Consultas de palavra-chave e condições de pesquisa para descoberta eletrônica

Este artigo descreve as propriedades disponíveis para ajudar a encontrar conteúdo em email e chat em Exchange Online e documentos e arquivos armazenados no SharePoint e OneDrive for Business usando as ferramentas de pesquisa de descoberta eletrônica no portal de conformidade do Microsoft Purview.

Isso inclui pesquisa de conteúdo, Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium) (pesquisas de descoberta eletrônica na descoberta eletrônica (Premium) são chamadas de coleções. Você também pode usar os cmdlets *-ComplianceSearch no Security & Compliance PowerShell para pesquisar essas propriedades.

Este artigo também descreve:

  • Usando operadores de pesquisa boolianos, condições de pesquisa e outras técnicas de consulta de pesquisa para refinar os resultados da pesquisa.
  • Pesquisar comunicações de vários tipos relacionados a funcionários e projetos específicos durante um período específico.
  • Pesquisar conteúdo do site relacionado a um projeto específico, funcionários e/ou sujeitos durante um período específico.

Para obter instruções passo a passo sobre como criar diferentes pesquisas de descoberta eletrônica, consulte:

Observação

Pesquisas de descoberta eletrônica no portal de conformidade e nos cmdlets *-ComplianceSearch correspondentes em Segurança & Conformidade do PowerShell usam a KQL (Linguagem de Consulta de Palavra-Chave). Para obter informações mais detalhadas, confira Referência de sintaxe da linguagem de consulta de palavra-chave.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Dicas e truques de pesquisa

  • O fuso horário para todas as pesquisas é UTC (Horário Universal Coordenado). Atualmente, não há suporte para alteração de fusos horários para sua organização. As configurações de exibição de fuso horário no modo de exibição de pesquisa são aplicáveis apenas para valores na coluna Dados e não afetam carimbos de hora em itens coletados.
  • As pesquisas de palavra-chave não são sensíveis a casos. Por exemplo, gato e GATO retornam os mesmos resultados.
  • Os operadores boolianos AND, OR, NOT e NEAR devem ser maiúsculas.
  • O uso de aspas interrompe curingas e quaisquer operações dentro das aspas.
  • Um espaço entre duas palavras-chave ou duas property:value expressões é o mesmo que usar OR. Por exemplo, from:"Sara Davis" subject:reorganization retorna todas as mensagens enviadas por Sara Davis ou mensagens que contêm a palavra reorganização na linha de assunto. No entanto, o uso de uma combinação de espaços e condicionales or em uma única consulta pode levar a resultados inesperados. Recomendamos usar espaços ou OR em uma única consulta.
  • Use sintaxe que corresponda ao property:value formato. Os valores não são sensíveis a casos e não podem ter um espaço depois do operador. Se houver um espaço, o valor pretendido será uma pesquisa de texto completo. Por exemploto: pilarp, pesquisa "pilarp" como um palavra-chave, em vez de mensagens enviadas para pilarp.
  • Ao pesquisar uma propriedade de destinatário, como To, From, Cc ou Recipients, você pode usar um endereço SMTP, um alias ou um nome de exibição para indicar um destinatário. Por exemplo, você pode usar pilarp@contoso.com, pilarp ou "Pilar Pinilla".
  • Você pode usar apenas pesquisas de prefixo; por exemplo, cat* ou set*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e substring (*cat*).
  • Ao pesquisar uma propriedade, use aspas duplas (" ") se o valor de pesquisa consistir em várias palavras. Por exemplo, subject:budget Q1 retorna mensagens que contêm orçamento na linha de assunto e que contêm q1 em qualquer lugar da mensagem ou em qualquer uma das propriedades da mensagem. O uso subject:"budget Q1" retorna todas as mensagens que contêm orçamento Q1 em qualquer lugar da linha de assunto.
  • Para excluir o conteúdo marcado com determinado valor de propriedade dos resultados de pesquisa, coloque um sinal de subtração (-) antes do nome da propriedade. Por exemplo, -from:"Sara Davis" exclui todas as mensagens enviadas por Sara Davis.
  • Você pode exportar itens com base no tipo de mensagem. Por exemplo, para exportar conversas e chats do Skype no Microsoft Teams, use a sintaxe kind:im. Para retornar apenas mensagens de email, você usaria kind:email. Para retornar chats, reuniões e chamadas no Microsoft Teams, use kind:microsoftteams.
  • Ao pesquisar sites, você precisa adicionar o trailing / ao final da URL ao usar a path propriedade para retornar apenas itens em um site especificado. Se você não incluir os itens à direita /, itens de um site com um nome de caminho semelhante também serão retornados. Por exemplo, se você usar path:sites/HelloWorld itens de sites nomeados sites/HelloWorld_East ou sites/HelloWorld_West também serão retornados. Para retornar itens somente do site HelloWorld, você precisa usar path:sites/HelloWorld/.
  • A linguagem de consulta país/região deve ser definida na consulta de pesquisa antes de coletar conteúdo.
  • Ao pesquisar as pastas enviadas por emails, não há suporte para usar o endereço SMTP para o remetente. Os itens na pasta Enviado contêm apenas nomes de exibição.

Encontrar conteúdo em Exchange Online

Os administradores geralmente são encarregados de descobrir quem sabia o que quando da maneira mais eficiente e eficaz possível responder a solicitações relativas a litígios contínuos ou potenciais, investigações internas e outros cenários. Essas solicitações geralmente são urgentes, envolvem várias equipes de stakeholders e têm um impacto significativo se não forem concluídas em tempo hábil. Saber como encontrar as informações certas é fundamental para que os administradores concluam pesquisas com êxito e ajudem suas organizações a gerenciar o risco e o custo associados aos requisitos de descoberta eletrônica.

Quando uma solicitação de descoberta eletrônica é enviada, muitas vezes há apenas informações parciais disponíveis para o administrador começar a coletar conteúdo que possa estar relacionado a uma investigação específica. A solicitação pode incluir nomes de funcionários, títulos de projeto, intervalos de datas brutos quando o projeto estava ativo e não muito mais. A partir dessas informações, o administrador precisa criar consultas para encontrar conteúdo relevante entre os serviços do Microsoft 365 para determinar as informações necessárias para um projeto ou assunto específico. Entender como as informações são armazenadas e gerenciadas para esses serviços ajudam os administradores a encontrar com mais eficiência o que precisam de maneira rápida e eficaz.

Email, chat, reunião e Microsoft Copilot para Microsoft 365 dados de atividade (prompts de usuário e respostas copilot) são armazenados em Exchange Online. Muitas propriedades de comunicação estão disponíveis para pesquisar itens incluídos no Exchange Online. Algumas propriedades como From, Sent, Subject e To são exclusivas de determinados itens e não são relevantes ao pesquisar arquivos ou documentos no SharePoint e OneDrive for Business. Incluir esses tipos de propriedades ao pesquisar em cargas de trabalho às vezes pode levar a resultados inesperados.

Por exemplo, para encontrar conteúdo relacionado a funcionários específicos (Usuário 1 e Usuário 2), associados a um projeto chamado Tradewinds e, entre janeiro de 2020 e janeiro de 2022, você poderá usar uma consulta com as seguintes propriedades:

  • Adicionar locais de Exchange Online do Usuário 1 e do Usuário 2 como fontes de dados ao caso
  • Selecione Locais de Exchange Online do Usuário 1 e do Usuário 2 como locais de coleção
  • Para Palavra-chave, use Tradewinds
  • Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022

Importante

Para emails, quando um palavra-chave é usado, pesquisamos assunto, corpo e muitas propriedades relacionadas aos participantes. No entanto, devido à expansão do destinatário, a pesquisa pode não retornar os resultados esperados ao usar o alias ou parte do alias. Portanto, recomendamos usar o UPN completo.

Propriedades de emails pesquisáveis

A tabela a seguir lista as propriedades da mensagem de email que podem ser pesquisadas usando as ferramentas de pesquisa de descoberta eletrônica no portal de conformidade ou usando o cmdlet New-ComplianceSearch ou Set-ComplianceSearch .

Importante

Embora as mensagens de email possam ter outras propriedades com suporte em outros serviços do Microsoft 365, apenas as propriedades de email listadas nesta tabela têm suporte em ferramentas de pesquisa de descoberta eletrônica. Não há suporte para a tentativa de incluir outras propriedades de mensagens de email em pesquisas.

A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos. Você pode inserir esses property:value pares na caixa palavras-chave para uma pesquisa de descoberta eletrônica.

Observação

Ao pesquisar propriedades de email, não é possível pesquisar cabeçalhos de mensagem. As informações de cabeçalho não são indexadas para coleções. Além disso, itens nos quais a propriedade especificada está vazia ou em branco não são pesquisáveis. Por exemplo, usar o par property:value de subject:"" para pesquisar mensagens de email com uma linha de assunto vazia retornará zero resultados. Isso também se aplica ao pesquisar propriedades de site e contato.

Propriedade Descrição da propriedade Exemplos Resultados de pesquisa retornados pelos exemplos
AttachmentNames Os nomes dos arquivos anexados a uma mensagem de email. attachmentnames:annualreport.ppt

attachmentnames:annual*

Mensagens que têm um arquivo anexado chamado annualreport.ppt. No segundo exemplo, o uso do caractere curinga ( * ) retorna mensagens com a palavra anual no nome do arquivo de um anexo. 1
Cco O campo Bcc de uma mensagem de email. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Todos os exemplos retornam mensagens com Pilar Pinilla incluídas no campo Bcc.
(Confira Expansão do destinatário)
Categoria As categorias a serem pesquisadas. As categorias podem ser definidas pelos usuários usando o Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App). Os valores possíveis são:
  • Azul
  • Verde
  • Laranja
  • Roxo
  • Vermelho
  • Amarelo
category:"Red Category" Mensagens atribuídas à categoria vermelha nas caixas de correio de origem.
Cc O campo CC de uma mensagem de email. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

Em ambos os exemplos, mensagens com Pilar Pinilla especificadas no campo Cc.
(Confira Expansão do destinatário)
Folderid A ID da pasta (GUID) de uma pasta de caixa de correio específica no formato de 48 caracteres. Se você usar essa propriedade, pesquise na caixa de correio na qual a pasta especificada está localizada. Somente a pasta especificada é pesquisada. Nenhuma subpasta na pasta não será pesquisada. Para pesquisar subpastas, você precisa usar a propriedade Folderid para a subpasta que deseja pesquisar.

Para obter mais informações sobre como pesquisar a propriedade Folderid e usar um script para obter as IDs da pasta para uma caixa de correio específica, consulte Usar a pesquisa de conteúdo para coleções direcionadas.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

O primeiro exemplo retorna todos os itens na pasta de caixa de correio especificada. O segundo exemplo retorna todos os itens na pasta de caixa de correio especificada que foram enviados ou recebidos por garthf@contoso.com.
De O remetente de uma mensagem de email. 1 from:pilarp@contoso.com Mensagens enviadas pelo usuário especificado.
(Confira Expansão do destinatário)
HasAttachment Indica se uma mensagem tem um anexo. Use os valores true ou false. from:pilar@contoso.com AND hasattachment:true Mensagens enviadas pelo usuário especificado que têm anexos.
Importance A prioridade de uma mensagem de email, que um remetente pode especificar ao enviar uma mensagem. Por padrão, as mensagens são enviadas com prioridade normal, a menos que o remetente defina a prioridade como alta ou baixa. importance:high

importance:medium

importance:low

Mensagens marcadas como alta prioridade, prioridade média ou baixa prioridade.
IsRead Indica se as mensagens foram lidas. Use os valores true ou false. isread:true

isread:false

O primeiro exemplo retorna mensagens com a propriedade IsRead definida como True. O segundo exemplo retorna mensagens com a propriedade IsRead definida como False.
ItemClass Use essa propriedade para pesquisar tipos de dados de terceiros específicos que sua organização importou para Office 365. Use a seguinte sintaxe para esta propriedade: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

O primeiro exemplo retorna Facebook itens que contêm a palavra "contoso" na propriedade Subject. O segundo exemplo retorna itens do Twitter que foram postados por Ann Beebe e que contêm a frase palavra-chave "Northwind Traders".

Para obter uma lista completa de valores a serem usados para tipos de dados de terceiros para a propriedade ItemClass, consulte Usar pesquisa de conteúdo para pesquisar dados de terceiros importados para Office 365.

Tipo O tipo de mensagem de email a ser pesquisada. Valores possíveis:

contacts

documentos

email

externaldata

Faxes

mensagem instantânea

diários

reuniões

microsoftteams (retorna itens de chats, reuniões e chamadas no Microsoft Teams)

notes

postagens

rssfeeds

tarefas

Voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

O primeiro exemplo retorna mensagens de email que atendem aos critérios de pesquisa. O segundo exemplo retorna mensagens de email, conversas de mensagens instantâneas (incluindo Skype for Business conversas e chats no Microsoft Teams) e mensagens de voz que atendem aos critérios de pesquisa. O terceiro exemplo retorna itens importados para caixas de correio no Microsoft 365 de fontes de dados de terceiros, como Twitter, Facebook e Cisco Jabber que atendem aos critérios de pesquisa. Para obter mais informações, consulte Arquivamento de dados de terceiros no Office 365.
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são From, To, Cc e Bcc.1 participants:garthf@contoso.com

participants:contoso.com

Mensagens enviadas por ou enviadas para garthf@contoso.com. O segundo exemplo retorna todas as mensagens enviadas por ou para um usuário no domínio contoso.com.
(Confira Expansão do destinatário)
Received A data em que uma mensagem de email foi recebida pelo destinatário. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

Mensagens recebidas em 15 de abril de 2021. O segundo exemplo retorna todas as mensagens recebidas entre 1º de janeiro de 2021 e 31 de março de 2021.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são To, Cc e Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

Mensagens enviadas para garthf@contoso.com. O segundo exemplo retorna mensagens enviadas para qualquer destinatário no domínio contoso.com.
(Confira Expansão do destinatário)
Enviado A data em que uma mensagem de email foi enviada pelo remetente. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

Mensagens que foram enviadas na data especificada ou dentro do intervalo de datas especificado.
Tamanho O tamanho de um item, em bytes. size>26214400

size:1..1048567

Mensagens com mais de 25 MB. O segundo exemplo retorna mensagens de 1 a 1.048.567 bytes (1 MB) de tamanho.
Assunto O texto na linha de assunto de uma mensagem de email.

Nota: Quando você usa a propriedade Subject em uma consulta, a pesquisa retorna todas as mensagens nas quais a linha de assunto contém o texto que você está procurando. Em outras palavras, a consulta não retorna apenas as mensagens que têm uma correspondência exata. Por exemplo, se você pesquisar subject:"Quarterly Financials", seus resultados incluem mensagens com o assunto "Quarterly Financials 2018".

subject:"Quarterly Financials"

subject:northwind

Mensagens que contêm a frase "Finanças Trimestrais" em qualquer lugar no texto da linha de assunto. O segundo exemplo retorna todas as mensagens que contêm a palavra northwind na linha de assunto.
Para O campo Para de uma mensagem de email. 1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

Todos os exemplos retornam mensagens em que Clara Barbosa é especificada na linha Para:.

Observação

1 Para o valor de uma propriedade do destinatário, você pode usar endereço de email (também chamado de nome de entidade de usuário ou UPN), nome de exibição ou alias para especificar um usuário. Por exemplo, você pode usar annb@contoso.com, annb ou "Ann Beebe" para especificar o usuário Ann Beebe.

Expansão do destinatário

Ao pesquisar qualquer uma das propriedades do destinatário (De, Para, Cc, Bcc, Participantes e Destinatários), o Microsoft 365 tenta expandir a identidade de cada usuário pesquisando-as em Microsoft Entra ID. Se o usuário for encontrado em Microsoft Entra ID, a consulta será expandida para incluir o endereço de email do usuário (ou UPN), alias, nome de exibição e LegacyExchangeDN. Por exemplo, uma consulta como participants:ronnie@contoso.com expande para participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Para evitar a expansão do destinatário, adicione um caractere cartão selvagem (asterisco) ao final do endereço de email e use um nome de domínio reduzido; por exemplo, participants:"ronnie@contoso*" certifique-se de cercar o endereço de email com aspas duplas.

No entanto, esteja ciente de que impedir a expansão do destinatário na consulta de pesquisa pode resultar na não retornação de itens relevantes nos resultados da pesquisa. Email mensagens no Exchange podem ser salvas com diferentes formatos de texto nos campos do destinatário. A expansão do destinatário destina-se a ajudar a atenuar esse fato retornando mensagens que podem conter diferentes formatos de texto. Portanto, impedir a expansão do destinatário pode fazer com que a consulta de pesquisa não retorne todos os itens que possam ser relevantes para sua investigação.

Observação

Se você precisar examinar ou reduzir os itens retornados por uma consulta de pesquisa devido à expansão do destinatário, considere usar a descoberta eletrônica (Premium). Você pode pesquisar mensagens (aproveitando a expansão do destinatário), adicioná-las a um conjunto de revisão e, em seguida, usar consultas ou filtros de conjunto de revisão para revisar ou restringir os resultados. Para obter mais informações, consulte Coletar dados para um caso e consultar os dados em um conjunto de revisão.

Encontrar conteúdo no SharePoint e no OneDrive

Ao pesquisar documentos e arquivos localizados no SharePoint ou OneDrive for Business, pode fazer sentido ajustar a abordagem de consulta com base nos metadados dos documentos e arquivos de interesse. Arquivos e documentos têm propriedades relevantes como Author, Created, CreatedBy, FileName, LastModifiedTime e Title. A maioria dessas propriedades não é relevante ao pesquisar conteúdo de comunicações em Exchange Online e usar essas propriedades pode levar a resultados inesperados se usados em documentos e comunicações. Além disso, FileName e Title de um documento podem não ser os mesmos e usar um ou outro para tentar encontrar um arquivo com conteúdo específico pode levar a resultados diferentes ou imprecisos. Tenha essas propriedades em mente ao pesquisar conteúdo específico de documentos e arquivos no SharePoint e OneDrive for Business.

Por exemplo, para encontrar conteúdo relacionado a documentos criados pelo Usuário 1, para um projeto chamado Tradewinds, para arquivos específicos chamados Financials e de janeiro de 2020 a janeiro de 2022, você pode usar uma consulta com as seguintes propriedades:

  • Adicionar o site OneDrive for Business do Usuário 1 como fontes de dados ao caso
  • Selecione Site de OneDrive for Business do Usuário 1 como local de coleção
  • Adicionar locais adicionais do site do SharePoint relacionados ao projeto como locais de coleção
  • Para FileName, use Financials
  • Para Palavra-chave, use Tradewinds
  • Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022

Propriedades de sites pesquisáveis

A tabela a seguir lista as propriedades do SharePoint e OneDrive for Business que podem ser pesquisadas usando as ferramentas de pesquisa de descoberta eletrônica no portal de conformidade do Microsoft Purview ou usando o cmdlet New-ComplianceSearch ou Set-ComplianceSearch.

Importante

Embora documentos e arquivos armazenados no SharePoint e OneDrive for Business possam ter outras propriedades com suporte em outros serviços do Microsoft 365, apenas as propriedades de documento e arquivo listadas nesta tabela têm suporte em ferramentas de pesquisa de descoberta eletrônica. Não há suporte para a tentativa de incluir outras propriedades de documento ou arquivo em pesquisas.

A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos.

Propriedade Descrição da propriedade Exemplo Resultados de pesquisa retornados pelos exemplos
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e enviá-lo por email para outra pessoa que o carregue no SharePoint, o documento ainda manterá o autor original. Use o nome de exibição do usuário para essa propriedade. author:"Garth Fort" Todos os documentos criados por Paulo Araújo.
ContentType O tipo de conteúdo do SharePoint de um item, como Item, Documento ou Vídeo. contenttype:document Todos os documentos seriam ser retornados.
Criado em A data em que um item foi criado. created>=2021-06-01 Todos os itens criados em ou após 1º de junho de 2021.
CreatedBy A pessoa que criou ou carregou um item. Use o nome de exibição do usuário para essa propriedade. createdby:"Garth Fort" Todos os itens criados ou carregados por Paulo Araújo.
DetectedLanguage O idioma de um item. detectedlanguage:english Todos os itens em inglês.
DocumentLink O caminho (URL) de uma pasta específica em um site do SharePoint ou OneDrive for Business. Se você usar essa propriedade, pesquise no site no qual a pasta especificada está localizada. Recomendamos usar essa propriedade em vez das propriedades Site e Path .

Para retornar itens localizados em subpastas da pasta especificada para a propriedade documentlink, você precisa adicionar /* à URL da pasta especificada; por exemplo, documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Para obter mais informações sobre como pesquisar a propriedade documentlink e usar um script para obter as URLs de documentlink para pastas em um site específico, consulte Usar a pesquisa de conteúdo para coleções direcionadas.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

O primeiro exemplo retorna todos os itens na pasta OneDrive for Business especificada. O segundo exemplo retorna documentos na pasta de site especificada (e todas as subpastas) que contêm a palavra "confidencial" no nome do arquivo.
Fileextension A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. fileextension:xlsx Todos os arquivos do Excel (Excel 2007 e posterior)
FileName O nome de um arquivo. filename:"marketing plan"

filename:estimate

O primeiro exemplo retorna os arquivos com a frase exata "plano de marketing" no título. O segundo exemplo retorna arquivos com a palavra "estimativa" no nome de arquivo.
LastModifiedTime A data em que um item foi alterado pela última vez. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

O primeiro exemplo retorna itens que foram alterados em ou após 1º de maio de 2021. O segundo exemplo retorna itens alterados entre 1º de maio de 2021 e 1º de junho de 2021.
ModifiedBy A pessoa que alterou um item pela última vez. Use o nome de exibição do usuário para essa propriedade. modifiedby:"Garth Fort" Todos os itens que foram alterados pela última vez por Paulo Araújo.
SharedWithUsersOWSUser Documentos que foram compartilhados com o usuário especificado e exibidos na página Compartilhado comigo no site OneDrive for Business do usuário. Estes são documentos que foram explicitamente compartilhados com o usuário especificado por outras pessoas em sua organização. Quando você exporta documentos que correspondem a uma consulta de pesquisa que usa a propriedade SharedWithUsersOWSUser, os documentos são exportados do local de conteúdo original da pessoa que compartilhou o documento com o usuário especificado. Para obter mais informações, consulte Pesquisar o conteúdo do site compartilhado em sua organização. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

Ambos os exemplos retornam todos os documentos internos que foram explicitamente compartilhados com Garth Fort e que aparecem na página Compartilhado comigo na conta OneDrive for Business de Garth Fort.
Tamanho O tamanho de um item, em bytes. size>=1

size:1..10000

O primeiro exemplo retorna itens com mais de 1 byte. O segundo exemplo retorna itens de 1 a 10.000 bytes de tamanho.
Título O título do documento. A propriedade Title é metadados especificados em documentos do Microsoft Office. É diferente do nome do arquivo do documento. title:"communication plan" Qualquer documento que contém a frase "plano de comunicação" na propriedade de metadados Title de um documento do Office.

Propriedades de contato pesquisáveis

A tabela a seguir lista as propriedades de contato indexadas e que você pode pesquisar usando ferramentas de pesquisa de descoberta eletrônica. Estas são as propriedades que estão disponíveis para os usuários configurarem para os contatos (também chamados de contatos pessoais) que estão localizados no catálogo de endereços pessoal da caixa de correio de um usuário. Para pesquisar contatos, você pode selecionar as caixas de correio para pesquisar e, em seguida, usar uma ou mais propriedades de contato na consulta palavra-chave.

Dica

Para pesquisar valores que contenham espaços ou caracteres especiais, use aspas duplas (" ") para conter a frase; por exemplo, businessaddress:"123 Main Street".

Propriedade Descrição da propriedade
BusinessAddress O endereço na propriedade Endereço Comercial . A propriedade também é chamada de Endereço de trabalho na página propriedades de contato.
BusinessPhone O número de telefone em qualquer uma das propriedades do número de telefone comercial .
CompanyName O nome na propriedade Empresa .
Departamento O nome na propriedade do Departamento .
DisplayName O nome de exibição do contato. Esse é o nome na propriedade Nome Completo do contato.
EmailAddress O endereço de qualquer propriedade de endereço de email para o contato. Os usuários podem adicionar vários endereços de email para um contato. O uso dessa propriedade retornaria contatos que correspondem a qualquer um dos endereços de email do contato.
FileAs A propriedade Arquivo como . Essa propriedade é usada para especificar como o contato está listado na lista de contatos do usuário. Por exemplo, um contato pode ser listado como FirstName, LastName ou LastName, FirstName.
GivenName O nome na propriedade Nome .
HomeAddress O endereço em qualquer uma das propriedades do endereço Residencial .
Homephone O número de telefone em qualquer uma das propriedades do número de telefone inicial .
IMAddress A propriedade de endereço IM, que normalmente é um endereço de email usado para mensagens instantâneas.
MiddleName O nome na propriedade Nome do meio .
MobilePhone O número de telefone na propriedade número de telefone celular .
Nickname O nome na propriedade Nickname .
OfficeLocation O valor na propriedade de localizaçãodo Office ou do Office.
OtherAddress O valor da propriedade Outro endereço.
Surname O nome na propriedade Sobrenome .
Título O título na propriedade Título do trabalho .

Operadores de pesquisa

Operadores de pesquisa boolianos, como AND, OR e NOT, ajudam você a definir pesquisas mais precisas incluindo ou excluindo palavras específicas na consulta de pesquisa. Outras técnicas, como usar operadores de propriedade (como >= ou ..), aspas, parênteses e curingas, ajudam você a refinar uma consulta de pesquisa. A tabela a seguir lista os operadores que você pode usar para restringir ou ampliar os resultados de pesquisa.

Operador Uso Descrição
E palavra-chave1 AND palavra-chave2 Retorna itens que incluem todas as palavras-chave ou property:value expressões especificadas. Por exemplo, from:"Ann Beebe" AND subject:northwind retornaria todas as mensagens enviadas por Ann Beebe que continham a palavra northwind na linha de assunto. 2
+ palavra-chave1 + palavra-chave2 + palavra-chave3 Retorna itens que contêmkeyword2 ou keyword3e que também contêm keyword1. Portanto, este exemplo é equivalente à consulta (keyword2 OR keyword3) AND keyword1.

A consulta keyword1 + keyword2 (com um espaço após o + símbolo) não é a mesma que usar o operador AND . Essa consulta seria equivalente a "keyword1 + keyword2" e retornaria itens com a fase "keyword1 + keyword2"exata .

OU palavra-chave1 OR palavra-chave2 Retorna itens que incluem uma ou mais das palavras-chave ou property:value expressões especificadas. 2
NÃO palavra-chave1 NOT palavra-chave2

NOT from:"Clara Barbosa"

NÃO tipo:im

Exclui itens especificados por um palavra-chave ou uma property:value expressão. No segundo exemplo, exclui mensagens enviadas por Ann Beebe. O terceiro exemplo exclui qualquer conversa de mensagens instantâneas, como Skype for Business conversas salvas na pasta caixa de correio Histórico de Conversas. 2
NEAR palavra-chave1 NEAR(n) palavra-chave2 Retorna itens com palavras próximas umas das outras. Na sintaxe NEAR(n) keyword2 da palavra-chave 1 , n é igual ao número de palavras-chave inclusive de palavra-chave1 e palavra-chave2. Por exemplo, para identificar instâncias em que o termo melhor está dentro de três palavras de pior (frase de exemplo, 'Melhor é o oposto do pior.'), você usaria o melhor NEAR(5) pior. Isso retorna todos os itens em que há 3 ou menos palavras entre o melhor (palavra-chave1) e o pior (palavra-chave2). Especificar 5 no exemplo de sintaxe inclui as duas palavras-chave e a diferença de 3 palavras entre elas é o intervalo NEAR. Se nenhum número for especificado, o valor n padrão será 8. 2
: property:value O ponto (:) na property:value sintaxe especifica que o valor da propriedade que está sendo pesquisada contém o valor especificado. Por exemplo, recipients:garthf@contoso.com retorna qualquer mensagem enviada para garthf@contoso.com.
= property=value O mesmo que o : operador.
< valor da propriedade< Indica que a propriedade que está sendo pesquisada é menor do que o valor especificado. 1
> valor da propriedade> Denota que a propriedade que está sendo pesquisada é maior que o valor especificado. 1
<= property<=value Denota que a propriedade que está sendo pesquisada é menor ou igual a um valor específico. 1
>= property>=value Denota que a propriedade que está sendo pesquisada é maior ou igual a um valor específico. 1
.. property:value1.. value2 Denota que a propriedade que está sendo pesquisada é maior ou igual ao valor1 e menor ou igual ao valor2. 1
" " "valor justo"

assunto:"Finanças trimestrais"

Em uma consulta palavra-chave (em que você digita o property:value par na caixa Palavra-chave), use aspas duplas (" ") para pesquisar uma frase ou termo exato. No entanto, se você usar a condição de pesquisaAssunto ou Assunto/Título, não adicione aspas duplas ao valor porque as aspas serão adicionadas automaticamente ao usar essas condições de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro.
* Gato*

subject:set*

Pesquisas de prefixo (também chamadas de correspondência de prefixo) em que um caractere curinga ( * ) é colocado no final de uma palavra em palavras-chave ou property:value consultas. Em pesquisas de prefixo, a pesquisa retorna resultados com termos que contêm a palavra seguida por zero ou mais caracteres. Por exemplo, title:set* retorna documentos que contêm a palavra "set", "setup" e "setting" (e outras palavras que começam com "set") no título do documento.

Nota: Você pode usar apenas pesquisas de prefixo; por exemplo, cat* ou set*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e substring (*cat*).

Além disso, adicionar um período ( . ) a uma pesquisa de prefixo altera os resultados retornados. Isso porque um período é tratado como uma palavra de parada. Por exemplo, pesquisar cat* e procurar por cat.* retornará resultados diferentes. Recomendamos não usar um período em uma pesquisa de prefixo.

( ) (justo OR grátis) AND (from:contoso.com)

(IPO OR inicial) AND (ação OR títulos)

(finanças trimestrais)

Parênteses agrupam frases boolianas, property:value itens e palavras-chave. Por exemplo, (quarterly financials) retorna itens que contêm as palavras trimestral e financeira.

Observação

1 Use esse operador para propriedades que tenham valores numéricos ou de data.
2 Operadores de pesquisa boolianos devem ser maiúsculas; por exemplo, AND. Se você usar um operador de minúsculas, como e, ele será tratado como um palavra-chave na consulta de pesquisa.

Condições de pesquisa

Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você inicia a pesquisa.

Condições para propriedades comuns

Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.

Condition Descrição
Date Para email, a data em que uma mensagem foi criada ou importada de um arquivo PST. Para documentos, a data em que um documento foi modificado pela última vez.

Se você estiver procurando mensagens de email por um período específico, use as condições recebidas e enviadas da mensagem se não tiver certeza se as mensagens de email podem ter sido importadas em vez de criadas nativamente no Exchange.
Remetente/Autor Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.
(Confira Expansão do destinatário)
Tamanho (em bytes) Para emails e documentos, o tamanho do item (em bytes).
Assunto/Título Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. Como explicado anteriormente, a propriedade Title é metadados especificados em documentos do Microsoft Office. Você pode digitar o nome de mais de um assunto/valores de título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.

Observação: não inclua aspas duplas nos valores dessa condição porque as aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro.

Rótulo de retenção Para emails e documentos, rótulos de retenção que podem ser aplicados automaticamente ou manualmente a mensagens e documentos. Os rótulos de retenção podem ser usados para declarar registros e ajudá-lo a gerenciar o ciclo de vida de dados do conteúdo, impondo regras de retenção e exclusão especificadas pelo rótulo. Você pode digitar parte do nome do rótulo de retenção e usar um curinga ou digitar o nome completo do rótulo. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção.

Condições para propriedades de email

Crie uma condição usando propriedades de email ao pesquisar caixas de correio ou pastas públicas em Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Tipo de mensagem Tipo de mensagem para pesquisar. Essa propriedade é igual à propriedade de email Kind. Valores possíveis:
  • contacts
  • documentos
  • email
  • externaldata
  • fax
  • mensagem instantânea
  • diários
  • reuniões
  • microsoftteams
  • notes
  • postagens
  • rssfeeds
  • tarefas
  • Voicemail
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são From, To, Cc e Bcc. (Confira Expansão do destinatário)
Tipo A propriedade da classe de mensagem para um item de email. Essa é a mesma propriedade que a propriedade de email ItemClass. É também uma condição de vários valores. Portanto, para selecionar várias classes de mensagem, segure a chave CTRL e selecione duas ou mais classes de mensagem na lista suspensa que você deseja adicionar à condição. Cada classe de mensagem selecionada na lista será logicamente conectada pelo operador OR na consulta de pesquisa correspondente.

Para obter uma lista das classes de mensagem (e sua ID de classe de mensagem correspondente) que são usadas pelo Exchange e que você pode selecionar na lista classe Mensagem , consulte Tipos de Item e Classes de Mensagem.

Received A data em que uma mensagem de email foi recebida pelo destinatário. Essa propriedade é igual à propriedade de email Received.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são To, Cc e Bcc. (Confira Expansão do destinatário)
Remetente O remetente de uma mensagem de email.
Enviado A data em que uma mensagem de email foi enviada pelo remetente. Essa propriedade é igual à propriedade de email Sent.
Assunto O texto na linha de assunto de uma mensagem de email.

Observação: não inclua aspas duplas nos valores dessa condição porque as aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se você adicionar aspas ao valor, dois pares de aspas duplas serão adicionados ao valor da condição e a consulta de pesquisa retornará um erro.

Para O destinatário de uma mensagem de email no campo Para.

Condições para propriedades de documentos

Crie uma condição usando propriedades de documento ao pesquisar documentos no SharePoint e OneDrive for Business sites. A tabela a seguir lista as propriedades do documento que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e enviá-lo por email para outra pessoa que o carregue no SharePoint, o documento ainda manterá o autor original.
Título O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. É diferente do nome do arquivo do documento.
Criado em A data em que um documento foi criado.
Última modificação A data em que um documento foi alterado pela última vez.
Tipo de arquivo A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.

Nota: Se você incluir uma condição de tipo de arquivo usando equals ou equals qualquer um dos operadores em uma consulta de pesquisa, você não poderá usar uma pesquisa de prefixo (incluindo o caractere curinga ( * ) no final do tipo de arquivo) para retornar todas as versões de um tipo de arquivo. Se você fizer isso, o curinga será ignorado. Por exemplo, se você incluir a condição Equals any of doc*, somente arquivos com uma extensão de .doc serão retornados. Arquivos com uma extensão de .docx não serão retornados. Para retornar todas as versões de um tipo de arquivo, usou o par property:value em uma consulta palavra-chave; por exemplo, filetype:doc*.

Operadores usados com condições

Ao adicionar uma condição, você pode selecionar um operador que é relevante para o tipo de propriedade da condição. A tabela a seguir descreve os operadores que são usados com condições e lista o equivalente que é usado na consulta de pesquisa.

Operador Equivalente de consulta Descrição
After property>date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada.
Before property<date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada.
Between date..date Use com condições de data e tamanho. Quando usado com uma condição de data, retorna itens que foram enviados, recebidos ou modificados no intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado.
Contains any of (property:value) OR (property:value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada.
Doesn't contain any of -property:value

NOT property:value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada.
Doesn't equal any of -property=value

NOT property=value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm a cadeia de caracteres específica.
Igual a size=value Retorna itens iguais ao tamanho especificado. 1
Igual a qualquer (property=value) OR (property=value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que correspondem a um ou mais valores de cadeia de caracteres especificados.
Maior size>value Retorna itens em que a propriedade especificada é maior que o valor especificado. 1
Greater or equal size>=value Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado. 1
Menos size<value Retorna itens maiores ou iguais ao valor específico. 1
Less or equal size<=value Retorna itens maiores ou iguais ao valor específico. 1
Not equal size<>value Retorna itens que não são iguais ao tamanho especificado. 1

Observação

1 Esse operador está disponível apenas para condições que usam a propriedade Size.

Diretrizes para o uso de condições

Lembre-se do seguinte ao usar condições de pesquisa.

  • Uma condição está logicamente conectada à consulta de palavra-chave (especificada na caixa de palavra-chave) pelo operador AND. Isso significa que os itens precisam atender à consulta de palavra-chave e à condição para serem incluídos nos resultados. É assim que as condições ajudam a restringir os resultados.

  • Se você adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições serão logicamente conectadas pelo operador AND. Isso significa que apenas os itens que atenderem a todas as condições (além de qualquer consulta de palavra-chave) serão retornados.

  • Se você adicionar mais de uma condição à mesma propriedade, as condições serão logicamente conectadas pelo operador OR. Isso significa que os itens que atenderem à consulta de palavra-chave e a qualquer uma das condições serão retornados. Portanto, grupos das mesmas condições são conectados uns aos outros pelo operador OR, e conjuntos de condições exclusivas são conectados pelo operador AND.

  • Se você adicionar vários valores (separados por vírgulas ou ponto-e-vírgula) a uma única condição, os valores serão conectados pelo operador OR. Isso significa que os itens serão retornados se contiverem qualquer um dos valores especificados para a propriedade na condição.

  • Qualquer condição que use um operador com a lógica Contains and Equals retornará resultados de pesquisa semelhantes para pesquisas de cadeia de caracteres simples. Uma pesquisa de cadeia de caracteres simples é uma cadeia de caracteres na condição que não inclui um curinga). Por exemplo, uma condição que usa Equals qualquer um dos retornará os mesmos itens que uma condição que usa Contém qualquer um.

  • A consulta de pesquisa criada usando a caixa de palavras-chave e as condições é exibida na página Pesquisa , no painel de detalhes da pesquisa selecionada. Em uma consulta, tudo à direita da notação (c:c) indica condições adicionadas à consulta. (c:c) não deve ser usado em consultas eneteradas manualmente e não é igual a AND ou OR.

  • As condições só adicionam propriedades à consulta de pesquisa; eles não adicionam operadores. É por isso que a consulta exibida no painel de detalhes não mostra operadores à direita da (c:c) notação. A KQL adiciona os operadores lógicos (de acordo com as regras explicadas anteriormente) ao executar a consulta.

  • Você pode usar o controle arrastar e soltar para ressequear a ordem das condições. Selecione o controle para uma condição e mova-o para cima ou para baixo.

  • Como explicado anteriormente, algumas propriedades de condição permitem que você digite vários valores (separados por semi-pontos). Cada valor é logicamente conectado pelo operador OR e resulta na consulta (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). A ilustração a seguir mostra um exemplo de uma condição com vários valores.

    Uma condição com vários valores.

    Observação

    Você não pode adicionar várias condições (selecionando Adicionar condição para a mesma propriedade). Em vez disso, você precisa fornecer vários valores para a condição (separados por semi-cólons), conforme mostrado no exemplo anterior.

Exemplos

Os exemplos a seguir mostram a versão baseada em GUI de uma consulta de pesquisa com condições, a sintaxe de consulta de pesquisa exibida no painel de detalhes da pesquisa selecionada (que também é retornada pelo cmdlet Get-ComplianceSearch ) e a lógica da consulta KQL correspondente.

Exemplo 1

Este exemplo retorna itens de email ou documentos que contêm o palavra-chave "relatório", que foram enviados ou criados antes de 1º de abril de 2021, e que contêm a palavra "northwind" no campo assunto de mensagens de email ou na propriedade título dos documentos. A consulta exclui páginas da Web que atendem aos outros critérios de pesquisa.

GUI:

Segundo exemplo de condições de pesquisa.

Sintaxe de consulta de pesquisa:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Lógica de consulta de pesquisa:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Exemplo 2

Este exemplo retorna mensagens de email ou reuniões de calendário que foram enviadas entre 1º de dezembro de 2019 e 30 de novembro de 2020 e que contêm palavras que começam com "telefone" ou "smartphone".

GUI:

Terceiro exemplo de condições de pesquisa.

Sintaxe de consulta de pesquisa:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Lógica de consulta de pesquisa:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Caracteres especiais

Alguns caracteres especiais não estão incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Isso também inclui os caracteres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Tipos de dados confidenciais pesquisáveis

Você pode usar ferramentas de pesquisa de descoberta eletrônica no portal de conformidade para pesquisar dados confidenciais, como números de cartão de crédito ou números de segurança social, armazenados em documentos no SharePoint e OneDrive for Business sites. Você pode fazer isso usando a SensitiveType propriedade e o nome (ou ID) de um tipo de informação confidencial em uma consulta palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number" retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)" retorna documentos que contêm um número de segurança social dos EUA.

Para ver uma lista dos tipos de informações confidenciais que você pode pesquisar, acesse Classificações> de dadosTipos de informações confidenciais no portal de conformidade. Ou você pode usar o cmdlet Get-DlpSensitiveInformationType no Security & Compliance PowerShell para exibir uma lista de tipos de informações confidenciais.

Limitações para pesquisar tipos de dados confidenciais

  • Para pesquisar tipos de informações confidenciais personalizados, você precisa especificar a ID do tipo de informações confidenciais na SensitiveType propriedade. Usar o nome de um tipo de informação confidencial personalizado (conforme mostrado no exemplo para tipos de informações confidenciais internos na seção anterior) não retornará nenhum resultado. Use a coluna Publisher na página Tipos de informações confidenciais no portal de conformidade (ou na propriedade Publisher no PowerShell) para diferenciar entre tipos de informações confidenciais internos e personalizados. Tipos de dados confidenciais internos têm um valor de Microsoft Corporation para a propriedade Publisher .

    Para exibir o nome e a ID dos tipos de dados confidenciais personalizados em sua organização, execute o seguinte comando no PowerShell de Conformidade & segurança:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    Em seguida, você pode usar a ID na propriedade de SensitiveType pesquisa para retornar documentos que contêm o tipo de dados confidenciais personalizado; por exemplo, SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Você não pode usar tipos de informações confidenciais e a SensitiveType propriedade de pesquisa para pesquisar dados confidenciais em repouso em caixas de correio Exchange Online. Isso inclui mensagens de chat 1:1, mensagens de chat em grupo 1:N e conversas de canal de equipe no Microsoft Teams porque todo esse conteúdo é armazenado em caixas de correio. No entanto, você pode usar políticas de DLP (prevenção contra perda de dados) para proteger dados confidenciais de email em trânsito. Para obter mais informações, consulte Saiba mais sobre prevenção contra perda de dados e Pesquise e encontre dados pessoais.

Pesquisar conteúdo de site compartilhado com usuários externos

Você também pode usar ferramentas de pesquisa de descoberta eletrônica no portal de conformidade para pesquisar documentos armazenados no SharePoint e OneDrive for Business sites que foram compartilhados com pessoas fora de sua organização. Isso pode ajudá-lo a identificar informações confidenciais ou proprietárias que estão sendo compartilhadas fora de sua organização. Você pode fazer isso usando a ViewableByExternalUsers propriedade em uma consulta palavra-chave. Essa propriedade retorna documentos ou sites compartilhados com usuários externos usando um dos seguintes métodos de compartilhamento:

  • Um convite de compartilhamento que exige que os usuários entrem em sua organização como um usuário autenticado.
  • Um link de convidado anônimo, que permite que qualquer pessoa com esse link acesse o recurso sem precisar ser autenticado.

Aqui estão alguns exemplos:

  • A consulta ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" retorna todos os itens que foram compartilhados com pessoas fora de sua organização e contêm um número de cartão de crédito.
  • A consulta ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" retorna uma lista de documentos em todos os sites de equipe da organização que foram compartilhados com usuários externos.

Dica

Uma consulta de pesquisa, como ViewableByExternalUsers:true AND ContentType:document , pode retornar muitos arquivos de .aspx nos resultados da pesquisa. Para eliminar esses (ou outros tipos de arquivos), você pode usar a FileExtension propriedade para excluir tipos de arquivo específicos; por exemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

O que é considerado conteúdo que é compartilhado com pessoas de fora de sua organização? Documentos no SharePoint da sua organização e OneDrive for Business sites que são compartilhados enviando um convite de compartilhamento ou que são compartilhados em locais públicos. Por exemplo, as seguintes atividades de usuário resultarem em conteúdo que pode ser exibido por usuários externos:

  • Um usuário compartilha um arquivo ou uma pasta com uma pessoa de fora da organização.
  • Um usuário cria e envia um link de um arquivo compartilhado a uma pessoa de fora da organização. O link permite que o usuário externo exiba (ou edite) o arquivo.
  • Um usuário envia um convite de compartilhamento ou um link de convidado a uma pessoa de fora da organização para exibir (ou editar) um arquivo compartilhado.

Problemas usando a propriedade ViewableByExternalUsers

Embora a ViewableByExternalUsers propriedade represente o status de se um documento ou site é compartilhado com usuários externos, há algumas ressalvas sobre o que essa propriedade faz e não reflete. Nos cenários a seguir, o valor da ViewableByExternalUsers propriedade não será atualizado e os resultados de uma consulta de pesquisa que usa essa propriedade podem ser imprecisos.

  • Alterações na política de compartilhamento, como desativar o compartilhamento externo para um site ou para a organização. A propriedade ainda mostrará documentos compartilhados anteriormente como sendo acessíveis externamente, embora o acesso externo possa ter sido revogado.
  • Alterações na associação de grupo, como adicionar ou remover usuários externos a grupos de segurança Grupos do Microsoft 365 ou Microsoft 365. A propriedade não será atualizada automaticamente para itens aos quais o grupo tem acesso.
  • Enviar convites de compartilhamento para usuários externos em que o destinatário não aceitou o convite e, portanto, ainda não tem acesso ao conteúdo.

Nesses cenários, a ViewableByExternalUsers propriedade não refletirá o status de compartilhamento atual até que o site ou a biblioteca de documentos seja revendido e reindexado.

Pesquisar conteúdo do site compartilhado em sua organização

Como explicado anteriormente, você pode usar a SharedWithUsersOWSUser propriedade para pesquisar documentos compartilhados entre pessoas em sua organização. Quando uma pessoa compartilha um arquivo (ou pasta) com outro usuário dentro de sua organização, um link para o arquivo compartilhado aparece na página Compartilhado comigo na conta OneDrive for Business da pessoa com quem o arquivo foi compartilhado. Por exemplo, para pesquisar os documentos compartilhados com Sara Davis, você pode usar a consulta SharedWithUsersOWSUser:"sarad@contoso.com". Se você exportar os resultados dessa pesquisa, os documentos originais (localizados no local de conteúdo da pessoa que compartilhou os documentos com Sara) serão baixados.

Os documentos devem ser compartilhados explicitamente com um usuário específico para serem retornados nos resultados da pesquisa ao usar a SharedWithUsersOWSUser propriedade. Por exemplo, quando uma pessoa compartilha um documento em sua conta do OneDrive, ela tem a opção de compartilhá-lo com qualquer pessoa (dentro ou fora da organização), compartilhá-lo apenas com pessoas dentro da organização ou compartilhá-lo com uma pessoa específica. Veja uma captura de tela da janela Compartilhar no OneDrive que mostra as três opções de compartilhamento.

Somente os arquivos compartilhados com pessoas específicas serão retornados por uma consulta de pesquisa que usa a propriedade SharedWithUsersOWSUser.

Somente documentos compartilhados usando a terceira opção (compartilhada com pessoas específicas) serão retornados por uma consulta de pesquisa que usa a SharedWithUsersOWSUser propriedade.

Pesquisar conversas Skype for Business

Você pode usar a seguinte consulta palavra-chave para pesquisar especificamente conteúdo em conversas Skype for Business:

kind:im

A consulta de pesquisa anterior também retorna chats do Microsoft Teams. Para evitar isso, você pode restringir os resultados da pesquisa para incluir apenas Skype for Business conversas usando a seguinte consulta palavra-chave:

kind:im AND subject:conversation

A consulta palavra-chave anterior exclui chats no Microsoft Teams porque Skype for Business conversas são salvas como mensagens de email com uma linha De assunto que começa com a palavra "Conversa".

Para pesquisar Skype for Business conversas que ocorreram dentro de um intervalo de datas específico, use a seguinte consulta palavra-chave:

kind:im AND subject:conversation AND (received=startdate..enddate)

Limites de caracteres para pesquisas

Há um limite de 4.000 caracteres para consultas de pesquisa ao pesquisar conteúdo em sites do SharePoint e contas do OneDrive. Veja como o número total de caracteres na consulta de pesquisa é calculado:

  • Os caracteres em palavra-chave consulta de pesquisa (incluindo campos de usuário e filtro) contam com esse limite.
  • Os caracteres em qualquer propriedade de local (como as URLs para todos os sites do SharePoint ou locais do OneDrive que estão sendo pesquisados) contam com esse limite.
  • Os caracteres em todas as permissões de pesquisa filtram que são aplicados ao usuário que executa a contagem de pesquisa em relação ao limite.

Para obter mais informações sobre limites de caracteres, consulte limites de pesquisa de descoberta eletrônica.

Observação

O limite de 4.000 caracteres se aplica à pesquisa de conteúdo, descoberta eletrônica (Standard) e descoberta eletrônica (Premium).