Utiliser le générateur de conditions pour créer des requêtes de recherche dans eDiscovery (préversion)

Le générateur de conditions dans la recherche fournit une expérience de filtrage conditionnel visuel lorsque vous générez des requêtes de recherche dans eDiscovery (préversion). Utilisez le générateur de conditions pour construire des requêtes avec des opérateurs (AND, OR), pour vous aider à générer des requêtes plus efficacement et fournir un espace supplémentaire pour la construction et la révision des requêtes de mots clés complexes.

Conseil

Commencez à utiliser Microsoft Copilot for Security pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.

Utilisation du générateur de conditions

Pour créer une requête et un filtrage conditionnel personnalisé pour votre recherche, utilisez les contrôles suivants :

  • AND/OR : ces opérateurs logiques conditionnels vous permettent de sélectionner la condition de requête qui s’applique à des filtres et des sous-groupes de filtres spécifiques. Ces opérateurs vous permettent d’utiliser plusieurs filtres ou sous-groupes connectés à un seul filtre dans votre requête.
  • Ajouter une condition : vous permet d’ajouter une condition pour les sources de données et l’emplacement spécifiques sélectionnés pour la recherche.
  • Sélectionner un opérateur : selon le filtre sélectionné, les opérateurs compatibles pour le filtre peuvent être sélectionnés. Par exemple, si le filtre Date est sélectionné, les opérateurs disponibles sont Before, After et Between. Si le filtre Taille (en octets) est sélectionné, les opérateurs disponibles sont Supérieur à, Supérieur ou égal, Inférieur à, Inférieur ou égal, Entre et Égal.
  • Valeur : Selon le filtre sélectionné, les valeurs compatibles pour le filtre sont disponibles. En outre, certains filtres prennent en charge plusieurs valeurs et certains filtres prennent en charge une valeur spécifique. Par exemple, si le filtre Date est sélectionné, sélectionnez des valeurs de date. Si le filtre Taille (en octets) est sélectionné, sélectionnez une valeur pour octets.
  • Supprimer une condition de filtre : pour supprimer un filtre ou un sous-groupe individuel, sélectionnez l’icône supprimer à droite de chaque ligne ou sous-groupe de filtre.
  • Effacer tout : pour effacer l’intégralité de la requête de tous les filtres et sous-groupes, sélectionnez Effacer tout.

Instructions relatives à l’utilisation des conditions

Gardez les points suivants à l’esprit lorsque vous utilisez des critères de recherche.

  • Une condition est logiquement connectée à la requête de mot clé (spécifiée dans la zone de mot clé) par les opérateurs AND et OR . Cela signifie que les éléments doivent satisfaire la requête de mot-clé et la condition pour être inclus dans les résultats.
  • Si vous ajoutez au moins deux conditions uniques à une requête de recherche (conditions qui spécifient des propriétés différentes), ces conditions sont connectées logiquement par les opérateurs AND et OR . Cela signifie que seuls les éléments qui répondent à toutes les conditions (en plus des requêtes de mot-clé) sont renvoyés.
  • Si vous ajoutez plusieurs conditions pour la même propriété, celles-ci sont connectées sur le plan logique par l’opérateur OR. Cela signifie que les éléments renvoyés sont ceux qui satisfont la requête de mot-clé et l’une des conditions. Par conséquent, les groupes de mêmes conditions sont connectés par l’opérateur OR et les ensembles de conditions uniques sont connectés par l’opérateur AND.
  • Si vous ajoutez plusieurs valeurs (séparées par des virgules ou des points-virgules) à une condition unique, ces valeurs sont connectées par l’opérateur OU. Les éléments renvoyés sont ceux qui contiennent l’une des valeurs spécifiées pour la propriété dans la condition.
  • Toute condition qui utilise un opérateur avec la logique Contains et Equals retourne des résultats de recherche similaires pour les recherches de chaînes simples. Une recherche de chaîne simple est une chaîne dans la condition qui n’inclut pas de caractère générique). Par exemple, une condition qui utilise Equals any of retourne les mêmes éléments qu’une condition qui utilise Contains any of.
  • La requête de recherche créée à l’aide de la zone de mots clés et des conditions s’affiche dans la page Rechercher , dans le volet d’informations de la recherche sélectionnée. Dans une requête, tout ce qui se trouve à droite de la notation (c:c) indique des conditions qui sont ajoutées à la requête. (c:c) ne doit pas être utilisé dans les requêtes entrées manuellement et n’est pas égal à AND ou OR.
  • Les conditions ajoutent uniquement des propriétés à la requête de recherche ; ils n’ajoutent pas d’opérateurs. C’est pourquoi la requête affichée dans le volet de détails n’affiche pas les opérateurs à droite de la (c:c) notation. KQL ajoute les opérateurs logiques (selon les règles expliquées précédemment) lors de l’exécution de la requête.
  • Vous pouvez utiliser le contrôle glisser-déplacer pour resséquencer l’ordre des conditions. Sélectionnez le contrôle d’une condition et déplacez-le vers le haut ou vers le bas.
  • Certaines propriétés de condition vous permettent de taper plusieurs valeurs (séparées par des points-virgules). Chaque valeur est logiquement connectée par l’opérateur OR et génère la requête (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). L’illustration suivante montre un exemple de condition avec plusieurs valeurs.

Exemple de scénario

L’administrateur eDiscovery doit créer une requête pour rechercher les e-mails envoyés d’Aimee Miller à Adam Eham, Adele Vance ou Aditya Dash qui ont été envoyés entre le 9 février 2023 et le 9 mars 2023 contenant les mots clés de conformité et d’audit. Pour cet exemple, l’administrateur crée la requête suivante à l’aide du nouveau générateur de requêtes :

  1. Pour le premier filtre, l’administrateur sélectionne Expéditeur, puis l’opérateur Equals any , puis aimee Miller dans la liste des utilisateurs disponibles dans le contrôle Valeur .
  2. Ensuite, l’administrateur sélectionne Ajouter un sous-groupe et l’opérateur OR pour définir les autres utilisateurs auxquels Aimee a peut-être envoyé un e-mail concernant l’audit de conformité.
  3. Dans le sous-groupe, l’administrateur sélectionne le filtre À , l’opérateur Est égal à n’importe quel opérateur et la valeur (utilisateur) pour chacun des autres utilisateurs auxquels Aimee a peut-être envoyé un e-mail à propos de l’audit de conformité. Dans cet exemple, l’administrateur crée un filtre dans le sous-groupe pour Adam Eham, Adele Vance et Aditya Dash.
  4. Pour définir la plage de dates, l’administrateur sélectionne Ajouter un filtre et sélectionne le filtre Date , l’opérateur Between et les dates de début et de fin pour la valeur.
  5. Enfin, l’administrateur sélectionne le filtre liste de mots clés , l’opérateur Equal et l’audit de conformité commevaleur du mot clé.

Exemple de générateur de requêtes.

Utilisation des conditions de recherche

Vous pouvez ajouter des conditions à une requête de recherche pour affiner une recherche et retourner un ensemble de résultats plus affiné. Chaque condition ajoute une clause à la requête de recherche KQL qui est créée et exécutée lorsque vous démarrez la recherche.

Caractères spéciaux

Certains caractères spéciaux ne sont pas inclus dans l’index de recherche et ne peuvent donc pas faire l’objet d’une recherche. Cela inclut également les caractères spéciaux qui représentent les opérateurs de recherche dans la requête de recherche. Voici une liste de caractères spéciaux qui sont remplacés par un espace vide dans la requête de recherche réelle ou qui provoquent une erreur de recherche.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Conditions de propriétés communes

Créez une condition avec des propriétés communes lorsque vous recherchez des boîtes aux lettres et des sites dans la même recherche. Le tableau suivant répertorie les propriétés disponibles à utiliser lors de l’ajout d’une condition.

Condition Description
Date Pour le courrier électronique, date à laquelle un message a été créé ou importé à partir d’un fichier PST. Pour les documents, date de la dernière modification d’un document.

Si vous recherchez des messages électroniques pour une période spécifique, vous devez utiliser les conditions de message Reçu et Envoyé si vous ne savez pas si les messages électroniques ont été importés au lieu d’être créés en mode natif dans Exchange.
Identifier Pour l’e-mail, l’ID d’un message spécifique. Les ID de message sont inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permettent de créer une recherche spécifique pour un message individuel.

Pour les messages Microsoft Teams, l’ID de la conversation ou de la réaction. ChatThreadID est inclus dans l’enregistrement d’audit, les alertes de protection contre la perte de données (DLP) ou les métadonnées de jeu de révision et vous permet de créer une recherche spécifique pour une conversation ou une réaction individuelle.
Expéditeur/auteur Pour la messagerie électronique, personne ayant envoyé le message. Pour les documents, personne mentionnée dans le champ Auteur des documents Office. Vous pouvez saisir plusieurs noms, séparés par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.
(Voir Extension de destinataire)
Taille (en octets) Pour la messagerie électronique et les documents, taille de l’élément (en octets).
Objet/Titre Pour la messagerie électronique, texte de la ligne d’objet d’un message. Pour les documents, titre du document. La propriété Title est des métadonnées spécifiées dans les documents Microsoft Office. Vous pouvez taper le nom de plusieurs valeurs d’objet/titre, séparées par des virgules. Deux ou plusieurs valeurs sont connectées logiquement par l’opérateur OR.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.

Étiquette de rétention Pour les e-mails et les documents, les étiquettes de rétention sont appliquées aux messages et aux documents. Les étiquettes de rétention peuvent être utilisées pour déclarer des enregistrements et vous aider à gérer le cycle de vie des données du contenu en appliquant des règles de rétention et de suppression spécifiées par l’étiquette. Pour plus d’informations sur les étiquettes de rétention, consultez En savoir plus sur les stratégies de rétention et les étiquettes de rétention.
Type d’informations sensibles (SIT) Pour les e-mails et les documents, les types d’informations sensibles sont inclus dans les messages et les documents. Les SIT sont des classifieurs basés sur des modèles et ils détectent des informations sensibles telles que la sécurité sociale, les numéros de carte de crédit ou de compte bancaire pour identifier les éléments sensibles. Pour plus d’informations sur les SIT, consultez En savoir plus sur les types d’informations sensibles.
Étiquette de confidentialité Pour les e-mails et les documents, les étiquettes de confidentialité sont appliquées aux messages et aux documents. Les étiquettes de confidentialité vous permettent de classifier et de protéger les données de votre organisation, tout en vous assurant que la productivité des utilisateurs et leur capacité à collaborer ne sont pas entravées. Pour plus d’informations sur les étiquettes de confidentialité, consultez En savoir plus sur les étiquettes de confidentialité.

Conditions pour les propriétés de messagerie

Créez une condition à l’aide des propriétés de messagerie lors de la recherche de boîtes aux lettres ou de dossiers publics dans Exchange Online. Le tableau suivant répertorie les propriétés d’e-mail que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés d’e-mail décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Type de message Type de message à rechercher. Il s’agit de la même propriété que la propriété de messagerie Kind. Valeurs possibles :
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Participants Tous les champs de personnes dans un e-mail. Ces champs sont From, To, Cc et Cci. (Voir Extension de destinataire)
Type Propriété de classe de message pour un élément de messagerie. Il s’agit de la même propriété que la propriété d’e-mail ItemClass. Il s’agit également d’une condition à valeurs multiples. Par conséquent, pour sélectionner plusieurs classes de message, maintenez la touche Ctrl enfoncée , puis sélectionnez au moins deux classes de message dans la liste déroulante que vous souhaitez ajouter à la condition. Chaque classe de message que vous sélectionnez dans la liste est connectée logiquement par l’opérateur OR dans la requête de recherche correspondante.

Pour obtenir la liste des classes de message (et leur ID de classe de message correspondant) utilisées par Exchange et que vous pouvez sélectionner dans la liste Classe de message , voir Types d’éléments et classes de message.

Received Date à laquelle un message électronique a été reçu par un destinataire. Il s’agit de la même propriété que la propriété de messagerie Received.
Recipients Tous les champs de destinataire dans un e-mail. Ces champs sont To, Cc et Cci. (Voir Extension de destinataire)
Expéditeur Expéditeur d’un message électronique.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. Il s’agit de la même propriété que la propriété de messagerie Sent.
Sujet Texte de la ligne d’objet d’un message électronique.

Remarque : N’incluez pas de guillemets doubles dans les valeurs de cette condition, car les guillemets sont automatiquement ajoutés lors de l’utilisation de cette condition de recherche. Si vous ajoutez des guillemets à la valeur, deux paires de guillemets doubles sont ajoutées à la valeur de condition, et la requête de recherche renvoie une erreur.

À Destinataire d’un message électronique dans le champ À.

Conditions des propriétés de document

Créez une condition à l’aide des propriétés de document lors de la recherche de documents sur des sites SharePoint et OneDrive. Le tableau suivant répertorie les propriétés de document que vous pouvez utiliser pour une condition. Ces propriétés sont un sous-ensemble des propriétés de site décrites précédemment. Ces descriptions sont répétées pour votre commodité.

Condition Description
Auteur Champ Auteur des documents Office (subsiste si un document est copié). Par exemple, si un utilisateur crée un document et l’envoie par e-mail à une autre personne qui le charge ensuite dans SharePoint, le document conserve toujours l’auteur d’origine.
Titre Titre du document. Cette propriété correspond aux métadonnées spécifiées dans les documents Office. Il est différent du nom de fichier du document.
Créé Date de création d’un document.
Dernière modification Date de la dernière modification apportée à un document.
Type de fichier Extension d’un fichier ; par exemple, docx, one, pptx ou xlsx. Il s’agit de la même propriété que la propriété de site FileExtension.

Note: Si vous incluez une condition de type de fichier à l’aide de l’opérateur Égal ou Égal à l’un des opérateurs dans une requête de recherche, vous ne pouvez pas utiliser une recherche de préfixe (en incluant le caractère générique ( * ) à la fin du type de fichier) pour renvoyer toutes les versions d’un type de fichier. Si vous le faites, le caractère générique est ignoré. Par exemple, si vous incluez la condition Equals any of doc*, seuls les fichiers avec une extension de .doc sont retournés. Les fichiers avec une extension de .docx ne sont pas retournés. Pour retourner toutes les versions d’un type de fichier, utilisez la paire property :value dans une requête de mot clé ; par exemple, filetype:doc*.

Opérateurs utilisés avec des conditions

Lorsque vous ajoutez une condition, vous pouvez sélectionner un opérateur pertinent par rapport au type de propriété pour la condition. Le tableau suivant décrit les opérateurs qui sont utilisés avec les conditions et répertorie l’équivalent utilisé dans la requête de recherche.

Opérateur Équivalent dans la requête Description
Après property>date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés après la date spécifiée.
Avant property<date Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés avant la date spécifiée.
Between date..date Utilisé avec les conditions de date et de taille. Lorsqu’il est utilisé avec une condition de date, renvoie les éléments qui ont été envoyés, reçus ou modifiés dans la plage de dates spécifiée. Lorsqu’il est utilisé avec une condition de taille, renvoie les éléments dont la taille est comprise dans la plage spécifiée.
Contient l’un des éléments (property:value) OR (property:value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui contiennent une partie d’une ou plusieurs valeurs de chaîne spécifiées.
Ne contient pas -property:value

NOT property:value

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent aucune partie de la valeur de chaîne spécifiée.
N’est pas égal à -property=value

NOT property=value

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent pas la chaîne spécifique.
Égal à size=value Retourne les éléments qui sont égaux à la taille spécifiée. 1
Est égal à l’un des éléments (property=value) OR (property=value) Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Retourne des éléments qui correspondent à une ou plusieurs valeurs de chaîne spécifiées.
Plus size>value Retourne les éléments pour lesquels la propriété spécifiée est supérieure à la valeur spécifiée. 1
Supérieur ou égal size>=value Retourne les éléments pour lesquels la propriété spécifiée est supérieure ou égale à la valeur spécifiée. 1
Moins size<value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Inférieur ou égal size<=value Retourne les éléments qui sont supérieurs ou égaux à la valeur spécifique. 1
Différent de size<>value Retourne les éléments qui n’ont pas la taille spécifiée. 1

Remarque

1 Cet opérateur est disponible uniquement pour les conditions qui utilisent la propriété Size.