Propriétés de message et opérateurs de recherche pour In-Place eDiscovery dans Exchange Server

Cette rubrique décrit les propriétés des e-mails Exchange que vous pouvez rechercher à l’aide de In-Place & conservation eDiscovery dans Exchange Server 2016 ou Exchange Server 2019. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.

La découverte électronique inaltérable utilise le langage KQL (Keyword Query Language). Pour plus d’informations, consultez Informations de référence sur la syntaxe du langage de requête de mot clé.

Propriétés pouvant faire l’objet d’une recherche dans Exchange

Le tableau suivant répertorie les propriétés de message électronique consultables à l'aide d'une recherche de découverte électronique inaltérable ou à l'aide de la cmdlet New-MailboxSearch ou Set-MailboxSearch. Le tableau inclut un exemple de la syntaxe property :value pour chaque propriété et une description des résultats de recherche retournés par les exemples.

Propriété Description de la propriété Exemples Résultats de recherche renvoyés par les exemples
Pièce jointe Nom des fichiers joints à un message électronique. pièce jointe : annualreport.ppt

pièce jointe : annuelle*
Les messages qui ont un fichier joint avec un nom correspondant annualreport.ppt, par exemple, « annualreport.ppt » ou « 2017 annualreport.ppt ».

Dans le deuxième exemple, l'utilisation du caractère générique permet de renvoyer les messages dont le nom d'une pièce jointe contient le mot « annual ».
Cci2 Champ Cci d'un message électronique.1 Bcc: pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"
Tous les exemples renvoient des messages dont « Pilar Pinilla » est en copie carbone invisible.
Category Catégories à rechercher. Les catégories peuvent être définies par les utilisateurs à l’aide d’Outlook ou d’Outlook sur le web (anciennement Appelé Outlook Web App). Les valeurs valides sont les suivantes :
  • blue
  • green
  • orange
  • purple
  • red
  • yellow
category:="Red Category" Messages auxquels a été attribuée la catégorie « red » dans les boîtes aux lettres source.
Cc Champ Cc d'un message électronique.1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"
Dans les deux exemples, les résultats renvoient les messages contenant « Pilar Pinilla » dans le champ Cc.
From Expéditeur d'un message électronique.1 De:pilarp@contoso.com

à partir de : contoso.com
Messages envoyés par l'utilisateur indiqué ou à partir d'un domaine spécifié.
Importance Importance d'un message électronique, que l'expéditeur peut préciser lors de l'envoi. Par défaut, les messages sont envoyés avec une importance normale, à moins que l'expéditeur préfère une importance haute ou faible. importance : élevée

importance : moyenne

importance : faible
Messages marqués comme ayant une importance haute, normale ou faible.
Kind Type de message à rechercher. Les valeurs valides sont les suivantes :
  • contacts
  • docs
  • email
  • faxes
  • im
  • journals
  • meetings
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
type : e-mail

kind : email OR kind :im OR kind :voicemail
Messages électroniques correspondant aux critères de recherche. Le deuxième exemple renvoie des messages électroniques, des conversations de messagerie instantanée et des messages vocaux correspondant aux critères de recherche.
Participants2 Tous les champs de contacts compris dans un message électronique ; De, À, Cc et Cci.1 Participants: garthf@contoso.com

participants : contoso.com
Messages envoyés par ou envoyés à garthf@contoso.com.

Le deuxième exemple renvoie tous les messages envoyés à ou par un utilisateur du domaine contoso.com.
Received Date à laquelle un message électronique a été reçu par un destinataire. reçu : 15/04/2015

received>=01/01/2015 AND received<=03/31/2015
Messages reçus le 15 avril 2014. Le deuxième exemple renvoie tous les messages reçus entre le 1er janvier 2014 et le 31 mars 2014.
Destinataires2 Tous les champs de destinataires compris dans un message électronique ; À, Cc et Cci.1 Destinataires: garthf@contoso.com

destinataires : contoso.com
Messages envoyés à garthf@contoso.com.

Le deuxième exemple renvoie les messages envoyés à tous les destinataires du domaine contoso.com.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. envoyé : 01/07/2015

sent>=06/01/2015 AND sent<=07/01/2015
Messages envoyés à la date indiquée ou entre les dates spécifiées.
Size Taille d'un élément, en octets. taille>26214400

size :1..1048576
Messages de plus de 25 Mo.

Le deuxième exemple renvoie les messages dont la taille est comprise entre 1 et 1 048 576 octets (1 Mo).
Subject Texte de la ligne d'objet d'un message électronique. subject:"Quarterly Financials"

objet : northwind
Messages contenant l'expression exacte « Quarterly Financials » à n'importe quel endroit de la ligne d'objet.

Le deuxième exemple renvoie tous les messages contenant le mot « northwind » dans la ligne d'objet.
To Champ À d'un message électronique.1 À: annb@contoso.com

to:annb

to:"Ann Beebe"
Tous les exemples renvoient les messages dans lesquels « Ann Beebe » est indiqué sur la ligne À.

1 Pour la valeur d'une propriété de destinataire, vous pouvez utiliser l'adresse SMTP, le nom d'affichage ou l'alias afin d'indiquer un utilisateur. Par exemple, vous pouvez utiliser annb@contoso.com, annb ou « Ann Beebe » pour spécifier l’utilisateur Ann Beebe.

2 Lors de l’utilisation des propriétés BCC, Participants ou Destinataires, veillez à vous concentrer sur la boîte aux lettres de l’expéditeur pour obtenir les résultats de recherche appropriés.

Opérateurs de recherche pris en charge

Les opérateurs booléens, tels que AND, OR et NOT, vous permettent de définir des recherches plus précises dans des boîtes aux lettres en incluant des mots spécifiques dans la requête de recherche ou en les excluant. D'autres techniques, comme l'utilisation d'opérateurs de propriété (tels que >= ou ...), les guillemets, les parenthèses et les caractères génériques vous permettent d'affiner les requêtes de recherche de découverte électronique. Le tableau suivant répertorie les opérateurs disponibles pour restreindre ou élargir les résultats de recherche.

Opérateur Utilisation Description
AND keyword1 AND keyword2 Retourne des messages qui incluent tous les mots clés ou property: value expressions spécifiés.
+ keyword1 +keyword2 +keyword3 Retourne les éléments qui contiennentkeyword2 ou keyword3et qui contiennent keyword1également . Par conséquent, cet exemple est équivalent à la requête (keyword2 OR keyword3) AND keyword1.

La requête keyword1 + keyword2 (avec un espace après le + symbole) n’est pas identique à l’utilisation de l’opérateur AND . Cette requête équivaudrait à "keyword1 + keyword2" et retournerait des éléments avec la phase "keyword1 + keyword2"exacte.
OR keyword1 OR keyword2 Retourne des messages qui incluent un ou plusieurs mots clés ou property: value expressions spécifiés.
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"
Exclut les messages spécifiés par un mot clé ou une property: value expression. Par exemple, NOT from:"Ann Beebe" exclut les messages envoyés par Ann Beebe.
- keyword1 -keyword2 Identique à l'opérateur NOT. Cette requête retourne les éléments qui contiennent keyword1 et exclut les éléments qui contiennent keyword2.
NEAR keyword1 NEAR(n) keyword2 Renvoie les messages qui incluent des mots proches les uns des autres, n étant égal au nombre de mots. Par exemple, best NEAR(5) worst retourne des messages où le mot « pire » se trouve à moins de cinq mots de « meilleur ». Si aucun nombre n'est spécifié, la distance par défaut est de huit mots.
: property:value Le signe deux-points (:) dans la property:value syntaxe spécifie que la valeur de propriété recherchée est égale à la valeur spécifiée. Par exemple, recipients:garthf@contoso.com retourne tout message envoyé à garthf@contoso.com.
< property<value Indique que la propriété recherchée est inférieure à la valeur spécifiée. 1
> property>value Indique que la propriété recherchée est supérieure à la valeur spécifiée.1
<= property<=value Indique que la propriété recherchée est inférieure ou égale à la valeur spécifiée.1
>= property>=value Indique que la propriété recherchée est supérieure ou égale à la valeur spécifiée.1
.. property : value1.. value2 Indique que la propriété recherchée est supérieure ou égale à value1 et inférieure ou égale à value2.1
" " "fair value"

subject:"Quarterly Financials"
Utilisez des guillemets doubles (« ») pour rechercher une expression ou un terme exact dans les requêtes de mots clés et property: value de recherche.
* chat*

subject :set*
Les recherches de caractères génériques de préfixe (où l’astérisque est placé à la fin d’un mot) correspondent à zéro ou plusieurs caractères dans les mots clés ou property: value les requêtes. Par exemple, subject:set* retourne les messages qui contiennent l’ensemble de mots, la configuration et le paramètre (et d’autres mots qui commencent par « set ») dans la ligne d’objet.
( ) (équitable OU gratuit) ET de : contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)
Les parenthèses regroupent des expressions booléennes, property: value des éléments et des mots clés. Par exemple, (quarterly financials) retourne des éléments qui contiennent les mots trimestriel et financier.

1 Utilisez cet opérateur pour les propriétés ayant des valeurs de date ou des valeurs numériques.

2 Les opérateurs booléens doivent être en majuscules, par exemple AND. L'utilisation d'opérateurs en lettres minuscules dans les requêtes de recherche renverra une erreur.

Caractères non pris en charge dans les requêtes de recherche

En règle générale, les caractères non pris en charge dans une requête de recherche entraînent une erreur ou renvoient des résultats inattendus. Les caractères non pris en charge sont souvent masqués et sont généralement ajoutés à la requête lorsque vous la copiez (ou que vous en copiez des parties) à partir d'autres applications (par exemple, Microsoft Word ou Microsoft Excel), puis que vous les collez dans la zone de mot clé de la page de requête, dans la recherche de découverte électronique inaltérable.

Voici la liste des caractères non pris en charge pour une requête de recherche de découverte électronique inaltérable.

  • Guillemets intelligents : les guillemets simples et doubles intelligents (également appelés guillemets bouclés) ne sont pas pris en charge. Seuls les guillemets droits peuvent être utilisés dans une requête de recherche.

  • Caractères non imprimables et de contrôle : les caractères non imprimables et de contrôle ne représentent pas un symbole écrit, tel qu’un caractère alphanumérique. Il peut s'agir de caractères servant à mettre en forme le texte ou à séparer des lignes.

  • Marques de gauche à droite et de droite à gauche : ces caractères sont des caractères de contrôle utilisés pour indiquer la direction du texte pour les langues de gauche à droite (telles que l’anglais et l’espagnol) et de droite à gauche (comme l’arabe et l’hébreu).

  • Opérateurs booléens en minuscules : comme expliqué précédemment, vous devez utiliser des opérateurs booléens en majuscules, tels que AND et OR, dans une requête de recherche. La syntaxe de requête indique souvent qu’un opérateur booléen est utilisé même si des opérateurs en minuscules peuvent être utilisés ; par exemple, (WordA or WordB) and (WordC or WordD).

Comment empêcher les caractères non pris en charge dans vos requêtes de recherche ? Le meilleur moyen d'éviter les caractères non pris en charge est de saisir la requête dans la zone de mot clé. Vous pouvez aussi copier votre requête à partir de Word ou d'Excel, puis la coller dans un éditeur de texte brut, comme le Bloc-notes Microsoft. Enregistrez ensuite le fichier texte, puis sélectionnez ANSI dans la liste déroulante Encodage. Cette sélection supprime tous les caractères de mise en forme et non pris en charge. Vous pouvez ensuite copier la requête du fichier texte vers la zone de mot clé de la requête.

Conseils et astuces pour la recherche

  • Les recherches par mot-clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.

  • Un espace entre deux mots clés ou deux property: value expressions est identique à l’utilisation de AND. Par exemple, from:"Sara Davis" subject:reorganization retourne tous les messages envoyés par Sara Davis qui contiennent le mot réorganisation dans la ligne d’objet.

  • Utilisez une syntaxe qui correspond au property: value format. Les valeurs ne respectent pas la casse et doivent être collées à l'opérateur. Si un espace est présent, la valeur prévue fera l'objet d'une recherche en texte intégral. Exemple : to: pilarp permet de rechercher « pilarp » en tant que mot-clé, et non les messages qui ont été envoyés à pilarp.

  • Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d'affichage pour désigner un destinataire. Par exemple, vous pouvez utiliser pilarp@contoso.com, pilarp ou « Pilar Pinilla ».

  • Vous pouvez utiliser uniquement les recherches de caractères génériques de suffixe (par exemple, cat* ou set*). Les recherches de caractères génériques de préfixe (*cat) ou de sous-chaînes génériques (*cat*) ne sont pas prises en charge.

  • Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple, subject :budget Q1 retourne les messages qui contiennent le budget dans la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans l’une des propriétés du message. L'utilisation de subject:"budget Q1" renvoie tous les messages contenant budget Q1 n'importe où sur la ligne d'objet.

  • Pour exclure de vos résultats de recherche du contenu marqué avec une certaine valeur de propriété, placez un signe moins (-) avant le nom de la propriété. Par exemple, -from:"Sara Davis" permet d'exclure les messages envoyés par Sara Davis.