoscrivere una ricerca e ottenere un set di risultati più preciso. Ogni condizione aggiunge una clausola alla query di ricerca KQL creata ed eseguita all'avvio della ricerca.

Condizioni per le proprietà comuni

Creare una condizione utilizzando le proprietà comuni quando si cercano cassette postali e siti nella stessa ricerca. Nella tabella seguente vengono elencate le proprietà disponibili da usare quando si aggiunge una condizione.

Condizione Descrizione
Data Per la posta elettronica, la data di creazione o importazione di un messaggio da un file PST. Per i documenti, la data dell'ultima modifica apportata.

Se si cercano messaggi di posta elettronica per un periodo di tempo specifico, è consigliabile usare le condizioni Ricevuto and Inviato se non si è certi che i messaggi di posta elettronica siano stati importati anziché creati in modo nativo in Exchange.
Mittente/autore Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, l'utente menzionato nel campo dell'autore dei documenti di Office. È possibile digitare più nomi, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.
(Visualizzare Espansione dei destinatari)
Dimensioni (in byte) Per la posta elettronica e i documenti, la dimensione dell'elemento (in byte).
Oggetto/Titolo Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. Come illustrato in precedenza, la proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più valori oggetto/titolo separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.

Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore.

Etichetta di conservazione Sia per l'e-mail che per i documenti, è possibile applicare le etichette di conservazione automaticamente o manualmente a messaggi e documenti. È possibile usare le etichette di conservazione per dichiarare i record e semplificare la gestione del ciclo di vita dei dati dei contenuti applicando le regole di conservazione ed eliminazione specificate dall'etichetta. È possibile digitare parte del nome dell'etichetta di conservazione e usare un carattere jolly, oppure digitare il nome completo dell'etichetta. Per saperne di più sulle etichette di conservazione, vedere Informazioni sui criteri e sulle etichette di conservazione.

Condizioni per le proprietà della posta

Creare una condizione utilizzando le proprietà della posta quando si effettuano ricerche in cassette postali o cartelle pubbliche in Exchange Online. Nella tabella seguente vengono elencate le proprietà della posta elettronica che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà e-mail descritte in precedenza. Queste descrizioni vengono ripetute per praticità.

Condizione Descrizione
Tipo di messaggio Il tipo di messaggio da cercare. Corrisponde alla proprietà della posta elettronica Kind (Tipo). Valori possibili:
  • contatti
  • docs
  • email
  • externaldata
  • fax
  • messaggistica istantanea
  • journals (journal)
  • meetings
  • microsoftteams
  • notes
  • post (inserimenti)
  • rssfeeds
  • attività
  • voicemail
Partecipanti Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn. (Visualizzare Espansione dei destinatari)
Tipo Proprietà della classe messaggio per un elemento e-mail. Corrisponde alla proprietà dell'e-mail ItemClass. È anche una condizione multivalore. Di conseguenza, per selezionare più classi di messaggi, tenere premuto il tasto CTRL e selezionare due o più classi di messaggi nell'elenco a discesa che si desidera aggiungere alla condizione. Ogni classe di messaggio selezionata nell'elenco verrà connessa logicamente dall'operatore OR nella query di ricerca corrispondente.

Per un elenco delle classi di messaggi (e del relativo ID classe messaggio corrispondente) usate da Exchange e che è possibile selezionare nell'elenco Classe messaggio, vedere Tipi di elemento e classi di messaggio.

Ricevuto La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. Corrisponde alla proprietà della posta elettronica Received (Ricevuto).
Destinatari Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn. (Visualizzare Espansione dei destinatari)
Mittente Il mittente di un messaggio di posta elettronica.
Sent La data in cui un messaggio di posta elettronica viene inviato dal mittente. Corrisponde alla proprietà della posta elettronica Sent (Inviato).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.

Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore.

A Destinatario di un messaggio di posta elettronica nel campo A.

Condizioni per le proprietà dei documenti

Creare una condizione utilizzando le proprietà dei documenti quando si cercano documenti sui siti di SharePoint e OneDrive for Business. Nella tabella seguente vengono elencate le proprietà dei documenti che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà del sito descritte in precedenza. Queste descrizioni vengono ripetute per praticità.

Condizione Descrizione
Author Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale.
Titolo Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Office. È diverso dal nome file del documento.
Creazione La data di creazione di un documento.
Data ultima modifica La data dell'ultima modifica di un documento.
Tipo di file Estensione di un file; ad esempio docx, one, pptx o xlsx. Corrisponde alla proprietà dei siti FileExtension.

Nota: se si include una condizione File type usando l'operatore Uguale o Uguale a qualsiasi in una query di ricerca, non è possibile usare una ricerca di prefissi (includendo il carattere jolly ( * ) alla fine del tipo di file) per restituire tutte le versioni di un tipo di file. In caso contrario, il carattere jolly verrà ignorato. Se ad esempio si include la condizione Equals any of doc*, verranno restituiti solo i file con estensione .doc. I file con estensione .docx non verranno restituiti. Per restituire tutte le versioni di un tipo di file, utilizzare la coppia property:value in una query con parole chiave; Ad esempio, filetype:doc*.

Operatori utilizzati con condizioni

Quando si aggiunge una condizione, è possibile selezionare un operatore pertinente al tipo di proprietà per la condizione. Nella tabella seguente vengono descritti gli operatori utilizzati con condizioni e ne vengono elencati gli equivalenti utilizzati nella query di ricerca.

Operatore Equivalente nella query Descrizione
Dopo property>date Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati dopo la data specificata.
Prima property<date Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati prima della data specificata.
Between date..date Utilizzato con condizioni relative alla data e alla dimensione. Se utilizzato con una condizione relativa alla data, restituisce gli elementi che sono stati inviati, ricevuti o modificati entro l'intervallo di date specificato. Se utilizzato con una condizione relativa alla dimensione, restituisce gli elementi di dimensioni comprese nell'intervallo specificato.
Contains any of (property:value) OR (property:value) Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che contengono una parte qualsiasi di uno o più valori di stringa specificati.
Doesn't contain any of -property:value

NOT property:value

Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono parti del valore di stringa specificato.
Doesn't equal any of -property=value

NOT property=value

Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono la stringa specificata.
Uguale size=value Restituisce gli elementi equivalenti alla dimensione specificata.1
Equals any of (property=value) OR (property=value) Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che corrispondono esattamente a uno o più valori di stringa specificati.
Greater size>value Restituisce gli elementi dove la proprietà specificata è maggiore del valore indicato.1
Greater or equal size>=value Restituisce gli elementi dove la proprietà specificata è maggiore o uguale al valore indicato.1
Less size<value Restituisce gli elementi maggiori o uguali al valore specificato.1
Less or equal size<=value Restituisce gli elementi maggiori o uguali al valore specificato.1
Not equal size<>value Restituisce gli elementi che non sono equivalenti alla dimensione specificata.1

Nota

1 Questo operatore è disponibile solo per le condizioni che utilizzano la proprietà Size.

Linee guida per l'uso di condizioni

Tenere presente quanto segue quando si utilizzano le condizioni di ricerca.

  • Una condizione è collegata logicamente alla query con parola chiave (specificata nella relativa casella) dall'operatore AND. Ciò significa che, per essere inclusi nei risultati, gli elementi devono soddisfare sia la query con parola chiave, sia la condizione. Ecco in che modo le condizioni aiutano a limitare i risultati.

  • Se si aggiungono due o più condizioni a una query di ricerca (condizioni che specificano proprietà diverse), queste sono collegate logicamente dall'operatore AND. Ciò significa che vengono restituiti solo gli elementi che soddisfano tutte le condizioni (oltre alle query con parole chiave).

  • Se si aggiunge più di una condizione per la stessa proprietà, tali condizioni vengono collegate logicamente dall'operatore OR. Ciò significa che vengono restituiti gli elementi che soddisfano la query con parola chiave e una delle condizioni. Pertanto, i gruppi con le stesse condizioni vengono collegati tra loro dall'operatore OR, quindi gli insiemi di condizioni univoche vengono collegati dall'operatore AND.

  • Se si aggiungono più valori (separati da virgole o due punti) a una singola condizione, tali valori vengono collegati dall'operatore OR. Di conseguenza, vengono restituiti elementi se contengono uno qualsiasi dei valori specificati per la proprietà nella condizione.

  • Qualsiasi condizione che usa un operatore con logica Contains e Equals restituirà risultati di ricerca simili per ricerche di stringhe semplici. Una ricerca di stringa semplice è una stringa nella condizione che non include un carattere jolly). Ad esempio, una condizione che usa Equals any of restituirà gli stessi elementi di una condizione che usa Contains any of.

  • La query di ricerca che viene creata utilizzando la casella delle parole chiave e le condizioni viene visualizzata nella pagina Ricerca, nel riquadro dei dettagli della ricerca selezionata. In una query, tutto ciò che si trova a destra della notazione (c:c) indica le condizioni che sono state aggiunte alla query. (c:c) non deve essere usato nelle query inserite manualmente e non è uguale a AND o OR.

  • Le condizioni aggiungono solo le proprietà alla query di ricerca, non gli operatori. Ciò dipende dal fatto che la query visualizzata nel riquadro dei dettagli non mostra gli operatori a destra della notazione (c:c). KQL aggiunge gli operatori logici (in base alle regole illustrate in precedenza) quando viene eseguita la query.

  • È possibile utilizzare il controllo di trascinamento della selezione per modificare l'ordine delle condizioni. Selezionare il controllo di una condizione e spostarlo verso l'alto o verso il basso.

  • Come descritto in precedenza, alcune proprietà delle condizioni consentono di digitare più valori (separati da punto e virgola). I valori sono collegati logicamente dall'operatore OR e producono la query (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). La figura seguente mostra un esempio di una condizione con più valori.

    Una condizione con più valori

    Nota

    Non è possibile aggiungere più condizioni (selezionando Aggiungi condizione per la stessa proprietà). È invece necessario fornire più valori per la condizione (separati da punti e virgola), come illustrato nell'esempio precedente.

Esempi

Negli esempi seguenti viene mostrata la versione basata su GUI di una query di ricerca con condizioni, la sintassi della query di ricerca visualizzata nel riquadro dei dettagli della ricerca selezionata (che viene restituita anche dal cmdlet Get-ComplianceSearch) e la logica della query KQL corrispondente.

Esempio 1

In questo esempio vengono restituiti i documenti o gli elementi della posta elettronica che contengono la parola chiave "report", che sono stati inviati o creati prima del 1° aprile 2021 e che contengono la parola "northwind" nel campo dell'oggetto dei messaggi di posta elettronica o nella proprietà del titolo dei documenti. La query esclude le pagine Web che soddisfano gli altri criteri della ricerca.

GUI:

Secondo esempio relativo alle condizioni di ricerca

Sintassi della query di ricerca:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Logica della query di ricerca:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Esempio 2

In questo esempio vengono restituiti i messaggi di posta elettronica o le riunioni del calendario inviate tra il 1° dicembre 2019 e il 30 novembre 2020 e che contengono parole che iniziano con "phone" o "smartphone".

GUI:

Terzo esempio relativo alle condizioni di ricerca

Sintassi della query di ricerca:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Logica della query di ricerca:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Caratteri speciali

Alcuni caratteri speciali non sono inclusi nell'indice di ricerca e pertanto non sono ricercabili. Essi comprendono anche i caratteri speciali che rappresentano gli operatori di ricerca nella query di ricerca. Di seguito è riportato un elenco di caratteri speciali sostituiti da uno spazio vuoto nella query di ricerca effettiva o che causano un errore di ricerca.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Tipi di dati sensibili disponibili per la ricerca

È possibile utilizzare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare dati sensibili, come numeri di carte di credito o numeri di previdenza sociale, memorizzati nei documenti sui siti di SharePoint e OneDrive Business. A tale scopo, usare la proprietà SensitiveType e il nome (o ID) di un tipo di informazioni sensibili in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number" restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)" restituisce i documenti che contengono un codice fiscale degli Stati Uniti.

Per visualizzare un elenco dei tipi di informazioni sensibili di cui è possibile eseguire la ricerca, andare a Classificazioni dei dati>Tipi di informazioni sensibili nel portale di conformità. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in Sicurezza e conformità PowerShell per visualizzare un elenco di tipi di informazioni sensibili.

Limitazioni per la ricerca di tipi di dati sensibili

  • Per cercare tipi di informazioni sensibili personalizzati, è necessario specificare l'ID del tipo di informazioni sensibili nella proprietà SensitiveType. L'uso del nome di un tipo di informazioni sensibili personalizzato (come illustrato nell'esempio sui tipi di informazioni sensibili predefiniti nella sezione precedente) non restituirà alcun risultato. Usare la colonna Server di pubblicazione nella pagina Tipi di informazioni sensibili nel portale di conformità (o la proprietà Server di pubblicazione in PowerShell) per distinguere tra tipi di informazioni sensibili predefiniti e personalizzati. I tipi di dati sensibili predefiniti hanno un valore Microsoft Corporation per la proprietà Server di pubblicazione.

    Per visualizzare il nome e l'ID per i tipi di dati sensibili personalizzati nell'organizzazione, eseguire il comando seguente in Sicurezza e conformità PowerShell:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    È quindi possibile utilizzare l'ID nella proprietà di ricerca SensitiveType per restituire i documenti che contengono il tipo di dati sensibili personalizzato, ad esempio SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Non è possibile usare i tipi di informazioni riservate e la proprietà di ricerca SensitiveType per cercare i dati sensibili inattivi nelle cassette postali di Exchange Online. Sono inclusi messaggi di chat 1:1, i messaggi di chat di gruppo 1:N e conversazioni del canale del team in Microsoft Teams, in quanto tutti questi contenuti sono archiviati nelle cassette postali. Tuttavia, è possibile usare i criteri di prevenzione della perdita dei dati (DLP) per proteggere i dati e-mail sensibili in movimento. Per altre informazioni, vedere Informazioni sulla prevenzione della perdita di dati e Cercare e trovare dati personali.

Ricerca di contenuti dei siti condivisi con utenti esterni

È possibile utilizzare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare i documenti archiviati sui siti di SharePoint e OneDrive for Business che sono stati condivisi con utenti esterni all'organizzazione. Ciò consente di identificare informazioni proprietarie o sensibili condivise all'esterno dell'organizzazione. È possibile effettuare questa operazione utilizzando la proprietà ViewableByExternalUsers in una query con parole chiave. Questa proprietà restituisce documenti o siti condivisi con utenti esterni usando uno dei metodi di condivisione seguenti:

  • Un invito alla condivisione che richiede agli utenti di accedere all'organizzazione come utenti autenticati.
  • Un collegamento guest anonimo, che consente a chiunque sia in possesso di questo link di accedere alla risorsa senza eseguire l'autenticazione.

Ecco alcuni esempi:

  • La query ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" restituisce tutti gli elementi che sono stati condivisi con utenti all'esterno dell'organizzazione e che contengono un numero di carta di credito.
  • La query ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" restituisce un elenco di documenti su tutti i siti dei team nell'organizzazione che sono stati condivisi con utenti esterni.

Consiglio

Una query di ricerca come ViewableByExternalUsers:true AND ContentType:document può restituire molti file con estensione .aspx nei risultati della ricerca. Per eliminare questi o altri tipi di file, è possibile utilizzare la proprietà FileExtension per escludere tipi di file specifici; ad esempio ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

Cosa è considerato un contenuto condiviso con persone esterne all'organizzazione? I documenti nei siti SharePoint e OneDrive for Business dell'organizzazione che sono condivisi inviando un invito alla condivisione o che sono condivisi in percorsi pubblici. Ad esempio, le attività degli utenti seguenti producono dei contenuti visualizzabili da utenti esterni:

  • Un utente condivide un file o una cartella con una persona esterna all'organizzazione.
  • Un utente crea e invia un collegamento a un file condiviso a una persona esterna all'organizzazione. Questo collegamento consente all'utente esterno di visualizzare (o modificare) il file.
  • Un utente invia un invito alla condivisione o un collegamento guest a una persona esterna all'organizzazione per visualizzare (o modificare) un file condiviso.

Problemi relativi all'utilizzo della proprietà ViewableByExternalUsers

Anche se la proprietà ViewableByExternalUsers indica se un documento o un sito è stato condiviso con utenti esterni, esistono alcune avvertenze su ciò che questa proprietà riflette o meno. Negli scenari seguenti, il valore della proprietà ViewableByExternalUsers non verrà aggiornato e i risultati di una query di ricerca che usa questa proprietà potrebbero non essere accurati.

  • Modifiche ai criteri di condivisione, ad esempio la disattivazione della condivisione esterna per un sito o per l'organizzazione. La proprietà mostrerà comunque i documenti condivisi in precedenza come accessibili esternamente, anche se l'accesso esterno potrebbe essere stato revocato.
  • Modifiche all'appartenenza a gruppi, ad esempio l'aggiunta o la rimozione di utenti esterni ai Gruppi di Microsoft 365 o ai gruppi di Sicurezza di Microsoft 365. La proprietà non verrà aggiornata automaticamente per gli elementi a cui il gruppo ha accesso.
  • Invio di inviti di condivisione a utenti esterni in cui il destinatario non ha accettato l'invito e pertanto non ha ancora accesso al contenuto.

In questi scenari, la proprietà ViewableByExternalUsers non rifletterà lo stato di condivisione corrente fino a quando il sito o la raccolta documenti non viene sottoposta di nuovo a ricerca o indicizzazione.

Ricerca di contenuti dei siti condivisi all'interno dell'organizzazione

Come spiegato in precedenza, è possibile usare la proprietà SharedWithUsersOWSUser in modo da cercare i documenti condivisi tra gli utenti dell'organizzazione. Quando una persona condivide un file (o una cartella) con un altro utente all'interno dell'organizzazione, un link al file condiviso viene visualizzato nella pagina Condivisi con l'utente corrente nell'account OneDrive for Business della persona con cui è stato condiviso il file. Ad esempio, per cercare i documenti condivisi con Sara Davis, è possibile usare la query SharedWithUsersOWSUser:"sarad@contoso.com". Se si esportano i risultati di questa ricerca, verranno scaricati i documenti originali (che si trovano nel percorso dei contenuti della persona che ha condiviso i documenti con Sara).

Perché siano restituiti nei risultati della ricerca quando si usa la proprietà SharedWithUsersOWSUser, i documenti devono essere condivisi in modo esplicito con un utente specifico. Ad esempio, quando una persona condivide un documento nel proprio account OneDrive, ha la possibilità di condividerlo con chiunque (all'interno o all'esterno dell'organizzazione), solo con persone all'interno dell'organizzazione o con una persona specifica. Di seguito è disponibile uno screenshot della finestra Condividi in OneDrive che mostra le tre opzioni di condivisione.

Una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser restituisce solo i file condivisi con persone specifiche.

Una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser restituisce solo i documenti condivisi tramite la terza opzione (condiviso con Persone specifiche).

Ricerca di conversazioni Skype for Business

È possibile usare la query con parole chiave seguente per cercare in modo specifico il contenuto nelle conversazioni Skype for Business:

kind:im

La query di ricerca precedente restituisce anche chat di Microsoft Teams. Per evitare questo errore, è possibile limitare i risultati della ricerca in modo da includere solo conversazioni Skype for Business usando la query con parole chiave seguente:

kind:im AND subject:conversation

La query con parole chiave precedente esclude le chat in Microsoft Teams perché le conversazioni Skype for Business vengono salvate come messaggi e-mail con una riga dell'oggetto che inizia con la parola "Conversazione".

Per cercare conversazioni Skype for Business che hanno avuto luogo entro un intervallo di date specifico, usare la query con parole chiave seguente:

kind:im AND subject:conversation AND (received=startdate..enddate)

Limiti dei caratteri per le ricerche

È previsto un limite di 4.000 caratteri per le query di ricerca durante la ricerca di contenuti nei siti di SharePoint e negli account di OneDrive. Ecco come viene calcolato il numero totale di caratteri nella query di ricerca:

  • I caratteri nella query di ricerca con parole chiave (inclusi i campi utente e filtro) vengono conteggiati rispetto a questo limite.
  • I caratteri in qualsiasi proprietà location (ad esempio gli URL per tutti i siti di SharePoint o i percorsi di OneDrive in cui viene eseguita la ricerca) vengono conteggiati rispetto a questo limite.
  • I caratteri in tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca vengono conteggiati rispetto a questo limite.

Per altre informazioni sui limiti dei caratteri, vedere Limiti delle ricerche di eDiscovery.

Nota

Il limite di 4.000 caratteri si applica a Ricerca contenuto, eDiscovery (Standard) ed eDiscovery (Premium).