- Artículo
En este artículo se describen las propiedades disponibles para ayudar a encontrar contenido entre correo electrónico y chat en Exchange Online y documentos y archivos almacenados en SharePoint y OneDrive para la Empresa mediante las herramientas de búsqueda de eDiscovery en el portal de cumplimiento Microsoft Purview.
Esto incluye búsqueda de contenido, Microsoft Purview eDiscovery (estándar) y Microsoft Purview eDiscovery (Premium) (las búsquedas de eDiscovery en eDiscovery (Premium) se denominan colecciones). También puede usar los cmdlets *-ComplianceSearch en para buscar estas propiedades.
En este artículo también se describe lo siguiente:
- Usar operadores de búsqueda booleanos, condiciones de búsqueda y otras técnicas de consulta de búsqueda para refinar los resultados de la búsqueda.
- Buscar comunicaciones de varios tipos relacionados con empleados y proyectos específicos durante un período de tiempo específico.
- Buscar contenido del sitio relacionado con un proyecto específico, empleados o sujetos durante un período de tiempo específico.
Para obtener instrucciones paso a paso sobre cómo crear diferentes búsquedas de exhibición de documentos electrónicos, consulte:
- Búsqueda de contenido
- Búsqueda de contenido en eDiscovery (estándar)
- Creación de una estimación de colección en eDiscovery (Premium)
Nota:
Las búsquedas de eDiscovery en el portal de cumplimiento y los cmdlets *-ComplianceSearch correspondientes de PowerShell de cumplimiento de seguridad & usan el lenguaje de consulta de palabras clave (KQL). Para obtener información más detallada, vea Referencia de sintaxis del lenguaje de consulta de palabras clave.
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Trucos y sugerencias de búsqueda
- La zona horaria para todas las búsquedas es hora universal coordinada (UTC). Actualmente no se admite el cambio de zonas horarias para su organización.
- Las búsquedas de palabras clave no distinguen mayúsculas de minúsculas. Por ejemplo, tanto si escribe gato como GATO, obtendrá los mismos resultados.
- Los operadores booleanos AND, OR, NOT y NEAR deben estar en mayúsculas.
- Un espacio entre dos palabras clave o dos
property:valueexpresiones es el mismo que el uso de AND. Por ejemplo,from:"Sara Davis" subject:reorganizationdevuelve todos los mensajes enviados por Sara Davis que contienen la palabra reorganización en la línea de asunto. - Use la sintaxis que coincida con el
property:valueformato. Los valores no distinguen mayúsculas de minúsculas y no pueden tener un espacio después del operador . Si hay un espacio, el valor previsto será una búsqueda de texto completo. Por ejemploto: pilarp, busca "pilarp" como palabra clave, en lugar de mensajes enviados a pilarp. - Al buscar una propiedad de destinatario, como Para, De, Cc o los destinatarios, puede utilizar una dirección SMTP, un alias o un nombre para mostrar para indicar un destinatario. Por ejemplo, puede usar pilarp@contoso.com, pilarp o "Pilar Pinilla".
- Solo puede usar búsquedas de prefijos; por ejemplo, cat* o set*. No se admiten las búsquedas de sufijos (*cat), las búsquedas de infijo (c*t) y las búsquedas de subcadenas (*cat*).
- Al buscar una propiedad, use comillas dobles (" ") si el valor de búsqueda consta de varias palabras. Por ejemplo,
subject:budget Q1devuelve mensajes que contienen presupuesto en la línea de asunto y que contienen Q1 en cualquier lugar del mensaje o en cualquiera de las propiedades del mensaje. El usosubject:"budget Q1"devuelve todos los mensajes que contienen el presupuesto Q1 en cualquier lugar de la línea de asunto. - Para excluir de los resultados de la búsqueda el contenido marcado con un valor de propiedad determinado, coloque un signo menos (-) delante del nombre de la propiedad. Por ejemplo,
-from:"Sara Davis"excluye los mensajes enviados por Sara Davis. - Puede exportar elementos en función del tipo de mensaje. Por ejemplo, para exportar conversaciones y chats de Skype en Microsoft Teams, use la sintaxis
kind:im. Para devolver solo mensajes de correo electrónico, usaríakind:email. Para devolver chats, reuniones y llamadas en Microsoft Teams, usekind:microsoftteams. - Al buscar sitios, tiene que agregar el final
/al final de la dirección URL cuando se usa lapathpropiedad para devolver solo los elementos de un sitio especificado. Si no incluye el final/, también se devolverán los elementos de un sitio con un nombre de ruta de acceso similar. Por ejemplo, si usapath:sites/HelloWorldelementos de sitios denominadossites/HelloWorld_Eastosites/HelloWorld_Westtambién se devolverán. Para devolver elementos solo del sitio HelloWorld, debe usarpath:sites/HelloWorld/. - El país o región del lenguaje de consulta debe definirse en la consulta de búsqueda antes de recopilar contenido.
- Al buscar correos electrónicos en las carpetas enviadas , no se admite el uso de la dirección SMTP para el remitente. Los elementos de la carpeta Sent solo contienen nombres para mostrar.
Búsqueda de contenido en Exchange Online
A menudo, los administradores se encargan de averiguar quién sabía cuándo, de la manera más eficaz y eficaz posible, responder a las solicitudes relacionadas con litigios en curso o potenciales, investigaciones internas y otros escenarios. Estas solicitudes suelen ser urgentes, implican a varios equipos de partes interesadas y tienen un impacto significativo si no se completan a tiempo. Saber cómo encontrar la información adecuada es fundamental para que los administradores completen búsquedas correctamente y ayuden a sus organizaciones a administrar el riesgo y el costo asociados a los requisitos de eDiscovery.
Cuando se envía una solicitud de exhibición de documentos electrónicos, a menudo solo hay información parcial disponible para que el administrador empiece a recopilar contenido que pueda estar relacionado con una investigación determinada. La solicitud puede incluir nombres de empleados, títulos de proyecto, intervalos de fechas aproximadas cuando el proyecto estaba activo y no mucho más. A partir de esta información, el administrador debe crear consultas para encontrar contenido relevante en los servicios de Microsoft 365 a fin de determinar la información necesaria para un proyecto o sujeto determinado. Comprender cómo se almacena y administra la información para estos servicios ayudará a los administradores a encontrar de forma más eficaz lo que necesitan de forma rápida y eficaz.
Email, chat e información de reuniones se almacenan en Exchange Online. Hay muchas propiedades de comunicación disponibles para buscar elementos incluidos en Exchange Online. Algunas propiedades como From, Sent, Subject y To son únicas para determinados elementos y no son pertinentes al buscar archivos o documentos en SharePoint y OneDrive para la Empresa. Incluir estos tipos de propiedades al buscar en cargas de trabajo a veces puede dar lugar a resultados inesperados.
Por ejemplo, para buscar contenido relacionado con empleados específicos (usuario 1 y usuario 2), asociado a un proyecto denominado Tradewinds, y entre enero de 2020 y enero de 2022, puede usar una consulta con las siguientes propiedades:
- Agregar las ubicaciones de Exchange Online del usuario 1 y el usuario 2 como orígenes de datos al caso
- Seleccione las ubicaciones de Exchange Online del usuario 1 y del usuario 2 como ubicaciones de recopilación.
- Para la palabra clave , use Tradewinds.
- Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .
Propiedades del correo electrónico que permiten búsquedas
En la tabla siguiente se enumeran las propiedades del mensaje de correo electrónico que se pueden buscar mediante las herramientas de búsqueda de eDiscovery en el portal de cumplimiento o mediante New-ComplianceSearch o el cmdlet Set-ComplianceSearch .
Importante
Aunque los mensajes de correo electrónico pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, solo se admiten las propiedades de correo electrónico enumeradas en esta tabla en las herramientas de búsqueda de eDiscovery. No se admite el intento de incluir otras propiedades de mensajes de correo electrónico en las búsquedas.
La tabla incluye un ejemplo de la sintaxis property:value para cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos. Puede escribir estos property:value pares en el cuadro palabras clave para una búsqueda de exhibición de documentos electrónicos.
Nota:
Al buscar propiedades de correo electrónico, no es posible buscar encabezados de mensaje. La información de encabezado no se indexa para las colecciones. Además, los elementos en los que la propiedad especificada está vacía o en blanco no se pueden buscar. Por ejemplo, el uso del par property:value de subject:"" para buscar mensajes de correo electrónico con una línea de asunto vacía devolverá cero resultados. Esto también se aplica al buscar propiedades de sitio y contacto.
| Propiedad | Descripción de la propiedad | Ejemplos | Resultados de la búsqueda devueltos por los ejemplos |
|---|---|---|---|
| AttachmentNames | Los nombres de los archivos adjuntos a un mensaje de correo electrónico. | attachmentnames:annualreport.ppt | Mensajes que tienen un archivo adjunto denominado annualreport.ppt. En el segundo ejemplo, el uso del carácter comodín ( * ) devuelve mensajes con la palabra anual en el nombre de archivo de un archivo adjunto. 1 |
| Bcc | Campo CCO de un mensaje de correo electrónico. 1 | bcc:pilarp@contoso.com | Todos los ejemplos devuelven mensajes con Pilar Pinilla incluido en el campo CCO. (Consulte Expansión de destinatarios) |
| Categoría | Las categorías para buscar. Los usuarios pueden definir categorías mediante Outlook o Outlook en la Web (anteriormente conocidas como Outlook Web App). Los valores posibles son:
| category:"Red Category" | Mensajes a los que se ha asignado la categoría roja en los buzones de origen. |
| Cc | Campo Cc de un mensaje de correo electrónico. 1 | cc:pilarp@contoso.com | En ambos ejemplos, los mensajes con Pilar Pinilla especificados en el campo Cc. (Consulte Expansión de destinatarios) |
| Folderid | Identificador de carpeta (GUID) de una carpeta de buzón específica en formato de 48 caracteres. Si usa esta propiedad, asegúrese de buscar en el buzón en el que se encuentra la carpeta especificada. Solo se buscará la carpeta especificada. No se buscarán las subcarpetas de la carpeta. Para buscar subcarpetas, debe usar la propiedad Folderid para la subcarpeta que desea buscar. Para obtener más información sobre cómo buscar la propiedad Folderid y usar un script para obtener los identificadores de carpeta de un buzón específico, vea Usar búsqueda de contenido para colecciones de destino. | folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000 | En el primer ejemplo se devuelven todos los elementos de la carpeta de buzón especificada. En el segundo ejemplo se devuelven todos los elementos de la carpeta de buzón especificada enviadas o recibidas por garthf@contoso.com. |
| From | El remitente de un mensaje de correo electrónico.1 | from:pilarp@contoso.com | Mensajes enviados por el usuario especificado. (Consulte Expansión de destinatarios) |
| HasAttachment | Indica si un mensaje tiene datos adjuntos. Use los valores true o false. | from:pilar@contoso.com AND hasattachment:true | Mensajes enviados por el usuario especificado que tienen datos adjuntos. |
| Importancia | La importancia de un mensaje de correo electrónico, que un remitente puede especificar al enviar un mensaje. De manera predeterminada, los mensajes se envían con importancia normal, a menos que el remitente establezca la importancia como alta o baja. | importance:high | Los mensajes que están marcados con importancia alta, importancia media o importancia baja. |
| IsRead | Indica si se han leído los mensajes. Use los valores true o false. | isread:true | El primer ejemplo devuelve mensajes con la propiedad IsRead establecida en True. El segundo ejemplo devuelve mensajes con la propiedad IsRead establecida en False. |
| ItemClass | Use esta propiedad para buscar tipos de datos de terceros específicos que la organización importó a Office 365. Use la sintaxis siguiente para esta propiedad: itemclass:ipm.externaldata.<third-party data type>* | itemclass:ipm.externaldata.Facebook* AND subject:contoso | El primer ejemplo devuelve elementos de Facebook que contienen la palabra "contoso" en la propiedad Subject. El segundo ejemplo devuelve elementos de Twitter publicados por Ann Beebe y que contienen la frase de palabra clave "Northwind Traders". Para obtener una lista completa de los valores que se usarán para los tipos de datos de terceros para la propiedad ItemClass, vea Usar búsqueda de contenido para buscar datos de terceros importados a Office 365. |
| Tipo | Tipo de mensaje de correo electrónico que se va a buscar. Posibles valores: contactos documentos correo electrónico externaldata faxes mensajería instantánea diarios reuniones microsoftteams (devuelve elementos de chats, reuniones y llamadas en Microsoft Teams) notas entradas fuentes rss tareas correo de voz | kind:email | El primer ejemplo devuelve mensajes de correo electrónico que cumplen los criterios de búsqueda. El segundo ejemplo devuelve mensajes de correo electrónico, conversaciones de mensajería instantánea (incluidas Skype Empresarial conversaciones y chats en Microsoft Teams) y mensajes de voz que cumplen los criterios de búsqueda. El tercer ejemplo devuelve elementos importados a buzones de Microsoft 365 de orígenes de datos de terceros, como Twitter, Facebook y Cisco Jabber que cumplen los criterios de búsqueda. Para obtener más información, consulte Archivado de datos de terceros en Office 365. |
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc.1 | participants:garthf@contoso.com | Mensajes enviados por o enviados a garthf@contoso.com. El segundo ejemplo devuelve todos los mensajes enviados por o a un usuario en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Cantidad.Recibida | La fecha en la que un destinatario recibió un mensaje de correo electrónico. | received:2021-04-15 | Mensajes recibidos el 15 de abril de 2021. El segundo ejemplo devuelve todos los mensajes recibidos entre el 1 de enero de 2021 y el 31 de marzo de 2021. |
| Recipientes | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc.1 | recipients:garthf@contoso.com | Mensajes enviados a garthf@contoso.com. El segundo ejemplo devuelve los mensajes enviados a todos los destinatarios en el dominio contoso.com. (Consulte Expansión de destinatarios) |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. | sent:2021-07-01 | Mensajes que se enviaron en la fecha especificada o que se enviaron dentro del intervalo de fechas especificado. |
| Size | El tamaño de un elemento, en bytes. | size>26214400 | Mensajes de más de 25 MB. El segundo ejemplo devuelve los mensajes que tienen un tamaño de entre 1 y 1 048 567 bytes (1 MB). |
| Subject | El texto en la línea de asunto de un mensaje de correo electrónico. Nota: Cuando se usa la propiedad Subject en una consulta, la búsqueda devuelve todos los mensajes en los que la línea de asunto contiene el texto que está buscando. En otras palabras, la consulta no devuelve solo los mensajes que tienen una coincidencia exacta. Por ejemplo, si busca | subject:"Quarterly Financials" | Mensajes que contienen la frase "Quarterly Financials" en cualquier parte del texto de la línea de asunto. El segundo ejemplo devuelve todos los mensajes que contienen la palabra northwind en la línea de asunto. |
| To | El campo Para de un mensaje de correo electrónico.1 | to:annb@contoso.com | Todos los ejemplos devuelven mensajes en los que Ann Beebe está especificada en la línea Para. |
Nota:
1 Para el valor de una propiedad de destinatario, puede usar la dirección de correo electrónico (también denominada nombre principal de usuario o UPN), nombre para mostrar o alias para especificar un usuario. Por ejemplo, puede usar annb@contoso.com, annb o "Ann Beebe" para especificar el usuario Ann Beebe.
Expansión de destinatarios
Al buscar en cualquiera de las propiedades de destinatario (From, To, Cc, Bcc, Participants y Recipients), Microsoft 365 intenta expandir la identidad de cada usuario buscándola en Azure Active Directory (Azure AD). Si el usuario se encuentra en Azure AD, la consulta se expande para incluir la dirección de correo electrónico del usuario (o UPN), el alias, el nombre para mostrar y LegacyExchangeDN. Por ejemplo, una consulta como participants:ronnie@contoso.com se expande a participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".
Para evitar la expansión del destinatario, agregue un carácter comodín (asterisco) al final de la dirección de correo electrónico y use un nombre de dominio reducido; por ejemplo, participants:"ronnie@contoso*" asegúrese de rodear la dirección de correo electrónico con comillas dobles.
Sin embargo, tenga en cuenta que evitar la expansión de destinatarios en la consulta de búsqueda puede dar lugar a que los elementos pertinentes no se devuelvan en los resultados de la búsqueda. Email mensajes en Exchange se pueden guardar con diferentes formatos de texto en los campos de destinatario. La expansión de destinatarios está pensada para ayudar a mitigar este hecho devolviendo mensajes que pueden contener diferentes formatos de texto. Por lo tanto, impedir la expansión de destinatarios puede dar lugar a que la consulta de búsqueda no devuelva todos los elementos que pueden ser relevantes para la investigación.
Nota:
Si necesita revisar o reducir los elementos devueltos por una consulta de búsqueda debido a la expansión del destinatario, considere la posibilidad de usar eDiscovery (Premium). Puede buscar mensajes (aprovechando la expansión de destinatarios), agregarlos a un conjunto de revisión y, a continuación, usar consultas o filtros de conjuntos de revisiones para revisar o restringir los resultados. Para obtener más información, vea Recopilar datos para un caso y Consultar los datos de un conjunto de revisión.
Al buscar documentos y archivos ubicados en SharePoint o OneDrive para la Empresa, puede tener sentido ajustar el enfoque de consulta en función de los metadatos de los documentos y archivos de interés. Los archivos y documentos tienen propiedades relevantes como Author, Created, CreatedBy, FileName, LastModifiedTime y Title. La mayoría de estas propiedades no son pertinentes al buscar contenido de comunicaciones en Exchange Online y el uso de estas propiedades puede dar lugar a resultados inesperados si se usan en documentos y comunicaciones. Además, es posible que FileName y Title de un documento no sean iguales y usar uno u otro para intentar encontrar un archivo con contenido específico puede dar lugar a resultados diferentes o inexactos. Tenga en cuenta estas propiedades al buscar contenido específico de documentos y archivos en SharePoint y OneDrive para la Empresa.
Por ejemplo, para buscar contenido relacionado con documentos creados por el usuario 1, para un proyecto denominado Tradewinds, para archivos específicos denominados Financials y desde enero de 2020 hasta enero de 2022, puede usar una consulta con las siguientes propiedades:
- Agregar el sitio OneDrive para la Empresa del usuario 1 como orígenes de datos al caso
- Seleccione el sitio de OneDrive para la Empresa del usuario 1 como ubicación de recopilación.
- Agregar ubicaciones de sitio de SharePoint adicionales relacionadas con el proyecto como ubicaciones de colección
- Para FileName, use Financials
- Para la palabra clave , use Tradewinds.
- Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .
Propiedades de sitio que se pueden buscar
En la tabla siguiente se enumeran las propiedades de SharePoint y OneDrive para la Empresa que se pueden buscar mediante las herramientas de búsqueda de eDiscovery en el portal de cumplimiento Microsoft Purview o mediante new-compliancesearch o el cmdlet Set-ComplianceSearch.
Importante
Aunque los documentos y archivos almacenados en SharePoint y OneDrive para la Empresa pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, solo las propiedades de documentos y archivos enumeradas en esta tabla se admiten en las herramientas de búsqueda de eDiscovery. No se admite el intento de incluir otras propiedades de documento o archivo en las búsquedas.
La tabla incluye un ejemplo de la sintaxis propiedad:valor de cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos.
| Propiedad | Descripción de la propiedad | Ejemplo: | Resultados de la búsqueda devueltos por los ejemplos |
|---|---|---|---|
| Autor | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conservará el autor original. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | author:"Garth Fort" | Todos los documentos que se han creado por Juan Casanova. |
| ContentType | Tipo de contenido de SharePoint de un elemento, como Item, Document o Video. | contenttype:document | Se devolverán todos los documentos. |
| Fecha de creación | La fecha en la que se crea un elemento. | created>=2021-06-01 | Todos los elementos creados a partir del 1 de junio de 2021. |
| CreatedBy | La persona que creó o cargó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | createdby:"Garth Fort" | Todos los elementos creados o cargados por Juan Casanova. |
| DetectedLanguage | El idioma de un elemento. | detectedlanguage:english | Todos los elementos en inglés. |
| DocumentLink | Ruta de acceso (URL) de una carpeta específica en un sitio de SharePoint o OneDrive para la Empresa. Si usa esta propiedad, asegúrese de buscar en el sitio en el que se encuentra la carpeta especificada. Se recomienda usar esta propiedad en lugar de las propiedades Site y Path . Para devolver elementos ubicados en subcarpetas de la carpeta que especifique para la propiedad documentlink, debe agregar /* a la dirección URL de la carpeta especificada; por ejemplo, | documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" | En el primer ejemplo se devuelven todos los elementos de la carpeta OneDrive para la Empresa especificada. En el segundo ejemplo se devuelven documentos de la carpeta de sitio especificada (y todas las subcarpetas) que contienen la palabra "confidencial" en el nombre de archivo. |
| FileExtension | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. | fileextension:xlsx | Todos los archivos de Excel (Excel 2007 y versiones posteriores) |
| FileName | El nombre de un archivo. | filename:"marketing plan" | El primer ejemplo devuelve archivos con la frase exacta "plan de marketing" en el título. El segundo ejemplo devuelve archivos con la palabra "estimación" en el nombre del archivo. |
| LastModifiedTime | La fecha de la última modificación de un elemento. | lastmodifiedtime>=2021-05-01 | El primer ejemplo devuelve elementos que se cambiaron el 1 de mayo de 2021 o después de . El segundo ejemplo devuelve elementos modificados entre el 1 de mayo de 2021 y el 1 de junio de 2021. |
| ModifiedBy | La última persona que modificó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | modifiedby:"Garth Fort" | Todos los elementos que Juan Casanova modificó por última vez. |
| SharedWithUsersOWSUser | Documentos que se han compartido con el usuario especificado y que se muestran en la página Compartido conmigo del sitio OneDrive para la Empresa del usuario. Estos son documentos que otras personas de la organización han compartido explícitamente con el usuario especificado. Al exportar documentos que coinciden con una consulta de búsqueda que usa la propiedad SharedWithUsersOWSUser, los documentos se exportan desde la ubicación de contenido original de la persona que compartió el documento con el usuario especificado. Para obtener más información, consulte Búsqueda de contenido de sitio compartido dentro de su organización. | sharedwithusersowsuser:garthf | Ambos ejemplos devuelven todos los documentos internos que se han compartido explícitamente con Garth Fort y que aparecen en la página Compartido conmigo de la cuenta OneDrive para la Empresa de Garth Fort. |
| Size | El tamaño de un elemento, en bytes. | size>=1 | El primer ejemplo devuelve elementos mayores de 1 byte. El segundo ejemplo devuelve elementos que tienen un tamaño de entre 1 y 10 000 bytes. |
| Título | El título del documento. La propiedad Title es metadatos que se especifican en documentos de Microsoft Office. Es diferente del nombre de archivo del documento. | title:"communication plan" | Cualquier documento que contenga la frase "plan de comunicación" en la propiedad Título de metadatos de un documento de Office. |
En la tabla siguiente se enumeran las propiedades de contacto indexadas y que puede buscar mediante las herramientas de búsqueda de exhibición de documentos electrónicos. Estas son las propiedades que están disponibles para que los usuarios configuren para los contactos (también denominados contactos personales) que se encuentran en la libreta de direcciones personal del buzón de un usuario. Para buscar contactos, puede seleccionar los buzones para buscar y, a continuación, usar una o varias propiedades de contacto en la consulta de palabras clave.
Sugerencia
Para buscar valores que contengan espacios o caracteres especiales, use comillas dobles (" ") para contener la frase; por ejemplo, businessaddress:"123 Main Street".
| Propiedad | Descripción de la propiedad |
|---|---|
| BusinessAddress | Dirección de la propiedad Dirección de negocio. La propiedad también se denomina dirección de trabajo en la página de propiedades de contacto. |
| BusinessPhone | Número de teléfono en cualquiera de las propiedades de número de teléfono de empresa . |
| CompanyName | Nombre de la propiedad Company . |
| Departamento | Nombre de la propiedad Department . |
| DisplayName | Nombre para mostrar del contacto. Este es el nombre de la propiedad Full Name del contacto. |
| EmailAddress | Dirección de cualquier propiedad de dirección de correo electrónico para el contacto. Los usuarios pueden agregar varias direcciones de correo electrónico para un contacto. El uso de esta propiedad devolvería contactos que coincidan con cualquiera de las direcciones de correo electrónico del contacto. |
| FileAs | La propiedad File as . Esta propiedad se usa para especificar cómo se muestra el contacto en la lista de contactos del usuario. Por ejemplo, un contacto podría aparecer como FirstName, LastName o LastName,FirstName. |
| GivenName | Nombre de la propiedad First Name . |
| HomeAddress | Dirección de cualquiera de las propiedades de la dirección principal . |
| HomePhone | Número de teléfono en cualquiera de las propiedades del número de teléfono principal. |
| Propiedad IMAddress | La propiedad de dirección de MI, que suele ser una dirección de correo electrónico que se usa para la mensajería instantánea. |
| MiddleName | Nombre de la propiedad Middle name. |
| MobilePhone | Número de teléfono de la propiedad Número de teléfono móvil . |
| Nickname | Nombre de la propiedad Nickname . |
| OfficeLocation | Valor de la propiedad de ubicación de Office u Office. |
| OtherAddress | Valor de la propiedad Other address. |
| Surname | Nombre de la propiedad Apellido . |
| Título | Título de la propiedad Job title . |
Operadores de búsqueda
Los operadores de búsqueda booleanos, como AND, OR y NOT, le ayudan a definir búsquedas más precisas incluyendo o excluyendo palabras específicas en la consulta de búsqueda. Otras técnicas, como el uso de operadores de propiedad (como >= o ..), comillas, paréntesis y caracteres comodín, le ayudan a refinar una consulta de búsqueda. En la siguiente tabla se muestran los operadores que puede usar para restringir o ampliar los resultados de la búsqueda.
| Operador | Uso | Descripción |
|---|---|---|
| Y | palabra clave 1 AND palabra clave 2 | Devuelve elementos que incluyen todas las palabras clave o property:value expresiones especificadas. Por ejemplo, from:"Ann Beebe" AND subject:northwind devolvería todos los mensajes enviados por Ann Beebe que contenían la palabra northwind en la línea de asunto. 2 |
| + | keyword1 + keyword2 + keyword3 | Devuelve elementos que contienenkeyword2 o keyword3y que también contienen keyword1. Por lo tanto, este ejemplo es equivalente a la consulta (keyword2 OR keyword3) AND keyword1. La consulta |
| O | palabra clave 1 OR palabra clave 2 | Devuelve elementos que incluyen una o varias de las palabras clave o property:value expresiones especificadas. 2 |
| NOT | palabra clave 1 NOT palabra clave 2 NOT from:"Ann Beebe" NO kind:im | Excluye los elementos especificados por una palabra clave o una property:value expresión. En el segundo ejemplo se excluyen los mensajes enviados por Ann Beebe. En el tercer ejemplo se excluyen las conversaciones de mensajería instantánea, como Skype Empresarial conversaciones que se guardan en la carpeta del buzón historial de conversaciones. 2 |
| NEAR | palabra clave 1 NEAR(n) palabra clave 2 | Devuelve los elementos con palabras cercanas entre sí, donde "n" indica el número de palabras que las separan. Por ejemplo, best NEAR(5) worst devuelve cualquier elemento donde la palabra "worst" esté dentro de cinco palabras de "best". Si no se especifica ningún número, la distancia predeterminada es de ocho palabras. 2 |
| : | propiedad:valor | Dos puntos (:) en la property:value sintaxis especifica que el valor de la propiedad que se está buscando contiene el valor especificado. Por ejemplo, recipients:garthf@contoso.com devuelve cualquier mensaje enviado a garthf@contoso.com. |
| = | propiedad=valor | Igual que el : operador . |
| < | propiedad<valor | Indica que la propiedad que se busca es menor que el valor especificado. 1 |
| > | propiedad>valor | Indica que la propiedad que se busca es mayor que el valor especificado.1 |
| <= | propiedad<=valor | Indica que la propiedad que se busca es menor o igual que un valor especificado.1 |
| >= | propiedad>=valor | Indica que la propiedad que se busca es mayor o igual que un valor especificado.1 |
| .. | property:value1.. value2 | Indica que la propiedad que se busca es mayor o igual que el valor 1 y menor o igual que el valor 2.1 |
| " " | "valor razonable" asunto:"Finanzas trimestrales" | En una consulta de palabra clave (donde escribe el property:value par en el cuadro Palabra clave ), use comillas dobles (" ") para buscar una frase o un término exactos. Sin embargo, si usa la condición de condición de búsquedaAsunto o Asunto/Título, no agregue comillas dobles al valor porque las comillas se agregan automáticamente al usar estas condiciones de búsqueda. Si agrega comillas al valor, se agregarán dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error. |
| * | Gato* subject:set* | Búsquedas de prefijos (también denominada coincidencia de prefijos) donde se coloca un carácter comodín ( * ) al final de una palabra en palabras clave o property:value consultas. En las búsquedas de prefijos, la búsqueda devuelve resultados con términos que contienen la palabra seguida de cero o más caracteres. Por ejemplo, title:set* devuelve documentos que contienen la palabra "set", "setup" y "setting" (y otras palabras que comienzan por "set") en el título del documento. Nota: Solo puede usar búsquedas de prefijos; por ejemplo, cat* o set*. No se admiten las búsquedas de sufijos (*cat), las búsquedas de infijo (c*t) y las búsquedas de subcadenas (*cat*). Además, agregar un punto ( . ) a una búsqueda de prefijos cambiará los resultados que se devuelven. Esto se debe a que un punto se trata como una palabra irrelevante. Por ejemplo, la búsqueda de cat* y la búsqueda de cat.* devolverán resultados diferentes. Se recomienda no usar un punto en una búsqueda de prefijos. |
| ( ) | (razonable OR libre) AND from:contoso.com (IPO OR inicial) AND (acciones OR cuotas) (finanzas trimestrales) | Los paréntesis agrupan frases booleanas, property:value elementos y palabras clave. Por ejemplo, (quarterly financials) devuelve elementos que contienen las palabras trimestrales y financieras. |
Nota:
1 Use este operador para las propiedades que tienen valores numéricos o de fecha.
2 Los operadores de búsqueda booleanos deben estar en mayúsculas; por ejemplo, AND. Si usa un operador en minúsculas, como y, se tratará como una palabra clave en la consulta de búsqueda.
Condiciones de búsqueda
Puede agregar condiciones a una consulta de búsqueda para restringir una búsqueda y devolver un conjunto de resultados más refinado. Cada condición agrega una cláusula a la consulta de búsqueda KQL que se crea y se ejecuta cuando se inicia la búsqueda.
- Condiciones para las propiedades comunes
- Condiciones para las propiedades de correo
- Condiciones para las propiedades de documento
- Operadores usados con condiciones
- Directrices para el uso de condiciones
- Ejemplos
Condiciones para las propiedades comunes
Cree una condición mediante propiedades comunes al buscar en buzones y sitios de la misma búsqueda. En la tabla siguiente se enumeran las propiedades disponibles que se usarán al agregar una condición.
| Condición | Descripción |
|---|---|
| Fecha | Para correo electrónico, la fecha en que un destinatario recibió un mensaje o en que un remitente envió un mensaje. En el caso de los documentos, la fecha en que se modificó por última vez un documento. |
| Remitente/autor | Para correo electrónico, la persona que envió un mensaje. Para los documentos, la persona mencionada en el campo del autor de documentos de Office. Puede escribir más de un nombre, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. (Consulte Expansión de destinatarios) |
| Tamaño (en bytes) | Para los correos electrónicos y documentos, el tamaño del elemento (en bytes). |
| Asunto o título | Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. Como se explicó anteriormente, la propiedad Title es metadatos especificados en documentos de Microsoft Office. Puede escribir el nombre de más de un valor de asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregarán dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error. |
| Etiqueta de retención | Tanto para el correo electrónico como para los documentos, etiquetas de retención que se pueden aplicar de forma automática o manual a mensajes y documentos. Las etiquetas de retención se pueden usar para declarar registros y ayudarle a administrar el ciclo de vida de los datos del contenido mediante la aplicación de reglas de retención y eliminación especificadas por la etiqueta. Puede escribir parte del nombre de la etiqueta de retención y usar un carácter comodín o escribir el nombre completo de la etiqueta. Para obtener más información sobre las etiquetas de retención, consulte Información sobre las directivas de retención y las etiquetas de retención. |
Condiciones para las propiedades de correo
Cree una condición mediante propiedades de correo al buscar buzones o carpetas públicas en Exchange Online. En la tabla siguiente se enumeran las propiedades de correo electrónico que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades de correo electrónico que se describieron anteriormente. Estas descripciones se repiten para su comodidad.
| Condición | Descripción |
|---|---|
| Tipo de mensaje | El tipo de mensaje para buscar. Se trata de la misma propiedad que la propiedad de correo electrónico Tipo. Posibles valores:
|
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc. (Consulte Expansión de destinatarios) |
| Tipo | Propiedad de clase de mensaje para un elemento de correo electrónico. Esta es la misma propiedad que la propiedad de correo electrónico ItemClass. También es una condición de varios valores. Por lo tanto, para seleccionar varias clases de mensaje, mantenga presionada la tecla CTRL y, a continuación, seleccione dos o más clases de mensaje en la lista desplegable que desea agregar a la condición. Cada clase de mensaje que seleccione en la lista se conectará lógicamente mediante el operador OR en la consulta de búsqueda correspondiente. Para obtener una lista de las clases de mensaje (y su identificador de clase de mensaje correspondiente) que exchange usa y que puede seleccionar en la lista Clase de mensaje, vea Tipos de elementos y Clases de mensaje. |
| Cantidad.Recibida | La fecha en la que un destinatario recibió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Recibido. |
| Recipientes | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc. (Consulte Expansión de destinatarios) |
| Remitente | El remitente de un mensaje de correo electrónico. |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Enviado. |
| Subject | El texto en la línea de asunto de un mensaje de correo electrónico. Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregarán dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error. |
| To | Destinatario de un mensaje de correo electrónico en el campo Para. |
Condiciones para las propiedades de documento
Cree una condición mediante propiedades de documento al buscar documentos en SharePoint y OneDrive para la Empresa sitios. En la tabla siguiente se enumeran las propiedades del documento que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades del sitio que se describieron anteriormente. Estas descripciones se repiten para su comodidad.
| Condición | Descripción |
|---|---|
| Autor | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conservará el autor original. |
| Título | El título del documento. La propiedad Título son metadatos que se especifican en los documentos de Office. Es diferente del nombre de archivo del documento. |
| Fecha de creación | La fecha en la que se creó el documento. |
| Última modificación | La fecha en la que el documento se modificó por última vez. |
| Tipo de archivo | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. Se trata de la misma propiedad que la propiedad del sitio FileExtension. Nota: Si incluye una condición de tipo File mediante el operador Equals o Equals en una consulta de búsqueda, no puede usar una búsqueda de prefijo (incluyendo el carácter comodín ( * ) al final del tipo de archivo) para devolver todas las versiones de un tipo de archivo. Si lo hace, se omitirá el carácter comodín. Por ejemplo, si incluye la condición |
Operadores usados con condiciones
Cuando se agrega una condición, puede seleccionar un operador que sea pertinente para el tipo de propiedad de la condición. En la tabla siguiente se describen los operadores que se usan con condiciones y se enumera el equivalente que se usa en la consulta de búsqueda.
| Operador | Equivalente de consulta | Descripción |
|---|---|---|
| Después | property>date | Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron después de la fecha especificada. |
| Antes | property<date | Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron antes de la fecha especificada. |
| Between | date..date | Se usa con condiciones de fecha y tamaño. Cuando se usa con una condición de fecha, devuelve los elementos que se enviaron, recibieron o modificaron durante el intervalo de fechas especificado. Cuando se usa con una condición de tamaño, devuelve los elementos cuyo tamaño está dentro del intervalo especificado. |
| Contiene cualquiera de | (property:value) OR (property:value) | Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que contienen cualquier parte de uno o más valores de cadena especificados. |
| No contiene ninguno de | -property:value | Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen ninguna parte del valor de cadena especificado. |
| No es igual a ninguno de | -property=value | Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen la cadena especificada. |
| Igual a | size=value | Devuelve elementos que son iguales al tamaño especificado. 1 |
| Es igual a cualquiera de | (property=value) OR (property=value) | Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que coinciden con uno o varios valores de cadena especificados. |
| Mayor | size>value | Devuelve elementos donde la propiedad especificada es mayor que el valor especificado. 1 |
| Mayor o igual | size>=value | Devuelve elementos donde la propiedad especificada es mayor o igual que el valor especificado. 1 |
| Menos | size<value | Devuelve elementos que son mayores o iguales que el valor específico. 1 |
| Menor o igual | size<=value | Devuelve elementos que son mayores o iguales que el valor específico. 1 |
| No es igual | size<>value | Devuelve elementos que no son iguales al tamaño especificado. 1 |
Nota:
1 Este operador solo está disponible para las condiciones que usan la propiedad Size.
Directrices para el uso de condiciones
Tenga en cuenta lo siguiente al usar condiciones de búsqueda.
Una condición se conecta lógicamente a la consulta de palabra clave (especificada en el cuadro de palabra clave) mediante el operador AND. Eso significa que los elementos tienen que satisfacer la consulta de palabra clave y la condición para que se incluyan en los resultados. De esta manera, las condiciones permiten restringir los resultados.
Si agrega dos o más condiciones únicas a una consulta de búsqueda (condiciones que especifican propiedades diferentes), dichas condiciones están conectadas lógicamente mediante el operador Y. Esto significa que solo se devuelven los elementos que satisfacen todas las condiciones (además de cualquier consulta de palabras clave).
Si agrega más de una condición a la misma propiedad, las condiciones se conectan lógicamente mediante el operador OR. Eso significa que se devuelven los elementos que satisfacen la consulta de palabras clave y cualquiera de las condiciones. Por lo tanto, los grupos de las mismas condiciones se conectan entre sí mediante el operador OR y, después, los conjuntos de condiciones únicas se conectan mediante el operador AND.
Si agrega varios valores (separados por comas o por punto y coma) a una única condición, esos valores se conectan mediante el operador O. Eso significa que se devuelven los elementos que contengan cualquiera de los valores especificados para la propiedad en la condición.
Cualquier condición que use un operador con lógica Contains e Equals devolverá resultados de búsqueda similares para búsquedas de cadenas simples. Una búsqueda de cadenas simple es una cadena en la condición que no incluye un carácter comodín). Por ejemplo, una condición que usa Equals cualquiera de devolverá los mismos elementos que una condición que usa Contains any of.
La consulta de búsqueda que se crea mediante el cuadro de palabras clave y las condiciones se muestra en la página Buscar , en el panel de detalles de la búsqueda seleccionada. En una consulta, todo a la derecha de la notación
(c:c)indica las condiciones que se agregan a la consulta.Las condiciones solo agregan propiedades a la consulta de búsqueda; no agregan operadores. Por este motivo, la consulta mostrada en el panel de detalles no muestra operadores a la derecha de la
(c:c)notación. KQL agrega operadores lógicos (según las reglas explicadas anteriormente) al ejecutar la consulta.Puede usar el control de arrastrar y colocar para volver a secuenciar el orden de las condiciones. Seleccione el control de una condición y muévalo hacia arriba o hacia abajo.
Como se explicó anteriormente, algunas propiedades de condición permiten escribir varios valores (separados por puntos y comas). Cada valor está conectado lógicamente por el operador OR y da como resultado la consulta
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). En la ilustración siguiente se muestra un ejemplo de una condición con varios valores.
Nota:
No se pueden agregar varias condiciones (si selecciona Agregar condición para la misma propiedad. En su lugar, debe proporcionar varios valores para la condición (separados por puntos y comas), como se muestra en el ejemplo anterior.
Ejemplos
En los ejemplos siguientes se muestra la versión basada en GUI de una consulta de búsqueda con condiciones, la sintaxis de consulta de búsqueda que se muestra en el panel de detalles de la búsqueda seleccionada (que también devuelve el cmdlet Get-ComplianceSearch ) y la lógica de la consulta KQL correspondiente.
Ejemplo 1
En este ejemplo se devuelven elementos de correo electrónico o documentos que contienen la palabra clave "report", que se enviaron o crearon antes del 1 de abril de 2021 y que contienen la palabra "northwind" en el campo asunto de los mensajes de correo electrónico o en la propiedad title de los documentos. La consulta excluye páginas web que cumplen los demás criterios de búsqueda.
GUI:
Sintaxis de consulta de búsqueda:
report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)
Lógica de consulta de búsqueda:
report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)
Ejemplo 2
En este ejemplo se devuelven mensajes de correo electrónico o reuniones de calendario que se enviaron entre el 1 de diciembre de 2019 y el 30 de noviembre de 2020 y que contienen palabras que comienzan por "teléfono" o "smartphone".
GUI:
Sintaxis de consulta de búsqueda:
phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")
Lógica de consulta de búsqueda:
phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))
Caracteres especiales
Algunos caracteres especiales no se incluyen en el índice de búsqueda y, por tanto, no se pueden buscar. Esto también incluye los caracteres especiales que representan a los operadores de búsqueda en la consulta de búsqueda. Esta es una lista de caracteres especiales que se reemplazan por un espacio en blanco en la consulta de búsqueda real o provocan un error de búsqueda.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Tipos de datos confidenciales que se pueden buscar
Puede usar las herramientas de búsqueda de eDiscovery en el portal de cumplimiento para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, que se almacenan en documentos en SharePoint y OneDrive para la Empresa sitios. Para ello, use la SensitiveType propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number" devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)" devuelve documentos que contienen un número de seguro social estadounidense.
Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de cumplimiento. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.
Para obtener más información sobre cómo crear consultas mediante la SensitiveType propiedad , vea Formulario de una consulta para buscar datos confidenciales almacenados en sitios.
Limitaciones para buscar tipos de datos confidenciales
Para buscar tipos de información confidencial personalizados, debe especificar el identificador del tipo de información confidencial en la
SensitiveTypepropiedad . El uso del nombre de un tipo de información confidencial personalizada (como se muestra en el ejemplo para los tipos de información confidencial integrados en la sección anterior) no devolverá ningún resultado. Use la columna Publicador de la página Tipos de información confidencial del portal de cumplimiento (o la propiedad Publisher en PowerShell) para diferenciar entre los tipos de información confidencial integrados y personalizados. Los tipos de datos confidenciales integrados tienen un valor deMicrosoft Corporationpara la propiedad Publisher .Para mostrar el nombre y el identificador de los tipos de datos confidenciales personalizados de su organización, ejecute el siguiente comando en PowerShell de cumplimiento de seguridad & :
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,IdA continuación, puede usar el identificador en la
SensitiveTypepropiedad de búsqueda para devolver documentos que contengan el tipo de datos confidenciales personalizado; por ejemplo,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37No puede usar tipos de información confidencial y la
SensitiveTypepropiedad de búsqueda para buscar datos confidenciales en reposo en Exchange Online buzones. Esto incluye mensajes de chat 1:1, mensajes de chat de grupo 1:N y conversaciones de canal de equipo en Microsoft Teams porque todo este contenido se almacena en buzones de correo. Sin embargo, puede usar directivas de prevención de pérdida de datos (DLP) para proteger los datos de correo electrónico confidenciales en tránsito. Para obtener más información, consulte Información sobre la prevención de pérdida de datos y Búsqueda y búsqueda de datos personales.
También puede usar herramientas de búsqueda de exhibición de documentos electrónicos en el portal de cumplimiento para buscar documentos almacenados en SharePoint y OneDrive para la Empresa sitios que se han compartido con personas ajenas a su organización. Esto puede ayudarle a identificar información confidencial o de propiedad que esté compartiéndose fuera de su organización. Para ello, use la ViewableByExternalUsers propiedad en una consulta de palabra clave. Esta propiedad devuelve documentos o sitios que se han compartido con usuarios externos mediante uno de los métodos de uso compartido siguientes:
- Una invitación para compartir que requiere que los usuarios inicien sesión en su organización como un usuario autenticado.
- Un vínculo de invitado anónimo, que permite a cualquier usuario con este vínculo acceder al recurso sin tener que autenticarse.
Estos son algunos ejemplos:
- La consulta
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"devuelve todos los elementos que se han compartido con personas ajenas a la organización y contienen un número de tarjeta de crédito. - La consulta
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"devuelve una lista de documentos en todos los sitios de equipo de la organización que se han compartido con usuarios externos.
Sugerencia
Una consulta de búsqueda como ViewableByExternalUsers:true AND ContentType:document podría devolver una gran cantidad de archivos .aspx en los resultados de la búsqueda. Para eliminar estos (u otros tipos de archivos), puede usar la FileExtension propiedad para excluir tipos de archivo específicos; por ejemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx, .
¿Qué se considera contenido que se comparte con personas externas de su organización? Documentos de SharePoint de su organización y sitios de OneDrive para la Empresa que se comparten mediante el envío de una invitación de uso compartido o que se comparten en ubicaciones públicas. Por ejemplo, las siguientes actividades de usuario dan lugar a contenido que es visible para los usuarios externos:
- Un usuario comparte un archivo o una carpeta con una persona externa a su organización.
- Un usuario crea y envía un vínculo a un archivo compartido a una persona externa a su organización. Este vínculo permite al usuario externo ver (o editar) el archivo.
- Un usuario envía una invitación de uso compartido o un vínculo de invitado a una persona externa a su organización para ver (o editar) un archivo compartido.
Problemas con la propiedad ViewableByExternalUsers
Aunque la ViewableByExternalUsers propiedad representa el estado de si un documento o sitio se comparte con usuarios externos, hay algunas advertencias sobre lo que hace y no refleja esta propiedad. En los escenarios siguientes, el valor de la ViewableByExternalUsers propiedad no se actualizará y los resultados de una consulta de búsqueda que usa esta propiedad pueden ser inexactos.
- Cambios en la directiva de uso compartido, como desactivar el uso compartido externo para un sitio o para la organización. La propiedad seguirá mostrando documentos compartidos anteriormente como accesibles externamente aunque se haya revocado el acceso externo.
- Cambios en la pertenencia a grupos, como agregar o quitar usuarios externos a Grupos de Microsoft 365 o grupos de seguridad de Microsoft 365. La propiedad no se actualizará automáticamente para los elementos a los que el grupo tiene acceso.
- Enviar invitaciones de uso compartido a usuarios externos donde el destinatario no ha aceptado la invitación y, por tanto, aún no tiene acceso al contenido.
En estos escenarios, la ViewableByExternalUsers propiedad no reflejará el estado de uso compartido actual hasta que el sitio o la biblioteca de documentos se vuelvan a rastrear y volver a indexar.
Como se explicó anteriormente, puede usar la SharedWithUsersOWSUser propiedad para buscar documentos que se hayan compartido entre personas de su organización. Cuando una persona comparte un archivo (o carpeta) con otro usuario de su organización, aparece un vínculo al archivo compartido en la página Compartido conmigo de la cuenta de OneDrive para la Empresa de la persona con la que se ha compartido el archivo. Por ejemplo, para buscar los documentos que se han compartido con Sara Davis, puede usar la consulta SharedWithUsersOWSUser:"sarad@contoso.com". Si exporta los resultados de esta búsqueda, se descargarán los documentos originales (ubicados en la ubicación de contenido de la persona que compartió los documentos con Sara).
Los documentos deben compartirse explícitamente con un usuario específico para que se devuelvan en los resultados de búsqueda cuando se use la SharedWithUsersOWSUser propiedad . Por ejemplo, cuando una persona comparte un documento en su cuenta de OneDrive, tiene la opción de compartirlo con cualquier persona (dentro o fuera de la organización), compartirlo solo con personas dentro de la organización o compartirlo con una persona específica. Esta es una captura de pantalla de la ventana Compartir en OneDrive que muestra las tres opciones de uso compartido.
Solo los documentos que se comparten mediante la tercera opción (compartidos con personas específicas) se devolverán mediante una consulta de búsqueda que use la SharedWithUsersOWSUser propiedad .
Buscar conversaciones Skype Empresarial
Puede usar la siguiente consulta de palabra clave para buscar específicamente contenido en Skype Empresarial conversaciones:
kind:imLa consulta de búsqueda anterior también devuelve chats de Microsoft Teams. Para evitar esto, puede restringir los resultados de la búsqueda para incluir solo Skype Empresarial conversaciones mediante la siguiente consulta de palabra clave:
kind:im AND subject:conversationLa consulta de palabra clave anterior excluye los chats en Microsoft Teams porque Skype Empresarial conversaciones se guardan como mensajes de correo electrónico con una línea subject que comienza con la palabra "Conversation".
Para buscar Skype Empresarial conversaciones que se produjeron dentro de un intervalo de fechas específico, use la siguiente consulta de palabra clave:
kind:im AND subject:conversation AND (received=startdate..enddate)Límites de caracteres para búsquedas
Hay un límite de 4000 caracteres para las consultas de búsqueda al buscar contenido en sitios de SharePoint y cuentas de OneDrive.A continuación se muestra cómo se calcula el número total de caracteres de la consulta de búsqueda:
- Los caracteres de la consulta de búsqueda de palabras clave (incluidos los campos de usuario y filtro) cuentan con este límite.
- Los caracteres de cualquier propiedad de ubicación (como las direcciones URL de todos los sitios de SharePoint o las ubicaciones de OneDrive que se buscan) cuentan con este límite.
- Los caracteres de todos los filtros de permisos de búsqueda que se aplican al usuario que ejecuta el recuento de búsquedas con respecto al límite.
Para obtener más información sobre los límites de caracteres, vea límites de búsqueda de eDiscovery.
Nota:
El límite de 4000 caracteres se aplica a búsqueda de contenido, exhibición de documentos electrónicos (estándar) y exhibición de documentos electrónicos (Premium).
FAQs
How do I export results from purview? ›
In the Microsoft Purview compliance portal, select the content search that you want to export results from. On the Actions menu at the bottom of the flyout page, select Export results. The Export results flyout page is displayed.
What license is required for eDiscovery? ›Organization subscription: To access eDiscovery (Standard) in the Microsoft Purview compliance portal and use the hold and export features, your organization must have an Exchange online Plan 2 or Microsoft 365 E3 or Office 365 E3 subscription or higher.
What is the assessment in Microsoft purview compliance manager? ›Data Protection Baseline default assessment
This assessment is used to calculate your initial compliance score the first time you come to Compliance Manager, before you configure any other assessments. Compliance Manager collects initial signals from your Microsoft 365 solutions.
Custodian. This role lets users identify and manage custodians for eDiscovery (Premium) cases and use the information from Azure Active Directory and other sources to find data sources associated with custodians.
How do I download an eDiscovery report? ›If the Compliance Officer Administrator has additional Administrator roles, then navigate to admin.webex.com. From there navigate to Troubleshooting> Status> View eDiscovery and select theDownload Manager. Then select the Download for Windows 10 button.
How do I download export from eDiscovery? ›- Go to Compliance management > In-place eDiscovery & hold.
- In the list view, select the In-Place eDiscovery search you want to export the results of, and then click Export to a PST file.
If you are thinking of changing your career and have a law degree, you may want to consider eDiscovery careers. eDiscovery careers are a great way to work in the legal industry without actually practicing law. One job in eDiscovery that is a great alternative career for lawyers is an eDiscovery consultant.
How expensive is eDiscovery? ›The Monetary Costs of eDiscovery Today
In 2012, a Rand study estimated that each gigabyte costs $18,000 to produce, with up to 70 percent of costs going to documents, which would put the average case-cost around $2.3 million.
It ensures the security of sensitive or private information while also easing the use of evidence in court, providing reliability and longevity across difficult cases. eDiscovery is a valid and useful resource to access electronically stored information (ESI) for the purpose of litigation.
What is the difference between compliance manager and compliance score? ›Your compliance score can help prioritize which action to focus on to improve your overall compliance posture. Compliance Manager gives you an initial score based on the Microsoft 365 data protection baseline.
What is the purpose of compliance assessment? ›
A Compliance Program Assessment is used to to assess and document the current state of compliance oversight, management and related risks in a given compliance area.
What is the compliance score in purview? ›Understanding your compliance score
The Compliance Manager dashboard displays your overall compliance score. This score measures your progress in completing recommended improvement actions within controls. Your score can help you understand your current compliance posture.
An eDiscovery manager is responsible for monitoring the entire eDiscovery process for their client or team from end to end. A manager typically works with other team members—including legal aides and attorneys—to help identify, collect, analyze, and produce documents for compliance audits and litigation.
What is the difference between eDiscovery manager and administrator? ›The primary difference between an eDiscovery Manager and an eDiscovery Administrator is that an eDiscovery Administrator can access all cases that are listed on the eDiscovery cases page in the compliance portal. An eDiscovery manager can only access the cases they created or cases they are a member of.
What is the job of an eDiscovery analyst? ›An eDiscovery analyst reviews, documents, and stores electronically stored information (ESI). They also prepare it for use in legal settings. The eDiscovery analyst role is increasingly common in law firms, corporate legal departments, government agencies, and eDiscovery consultancy agencies.
Does eDiscovery show deleted items? ›As previously explained, you can also use the In-Place eDiscovery tool to find and export deleted items to a PST file. The user will use this PST file to restore the deleted messages to their mailbox.
What is the difference between discovery and eDiscovery? ›Discovery refers to the first phase of litigation during which the parties to a dispute must provide each other with all relevant case evidence, including records and information. Electronic discovery, or eDiscovery, refers to discovery in which the information sought is in electronic format.
What is the difference between eDiscovery and document review? ›Review is the phase of the EDRM in eDiscovery where you actually discover potentially relevant documents for a matter. The goal of document review is to find relevant data that uncovers information and evidence about the facts of the matter.
How do I Access my eDiscovery case? ›Members of the case can access the case in the Microsoft Purview compliance portal and perform eDiscovery (Premium) tasks. Go to the compliance portal and sign in using the credentials for user account that has been assigned eDiscovery permissions.
How do I search content in eDiscovery? ›In the left navigation pane of the compliance portal, select Show all, and then select eDiscovery > Core. On the eDiscovery (Standard) page, select the case that you want to create an associated search, and then select Open case. On the Home page for the case, select the Searches tab, and then select New search.
How do I give Access to my eDiscovery case? ›
On the eDiscovery (Premium) page, go to the case that you want to add a member to. Select the Settings tab and then choose Select in the Access & permissions tile. Under Manage members, select Add to add members to the case. You can also choose to add a role group to the case by selecting Add under Manage role groups.
What questions are asked at eDiscovery interview? ›Interview questions for a E -Discovery Analyst position may include: -What is your experience with eDiscovery software? -How would you go about conducting a search of electronic data? -What are some common issues that arise during eDiscovery? -How do you handle difficult or challenging situations? -Give me an example ...
What skills do you need for eDiscovery? ›Most positions require previous professional experience in a law office, either through an internship or employment position. E-discovery attorneys need outstanding computer abilities, including programming, coding, and data security skills.
How much does a data engineer at eDiscovery make? ›While ZipRecruiter is seeing annual salaries as high as $181,000 and as low as $49,000, the majority of Ediscovery Analyst salaries currently range between $70,500 (25th percentile) to $109,000 (75th percentile) with top earners (90th percentile) making $148,500 annually across the United States.
What are the disadvantages of eDiscovery? ›The Costs: E-discovery indeed takes less time than physically gathering communications, but it still does take time and the use of e-discovery can be expensive because most companies fail to implement retention policies that reduce the amount of data E-discovery collection, review and production is expensive.
Why is eDiscovery so expensive? ›eDiscovery involves collecting and reviewing a significant amount of data, and it could take hours upon hours to complete this process manually, taking time away from other crucial work that needs to be done. When it comes to trial, a lawyer often needs to produce a document for court quickly.
Why does discovery cost so much? ›Takeaway: eDiscovery is expensive because some vendors skew the system to stay included in the eDiscovery process. And they charge a lot for services you can often handle yourself.
Is compliance a stressful job? ›Yes, being a compliance officer is stressful. Compliance officers experience mental health issues, such as depression and anxiety, at higher rates than other careers.
Is a master's in compliance worth it? ›Yes, a master's degree in compliance is worth it for many students. Laws and regulations change rapidly, and organizations can face serious criminal, financial, and social consequences if they don't comply. The demand for knowledgeable compliance professionals will likely remain high.
What is the best degree for a compliance manager? ›A bachelor of science in business administration, with a focus in human resource management is a degree that sets candidates up with the education requirements and certifications to enter compliance roles with confidence.
What are examples of compliance risks? ›
Common compliance risks involve illegal practices and include fraud, theft, bribery, money laundering and embezzlement. Privacy breaches. A common compliance risk is the violation of privacy laws. Hacking, viruses and malware are some of the cyber risks that affect organizations.
Why do you need a document of compliance? ›A certificate of compliance is a document that certifies that a product or system meets the requirements of a safety regulation or standard. It is typically used in shipping and logistics to ensure that products are safe for transport and meet the destination country's requirements.
Why should I go into compliance? ›One of the fundamental objectives of regulation is consumer protection. Much of the purpose of a compliance function is to ensure that customers are treated fairly and with respect.
What are the benefits of using MS security compliance Manager? ›SCM enables organizations to centrally plan, view, update, and export thousands of Group Policy settings for Microsoft client and server operating systems and applications. It makes it easier for organizations to plan, implement, and monitor security compliance baselines in their Active Directory infrastructure.
Who is a compliance manager? ›Compliance managers ensure that a business, its employees and its projects comply with all relevant regulations and specifications. This could include health and safety, environmental, legal or quality standards, as well as any ethical policies the company may have.
How do you classify data in purview? ›In your Microsoft Purview account, select the Data map, and then Classification rules. Select the Custom tab. Select the classification rule you want to edit, then select the Edit button. Now you can edit the state, the description, and the associated classification rule.
What is compliance in eDiscovery? ›In ediscovery, compliance means meeting the obligations of all applicable rules and laws for every jurisdiction where an organization does business.
What are the 4 types of administrators? ›- Network Administrators. Network administrators manage the entire network infrastructure of an organization. ...
- Database Administrators. ...
- Server/Web Administrators. ...
- Security Systems Administrators.
The Chief Administrative Officer is sometimes called the Head of Administration or the Chief Business Officer. This professional is at the top of the hierarchy and oversees most administrative duties within a corporation.
Is an office administrator higher than a manager? ›In numerous businesses, an administrator typically has more authority than a manager. This individual often faces little competition and reviews the manager's work to determine whether a company is growing. An administrator who's also a shareholder possesses a higher authority and has additional benefits.
Do you need a license for eDiscovery? ›
Licensing for eDiscovery (Standard) requires the appropriate organization subscription and per-user licensing.
What is the difference between eDiscovery and forensics? ›eDiscovery is the process of finding and delivering electronically stored information in response to a legal request or investigation. Digital forensics is the process of identifying, collecting, preserving, and analyzing digital evidence for a criminal or civil case.
How do I prepare for eDiscovery? ›- Know Where Your Data Is. Start by creating a detailed map of data within your company. ...
- Set Up an eDiscovery Team. ...
- Outline Procedures. ...
- Choose a Comprehensive Platform. ...
- Create a Consistent Review Team. ...
- Set Up a Document Repository.
- For "Delivery method," select Add to Drive.
- Select Create export.
- In the email that arrives, select View in Drive. You'll see a folder with your data organized by product.
- To download your data, at the top of the screen, select Download .
File → Export → Save Project as File → Microsoft Workbook → Save As → name your file and choose Save. After that, you will see the Export Wizard where you will need to choose required options.
Where does purview store data? ›In-region data residency
Microsoft Purview processes data and stores metadata information, but does not store customer data. Data is processed in its data region, and customer metadata stays within the region where Microsoft Purview is deployed.
The data downloaded from the Google takeout (https://takeout.google.com/) actually includes all emails that were archived when the takeout file was created, but not emails that were already deleted by you earlier than when the takeout archive was created.
How do I track my activity history on my iPhone? ›Go to Settings > Screen Time. Tap See All Activity, then do any of the following: Tap Week to see a summary of your weekly use. Tap Day to see a summary of your daily use.
How do I extract Google Takeout files? ›- First, log in to your Google account.
- Then, go to Google Takeout.
- Click on the menu item Select data to include to expand it.
- Choose which services to export data from.
View the data export report
In your confirmation email or in the Data Export tool, click Access archive. Note: Only the admin who started the export gets an email notification, but all super administrators can access the export.
What is the best way to export a project to Excel? ›
Export a Project as an Excel File in MS Project. In MS Project, select File > Save As and select Excel spreadsheet. NOTE: The export wizard displays. Click Next.
How to export data manually using the data export service? ›Salesforce offers two main methods for exporting data. Data Export Service—an in-browser service, accessible through the Setup menu. It allows you to export data manually once every 7 days (for weekly export) or 29 days (for monthly export). You can also export data automatically at weekly or monthly intervals.
What can purview do? ›Microsoft Purview provides a unified data governance solution to help manage and govern your on-premises, multicloud, and software as a service (SaaS) data. Easily create a holistic, up-to-date map of your data landscape with automated data discovery, sensitive data classification, and end-to-end data lineage.
Can Microsoft purview scan images? ›These features connect your Microsoft Purview account to your sources to populate the data map and data catalog so you can begin exploring and managing your data through Microsoft Purview. Scanning captures metadata from data sources and brings it to Microsoft Purview.
What files are supported by purview? ›Document file formats supported by extension: DOC, DOCM, DOCX, DOT, ODP, ODS, ODT, PDF, POT, PPS, PPSX, PPT, PPTM, PPTX, XLC, XLS, XLSB, XLSM, XLSX, XLT. The Microsoft Purview Data Map also supports custom file extensions and custom parsers.
How do I get data from a database to a spreadsheet? ›- Select Data > Get Data > From Database > From SQL Server Analysis Services Database (Import).
- Enter the Server name, and then select OK. ...
- In the Navigator pane select the database, and then select the cube or tables you want to connect.
- Consignment. Consignment is a variation of open account in which payment is sent to the exporter after the goods have been sold by the foreign distributor to the end customer. ...
- Open Account (O/A) ...
- Collections. ...
- Letter of Credit (L/C) ...
- Cash in Advance.
- On the External Data tab, in the Export group, click Access. ...
- Access opens the Export - Access Database dialog box.
- In the File name box on the Export - Access Database dialog box, specify the name of the destination database and then click OK.