Справочник по функции поиска контента

В этой статье описаны возможности функции поиска контента. Сведения об использовании средства обнаружения электронных данных для поиска контента на портале Microsoft Purview для поиска содержимого на месте см. в статье Начало работы с поиском контента.

Создание поискового запроса

Подробные сведения о создании поискового запроса, использовании логических операторов поиска и условий поиска, а также о поиске типов конфиденциальной информации и контента, к которому предоставлен доступ пользователям за пределами вашей организации, см. в статье Запросы ключевых слов и условия поиска контента.

При использовании списка ключевых слов для создания поискового запроса учитывайте указанные ниже моменты.

• Чтобы создать поисковый запрос, ключевые слова (или фразы) в котором соединены с помощью оператора OR, установите флажок Отобразить список ключевых слов и введите каждое ключевое слово в отдельной строке. Если вставить в поле список ключевых слов или нажимать клавишу ВВОД после ввода ключевых слов, они не будут соединены с помощью оператора OR. Ниже приведены примеры неправильного и правильного добавления списка ключевых слов.

  Неправильный вариант

  

  Правильный вариант

  

• Вы также можете подготовить список ключевых слов или фраз в файле Excel или обычном текстовом файле, а затем скопировать и вставить список в поле для ключевых слов. Для этого нужно установить флажок Отобразить список ключевых слов. Затем выберите первую строку в списке ключевое слово и вставьте список. Каждая строка из файла Excel или текстового файла вставляется в отдельную строку в списке ключевых слов.

• После создания поискового запроса с помощью списка ключевых слов рекомендуется проверить его синтаксис. В поисковом запросе, отображаемом в области сведений под надписью Запрос, ключевые слова разделяются текстом (c:s). Это означает, что ключевые слова объединены с помощью логического оператора, аналогичного по функциональности оператору OR. Аналогичным образом, если поисковый запрос содержит условия, они отделены от ключевых слов текстом (c:c). Это означает, что ключевые слова объединены с условиями с помощью логического оператора, схожего по функциональности с оператором AND. Ниже приведен пример поискового запроса (отображаемого в области сведений), который был создан с использованием списка ключевых слов и условия.

  

• Когда вы выполняете поиск контента, Microsoft 365 автоматически проверяет ваш поисковый запрос на наличие логических операторов, которые могут быть записаны строчными буквами, и неподдерживаемых символов. Неподдерживаемые символы часто скрыты, а их наличие обычно приводит к ошибке поиска или возврату неверных результатов. Дополнительные сведения о неподдерживаемых символах, наличие которых проверяется, см. в статье Проверка запроса веб-части "Поиск контента" на ошибки.

• Если у вас есть поисковый запрос, содержащий ключевые слова для символов, не относящихся к английскому языку (например, к китайскому языку), в можно выбрать параметр Язык-страна/регион. В поиске контента можно выбрать значение языка-страны/региона. По умолчанию используется нейтральный язык и регион. Как определить, нужно ли изменить параметры языка для поиска контента? Если вы уверены, что расположения контента содержат искомые символы, отсутствующие в английском алфавите, но поиск не возвращает результатов, причиной могут быть параметры языка.

Частично индексированные элементы

• В предполагаемые результаты поиска включаются частично индексированные элементы почтовых ящиков. В предполагаемые результаты поиска не включаются частично индексированные элементы из SharePoint и OneDrive. Дополнительные сведения см. в статье Частично индексированные элементы при обнаружении электронных данных.

Поиск в учетных записях OneDrive

• Чтобы собрать список URL-адресов сайтов OneDrive в организации, см. статью Создание списка всех расположений OneDrive в организации/ Скрипт в этой статье создает текстовый файл, содержащий список всех сайтов OneDrive. Чтобы запустить этот скрипт, требуется установить и использовать командную консоль SharePoint Online. Не забудьте добавить URL-адрес домена личного сайта вашей организации к каждому сайту OneDrive, на котором нужно выполнить поиск. Это домен, содержащий все ваши oneDrive; например, https://contoso-my.sharepoint.com. Ниже приведен пример URL-адреса для сайта OneDrive пользователя: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.

  В редких случаях, когда имя участника-пользователя (UPN) изменено, URL-адрес его расположения OneDrive изменяется с учетом нового имени участника-пользователя. В этом случае требуется изменить поиск контента, добавив новый URL-адрес OneDrive пользователя и удалив старый. Дополнительные сведения см. в разделе Как изменения UPN влияют на URL-адрес OneDrive.

Поиск в Microsoft Teams и группах Microsoft 365

Вы можете выполнять поиск в почтовом ящике, связанном с группой Microsoft 365 или командой Microsoft Teams. Поскольку команды Microsoft Teams создаются на основе групп Microsoft 365, поиск в них выполняется одинаково. В обоих случаях поиск выполняется только в почтовом ящике группы или команды. Поиск в почтовых ящиках участников группы или команды не выполняется. Чтобы выполнить их поиск, необходимо специально добавить их в поиск.

При поиске контента в Microsoft Teams и группах Microsoft 365 следует учитывать указанные ниже моменты.

• Для поиска контента в командах Teams и группах Microsoft 365 необходимо указать почтовый ящик и сайт SharePoint, связанный с командой или группой.

• Содержимое из закрытых каналов хранится в почтовых ящиках каждого пользователя, а не в почтовом ящике команды. Сведения о поиске содержимого в закрытых каналах см. в разделе Обнаружение электронных данных в закрытых и общих каналах.

• Чтобы просмотреть свойства команды или группы Microsoft 365, запустите командлет Get-UnifiedGroup в Exchange Online. Это удобный способ узнать URL-адрес сайта, связанного с командой или группой. Например, следующая команда отображает выбранные свойства для группы Microsoft 365 с именем "Senior Leadership Team":

  Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl
  DisplayName            : Senior Leadership Team
  Alias                  : seniorleadershipteam
  PrimarySmtpAddress     : seniorleadershipteam@contoso.onmicrosoft.com
  SharePointSiteUrl      : https://contoso.sharepoint.com/sites/seniorleadershipteam
  

  Примечание.

  Чтобы запустить командлет Get-UnifiedGroup, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

• Поиск, выполняемый в почтовом ящике пользователя, не распространяется на команды и группы Microsoft 365, в которые входит этот пользователь. Кроме того, когда поиск выполняется в команде или группе Microsoft 365, он осуществляется только в указанном вами почтовом ящике группы и на сайте группы. Поиск в почтовых ящиках и учетных записях OneDrive для бизнеса участников группы не выполняется, если не включить их явным образом в поиск.

• Чтобы получить список участников команды или группы Microsoft 365, можно просмотреть свойства на странице Домашние>группы в Центр администрирования Microsoft 365. Или можно выполнить следующую команду в Exchange Online PowerShell:

  Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress
  

  Примечание.

  Чтобы запустить командлет Get-UnifiedGroupLinks, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

• Беседы в канале Teams хранятся в почтовом ящике, связанном с командой. Файлы, которыми обмениваются участники команды, также сохраняются на сайте команды SharePoint. Таким образом, чтобы выполнить поиск бесед и файлов канала, необходимо в качестве расположения содержимого указать почтовый ящик команды и сайт SharePoint.

• Беседы в списке чатов в Teams хранятся в почтовом ящике Exchange Online пользователей, участвующих в чате. Файлы, к которым пользователь предоставляет общий доступ в беседах чата, сохраняются в его учетной записи OneDrive для бизнеса. Таким образом, чтобы выполнить поиск бесед и файлов в списке чатов, необходимо в качестве расположений содержимого указать почтовые ящики и учетные записи OneDrive для бизнеса отдельных пользователей.

  Примечание.

  При гибридном развертывании Exchange пользователи с локальным почтовым ящиком могут участвовать в беседах из списка чатов в Teams. В этом случае контент этих бесед также можно найти, так как он сохраняется в облачной области хранилища (называемой облачным почтовым ящиком для локальных пользователей) для пользователей с локальным почтовым ящиком. Дополнительные сведения см. в статье Поиск данных в разделе "чат" для локальных пользователей.

• Каждая команда и канал команды содержат вики-сайт для создания заметок и совместной работы. Содержимое вики-сайта автоматически сохраняется в файле формата MHT. Этот файл хранится в библиотеке документов Teams Wiki Data на сайте команды в SharePoint. Вы можете использовать средство "Поиск контента" для поиска на вики-сайте, указав сайт SharePoint команды в качестве расположения контента.

  Примечание.

  Возможность поиска на вики-сайте команды или канала (при поиске на сайте SharePoint команды) была выпущена 22 июня 2017 г. Для поиска доступны вики-страницы, сохраненные или обновленные в этот день или позднее. Вики-страницы, сохраненные или обновленные до этой даты, недоступны для поиска.

• Обобщенные сведения о собраниях и звонках в канале Teams также хранятся в почтовых ящиках пользователей, присоединявшихся к собранию или звонку. Это означает, что вы можете использовать средство "Поиск контента" для поиска этих сводных записей. К обобщенным сведениям относятся:

  • Дата, время начала, время окончания и длительность собрания или звонка
  • Дата и время, когда каждый участник присоединился или покинул собрание или звонок.
  • Звонки, отправленные в голосовую почту
  • Пропущенные или неотвеченные звонки
  • Переключения звонков, представленные двумя отдельными звонками

  Чтобы сводные записи собраний и звонков стали доступны для поиска, может потребоваться до 8 часов.

  В результатах поиска сводка по собраниям обозначается как Собрание в поле Тип, а сводка по звонкам обозначается как Звонок. Кроме того, беседы из канала Teams и чатов обозначаются как Мгновенное сообщение в поле Тип.

  

  Подробнее см. в статье Запуск eDiscovery в Microsoft Teams для звонков и собраний.

• Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и чатах 1xN, хранится в почтовых ящиках и может выполняться поиск. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки.

  Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.

  Чтобы найти содержимое карточки, можно использовать условие поиска kind:microsoftteams или itemclass:IPM.SkypeTeams.Message. При просмотре результатов поиска карта содержимое, созданное ботами в канале Teams, имеет свойство Sender/Author email (Отправитель или Автор сообщения электронной почты) как <appname>@teams.microsoft.com, где appname — это имя приложения, создающего карта содержимое. Если содержимое карточки было создано пользователем, значение отправителей и авторов идентифицирует пользователя.

  При просмотре содержимого карточки в результатах поиска контента оно отображается в виде вложения в сообщение. Вложение называется appname.html, где appname — название приложения, создавшего содержимое карточки. На приведенных ниже снимках экрана показано, как содержимое карточки (на примере приложения Asana) отображается в Teams и результатах поиска.

  Содержимое карточки в Teams

  

  Содержимое карточки в результатах поиска

  

  Примечание.

  Для отображения изображений из карта содержимого в результатах поиска в настоящее время (например, флажки на предыдущем снимке экрана), необходимо войти в Teams (в ) https://teams.microsoft.comна другой вкладке в том же сеансе браузера, который используется для просмотра результатов поиска. В противном случае отображаются заполнители изображения.

• Чтобы специально выполнить поиск контента Teams, можно использовать свойство электронной почты Kind или условие поиска Тип сообщения.

  • Чтобы использовать свойство Kind в составе поискового запроса по ключевым словам, в поле Ключевые слова запроса введите kind:microsoftteams.

    

  • Чтобы использовать условие поиска, добавьте условие Тип сообщения и используйте значение microsoftteams.

    

  Условия логически связаны с запросом по ключевому слову с помощью оператора AND. Это означает, что для возвращения в результатах поиска элемент должен соответствовать как запросу по ключевому слову, так и условию поиска. Дополнительные сведения см. в разделе "Рекомендации по использованию условий" статьи Запросы ключевых слов и условия поиска контента.

Поиск групп Viva Engage

Вы можете использовать свойство электронной почты ItemClass или условие поиска Тип для поиска элементов беседы в группах Viva Engage.

• Чтобы использовать свойство ItemClass в составе поискового запроса по ключевым словам, в поле Ключевые слова запроса можно ввести одну (или все) из следующих пар свойство:значение.

  • ItemClass:IPM.Yammer.message
  • ItemClass:IPM.Yammer.poll
  • ItemClass:IPM.Yammer.praise
  • ItemClass:IPM.Yammer.question

  Например, можно использовать следующий поисковый запрос для возврата Viva Engage сообщений и Viva Engage элементов похвалы:

  

• Кроме того, можно использовать условие "Тип электронной почты" и выбрать Viva Engage сообщения для возврата Viva Engage элементов. Например, следующий поисковый запрос возвращает все Viva Engage элементы беседы, содержащие ключевое слово "конфиденциально".

  

Поиск в неактивных почтовых ящиках

При поиске контента можно выполнять поиск в неактивных почтовых ящиках. Чтобы получить список неактивных почтовых ящиков в организации, выполните команду Get-Mailbox -InactiveMailboxOnly в Exchange Online PowerShell. Кроме того, вы можете перейти в раздел Управление жизненным> циклом данныхMicrosoft 365>Хранение на портале Microsoft Purview, а затем выбрать Дополнительные>Неактивные почтовые ящики.

Вот несколько моментов, которые следует помнить при поиске в неактивных почтовых ящиках:

• Если существующий поиск контента выполняется в почтовом ящике пользователя, и этот почтовый ящик становится неактивным, при повторном запуске поиск в нем все равно будет выполняться.

• Иногда у пользователя может быть активный и неактивный почтовый ящик с разными SMTP-адресами. В этом случае поиск осуществляется только в выбранном вами почтовом ящике. Другими словами, если добавляется почтовый ящик пользователя для поиска, нельзя предполагать, что поиск выполняется как в активном, так и неактивном почтовом ящике. Поиск выполняется только в почтовом ящике, который явным образом добавлен в поисковый запрос.

• Вы можете использовать Сначала подключитесь к Безопасности и соответствию требованиям PowerShell, чтобы создать поиск содержимого для поиска в неактивном почтовом ящике. Для этого необходимо предварительно добавить точку ( . ) на адрес электронной почты неактивного почтового ящика. Например, следующая команда создает поиск контента, который выполняет поиск в неактивном почтовом ящике с адресом pavelb@contoso.onmicrosoft.comэлектронной почты :

  New-ComplianceSearch -Name InactiveMailboxSearch -ExchangeLocation .pavelb@contoso.onmicrosoft.com -AllowNotFoundExchangeLocationsEnabled $true
  

• Мы настоятельно рекомендуем избегать ситуаций, когда у активного и неактивного почтовых ящиков одинаковый SMTP-адрес. Если вы хотите повторно использовать SMTP-адрес, назначенный неактивному почтовому ящику, мы рекомендуем выполнить возврат неактивного почтового ящика или восстановить содержимое неактивного почтового ящика в активном почтовом ящике (или архиве активного почтового ящика), а затем удалить неактивный почтовый ящик. Дополнительные сведения см. в одной из следующих статей:

  • Возврат неактивного почтового ящика в Office 365
  • Восстановление неактивного почтового ящика в Office 365
  • Удаление неактивного почтового ящика в Office 365

Поиск в отключенных или нелицензированных почтовых ящиках

Если лицензия Exchange Online (или вся лицензия Microsoft 365) удалена из учетной записи пользователя или в Microsoft Entra ID, почтовый ящик пользователя становится отключенным. Это означает, что почтовый ящик больше не связан с учетной записью пользователя. Ниже описано, что происходит при поиске в отключенных почтовых ящиках.

• Если лицензия удаляется из почтового ящика, то возможность поиска для него более недоступна.
• Если существующий поиск контента выполняется в почтовом ящике, из которого удалена лицензия, при повторном запуске поиска контента не будут возвращаться результаты из отключенного почтового ящика.
• Если вы используете командлет New-ComplianceSearch для создания поиска контента и указываете в качестве расположения контента Exchange отключенный почтовый ящик, поиск контента не будет возвращать какие-либо результаты поиска из отключенного почтового ящика.

Если вам нужно сохранить данные в отключенном почтовом ящике, чтобы для него была обеспечена возможность поиска, перед удалением лицензии необходимо поместить почтовый ящик в режим хранения. Это позволит сохранить данные и обеспечит возможность поиска для отключенного почтового ящика до тех пор, пока режим удержания не будет снят. Дополнительные сведения о режиме удержания см. в статье Как определить тип удержания, примененного для почтового ящика Exchange Online

Поиск содержимого в среде SharePoint с несколькими регионами

Если диспетчеру eDiscovery необходимо искать контент в SharePoint и OneDrive в различных регионах в среде SharePoint с поддержкой нескольких регионов, для этого нужно выполнить следующие действия:

1. Создайте отдельную учетную запись пользователя для каждого вспомогательного географического расположения, поиск в котором требуется диспетчеру eDiscovery. Чтобы найти содержимое на сайтах в этом географическом расположении, диспетчер обнаружения электронных данных должен войти в учетную запись, созданную для этого расположения, а затем выполнить поиск контента.

2. Создайте фильтр разрешений поиска для каждого вспомогательного географического расположения (и соответствующей учетной записи пользователя), поиск в котором должен выполнить диспетчер eDiscovery. Каждый из этих фильтров разрешений поиска ограничивает область поиска контента определенным географическим расположением, когда диспетчер eDiscovery вошел в учетную запись пользователя, связанную с этим местоположением.

Предположим, что диспетчер eDiscovery должен найти контент SharePoint и OneDrive в периферийных расположениях в Северной Америке, Европе и Азиатско-Тихоокеанском регионе. В первую очередь необходимо создать три учетных записи пользователей, по одной для каждого расположения. Следующий этап — создание трех фильтров разрешений поиска: по одному для каждого расположения и соответствующей учетной записи. Ниже приведены примеры трех фильтров разрешений поиска для этого сценария. В каждом из этих примеров Регион означает местоположение центра обработки данных SharePoint для этого географического расположения, а параметр Пользователи означает соответствующую учетную запись пользователя.

Северная Америка

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-NAM" -Users ediscovery-nam@contoso.com -Region NAM -Action ALL

Европа

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-EUR" -Users ediscovery-eur@contoso.com -Region EUR -Action ALL

Азиатско-Тихоокеанский регион

New-ComplianceSecurityFilter -FilterName "SPMultiGeo-APC" -Users ediscovery-apc@contoso.com -Region APC -Action ALL

При использовании фильтров разрешений на поиск контента в средах с поддержкой нескольких географических регионов учитывайте перечисленные ниже моменты.

• Параметр Регион направляет поиск в указанное вспомогательное расположении. Если диспетчер eDiscovery ищет только сайты SharePoint и OneDrive за пределами региона, указанного в фильтре разрешения поиска, результаты поиска не возвращаются.
• Параметр Регион не управляет поиском в почтовых ящиках Exchange. При поиске в почтовых ящиках будет выполняться поиск во всех центрах обработки данных.

Дополнительные сведения об использовании фильтров разрешений поиска в средах с поддержкой нескольких регионов см. в разделе "Поиск и экспорт контента в средах с поддержкой нескольких регионов" статьи Настройка границ соответствия для расследований дел обнаружения электронных данных.

Нужна помощь по устранению проблем с обнаружением электронных данных?

Основные действия по устранению неполадок, которые можно предпринять для выявления и устранения проблем, которые могут возникнуть во время поиска eDiscovery или в другом месте процесса обнаружения электронных данных, см. в статье Устранение распространенных проблем с обнаружением электронных данных.