条件ビルダーを使用して電子情報開示 (プレビュー) で検索クエリを作成する
検索の条件ビルダーは、電子情報開示 (プレビュー) で検索クエリを作成するときに、視覚的な条件付きフィルター処理エクスペリエンスを提供します。 条件ビルダーを使用して演算子 (AND、OR) を使用してクエリを作成し、クエリをより効果的に構築し、複雑なキーワード クエリを構築および確認するための追加の領域を提供します。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。
条件ビルダーの使用
検索のクエリとカスタムの条件付きフィルター処理を作成するには、次のコントロールを使用します。
- AND/OR: これらの条件付き論理演算子を使用すると、特定のフィルターとフィルター サブグループに適用されるクエリ条件を選択できます。 これらの演算子を使用すると、クエリ内の 1 つのフィルターに接続された複数のフィルターまたはサブグループを使用できます。
- 条件の追加: 検索で選択した特定のデータ ソースと場所の条件を追加できます。
- 演算子を選択する: 選択したフィルターに応じて、フィルターと互換性のある演算子を選択できます。 たとえば、 Date フィルターが選択されている場合、使用可能な演算子は Before、 After、Between です。 [サイズ (バイト単位)] フィルターが選択されている場合、使用可能な演算子は、より大きい、大きいか等しいか、より小さいか等しいか、Between、Equal です。
- 値: 選択したフィルターに応じて、フィルターと互換性のある値を使用できます。 さらに、一部のフィルターでは複数の値がサポートされ、一部のフィルターでは 1 つの特定の値がサポートされています。 たとえば、[ 日付 ] フィルターが選択されている場合は、日付の値を選択します。 [サイズ (バイト単位)] フィルターが選択されている場合は、バイトの値を選択します。
- フィルター条件を削除する: 個々のフィルターまたはサブグループを削除するには、各フィルターラインまたはサブグループの右側にある削除アイコンを選択します。
- すべてクリア: すべてのフィルターとサブグループのクエリ全体をクリアするには、[ すべてクリア] を選択します。
条件を使用するためのガイドライン
検索条件を使用する際は、以下の点に留意してください。
- 条件は、 AND 演算子と OR 演算子によってキーワード クエリ (キーワード ボックスで指定) に論理的に接続されます。 これは、結果に含まれるようにするためには、その項目が、キーワードのクエリと条件の両方を満たす必要があることを意味します。
- 検索クエリに 2 つ以上の一意の条件 (異なるプロパティを指定する条件) を追加すると、それらの条件は AND 演算子と OR 演算子によって論理的に接続されます。 これは、(キーワードのクエリに加えて) すべての条件が満たされる項目だけが返されることを意味します。
- 同じプロパティに複数の条件を追加する場合、これらの条件は、OR 演算子によって論理的に接続されます。 これは、キーワードのクエリおよびいずれかの条件を満たす項目が返されることを意味します。 それで、同じ条件のグループが OR 演算子によって互いに接続され、その後、固有の条件のセットが AND 演算子によって接続されます。
- 複数の値 (コンマまたはセミコロンによって区切られる) を単一の条件に追加する場合、その値は OR 演算子によって接続されます。 これは、条件のプロパティの指定された値のいずれかが項目に含まれる場合にその項目が返されることを意味します。
- Contains ロジックと Equals ロジックで演算子を使用する条件は、単純な文字列検索でも同様の検索結果を返します。 単純な文字列検索は、ワイルドカードを含まない条件の文字列です)。 たとえば、 次のいずれかを使用 する条件は、 Contains を使用する条件と同じ項目を返します。
- キーワード ボックスおよび条件を使用して作成される検索クエリは、[検索] ページの、選択した検索の詳細ウィンドウに表示されます。 クエリでは、表記
(c:c)の右側にあるすべてのものが、クエリに追加される条件を示します。(c:c)は、手動で入力されたクエリでは使用しないでください。 AND または OR と等しくありません。 - 条件は、検索クエリにのみプロパティを追加します。演算子は追加されません。 このため、詳細ウィンドウに表示されるクエリには、
(c:c)表記の右側に演算子が表示されません。 KQL は、クエリの実行時に (前述の規則に従って) 論理演算子を追加します。 - ドラッグ アンド ドロップを使用して、条件を並び替えることができます。 条件のコントロールを選択し、上または下に移動します。
- 一部の条件プロパティでは、複数の値を (セミコロンで区切って) 入力できます。 各値は OR 演算子によって論理的に接続され、クエリが
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)されます。 次の図は、複数の値を持つ条件の例を示しています。
シナリオの例
電子情報開示管理者は、2023 年 2 月 9 日から 2023 年 3 月 9 日の間に送信された、Aimee Miller から Adam Eham、Adele Vance、または Aditya Dash に送信された、 コンプライアンス と 監査のキーワードを含むメールを検索するためのクエリを作成する必要があります。 この例では、管理者は新しいクエリ ビルダーを使用して次のクエリを作成します。
- 最初のフィルターでは、管理者が [送信者] を選択し、[Equals any]\(等しい\) 演算子を選択し、[値] コントロールで使用できるユーザーの一覧から [Aimee Miller] を選択します。
- 次に、管理者は [サブグループの追加] と [OR 演算子] を選択して、Aimee がコンプライアンス監査に関する電子メールを送信した可能性がある他のユーザーを定義します。
- サブグループで、管理者は、コンプライアンス監査に関する電子メールを送信した可能性がある他のユーザーごとに、 To フィルター、 Equals any 演算子、 Value (user) を選択します。 この例では、管理者は Adam Eham、Adele Vance、Aditya Dash のサブグループにフィルターを作成します。
- 日付範囲を定義するには、管理者が [ フィルターの追加] を選択し、[ 日付 ] フィルター、 Between 演算子、および [値] の開始日と終了日を選択します。
- 最後に、管理者は キーワード リスト フィルター、 Equal 演算子、 コンプライアンス監査 をキーワード Value として選択します。
検索条件の使用
検索クエリに条件を追加して、検索を絞り込み、さらに絞り込まれた結果のセットを返すようにできます。 各条件によって、作成された KQL 検索クエリに句が追加され、ユーザーが検索を開始するとそのクエリが実行されます。
特殊文字
一部の特殊文字は検索インデックスに含まれていないため、検索できません。 これには、検索クエリの検索演算子を表す特殊文字も含まれます。 実際の検索クエリでは空白スペースに置き換えられるか、検索エラーの原因となる特殊文字の一覧を次に示します。
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
共通プロパティの条件
同じ検索でメールボックスとサイトを検索する場合は、共通プロパティを使って条件を作成します。 次の表に、条件を追加する場合に使用可能なプロパティを一覧表示します。
| Condition | 説明 |
|---|---|
| Date | 電子メールの場合、PST ファイルからメッセージが作成またはインポートされた日付。 ドキュメントの場合、ドキュメントが最後に変更された日付。 特定の期間のメール メッセージを検索する場合は、Exchange でネイティブに作成されるのではなく、メール メッセージがインポートされた可能性があるかどうかわからない場合は、 メッセージの受信 と 送信 の条件を使用する必要があります。 |
| 識別子 | 電子メールの場合は、特定のメッセージの ID。
メッセージ ID は、監査レコード、データ損失防止 (DLP) アラート、またはセット メタデータの確認に含まれ、個々のメッセージの特定の検索を作成できます。 Microsoft Teamsメッセージの場合は、チャットまたはリアクションの ID。 ChatThreadID は、監査レコード、データ損失防止 (DLP) アラート、またはレビュー セットメタデータに含まれており、個々のチャットまたはリアクションの特定の検索を作成できます。 |
| 送信者/作成者 | メールの場合、メッセージの送信者。 ドキュメントの場合、Office ドキュメントから作成者フィールドに示されている人。 カンマで区切って、複数の名前を入力することができます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。 (「受信者の拡張」を参照) |
| サイズ (バイト単位) | メールとドキュメントのいずれの場合も、アイテムのサイズ (バイト単位)。 |
| 件名/タイトル | メールの場合、メッセージの件名行のテキスト。 ドキュメントの場合、ドキュメントのタイトル。 Title プロパティは、Microsoft Office ドキュメントで指定されたメタデータです。 複数のサブジェクト/タイトル値の名前をコンマで区切って入力できます。 2 つ以上の値は、OR 演算子によって論理的に結合されます。 注: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリからエラーが返されます。 |
| 保持ラベル | 電子メールとドキュメントの両方で、保持ラベルがメッセージとドキュメントに適用されます。 保持ラベルを使用すると、レコードを宣言し、ラベルで指定された保持ルールと削除ルールを適用することで、コンテンツのデータ ライフサイクルを管理するのに役立ちます。 アイテム保持ポリシーに関する詳細情報は、「アイテム保持ポリシーおよび保持ラベルの詳細」をご覧ください。 |
| 機密情報の種類 (SIT) | 電子メールとドキュメントの両方で、メッセージとドキュメントに含まれる機密情報の種類。 SID はパターン ベースの分類子であり、社会保障、クレジット カード、銀行口座番号などの機密情報を検出して、機密性の高いアイテムを識別します。 SID の詳細については、「 機密情報の種類の詳細」を参照してください。 |
| 機密ラベル | 電子メールとドキュメントの両方で、秘密度ラベルがメッセージとドキュメントに適用されます。 秘密度ラベルを使用すると、組織のデータを分類して保護しながら、ユーザーの生産性と共同作業能力が妨げられないことを確認できます。 秘密度ラベルの詳細については、「秘密 度ラベルについて」を参照してください。 |
メール プロパティの条件
Exchange Online でメールボックスまたはパブリック フォルダーを検索するときに、メール プロパティを使用して条件を作成します。 条件で使用できるメール プロパティを次の表に一覧表示します。 これらのプロパティは、上で説明したメール プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。
| Condition | 説明 |
|---|---|
| メッセージの種類 | 検索するメッセージの種類。 これは、Kind メール プロパティと同じプロパティです。 可能な値:
|
| Participants | メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照) |
| Type | メール アイテムのメッセージ クラス プロパティ。 これは、ItemClass メール プロパティと同じプロパティです。 また、複数値の条件です。 そのため、複数のメッセージ クラスを選択するには、 Ctrl キーを押しながら、条件に追加する 2 つ以上のメッセージ クラスをドロップダウン リストから選択します。 一覧で選択した各メッセージ クラスは、対応する検索クエリの OR 演算子によって論理的に接続されます。 Exchange によって使われていて メッセージ クラス リストで選ぶことができるメッセージ クラス (およびそれに対応するメッセージ クラス ID) のリストについては、「アイテムの種類とメッセージ クラス」をご覧ください。 |
| 受信済み | 電子メール メッセージが受信者によって受信された日付。 これは、Received メール プロパティと同じプロパティです。 |
| Recipients | メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。 (「受信者の拡張」を参照) |
| Sender | 電子メール メッセージの差出人。 |
| 送信日時 | 送信者によって電子メール メッセージが送信された日付。 これは、Sent メール プロパティと同じプロパティです。 |
| 件名 | 電子メール メッセージの件名行に含まれるテキスト。 注: この検索条件を使用すると引用符が自動的に追加されるため、この条件の値に二重引用符を含めないでください。 値に引用符を追加すると、条件値に 2 組の二重引用符が追加され、検索クエリからエラーが返されます。 |
| To | [宛先] フィールドにある、メール メッセージの受信者。 |
ドキュメント プロパティの条件
SharePoint サイトと OneDrive サイトでドキュメントを検索するときに、ドキュメント プロパティを使用して条件を作成します。 次の表に、条件に使用できるドキュメント プロパティを示します。 これらのプロパティは、上で説明したサイト プロパティのサブセットです。 利便性を考慮して、以下に説明をもう一度記載します。
| Condition | 説明 |
|---|---|
| Author | Office ドキュメントの作成者フィールド。ドキュメントがコピーされた場合でもこのフィールは保持されます。 たとえば、ユーザーがドキュメントを作成して別のユーザーにメールで送信し、そのユーザーがそのドキュメントを SharePoint にアップロードした場合、そのドキュメントでは引き続き元の作成者が保持されます。 |
| Title | ドキュメントのタイトル。 Title プロパティは、Office ドキュメントに 指定されているメタデータです。 ドキュメントのファイル名とは異なります。 |
| 作成済み | ドキュメントが作成された日付。 |
| 最終更新日時 | ドキュメントが最後に変更された日付。 |
| ファイルの種類 | ファイルの拡張子。例: docx、one、pptx、xlsx など。 これは、FileExtension サイト プロパティと同じプロパティです。
手記: 検索クエリに Equals 演算子または Equals 演算子を使用してファイルの種類の条件を含める場合、プレフィックス検索 (ファイルの種類の末尾にワイルドカード文字 ( * ) を含めて) を使用して、ファイルの種類のすべてのバージョンを返すことはできません。 この場合、ワイルドカードは無視されます。 たとえば、条件 |
条件で使用する演算子
条件を追加するときに、条件のプロパティの種類に関連する演算子を選択できます。 次の表では、条件で使用される演算子について説明し、検索クエリで使用される演算子と同等の演算子を示します。
| 演算子 | クエリの同等物 | 説明 |
|---|---|---|
| After | property>date |
日付の条件で使用されます。 指定された日付の後に送信、受信、変更された項目を返します。 |
| イベント前 | property<date |
日付の条件で使用されます。 指定された日付の前に送信、受信、変更された項目を返します。 |
| Between | date..date |
日付条件およびサイズ条件で使用します。 日付条件で使用すると、指定された日付範囲内に送信、受信、変更された項目を返します。 サイズ条件で使用すると、サイズが指定範囲内にある項目を返します。 |
| Contains any of | (property:value) OR (property:value) |
文字列値を指定するプロパティの条件で使用されます。 1 つ以上の指定された文字列の値の任意の部分が含まれる項目を返します。 |
| Doesn't contain any of | -property:value |
文字列値を指定するプロパティの条件で使用されます。 指定された文字列のどの部分も含まれない項目を返します。 |
| Doesn't equal any of | -property=value |
文字列値を指定するプロパティの条件で使用されます。 特定の文字列が含まれない項目を返します。 |
| Equals | size=value |
指定されたサイズに等しい項目を返します。1 |
| 次のいずれかと等しい | (property=value) OR (property=value) |
文字列値を指定するプロパティの条件で使用されます。 指定した 1 つ以上の文字列値と一致する項目を返します。 |
| Greater | size>value |
指定されたプロパティが指定された値より大きい項目を返します。1 |
| Greater or equal | size>=value |
指定されたプロパティが指定された値以上の項目を返します。1 |
| より小さい | size<value |
特定の値以上の項目を返します。1 |
| Less or equal | size<=value |
特定の値以上の項目を返します。1 |
| Not equal | size<>value |
指定したサイズと等しくないアイテムを返します。1 |
注:
1 この演算子は、Size プロパティを使う条件でのみ使うことができます。