建立MS Purview 的內容搜尋

26 min readOct 30, 2024

組織可以使用 Microsoft Purview compliance portal中的內容搜尋(Content search)來搜尋內部資料，例如：

電子郵件
文件
即時訊息對話

執行搜尋後，內容位置的數量和搜尋結果的估計數量將顯示在搜尋彈出頁面上。我們可以快速查看統計資訊，例如具有最多與搜尋查詢相符的項目的內容位置。

大多數組織將對 Microsoft Purview compliance portal中的內容搜尋的存取權限限制為管理員、合規人員或eDiscovery主管。這些人員必須是compliance portal中eDiscovery Manager role group的成員。若要指派權限，我們必須是compliance portal中Organization Management role group的成員。

組織在準備建立content search時應考慮以下問題：

誰應該建立和運作content search？
我們想要建立什麼類型的content search（例如，新搜尋、引導式搜尋和按 ID 清單搜尋）？
應該使用哪些關鍵字進行搜尋？
應使用什麼條件（例如，資料類型、寄件者、日期和主題）？
想要搜尋所有位置還是僅搜尋特定位置（例如 SharePoint 和 Microsoft Teams）？

建立與運行一個搜尋

連到Microsoft Purview compliance portal，選擇Content search
在Content search頁面，在選單中選擇+New search
在New search wizard，於Name and description頁面填入相關資訊
在Locations頁面，選擇要搜尋的位置。

上圖的每個選項的說明如下

Exchange mailboxes
將開關設為“Onm”，然後在“Included”這一個欄位，選擇“Choose users, groups, or teams”以明定要保留的信箱。使用search box尋找使用者信箱和通訊群組。也可以搜尋與 Microsoft Team、Office 365 群組和 Yammer 群組關聯的郵箱。關於更多在mailbox中的application data，參閱Content stored in mailboxes for eDiscovery
SharePoint sites
這用於 SharePoint 網站和 OneDrive account。將開關設為“On”，然後在“Included”這一個欄位，選擇“Choose sites”以明定要監看的 SharePoint 網站和 OneDrive account。輸入要保留的每個網站的 URL。也可以新增 Microsoft Team、Office 365 群組或 Yammer 群組的 SharePoint 網站的 URL。
Exchange public folders
將開關設為「On」可將 Exchange Online 組織中的所有公用資料夾置於監看狀態。我們無法選擇要監看的特定公用資料夾。如果不想監看公用資料夾，請將切換開關保持關閉。
Add App Content for On-Premises Users
保持選取此核取框以搜尋地端使用者的 Teams 內容。例如，如果搜尋組織中的所有 Exchange 郵箱並選取此核取框，則用於儲存地端使用者的 Teams 聊天資料(儲存在雲端中)的將包含在搜尋範圍中。更多資訊請參閱Search for Teams chat data for on-premises users

5. 於"Define your search conditions"頁面，選擇以下之一來建立search query:

Condition card builder
這讓Query是有keywords並可以加上條件
KQL editor
這是語法的方式來建立Query

以上兩種方式可以相互切換，例如，如果使用condition builder透過關鍵字方塊和多個條件配置查詢，則可以在 KQL 編輯器中顯示產生的查詢。

假如我們選的是Condition card builder，需要注意以下幾點:

明定條件，如:
— 關鍵字
— 訊息屬性，例如傳送和接收日期
— 文件屬性，例如檔案名稱或文件上次變更的日期
可以使用布林運算符進行更複雜查詢，例如 AND、OR、NOT 和 NEAR
如果將關鍵字空白，則位於指定內容位置的所有內容都會包含在搜尋結果中。更多資訊請參閱Keyword queries and search conditions for eDiscovery
如果選取「Show keyword list」選框，然後在每行中鍵入關鍵字，則每行上的關鍵字將透過邏輯運算子(c:s) 連接，該邏輯運算子的功能類似於所建立的搜尋查詢中的OR 運算子。為什麼要使用關鍵字清單？我們可以取得顯示有多少項目與每個關鍵字相符的統計資料。透過這樣做，可以快速確定哪些關鍵字最有效。您也可以連續使用keyword phrase（用括號括起來）。更多資訊請參閱Get keyword statistics for searches
可以新增搜尋條件來縮小搜尋範圍並傳回更精確的結果集。每個條件都會在開始搜尋時建立並執行的搜尋查詢新增一個子句。條件透過邏輯運算子 (c:c) 在邏輯上連接到關鍵字查詢，邏輯運算子 (c:c) 的功能與 AND 運算子類似。這意味著項目必須滿足關鍵字查詢和一個或多個條件才能包含在結果中。此過程是條件如何幫助縮小結果範圍的。

檢視搜尋與統計的結果

範例:

在Microsoft Purview compliance portal的導覽頁面 →選擇Content search →在Content search頁面選擇我們想檢視的結果
或
選擇eDiscovery →Standard →選擇eDiscovery (Standard)頁面的case →在Searches頁面，選擇與我們要查看的案例關聯的搜尋。
在所選搜尋出現的詳細資料窗格中，預設會顯示「 Summary」頁籤。查看與搜尋相關的摘要資訊。
在「Summary」頁籤底部，選擇「Review sample」按鈕。

4. 將顯示一個包含搜尋結果範例的頁面。在搜尋結果清單中，選擇一個項目以在閱讀窗格中查看其內容。

如何選擇搜尋結果樣本

最多可預覽 1,000 個隨機選擇的項目。可供預覽的項目除了隨機選擇外，還必須滿足以下條件：

最多可以預覽(Preview)單一內容位置（郵箱或網站）中的 100 個項目。因此，可供預覽的項目可能少於 1,000 個。例如，如果搜尋四個郵箱並且搜尋返回 1,500 個估計項目，則只有 400 個可用於預覽。為什麼？因為每個郵箱只能預覽100個項目。
對於郵箱項目，只有電子郵件可供預覽。無法預覽任務、日曆專案和聯絡人等項目(最小單位)。
對於網站項目，只有文件可供預覽。無法預覽資料夾、清單或清單附件等項目(最小單位)。

預覽搜尋結果時支援的文件類型

我們可以在預覽視窗中預覽支援的文件類型。如果不支援某種文件類型，則必須將該文件的副本下載到本機電腦（透過選擇「Download original item」）。對於 .aspx 網頁，儘管可能沒有造訪該頁面的權限，但仍包含該頁面的 URL。未索引的項目則無法預覽。

支援下列文件類型，並且可以在搜尋結果視窗中預覽。

.txt, .html, .mhtml
.eml
.doc, .docx, .docm
.pptm, .pptx
.pdf
.zip
.gzip

查看eDiscovery搜尋結果的統計資訊

組織建立並執行內容搜尋或與 Microsoft Purview eDiscovery (Standard) case關聯的搜尋後，可以查看有關預估搜尋結果的統計資料。這些統計資料包括：

A summary of the search results。此摘要類似於搜尋詳細資訊頁面上顯示的估計搜尋結果的摘要。
查詢統計。例如：
— 包含與搜尋查詢相符的項目的內容位置的數量。
— 具有最匹配項目的內容位置的identity。

此外，組織可以使用關鍵字清單來配置搜尋以傳回每個關鍵字的統計資料。透過這樣做，組織可以比較查詢中每個關鍵字傳回的結果數量。搜尋統計資料也可以下載到 CSV 檔案中。

配置search permissions filtering

Search permissions filtering使組織的eDiscovery管理員能夠只搜尋組織中的郵箱和網站的子集。Permissions filtering還可以讓相同Discovery管理員只搜尋符合特定條件的郵箱或網站內容。例如：

eDiscovery管理員只搜尋特定位置或部門的使用者信箱。可以透過建立一個filter來實現此目的，這個filter使用受支援的recipient filter來限制特定使用者或使用者群組可以搜尋的郵箱。
建立一個filter來指定使用者可以搜尋的郵箱內容。可以透過建立一個使用可搜尋訊息屬性的filter來實現此目的。
eDiscovery管理員只搜尋組織中的特定 SharePoint 網站。透過建立一個filter來進行。
建立一個filter來指定可以搜尋哪些網站內容。可以透過建立使用可搜尋網站屬性的filter來進行。

filter可以在Content search與Microsoft Purview eDiscovery 標準語進階版中使用。

當search permissions filter套用至特定使用者時，該使用者可以執行以下與搜尋相關的操作：

Search for content
Preview search results
Export search results
Purge items returned by a search

我們也可以使用search permissions filtering在組織內建立邏輯邊界（稱為compliance boundaries）。這些邊界控制特定eDiscovery管理員可以搜尋的使用者內容位置（例如郵箱、SharePoint 網站和 OneDrive 帳號），如下圖所示。更多資訊請參閱 Set up compliance boundaries for eDiscovery investigations

Security and Compliance PowerShell 模組中的以下四個 cmdlet 使組織能夠設定和管理search permissions filters：

New-ComplianceSecurityFilter
建立一個新的 search permissions filter
Get-ComplianceSecurityFilter
回傳一個 search permissions filter清單
Set-ComplianceSecurityFilter
修改現有的 search permissions filter
Remove-ComplianceSecurityFilter
刪除 search permissions filter

配置permissions filtering的要求

以下為配置前的要求:

必須是compliance portal中Organization Management role group的成員，才能使用compliance security filter cmdlets。
必須連接到 Exchange Online PowerShell module和Security and Compliance PowerShell module才能使用compliance security filter cmdlets。此要求是必要的，因為這些 cmdlet 存取郵箱屬性。
Search permissions filtering適用於靜態信箱。因此，可以使用mailbox 與mailbox content filtering來限制誰可以搜尋靜態郵箱。
Search permissions filtering不能用於限制誰可以搜尋 Exchange 中的公用資料夾。
組織中可以建立的search permissions filters的數量沒有限制。但是，搜尋查詢最多可以有 100 個條件。擁有的search permissions filters越多（特別是當這些filter應用於同一使用者或同一群使用者時），超過搜尋條件最大數量的機會就越大。為了防止組織達到條件限制，盡可能減少組織中的earch permissions filters數量以滿足業務要求。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

FilterName參數是指定其名稱，這是使用Get-ComplianceSecurityFilter， Set-ComplianceSecurityFilter與Remove-ComplianceSecurityFilter cmdlets會用到的。

Filters 參數明定 compliance security filter的搜尋條件。可以建立三種不同類型的filter：

第一種:Mailbox 或 OneDrive filtering
此類篩選器(filter)指定使用者（由 Users 參數明定）可以搜尋的郵箱和 OneDrive 帳號。這種類型的過濾器稱為content location filter，因為它定義使用者可以搜尋的內容位置。

此類篩選器的語法為 Mailbox_ MailboxPropertyName，其中 MailboxPropertyName 明定用於決定可搜尋的郵件信箱和 OneDrive 帳號範圍的郵箱屬性。例如，郵箱篩選器「Mailbox_CustomAttribute10 -eq ‘OttawaUsers’」允許指派此篩選器的使用者只能搜尋 CustomAttribute10 屬性中的值「OttawaUsers」的郵箱和 OneDrive 帳號。

任何受支援的filterable recipient property均可用作郵箱或 OneDrive filter中的 MailboxPropertyName 屬性。下面清單列出了用於建立郵箱或 OneDrive filter的四個常用收件者屬性。清單還包括在過濾器中使用該屬性的範例。

Alias
範例: ”Mailbox_Alias -like ‘v-’”
Company
範例: ”Mailbox_Company -eq ‘jasonkao’”
CountryOrRegion
範例: ”Mailbox_CountryOrRegion -eq ‘Taiwan’”
Department
範例: ”Mailbox_Department -eq ‘HR’”

第一種:Mailbox content filtering
這種類型的過濾器會應用於可搜尋的內容。這種類型的過濾器稱為內容過濾器(content filter)，因為它明定使用者可以搜尋的郵箱內容或可搜尋電子郵件屬性。

此類篩選器的語法為 MailboxContent__SearchablePropertyName，其中 SearchablePropertyName 指定可在搜尋中指定的KQL屬性。例如，mailbox content filter「MailboxContent_Recipients -like ‘jasonkao.com’」將允許指派此篩選器的使用者只能搜尋傳送至 jasonkao.com 網域中的收件者的郵件。

有關可搜尋電子郵件屬性的列表，請參閱Keyword queries and search conditions for eDiscovery

要注意的是單一搜尋過濾器不能包含mailbox filter與mailbox content filter。要將這兩種過濾器合併為一個過濾器，必須使用 filters list。但過濾器可以包含相同類型的複雜的查詢。例如，「Mailbox_CustomAttribute10 -eq ‘FTE’ -and Mailbox_MemberOfGroup -eq ‘
DG.DistinguishedName)’”

第三種:Site and site content filtering
有兩個與 SharePoint 和 OneDrive 相關的過濾器，可以使用它們來指定使用者可以搜尋的網站或網站內容。

Site_SearchableSiteProperty
SiteContent_SearchableSiteProperty

這兩種filter是可以互換的。例如:”Site_Path -like ‘https://jasonkao.sharepoint.com/sites/doctors'" and “SiteContent_Path -like ‘https://jasonkao.sharepoint.com/sites/doctors'"會返回相同的結果，可參閱 Keyword queries and search conditions for eDiscovery。有關可搜尋網站屬性的清單，參閱Overview of crawled and managed properties in SharePoint。在「可查詢」欄位中標記為「Yes」的屬性可用於建立網站或網站內容過濾器。

例如，假設使用者使用了安全過濾器“Site_RefineableString00 -eq ‘abc’”。然後使用者使用關鍵字查詢“xyz”。安全過濾器被附加到查詢(Query)中，實際執行的查詢將是「xyz AND RefineableString0:’abc’」。使用者需要確保網站上的文件的 RefineableString00 欄位中的值確實為「abc」。如果不是，搜尋查詢將不會傳回任何結果。

在配置search permissions filters的 Filters 參數時，需注意以下事項：

與郵箱不同的是，儘管網站過濾器(Site filter)看起來像位置過濾器(location filter)，但sites沒有content location filter。 SharePoint 和 OneDrive 的所有篩選器都是content filter（這也是 Site_ 和 SiteContent_ 篩選器可以互換的原因）。

為什麼？因為與網站相關的屬性（例如Path）直接標記在文件上。這是 SharePoint 設計方式的結果。在 SharePoint 中，不存在像 Exchange 郵箱那樣具有屬性的「site object」。因此，Path 屬性被標記在文件上並包含文件所在網站的 URL。因此，Site filter被視為content filter，而不是content location filter。

組織必須建立 search permissions filter，以明確不讓使用者搜尋特定服務中的內容位置，也對搜尋設定。（例如不讓使用者搜尋任何 Exchange 郵箱或任何 SharePoint 網站）。換句話說，建立允許使用者搜尋組織中所有 SharePoint 網站的搜尋權限篩選器並不會阻止該使用者搜尋郵箱。

例如，要允許 SharePoint 管理員只能搜尋 SharePoint 網站，必須建立一個篩選器不讓他們搜尋郵箱。同樣，要允許 Exchange 管理員只能搜尋郵箱，您必須建立一個過濾器來阻止他們搜尋網站。也就是說，不明定搜尋邊界，哪就甚麼都可以搜尋了。

Users 參數指定將此過濾器套用至其搜尋的使用者。可以透過別名或主要 SMTP 位址來識別使用者。可以指定多個值，並以逗號分隔。也可以使用值「ALL」將過濾器指派給所有使用者。

也可以使用 Users 參數指定compliance portal role group。透過這樣做，可以建立自訂角色群組，然後為該角色群組指派搜尋權限篩選器。

搜尋並刪除電子郵件

組織可以使用內容搜尋(Content search)功能從Exchange 部署中的所有郵箱中搜尋和刪除電子郵件。此流程可以幫助我們找到並刪除潛在有害或高風險的電子郵件，例如：

包含危險附件或病毒的郵件
網路釣魚郵件
包含敏感資料的訊息

PS:如果組織有 Defender for Office 365 plan 2 訂閱，則應使用Remediate malicious email delivered in Office 365中詳細介紹的流程，而不是下面要介紹的流程。

刪除電子郵件的先決條件

以下所述的搜尋和清除(purge)工作流程不會從 Microsoft Teams 中刪除聊天訊息或其他內容。如果在步驟2 中建立的內容搜尋從Microsoft Teams 傳回資料，則當在步驟3 中清除資料時，這些資料不會被刪除-即聊天訊息。
若要建立和執行內容搜索，必須是eDiscovery Manager role group的成員，或是在 Microsoft Purview compliance portal中被指派成Compliance Search role。

若要刪除郵件，必須是"Organization Management" role group，或是在 Microsoft Purview compliance portal中被指派成Search And Purge role。

PS:
Organization Management角色群組存在於 Exchange Online 和 Microsoft Purview compliance portal中。Organization Management角色群組與Search And Purge role不同。作為 Exchange Online 中Organization Management的成員不會授予刪除電子郵件所需的權限。如果未在 Microsoft Purview compliance portal中指派Search And Purge role，則在執行 New-ComplianceSearchAction cmdlet 時，將在步驟 3 中收到錯誤。該訊息將顯示：A parameter cannot be found that matches parameter name ‘Purge’。

每個郵箱一次最多可以刪除 10 個item。由於"搜尋和刪除"郵件的功能旨在成為事故回應工具，因此此限制有助於確保快速從郵箱中刪除郵件。此功能並非設計用於清郵箱。
50,000 是內容搜尋中可用於透過執行"搜尋和清除"操作來刪除項目的最大郵箱數。如果步驟 2 中建立的搜尋搜尋超過 50,000 個郵箱，則清除操作（在步驟 3 中建立的）將會失敗。當將搜尋配置為包含組織中的所有郵箱時，通常可能會在一次搜尋中搜尋超過 50,000 個郵箱。即使少於 50,000 個郵箱包含與搜尋查詢相符的項目，此限制仍然適用。
後面將介紹的流程只能用於刪除 Exchange Online 信箱和公用資料夾中的項目。不能刪除 SharePoint 或 OneDrive for Business 的資料。
在 eDiscovery (Premium) case中的 review set裡的email資料也不能刪除。因為review set中的項目儲存在 Azure storage，而不是即時服務。因此，在步驟 1 中建立的內容搜尋不會傳回它們。

步驟一: 載入並連接到 Exchange Online PowerShell 模組

要執行這一步驟我們要先load或import Exchange Online Management PowerShell module。

Install-module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement

步驟二:連結Security and Compliance PowerShell module

要使用Security and Compliance PowerShell module來刪除訊息。有關連接到此模組的更多信息，請參閱 Connect to Security & Compliance PowerShell。

Connect-IPPSSession

PS:
ExchangeOnlineManagement PowerShell 模組中的 Connect-IPPSSession（函數）目前無法在 Cloud Shell 環境中運作。

步驟三:建立搜尋

建立並執行內容搜尋以尋找要從組織郵箱中刪除的郵件。可以使用 Microsoft Purview compliance portal或透過Security and Compliance PowerShell module中執行 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 來建立搜尋。

透過在步驟 3 中執行 New-ComplianceSearchAction -Purge 命令，將刪除與此搜尋的查詢相符的郵件。

在此步驟中建立的內容搜尋中搜尋的內容位置不能包括 SharePoint 或 OneDrive for Business 網站。只能在將用於發送電子郵件的內容搜尋中包含郵箱和公用資料夾。如果內容搜尋包含網站，當執行 New-ComplianceSearchAction cmdlet 時，將在步驟 3 中收到錯誤訊息。

尋找要刪除的郵件的提示

搜尋查詢的目標是將搜尋結果縮小到只包含要刪除的一條或多個訊息。以下是一些提示：

如果知道郵件主旨行中使用的確切文字或短語，請在搜尋查詢中使用「Subject」屬性。
如果知道郵件的確切日期（或日期範圍），請在搜尋查詢中包含「Received」屬性。
如果知道訊息的傳送者，請在搜尋查詢中包含 From 屬性。
預覽搜尋結果以驗證搜尋是否僅傳回需要刪除的一條或多個訊息。
使用search estimate statistics（顯示在合規性入口網站中搜尋的詳細資料視窗中或透過使用 Get-ComplianceSearch cmdlet）來取得結果總數的計算。

刪除郵件

到目前為止，我們已經建立並優化了內容搜尋以返回要刪除的郵件。現在可以刪除訊息了。在此步驟中，我們將在Security and Compliance PowerShell module中執行 New-ComplianceSearchAction -Purge 命令來刪除訊息。

可以soft-delete or hard-delete該訊息。

Soft-deleted message
此訊息將移至使用者的「Recoverable Items」資料夾中。它會保留在那裡，直到已刪除項目的保留期到期。
Hard-deleted message
該郵件被標記為從郵箱中永久刪除。下次Managed Folder Assistant處理郵箱時，它將永久刪除。請記住以下情況：
Single item recovery is enabled for the mailbox。在這種情況下，hard-deleted的項目將在已刪除項目保留期到期後永久刪除。
— A mailbox is placed on hold。在這種情況下，已刪除的郵件將被保留，直到該項目的保留持續時間到期，或直到從郵箱中刪除保留。

PS:
如前所述，當執行 New-ComplianceSearchAction -Purge 指令時，不會刪除由內容搜尋傳回的 Microsoft Teams 項目。

範例: soft-delete

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

範例: hard-delete

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

關於刪除訊息的一般性問題

Q1: 如何確定搜尋和刪除操作的狀態？

Ans : 執行 Get-ComplianceSearchAction 命令以取得刪除操作的狀態。執行 New-ComplianceSearchAction cmdlet 時建立的物件使用以下格式命名：<內容搜尋名稱>_Purge。

Q2: hard-delete訊息後會發生什麼事？

Ans: 使用 New-ComplianceSearchAction -Purge -PurgeType HardDelete 指令刪除的郵件將移至 Purges 資料夾。使用者無法存取該訊息。

將郵件移至「Purge」資料夾後，如果為郵箱啟用了single item recovery，則該郵件將在已刪除項目保留期間內保留。（在 Microsoft 365 中，建立新信箱時預設啟用single item recovery。）已刪除項目保留期到期後，郵件將會標示為永久刪除。下次Managed Folder assistant處理郵箱時，它將從 Microsoft 365 中清除。

Q3: soft-delete訊息後會發生什麼事？

Ans: 使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 指令刪除的郵件將移至使用者的「Recoverable Items」資料夾中的「Deletions」資料夾。它不會立即從 Microsoft 365 中清除。

意思是使用者可以在為郵件信箱設定的已刪除郵件保留期間內還原「已刪除郵件」資料夾中的郵件。在此保留期限到期後（或如果使用者在到期前清除郵件），郵件才會移至「Purges」資料夾。

Q4: 如果必須從超過 50,000 個郵箱中刪除郵件怎麼辦？

如前所述，最多可以對 50,000 個郵箱執行搜尋和清除操作（即使少於 50,000 個包含與搜尋查詢相符的項目）。如果必須對超過 50,000 個郵箱執行搜尋和清除操作，考慮建立臨時性的search permissions filters，將要搜尋的郵箱數量減少到少於 50,000 個郵箱。

例如，如果組織包含不同部門、州或國家/地區的郵箱，可以根據這些郵箱屬性之一建立mailbox search permissions filter，。

Q5: 搜尋結果中包含的未索引項目是否會被刪除？

Ans: 不會，New-ComplianceSearchAction -Purge 指令不會刪除未索引的項目。

Q6: 如果從In-Place Hold或Litigation Hold或已指派至 Microsoft 365 retention policy的郵箱中刪除郵件，會發生什麼情況？

Ans: 訊息被清除並移動到Purges資料夾後，訊息將保留，直到保留持續時間到期。如果保留持續時間不受限制，則項目一直被保留，直到保留被刪除或保留持續時間變更為止。

Q7 : 為什麼搜尋和刪除工作流程劃分在不同的security and compliance portal role groups之間？

Ans: 人員必須是eDiscovery Manager role group的成員或被Compliance Search management角色才能搜尋信箱。若要刪除郵件，人員必須是Organization Management role group群組的成員或被指派Search And Purge管理角色。這種設計可以控制誰可以搜尋組織中的郵箱以及誰可以刪除郵件。