Query con parole chiave e condizioni di ricerca per eDiscovery
Consiglio
eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).
Questo articolo descrive le proprietà disponibili per trovare contenuti su posta elettronica e chat in Exchange Online e documenti e file archiviati in SharePoint e OneDrive for Business utilizzando gli strumenti di ricerca di eDiscovery nel Portale di conformità di Microsoft Purview.
Comprendono Ricerca contenuto, Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium) (le ricerche eDiscovery in eDiscovery (Premium) sono chiamate Raccolte). È anche possibile usare i cmdlet *-ComplianceSearch in Sicurezza e conformità PowerShell per cercare queste proprietà.
Questo articolo descrive anche:
- Uso di operatori di ricerca booleani, condizioni di ricerca e altre tecniche di query di ricerca per perfezionare i risultati della ricerca.
- Ricerca di comunicazioni di vari tipi correlate a dipendenti e progetti specifici durante un intervallo di tempo specifico.
- Ricerca di contenuto del sito correlato a un progetto, a dipendenti e/o a argomenti specifici durante un periodo di tempo specifico.
Per istruzioni dettagliate su come creare diverse ricerche di eDiscovery, vedere:
- Ricerca contenuto
- Cercare contenuti in eDiscovery (Standard)
- Creare una stima di raccolta in eDiscovery (Premium)
Nota
Le ricerche di eDiscovery nel portale di conformità e i cmdlet *-ComplianceSearch corrispondenti in Sicurezza e conformità PowerShell usano il Linguaggio KQL (Keyword Query Language). Per informazioni più dettagliate, vedere le informazioni di riferimento sulla sintassi KQL (Keyword Query Language).
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Suggerimenti pratici per la ricerca
- Il fuso orario per tutte le ricerche è Coordinated Universal Time (UTC). La modifica dei fusi orari per l'organizzazione non è attualmente supportata. Le impostazioni di visualizzazione del fuso orario nella visualizzazione di ricerca sono applicabili solo per i valori nella colonna Dati e non influiscono sui timestamp degli elementi raccolti.
- Le ricerche per parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
- Gli operatori booleani AND, OR, NOT e NEAR e devono essere in maiuscolo.
- L'uso delle virgolette arresta i caratteri jolly e tutte le operazioni all'interno delle virgolette.
- Uno spazio tra due parole chiave o due espressioni
property:value
equivale all'utilizzo dell'operatore OR. Ad esempio,from:"Sara Davis" subject:reorganization
restituisce tutti i messaggi inviati da Sara Davis o i messaggi che contengono la parola "reorganization" nella riga dell'oggetto. Tuttavia, l'uso di una combinazione di spazi e condizionali OR in una singola query può causare risultati imprevisti. È consigliabile usare spazi o OR in una singola query. - Utilizzare la sintassi che corrisponde al formato
property:value
. I valori non fanno distinzione tra maiuscole e minuscole e non presentano uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto è una ricerca full-text. Ad esempioto: pilarp
ricerca "pilarp" come parola chiave, anziché come messaggi inviati a pilarp. - Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile utilizzare pilarp@contoso.com, pilarp o "Pilar Pinilla".
- È possibile utilizzare solo le ricerche di prefissi, ad esempio, cat* o set*. Le ricerche suffisso (*cat), ricerche infisso (c*t) e le ricerche di substring (*cat*) non sono supportate.
- Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio,
subject:budget Q1
restituisce i messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi parte del messaggio o in qualsiasi proprietà del messaggio. Utilizzandosubject:"budget Q1"
, vengono restituiti tutti i messaggi che contengono budget Q1 in qualsiasi parte della riga dell'oggetto. - Per escludere i contenuti contrassegnati con un determinato valore della proprietà dai risultati della ricerca, inserire un segno meno (-) prima del nome della proprietà. Ad esempio,
-from:"Sara Davis"
esclude qualsiasi messaggio inviato da Sara Davis. - È possibile esportare gli elementi in base al tipo di messaggio. Ad esempio, per esportare conversazioni e chat Skype in Microsoft Teams, usare la sintassi
kind:im
. Per restituire solo i messaggi e-mail, usarekind:email
. Per restituire chat, riunioni e chiamate in Microsoft Teams, usarekind:microsoftteams
. - Durante la ricerca nei siti, è necessario aggiungere la parte finale
/
alla fine dell'URL quando si usa la proprietàpath
per restituire solo gli elementi di un sito specificato. Se non si include la parte finale/
, vengono restituiti anche gli elementi di un sito con un nome di percorso simile. Ad esempio, se si usapath:sites/HelloWorld
, verranno restituiti anche gli elementi dei siti denominatisites/HelloWorld_East
osites/HelloWorld_West
. Per restituire elementi solo dal sito HelloWorld, è necessario usarepath:sites/HelloWorld/
. - È necessario definire il Paese/la regione del linguaggio di query nella query di ricerca prima di raccogliere il contenuto.
- Durante la ricerca di e-mail nelle cartelle Posta inviata, l'uso dell'indirizzo SMTP per il mittente non è supportato. Gli elementi nella cartella Posta inviata contengono solo nomi visualizzati.
Rilevazione di contenuti in Exchange Online
Gli amministratori sono spesso incaricati di scoprire chi sapeva cosa e quando nel modo più efficiente ed efficace possibile, così da poter rispondere alle richieste relative a vertenze in corso o potenziali, indagini interne e altri scenari. Tali richieste sono spesso urgenti, coinvolgono diversi team di stakeholder e influiscono in modo significativo se non vengono completate in modo tempestivo. Sapere come trovare le informazioni corrette è fondamentale per gli amministratori al fine di completare correttamente le ricerche e aiutare le organizzazioni a gestire i rischi e i costi associati ai requisiti di eDiscovery.
Quando viene inviata una richiesta di eDiscovery, spesso sono disponibili solo informazioni parziali con cui l'amministratore può iniziare a raccogliere contenuti eventualmente correlati a una particolare indagine. La richiesta può includere nomi di dipendenti, titoli di progetto, intervalli di date approssimative in cui il progetto era attivo e non molto altro ancora. Sulla base di queste informazioni, l'amministratore deve creare query per trovare contenuti pertinenti nei servizi di Microsoft 365 e determinare le informazioni necessarie per un determinato progetto o soggetto. Comprendere come vengono archiviate e gestite le informazioni per questi servizi consente agli amministratori di trovare in modo più efficiente ciò di cui hanno bisogno in maniera rapida ed efficace.
Email, chat, riunioni, Microsoft 365 Copilot e Microsoft Copilot dati dell'attività (richieste utente e risposte copilot) vengono tutti archiviati in Exchange Online. Sono disponibili diverse proprietà di comunicazione per la ricerca di elementi inclusi in Exchange Online. Alcune proprietà, ad esempio Da, Inviato, Oggetto e A, sono univoche per determinati elementi e non sono rilevanti per la ricerca di file o documenti in SharePoint e OneDrive for Business. L'inclusione di questi tipi di proprietà durante la ricerca in vari carichi di lavoro può talvolta portare a risultati imprevisti.
Ad esempio, per trovare contenuti correlati a dipendenti specifici (Utente 1 e Utente 2), associati a un progetto denominato Tradewinds e per il periodo da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:
- Aggiungere le posizioni di Exchange Online di Utente 1 e 2 come origini dati al caso
- Selezionare le posizioni di Exchange Online di Utente 1 e 2 come percorsi di raccolta
- Per Parola chiave, usare Tradewinds
- Per Intervallo di date, usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022
Importante
Per le e-mail, quando viene usata una parola chiave, viene eseguita la ricerca dell'oggetto, del corpo e di varie proprietà correlate ai partecipanti. Tuttavia, a causa dell'espansione dei destinatari, la ricerca potrebbe non restituire i risultati previsti quando si usa l'alias o parte dell'alias. È quindi consigliabile usare l'UPN completo.
Proprietà di posta elettronica disponibili per la ricerca
Nella tabella seguente vengono elencate le proprietà dei messaggi di posta elettronica di cui è possibile eseguire la ricerca utilizzando gli strumenti di ricerca di eDiscovery nel portale di conformità o il cmdlet New-ComplianceSearch o Set-ComplianceSearch.
Importante
Anche se i messaggi di posta elettronica possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà e-mail elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà dei messaggi di posta elettronica nelle ricerche non è supportato.
Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi. È possibile digitare queste coppie di property:value
nella casella delle parole chiave per una ricerca di eDiscovery.
Nota
Durante la ricerca delle proprietà dei messaggi di posta elettronica, non è possibile cercare le intestazioni dei messaggi. Le informazioni sulle intestazioni non sono indicizzate per le raccolte. Inoltre, gli elementi in cui la proprietà specificata è vuota o non compilata non sono ricercabili. Ad esempio, l'uso della coppia property:value di subject:"" per cercare i messaggi di posta elettronica con una riga dell'oggetto vuota restituirà zero risultati. Ciò vale anche per la ricerca delle proprietà di siti e contatti.
Proprietà | Descrizione proprietà | Esempi | Risultati di ricerca restituiti dagli esempi |
---|---|---|---|
AttachmentNames | I nomi dei file allegati a un messaggio di posta elettronica. | attachmentnames:annualreport.ppt |
Messaggi che contengono un file allegato denominato annualreport.ppt. Nel secondo esempio, utilizzando il carattere jolly (*) si ottengono dei messaggi contenenti la parola annual nel nome file di un allegato.1 |
Bcc | Il campo Ccn di un messaggio di posta elettronica.1 | bcc:pilarp@contoso.com |
Tutti gli esempi restituiscono messaggi contenenti Pilar Pinilla nel campo Ccn. (Visualizzare Espansione dei destinatari) |
Categoria | Le categorie da cercare. Le categorie possono essere definite dagli utenti tramite Outlook o Outlook per il web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
|
category:"Red Category" |
I messaggi ai quali è stata assegnata la categoria di colore rosso nelle cassette postali di origine. |
Cc | Il campo Cc di un messaggio di posta elettronica.1 | cc:pilarp@contoso.com |
In entrambi gli esempi, vengono restituiti i messaggi contenenti Pilar Pinilla specificati nel campo Cc. (Visualizzare Espansione dei destinatari) |
Folderid | L'ID cartella (GUID) di una cartella di cassetta postale specifica in formato 48 caratteri. Se si utilizza questa proprietà, assicurarsi di cercare nella cassetta postale in cui si trova la cartella specificata. Viene eseguita la ricerca solo nella cartella specificata. Le sottocartelle nella cartella non verranno sottoposte a ricerca. Per cercare nelle sottocartelle, è necessario utilizzare la proprietà Folderid per la sottocartella in cui si vuole eseguire la ricerca. Per altre informazioni sulla ricerca della proprietà Folderid e sull'uso di uno script per ottenere gli ID cartella per una cassetta postale specifica, vedere Usare Ricerca contenuti per raccolte mirate. |
folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 |
Il primo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata. Il secondo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata che sono stati inviati o ricevuti da garthf@contoso.com. |
Da | Il mittente di un messaggio di posta elettronica.1 | from:pilarp@contoso.com |
Messaggi inviati dall'utente specificato. (Visualizzare Espansione dei destinatari) |
HasAttachment | Indica se un messaggio contiene un allegato. Usare i valori vero o falso. | from:pilar@contoso.com AND hasattachment:true |
Messaggi inviati dall'utente specificato con allegati. |
Priorità | La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). | importance:high |
I messaggi contrassegnati con priorità alta, media o bassa. |
IsRead | Indica se i messaggi sono stati letti. Usare i valori vero o falso. | isread:true |
Il primo esempio restituisce i messaggi con la proprietà IsRead impostata su Vero. Il secondo esempio restituisce i messaggi con la proprietà IsRead impostata su Falso. |
Itemclass | Utilizzare questa proprietà per cercare tipi di dati di terze parti specifici importati dall'organizzazione in Office 365. Utilizzare la sintassi seguente per questa proprietà: itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
Il primo esempio restituisce elementi Facebook che contengono la parola "contoso" nella proprietà Subject. Il secondo esempio restituisce gli elementi di Twitter pubblicati da Ann Beebe e contenenti la parola chiave "Northwind Traders". Per un elenco completo dei valori da utilizzare per i tipi di dati di terze parti per la proprietà ItemClass, vedere Usare Ricerca contenuti per cercare i dati di terze parti importati in Office 365. |
Kind | Il tipo di messaggio di posta elettronica da cercare. Valori possibili: contatti docs externaldata faxes im (IM) journals (journal) meetings microsoftteams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams) notes post (inserimenti) rssfeeds attività voicemail |
kind:email |
Il primo esempio restituisce i messaggi di posta elettronica, le chat e i messaggi vocali che soddisfano i criteri di ricerca. Il secondo esempio restituisce i messaggi di posta elettronica, le conversazioni di messaggistica istantanea (comprese le conversazioni Skype for Business e le chat in Microsoft Teams) e i messaggi vocali che soddisfano i criteri di ricerca. Il terzo esempio restituisce gli elementi importati nelle cassette postali di Microsoft 365 da origini dati di terze parti, ad esempio Twitter, Facebook e Cisco Jabber, che soddisfano i criteri di ricerca. Per altre informazioni, vedere Archiviazione di dati di terze parti in Office 365. |
Partecipanti | Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, A, Cc e Ccn.1 | participants:garthf@contoso.com |
Messaggi inviati da o a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com. (Visualizzare Espansione dei destinatari) |
Ricevuto | La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. | received:2021-04-15 |
I messaggi ricevuti il 15 aprile 2021. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2021 e il 31 marzo 2021. |
Destinatari | Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn.1 | recipients:garthf@contoso.com |
Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com. (Visualizzare Espansione dei destinatari) |
Sent | La data in cui un messaggio di posta elettronica viene inviato dal mittente. | sent:2021-07-01 |
I messaggi inviati in una data specifica o entro l'intervallo di date specificato. |
Dimensioni | Le dimensioni di un elemento, in byte. | size>26214400 |
I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce i messaggi di dimensioni comprese tra 1 e 1.048.567 byte (1 MB). |
Oggetto | Il testo nella riga dell'oggetto di un messaggio di posta elettronica.
Nota: Quando si usa la proprietà Subject in una query, la ricerca restituisce tutti i messaggi in cui la riga dell'oggetto contiene il testo che si sta cercando. In altre parole, la query non restituisce solo i messaggi che hanno una corrispondenza esatta. Ad esempio, se si cerca |
subject:"Quarterly Financials" |
Messaggi che contengono la frase "Quarterly Financials" in un punto qualsiasi del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto. |
A | Il camp A di un messaggio di posta elettronica.1 | to:annb@contoso.com |
Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:). |
Nota
1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo e-mail (detto anche nome dell'entità utente o UPN), il nome visualizzato o l'alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.
Espansione del destinatario
Consiglio
Usare la nuova esperienza eDiscovery (anteprima) e generatore di condizioni per usare le proprietà comuni delle cassette postali e del sito, ad esempio MessageID e ChatThreadIds , durante la ricerca di destinatari o messaggi specifici.
Quando si esegue una ricerca in una delle proprietà del destinatario (Da, A, Cc, Ccn, Partecipanti e Destinatari), Microsoft 365 tenta di espandere l'identità di ogni utente cercandoli in Microsoft Entra ID. Se si rileva l'utente in Microsoft Entra ID, la query viene ampliata per includere l'indirizzo e-mail (o UPN) dell'utente, l'alias, il nome visualizzato e LegacyExchangeDN. Ad esempio, una query comeparticipants:ronnie@contoso.com
viene ampliata a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>"
.
Per impedire l'espansione del destinatario, aggiungere un carattere jolly (asterisco) alla fine dell'indirizzo e-mail e usare un nome di dominio ridotto; Ad esempio, participants:"ronnie@contoso*"
Assicurarsi di racchiudere l'indirizzo e-mail tra virgolette doppie.
Tuttavia, tenere presente che impedire l'espansione del destinatario nella query di ricerca può comportare la mancata restituzione di elementi pertinenti nei risultati della ricerca. È possibile salvare i messaggi e-mail in Exchange con formati di testo differenti nei campi dei destinatari. L'espansione del destinatario ha lo scopo di mitigare tale fatto restituendo messaggi che possono contenere formati di testo differenti. Pertanto, impedire l'espansione del destinatario può comportare la mancata restituzione di tutti gli elementi rilevanti per l'indagine nella query di ricerca.
Nota
Se è necessario esaminare o ridurre gli elementi restituiti da una query di ricerca a causa dell'espansione del destinatario, provare a usare eDiscovery (Premium). È possibile cercare messaggi (sfruttando l'espansione del destinatario), aggiungerli a un insieme da rivedere e quindi usare query o filtri dell'insieme da rivedere per esaminare o restringere i risultati. Per altre informazioni, vedere Raccogliere dati per un caso ed Eseguire query sui dati in un insieme da rivedere.
Trovare contenuti SharePoint e OneDrive
Consiglio
Usare la nuova esperienza eDiscovery (anteprima) e cercare le opzioni di esportazione per scaricare tutti gli allegati dell'elenco per i siti di SharePoint.
Quando si cercano documenti e file in SharePoint o OneDrive for Business, può essere opportuno modificare l'approccio della query in base ai metadati per i documenti e ai file di interesse. I file e i documenti hanno proprietà rilevanti, ad esempio Author, Created, CreatedBy, FileName, LastModifiedTime e Title. La maggior parte di queste proprietà non è rilevante quando si cercano contenuti delle comunicazioni in Exchange Online; inoltre, l'uso di queste proprietà può causare risultati imprevisti se si utilizzano le suddette nei documenti e nelle comunicazioni. Inoltre, FileName e Title di un documento potrebbero non essere uguali e l'uso di una o dell'altra proprietà per cercare un file con contenuto specifico potrebbe portare a risultati diversi o imprecisi. Tenere presenti queste proprietà durante la ricerca di contenuti di documenti e file specifici in SharePoint e OneDrive for Business.
Ad esempio, per trovare contenuti correlati ai documenti creati dall'Utente 1, per un progetto denominato Tradewinds, per file specifici denominati Financials e per il periodo compreso tra gennaio 2020 e gennaio 2022, è possibile usare una query con le proprietà seguenti:
- Aggiungere il sito OneDrive for Business dell'Utente 1 come origini dati al caso
- Selezionare il sito OneDrive for Business dell'Utente 1 come percorso della raccolta
- Aggiungere altri percorsi del sito di SharePoint correlati al progetto come percorsi della raccolta
- Per FileName usare Financials
- Per Parola chiave, usare Tradewinds
- Per Intervallo di date, usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022
Proprietà dei siti disponibili per la ricerca
Nella tabella seguente vengono elencate le proprietà SharePoint e OneDrive for Business di cui è possibile eseguire la ricerca utilizzando gli strumenti di ricerca di eDiscovery nel portale di conformità di Microsoft Purview o tramite il cmdlet New-ComplianceSearch o Set-ComplianceSearch cmdlet.
Importante
Anche se i documenti e i file archiviati in SharePoint e OneDrive for Business possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà dei documenti e dei file elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà di documenti o file nelle ricerche non è supportato.
Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi.
Proprietà | Descrizione proprietà | Esempio | Risultati di ricerca restituiti dagli esempi |
---|---|---|---|
Author | Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | author:"Garth Fort" |
Tutti i documenti creati da Garth Fort. |
ContentType | Il tipo di contenuti di SharePoint di un elemento, come Item (Elemento), Document (Documento) o Video (Video). | contenttype:document |
Vengono restituiti tutti i documenti. |
Creazione | La data di creazione di un elemento. | created>=2021-06-01 |
Tutti gli elementi creati a partire dal 1° giugno 2021. |
CreatedBy | L'utente che ha creato o caricato un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | createdby:"Garth Fort" |
Tutti gli elementi creati o caricati da Garth Fort. |
DetectedLanguage | La lingua di un elemento. | detectedlanguage:english |
Tutti gli elementi in lingua inglese. |
DocumentLink | Il percorso (URL) di una cartella specifica in un sito di SharePoint o OneDrive for Business. Se si utilizza questa proprietà, assicurarsi di cercare nel sito in cui si trova la cartella specificata. È consigliabile usare questa proprietà anziché quelle Site e Path. Per restituire gli elementi che si trovano nelle sottocartelle della cartella specificata per la proprietà documentlink, è necessario aggiungere /* all'URL della cartella specificata, per esempio |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
Il primo esempio restituisce tutti gli elementi nella cartella OneDrive for Business. Il secondo esempio restituisce i documenti presenti nella cartella del sito specificata (e tutte le sottocartelle) che contengono la parola "confidential" nel nome del file. |
FileExtension | Estensione di un file; ad esempio docx, one, pptx o xlsx. | fileextension:xlsx |
Tutti i file Excel (Excel 2007 e versioni successive) |
FileName | Il nome di un file. | filename:"marketing plan" |
Il primo esempio restituisce i file con la frase esatta "marketing plan" nel titolo. Il secondo esempio restituisce i file con la parola "estimate" nel nome file. |
LastModifiedTime | La data dell'ultima modifica di un elemento. | lastmodifiedtime>=2021-05-01 |
Il primo esempio restituisce gli elementi che sono stati modificati a partire dal 1° maggio 2021. Il secondo esempio restituisce gli elementi modificati tra il 1° maggio 2021 e il 1° giugno 2021. |
ModifiedBy | L'autore dell'ultima modifica di un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. | modifiedby:"Garth Fort" |
Tutti gli elementi in cui l’ultima modifica è stata apportata da Garth Fort. |
SharedWithUsersOWSUser | Documenti condivisi con l'utente specificato e visualizzati nella pagina Condivisi con l'utente corrente nel sito OneDrive for Business dell'utente. Si tratta di documenti che sono stati condivisi in modo esplicito con l'utente specificato da altre persone dell'organizzazione. Quando si esportano documenti che corrispondono a una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser, i documenti vengono esportati dal percorso del contenuto originale della persona che ha condiviso il documento con l'utente specificato. Per altre informazioni, vedere Ricerca di contenuti dei siti condivisi con l'organizzazione. | sharedwithusersowsuser:garthf |
Entrambi gli esempi restituiscono tutti i documenti interni che sono stati condivisi in modo esplicito con Garth Fort e che vengono visualizzati nella pagina Condivisi con l'utente corrente nell'account OneDrive for Business di Garth Fort. |
Dimensioni | Le dimensioni di un elemento, in byte. | size>=1 |
Il primo esempio restituisce gli elementi di dimensioni maggiori di 1 byte. Il secondo esempio restituisce gli elementi di dimensioni comprese tra 1 e 10.000 byte. |
Titolo | Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È qualcosa di diverso dal nome file del documento. | title:"communication plan" |
Qualsiasi documento contenente la frase "communication plan" nella proprietà di metadati Title di un documento di Office. |
Proprietà dei contatti ricercabili
Nella tabella seguente sono elencate le proprietà dei contatti indicizzate e che è possibile cercare usando gli strumenti di ricerca di eDiscovery. Queste sono le proprietà che gli utenti possono configurare per i contatti (detti anche contatti personali) presenti nella rubrica personale della cassetta postale di un utente. Per cercare i contatti, è possibile selezionare le cassette postali da cercare e quindi usare una o più proprietà dei contatti nella query con parole chiave.
Consiglio
Per cercare valori contenenti spazi o caratteri speciali, usare le virgolette doppie (" ") per includere la frase, come riportato nell'esempio seguente: businessaddress:"123 Main Street"
.
Proprietà | Descrizione proprietà |
---|---|
BusinessAddress | L'indirizzo nella proprietà Business Address. La proprietà è anche denominata indirizzo Work nella pagina delle proprietà del contatto. |
BusinessPhone | Numero di telefono in una qualsiasi delle proprietà del numero Business Phone. |
CompanyName | Il nome nella proprietà Company. |
Reparto | Il nome nella proprietà Department. |
DisplayName | Il nome visualizzato del contatto. Si tratta del nome nella proprietà Full Name del contatto. |
EmailAddress | L'indirizzo per qualsiasi proprietà dell'indirizzo e-mail per il contatto. Gli utenti possono aggiungere diversi indirizzi e-mail per un contatto. L'utilizzo di questa proprietà restituirà i contatti che corrispondono a uno qualsiasi degli indirizzi e-mail del contatto. |
FileAs | La proprietà File as. Questa proprietà viene utilizzata per specificare il modo in cui il contatto è elencato nella lista contatti dell'utente. Ad esempio, un contatto può essere elencato come FirstName, LastName o LastName,FirstName. |
GivenName | Il nome nella proprietà First Name. |
HomeAddress | Indirizzo in una qualsiasi delle proprietà indirizzo Home. |
HomePhone | Numero di telefono in una delle proprietà del numero di telefono Home. |
IMAddress | La proprietà dell'indirizzo di IM, che in genere è un indirizzo e-mail usato per la messaggistica istantanea. |
MiddleName | Il nome nella proprietà Middle name. |
MobilePhone | Numero di telefono nella proprietà Mobile phone. |
Nickname | Il nome nella proprietà Nickname. |
OfficeLocation | Il valore nella proprietà Office o Office location. |
OtherAddress | Valore per la proprietà Other address. |
Surname | Il nome nella proprietà Last name. |
Titolo | Il titolo nella proprietà Job title. |
Operatori di ricerca
Gli operatori di ricerca booleani, come AND, OR e NOT, consentono di definire ricerche più precise nelle cassette postali includendo o escludendo parole specifiche nella query di ricerca. Altre tecniche, come l'utilizzo di operatori di proprietà (come >=
o ..
.), virgolette, parentesi e caratteri jolly, consentono di perfezionare una query di ricerca. Nella tabella seguente vengono elencati gli operatori che è possibile utilizzare per circoscrivere o ampliare i risultati della ricerca.
Nota
1 Utilizzare questo operatore per le proprietà che dispongono di valori numerici o di data.
2 Gli operatori di ricerca booleani devono essere scritti in lettere maiuscole; ad esempio, AND. Se si usa un operatore minuscolo, ad esempio and, verrà considerato come una parola chiave nella query di ricerca.
Condizioni di ricerca
È possibile aggiungere delle condizioni a una query di ricerca per circoscrivere una ricerca e ottenere un set di risultati più preciso. Ogni condizione aggiunge una clausola alla query di ricerca KQL creata ed eseguita all'avvio della ricerca.
- Condizioni per le proprietà comuni
- Condizioni per le proprietà della posta
- Condizioni per le proprietà dei documenti
- Operatori utilizzati con condizioni
- Linee guida per l'uso di condizioni
- Esempi
Condizioni per le proprietà comuni
Creare una condizione utilizzando le proprietà comuni quando si cercano cassette postali e siti nella stessa ricerca. Nella tabella seguente vengono elencate le proprietà disponibili da usare quando si aggiunge una condizione.
Condizione | Descrizione |
---|---|
Data | Per la posta elettronica, la data di creazione o importazione di un messaggio da un file PST. Per i documenti, la data dell'ultima modifica apportata. Se si cercano messaggi di posta elettronica per un periodo di tempo specifico, è consigliabile usare le condizioni Ricevuto and Inviato se non si è certi che i messaggi di posta elettronica siano stati importati anziché creati in modo nativo in Exchange. |
Mittente/autore | Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, l'utente menzionato nel campo dell'autore dei documenti di Office. È possibile digitare più nomi, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR. (Visualizzare Espansione dei destinatari) |
Dimensioni (in byte) | Per la posta elettronica e i documenti, la dimensione dell'elemento (in byte). |
Oggetto/Titolo | Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. Come illustrato in precedenza, la proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più valori oggetto/titolo separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR. Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore. |
Etichetta di conservazione | Sia per l'e-mail che per i documenti, è possibile applicare le etichette di conservazione automaticamente o manualmente a messaggi e documenti. È possibile usare le etichette di conservazione per dichiarare i record e semplificare la gestione del ciclo di vita dei dati dei contenuti applicando le regole di conservazione ed eliminazione specificate dall'etichetta. È possibile digitare parte del nome dell'etichetta di conservazione e usare un carattere jolly, oppure digitare il nome completo dell'etichetta. Per saperne di più sulle etichette di conservazione, vedere Informazioni sui criteri e sulle etichette di conservazione. |
Condizioni per le proprietà della posta
Creare una condizione utilizzando le proprietà della posta quando si effettuano ricerche in cassette postali o cartelle pubbliche in Exchange Online. Nella tabella seguente vengono elencate le proprietà della posta elettronica che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà e-mail descritte in precedenza. Queste descrizioni vengono ripetute per praticità.
Condizione | Descrizione |
---|---|
Tipo di messaggio | Il tipo di messaggio da cercare. Corrisponde alla proprietà della posta elettronica Kind (Tipo). Valori possibili:
|
Partecipanti | Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn. (Visualizzare Espansione dei destinatari) |
Tipo | Proprietà della classe messaggio per un elemento e-mail. Corrisponde alla proprietà dell'e-mail ItemClass. È anche una condizione multivalore. Di conseguenza, per selezionare più classi di messaggi, tenere premuto il tasto CTRL e selezionare due o più classi di messaggi nell'elenco a discesa che si desidera aggiungere alla condizione. Ogni classe di messaggio selezionata nell'elenco verrà connessa logicamente dall'operatore OR nella query di ricerca corrispondente. Per un elenco delle classi di messaggi (e del relativo ID classe messaggio corrispondente) usate da Exchange e che è possibile selezionare nell'elenco Classe messaggio, vedere Tipi di elemento e classi di messaggio. |
Ricevuto | La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. Corrisponde alla proprietà della posta elettronica Received (Ricevuto). |
Destinatari | Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn. (Visualizzare Espansione dei destinatari) |
Mittente | Il mittente di un messaggio di posta elettronica. |
Sent | La data in cui un messaggio di posta elettronica viene inviato dal mittente. Corrisponde alla proprietà della posta elettronica Sent (Inviato). |
Oggetto | Il testo nella riga dell'oggetto di un messaggio di posta elettronica. Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore. |
A | Destinatario di un messaggio di posta elettronica nel campo A. |
Condizioni per le proprietà dei documenti
Creare una condizione utilizzando le proprietà dei documenti quando si cercano documenti sui siti di SharePoint e OneDrive for Business. Nella tabella seguente vengono elencate le proprietà dei documenti che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà del sito descritte in precedenza. Queste descrizioni vengono ripetute per praticità.
Condizione | Descrizione |
---|---|
Author | Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale. |
Titolo | Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Office. È diverso dal nome file del documento. |
Creazione | La data di creazione di un documento. |
Data ultima modifica | La data dell'ultima modifica di un documento. |
Tipo di file | Estensione di un file; ad esempio docx, one, pptx o xlsx. Corrisponde alla proprietà dei siti FileExtension.
Nota: se si include una condizione File type usando l'operatore Uguale o Uguale a qualsiasi in una query di ricerca, non è possibile usare una ricerca di prefissi (includendo il carattere jolly ( * ) alla fine del tipo di file) per restituire tutte le versioni di un tipo di file. In caso contrario, il carattere jolly verrà ignorato. Se ad esempio si include la condizione |
Operatori utilizzati con condizioni
Quando si aggiunge una condizione, è possibile selezionare un operatore pertinente al tipo di proprietà per la condizione. Nella tabella seguente vengono descritti gli operatori utilizzati con condizioni e ne vengono elencati gli equivalenti utilizzati nella query di ricerca.
Operatore | Equivalente nella query | Descrizione |
---|---|---|
Dopo | property>date |
Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati dopo la data specificata. |
Prima | property<date |
Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati prima della data specificata. |
Between | date..date |
Utilizzato con condizioni relative alla data e alla dimensione. Se utilizzato con una condizione relativa alla data, restituisce gli elementi che sono stati inviati, ricevuti o modificati entro l'intervallo di date specificato. Se utilizzato con una condizione relativa alla dimensione, restituisce gli elementi di dimensioni comprese nell'intervallo specificato. |
Contains any of | (property:value) OR (property:value) |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che contengono una parte qualsiasi di uno o più valori di stringa specificati. |
Doesn't contain any of | -property:value |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono parti del valore di stringa specificato. |
Doesn't equal any of | -property=value |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono la stringa specificata. |
Uguale | size=value |
Restituisce gli elementi equivalenti alla dimensione specificata.1 |
Equals any of | (property=value) OR (property=value) |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che corrispondono esattamente a uno o più valori di stringa specificati. |
Greater | size>value |
Restituisce gli elementi dove la proprietà specificata è maggiore del valore indicato.1 |
Greater or equal | size>=value |
Restituisce gli elementi dove la proprietà specificata è maggiore o uguale al valore indicato.1 |
Less | size<value |
Restituisce gli elementi maggiori o uguali al valore specificato.1 |
Less or equal | size<=value |
Restituisce gli elementi maggiori o uguali al valore specificato.1 |
Not equal | size<>value |
Restituisce gli elementi che non sono equivalenti alla dimensione specificata.1 |
Nota
1 Questo operatore è disponibile solo per le condizioni che utilizzano la proprietà Size.
Linee guida per l'uso di condizioni
Tenere presente quanto segue quando si utilizzano le condizioni di ricerca.
Una condizione è collegata logicamente alla query con parola chiave (specificata nella relativa casella) dall'operatore AND. Ciò significa che, per essere inclusi nei risultati, gli elementi devono soddisfare sia la query con parola chiave, sia la condizione. Ecco in che modo le condizioni aiutano a limitare i risultati.
Se si aggiungono due o più condizioni a una query di ricerca (condizioni che specificano proprietà diverse), queste sono collegate logicamente dall'operatore AND. Ciò significa che vengono restituiti solo gli elementi che soddisfano tutte le condizioni (oltre alle query con parole chiave).
Se si aggiunge più di una condizione per la stessa proprietà, tali condizioni vengono collegate logicamente dall'operatore OR. Ciò significa che vengono restituiti gli elementi che soddisfano la query con parola chiave e una delle condizioni. Pertanto, i gruppi con le stesse condizioni vengono collegati tra loro dall'operatore OR, quindi gli insiemi di condizioni univoche vengono collegati dall'operatore AND.
Se si aggiungono più valori (separati da virgole o due punti) a una singola condizione, tali valori vengono collegati dall'operatore OR. Di conseguenza, vengono restituiti elementi se contengono uno qualsiasi dei valori specificati per la proprietà nella condizione.
Qualsiasi condizione che usa un operatore con logica Contains e Equals restituirà risultati di ricerca simili per ricerche di stringhe semplici. Una ricerca di stringa semplice è una stringa nella condizione che non include un carattere jolly). Ad esempio, una condizione che usa Equals any of restituirà gli stessi elementi di una condizione che usa Contains any of.
La query di ricerca che viene creata utilizzando la casella delle parole chiave e le condizioni viene visualizzata nella pagina Ricerca, nel riquadro dei dettagli della ricerca selezionata. In una query, tutto ciò che si trova a destra della notazione
(c:c)
indica le condizioni che sono state aggiunte alla query.(c:c)
non deve essere usato nelle query inserite manualmente e non è uguale a AND o OR.Le condizioni aggiungono solo le proprietà alla query di ricerca, non gli operatori. Ciò dipende dal fatto che la query visualizzata nel riquadro dei dettagli non mostra gli operatori a destra della notazione
(c:c)
. KQL aggiunge gli operatori logici (in base alle regole illustrate in precedenza) quando viene eseguita la query.È possibile utilizzare il controllo di trascinamento della selezione per modificare l'ordine delle condizioni. Selezionare il controllo di una condizione e spostarlo verso l'alto o verso il basso.
Come descritto in precedenza, alcune proprietà delle condizioni consentono di digitare più valori (separati da punto e virgola). I valori sono collegati logicamente dall'operatore OR e producono la query
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)
. La figura seguente mostra un esempio di una condizione con più valori.Nota
Non è possibile aggiungere più condizioni (selezionando Aggiungi condizione per la stessa proprietà). È invece necessario fornire più valori per la condizione (separati da punti e virgola), come illustrato nell'esempio precedente.
Esempi
Negli esempi seguenti viene mostrata la versione basata su GUI di una query di ricerca con condizioni, la sintassi della query di ricerca visualizzata nel riquadro dei dettagli della ricerca selezionata (che viene restituita anche dal cmdlet Get-ComplianceSearch) e la logica della query KQL corrispondente.
Esempio 1
In questo esempio vengono restituiti i documenti o gli elementi della posta elettronica che contengono la parola chiave "report", che sono stati inviati o creati prima del 1° aprile 2021 e che contengono la parola "northwind" nel campo dell'oggetto dei messaggi di posta elettronica o nella proprietà del titolo dei documenti. La query esclude le pagine Web che soddisfano gli altri criteri della ricerca.
GUI:
Sintassi della query di ricerca:
report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)
Logica della query di ricerca:
report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)
Esempio 2
In questo esempio vengono restituiti i messaggi di posta elettronica o le riunioni del calendario inviate tra il 1° dicembre 2019 e il 30 novembre 2020 e che contengono parole che iniziano con "phone" o "smartphone".
GUI:
Sintassi della query di ricerca:
phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")
Logica della query di ricerca:
phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))
Caratteri speciali
Alcuni caratteri speciali non sono inclusi nell'indice di ricerca e pertanto non sono ricercabili. Essi comprendono anche i caratteri speciali che rappresentano gli operatori di ricerca nella query di ricerca. Di seguito è riportato un elenco di caratteri speciali sostituiti da uno spazio vuoto nella query di ricerca effettiva o che causano un errore di ricerca.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Tipi di dati sensibili disponibili per la ricerca
È possibile utilizzare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare dati sensibili, come numeri di carte di credito o numeri di previdenza sociale, memorizzati nei documenti sui siti di SharePoint e OneDrive Business. A tale scopo, usare la proprietà SensitiveType
e il nome (o ID) di un tipo di informazioni sensibili in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number"
restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)"
restituisce i documenti che contengono un codice fiscale degli Stati Uniti.
Per visualizzare un elenco dei tipi di informazioni sensibili di cui è possibile eseguire la ricerca, andare a Classificazioni dei dati>Tipi di informazioni sensibili nel portale di conformità. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in Sicurezza e conformità PowerShell per visualizzare un elenco di tipi di informazioni sensibili.
Limitazioni per la ricerca di tipi di dati sensibili
Per cercare tipi di informazioni sensibili personalizzati, è necessario specificare l'ID del tipo di informazioni sensibili nella proprietà
SensitiveType
. L'uso del nome di un tipo di informazioni sensibili personalizzato (come illustrato nell'esempio sui tipi di informazioni sensibili predefiniti nella sezione precedente) non restituirà alcun risultato. Usare la colonna Server di pubblicazione nella pagina Tipi di informazioni sensibili nel portale di conformità (o la proprietà Server di pubblicazione in PowerShell) per distinguere tra tipi di informazioni sensibili predefiniti e personalizzati. I tipi di dati sensibili predefiniti hanno un valoreMicrosoft Corporation
per la proprietà Server di pubblicazione.Per visualizzare il nome e l'ID per i tipi di dati sensibili personalizzati nell'organizzazione, eseguire il comando seguente in Sicurezza e conformità PowerShell:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
È quindi possibile utilizzare l'ID nella proprietà di ricerca
SensitiveType
per restituire i documenti che contengono il tipo di dati sensibili personalizzato, ad esempioSensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
Non è possibile usare i tipi di informazioni riservate e la proprietà di ricerca
SensitiveType
per cercare i dati sensibili inattivi nelle cassette postali di Exchange Online. Sono inclusi messaggi di chat 1:1, i messaggi di chat di gruppo 1:N e conversazioni del canale del team in Microsoft Teams, in quanto tutti questi contenuti sono archiviati nelle cassette postali. Tuttavia, è possibile usare i criteri di prevenzione della perdita dei dati (DLP) per proteggere i dati e-mail sensibili in movimento. Per altre informazioni, vedere Informazioni sulla prevenzione della perdita di dati e Cercare e trovare dati personali.
Ricerca di contenuti dei siti condivisi con utenti esterni
È possibile utilizzare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare i documenti archiviati sui siti di SharePoint e OneDrive for Business che sono stati condivisi con utenti esterni all'organizzazione. Ciò consente di identificare informazioni proprietarie o sensibili condivise all'esterno dell'organizzazione. È possibile effettuare questa operazione utilizzando la proprietà ViewableByExternalUsers
in una query con parole chiave. Questa proprietà restituisce documenti o siti condivisi con utenti esterni usando uno dei metodi di condivisione seguenti:
- Un invito alla condivisione che richiede agli utenti di accedere all'organizzazione come utenti autenticati.
- Un collegamento guest anonimo, che consente a chiunque sia in possesso di questo link di accedere alla risorsa senza eseguire l'autenticazione.
Ecco alcuni esempi:
- La query
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
restituisce tutti gli elementi che sono stati condivisi con utenti all'esterno dell'organizzazione e che contengono un numero di carta di credito. - La query
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
restituisce un elenco di documenti su tutti i siti dei team nell'organizzazione che sono stati condivisi con utenti esterni.
Consiglio
Una query di ricerca come ViewableByExternalUsers:true AND ContentType:document
può restituire molti file con estensione .aspx nei risultati della ricerca. Per eliminare questi o altri tipi di file, è possibile utilizzare la proprietà FileExtension
per escludere tipi di file specifici; ad esempio ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
.
Cosa è considerato un contenuto condiviso con persone esterne all'organizzazione? I documenti nei siti SharePoint e OneDrive for Business dell'organizzazione che sono condivisi inviando un invito alla condivisione o che sono condivisi in percorsi pubblici. Ad esempio, le attività degli utenti seguenti producono dei contenuti visualizzabili da utenti esterni:
- Un utente condivide un file o una cartella con una persona esterna all'organizzazione.
- Un utente crea e invia un collegamento a un file condiviso a una persona esterna all'organizzazione. Questo collegamento consente all'utente esterno di visualizzare (o modificare) il file.
- Un utente invia un invito alla condivisione o un collegamento guest a una persona esterna all'organizzazione per visualizzare (o modificare) un file condiviso.
Problemi relativi all'utilizzo della proprietà ViewableByExternalUsers
Anche se la proprietà ViewableByExternalUsers
indica se un documento o un sito è stato condiviso con utenti esterni, esistono alcune avvertenze su ciò che questa proprietà riflette o meno. Negli scenari seguenti, il valore della proprietà ViewableByExternalUsers
non verrà aggiornato e i risultati di una query di ricerca che usa questa proprietà potrebbero non essere accurati.
- Modifiche ai criteri di condivisione, ad esempio la disattivazione della condivisione esterna per un sito o per l'organizzazione. La proprietà mostrerà comunque i documenti condivisi in precedenza come accessibili esternamente, anche se l'accesso esterno potrebbe essere stato revocato.
- Modifiche all'appartenenza a gruppi, ad esempio l'aggiunta o la rimozione di utenti esterni ai Gruppi di Microsoft 365 o ai gruppi di Sicurezza di Microsoft 365. La proprietà non verrà aggiornata automaticamente per gli elementi a cui il gruppo ha accesso.
- Invio di inviti di condivisione a utenti esterni in cui il destinatario non ha accettato l'invito e pertanto non ha ancora accesso al contenuto.
In questi scenari, la proprietà ViewableByExternalUsers
non rifletterà lo stato di condivisione corrente fino a quando il sito o la raccolta documenti non viene sottoposta di nuovo a ricerca o indicizzazione.
Ricerca di contenuti dei siti condivisi all'interno dell'organizzazione
Come spiegato in precedenza, è possibile usare la proprietà SharedWithUsersOWSUser
in modo da cercare i documenti condivisi tra gli utenti dell'organizzazione. Quando una persona condivide un file (o una cartella) con un altro utente all'interno dell'organizzazione, un link al file condiviso viene visualizzato nella pagina Condivisi con l'utente corrente nell'account OneDrive for Business della persona con cui è stato condiviso il file. Ad esempio, per cercare i documenti condivisi con Sara Davis, è possibile usare la query SharedWithUsersOWSUser:"sarad@contoso.com"
. Se si esportano i risultati di questa ricerca, verranno scaricati i documenti originali (che si trovano nel percorso dei contenuti della persona che ha condiviso i documenti con Sara).
Perché siano restituiti nei risultati della ricerca quando si usa la proprietà SharedWithUsersOWSUser
, i documenti devono essere condivisi in modo esplicito con un utente specifico. Ad esempio, quando una persona condivide un documento nel proprio account OneDrive, ha la possibilità di condividerlo con chiunque (all'interno o all'esterno dell'organizzazione), solo con persone all'interno dell'organizzazione o con una persona specifica. Di seguito è disponibile uno screenshot della finestra Condividi in OneDrive che mostra le tre opzioni di condivisione.
Una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser
restituisce solo i documenti condivisi tramite la terza opzione (condiviso con Persone specifiche).
Ricerca di conversazioni Skype for Business
È possibile usare la query con parole chiave seguente per cercare in modo specifico il contenuto nelle conversazioni Skype for Business:
kind:im
La query di ricerca precedente restituisce anche chat di Microsoft Teams. Per evitare questo errore, è possibile limitare i risultati della ricerca in modo da includere solo conversazioni Skype for Business usando la query con parole chiave seguente:
kind:im AND subject:conversation
La query con parole chiave precedente esclude le chat in Microsoft Teams perché le conversazioni Skype for Business vengono salvate come messaggi e-mail con una riga dell'oggetto che inizia con la parola "Conversazione".
Per cercare conversazioni Skype for Business che hanno avuto luogo entro un intervallo di date specifico, usare la query con parole chiave seguente:
kind:im AND subject:conversation AND (received=startdate..enddate)
Limiti dei caratteri per le ricerche
È previsto un limite di 4.000 caratteri per le query di ricerca durante la ricerca di contenuti nei siti di SharePoint e negli account di OneDrive. Ecco come viene calcolato il numero totale di caratteri nella query di ricerca:
- I caratteri nella query di ricerca con parole chiave (inclusi i campi utente e filtro) vengono conteggiati rispetto a questo limite.
- I caratteri in qualsiasi proprietà location (ad esempio gli URL per tutti i siti di SharePoint o i percorsi di OneDrive in cui viene eseguita la ricerca) vengono conteggiati rispetto a questo limite.
- I caratteri in tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca vengono conteggiati rispetto a questo limite.
Per altre informazioni sui limiti dei caratteri, vedere Limiti delle ricerche di eDiscovery.
Nota
Il limite di 4.000 caratteri si applica a Ricerca contenuto, eDiscovery (Standard) ed eDiscovery (Premium).