Propriétés de message et opérateurs de recherche pour In-Place eDiscovery dans Exchange Online

Cette rubrique décrit les propriétés des messages électroniques Exchange que vous pouvez rechercher à l’aide de In-Place & Exchange Server et Exchange Online. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.

La découverte électronique inaltérable utilise le langage KQL (Keyword Query Language). Pour plus d'informations, voir Référence sur la syntaxe Keyword Query Language.

Propriétés pouvant faire l’objet d’une recherche dans Exchange

Le tableau suivant répertorie les propriétés de message électronique consultables à l'aide d'une recherche de découverte électronique inaltérable ou à l'aide de la cmdlet New-MailboxSearch ou Set-MailboxSearch. Le tableau inclut un exemple de la syntaxe property :value pour chaque propriété et une description des résultats de recherche retournés par les exemples.

Propriété Description de la propriété Exemples Résultats de recherche renvoyés par les exemples
Pièce jointe Nom des fichiers joints à un message électronique. attachment:annualreport.ppt

attachment :annual*

Messages comportant un fichier joint nommé annualreport.ppt.
Dans le deuxième exemple, l'utilisation du caractère générique permet de renvoyer les messages dont le nom d'une pièce jointe contient le mot « annual ».
Bcc Champ Cci d'un message électronique.1 Bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Tous les exemples renvoient des messages dont « Pilar Pinilla » est en copie carbone invisible.
Category Catégories à rechercher. Les catégories peuvent être définies par les utilisateurs à l’aide d’Outlook ou Outlook sur le web (anciennement Outlook Web App). Les valeurs possibles sont les suivantes :
  • blue
  • green
  • orange
  • purple
  • red
  • yellow
category:="Red Category" Messages auxquels la catégorie rouge est affectée dans les boîtes aux lettres sources.
Cc Champ Cc d'un message électronique.1 Cc:pilarp@contoso.com

cc:"Pilar Pinilla"

Dans les deux exemples, les résultats renvoient les messages contenant « Pilar Pinilla » dans le champ Cc.
From Expéditeur d'un message électronique.1 De:pilarp@contoso.com

from:contoso.com

Messages envoyés par l'utilisateur indiqué ou à partir d'un domaine spécifié.
Importance Importance d'un message électronique, que l'expéditeur peut préciser lors de l'envoi. Par défaut, les messages sont envoyés avec une importance normale, à moins que l'expéditeur préfère une importance haute ou faible. importance:high

importance:medium

importance:low

Messages marqués comme ayant une importance haute, normale ou faible.
Kind Type de message à rechercher. Valeurs possibles :
  • contacts
  • docs
  • email
  • faxes
  • im
  • journals
  • meetings
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
kind:email

kind :email OR kind :in OR kind :voicemail

Messages électroniques correspondant aux critères de recherche. Le deuxième exemple renvoie des messages électroniques, des conversations de messagerie instantanée et des messages vocaux correspondant aux critères de recherche.
Participants Tous les champs de contacts compris dans un message électronique ; De, À, Cc et Cci.1 Participants:garthf@contoso.com

participants:contoso.com

Messages envoyés par ou envoyés à garthf@contoso.com.
Le deuxième exemple renvoie tous les messages envoyés à ou par un utilisateur du domaine contoso.com.
Received Date à laquelle un message électronique a été reçu par un destinataire. reçu :15/04/2014

received>=01/01/2014 AND received<=31/03/2014

Messages reçus le 15 avril 2014. Le deuxième exemple renvoie tous les messages reçus entre le 1er janvier 2014 et le 31 mars 2014.
Recipients Tous les champs de destinataires compris dans un message électronique ; À, Cc et Cci.1 Destinataires:garthf@contoso.com

recipients:contoso.com

Messages envoyés à garthf@contoso.com.
Le deuxième exemple renvoie les messages envoyés à tous les destinataires du domaine contoso.com.
Sent Date à laquelle un message électronique a été envoyé par l’expéditeur. envoyé :01/07/2014

sent>=01/06/2014 AND sent<=07/01/2014

Messages envoyés le 1er juillet 2014. Le deuxième exemple retourne tous les messages envoyés entre le 1er juin 2014 et le 1er juillet 2014.
Taille Taille d'un élément, en octets. taille>26214400

size :1..1048576

Messages de plus de 25 Mo.
Le deuxième exemple renvoie les messages dont la taille est comprise entre 1 et 1 048 576 octets (1 Mo).
Subject Texte de la ligne d'objet d'un message électronique. subject:"Quarterly Financials"

subject:northwind

Messages contenant l'expression exacte « Quarterly Financials » à n'importe quel endroit de la ligne d'objet.
Le deuxième exemple renvoie tous les messages contenant le mot « northwind » dans la ligne d'objet.
To Champ À d'un message électronique.1 À:annb@contoso.com

to:annb

to:"Ann Beebe"

Tous les exemples renvoient les messages dans lesquels « Ann Beebe » est indiqué sur la ligne À.

Remarque

1 Pour la valeur d'une propriété de destinataire, vous pouvez utiliser l'adresse SMTP, le nom d'affichage ou l'alias afin d'indiquer un utilisateur. Par exemple, vous pouvez utiliser annb@contoso.com, annb ou « Ann Beebe » pour spécifier l’utilisateur Ann Beebe.

Opérateurs de recherche pris en charge

Les opérateurs de recherche booléens, tels que AND, OR, vous aident à définir des recherches de boîte aux lettres plus précises en incluant ou en excluant des mots spécifiques dans la requête de recherche. D'autres techniques, comme l'utilisation d'opérateurs de propriété (tels que >= ou ...), les guillemets, les parenthèses et les caractères génériques vous permettent d'affiner les requêtes de recherche de découverte électronique. Le tableau suivant répertorie les opérateurs disponibles pour restreindre ou élargir les résultats de recherche.

Importante

Vous devez utiliser des opérateurs booléens majuscules dans une requête de recherche. Par exemple, utilisez AND ; n’utilisez pas et. L'utilisation d'opérateurs en lettres minuscules dans les requêtes de recherche renverra une erreur.

Opérateur Utilisation Description
AND keyword1 AND keyword2 Retourne des messages qui incluent tous les mots clés ou property:value expressions spécifiés.
+ keyword1 +keyword2 +keyword3 Retourne les éléments qui contiennentkeyword2 ou keyword3et qui contiennent keyword1également . Par conséquent, cet exemple est équivalent à la requête (keyword2 OR keyword3) AND keyword1.
La requête keyword1 + keyword2 (avec un espace après le + symbole) n’est pas identique à l’utilisation de l’opérateur AND . Cette requête équivaudrait à "keyword1 + keyword2" et retournerait des éléments avec la phase "keyword1 + keyword2"exacte.
OR keyword1 OR keyword2 Retourne des messages qui incluent un ou plusieurs mots clés ou property:value expressions spécifiés.
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

Exclut les messages spécifiés par un mot clé ou une property:value expression. Par exemple, NOT from:"Ann Beebe" exclut les messages envoyés par Ann Beebe.
- keyword1 -keyword2 Identique à l'opérateur NOT. Cette requête retourne les éléments qui contiennent keyword1 et exclut les éléments qui contiennent keyword2.
NEAR keyword1 NEAR(n) keyword2 Renvoie les messages qui incluent des mots proches les uns des autres, n étant égal au nombre de mots. Par exemple, best NEAR(5) worst retourne des messages où le mot « pire » se trouve à moins de cinq mots de « meilleur ». Si aucun nombre n’est spécifié, la distance par défaut est de huit mots.
: property:value Le signe deux-points (:) dans la property:value syntaxe spécifie que la valeur de propriété recherchée est égale à la valeur spécifiée. Par exemple, recipients:garthf@contoso.com retourne tout message envoyé à garthf@contoso.com.
< property<value Indique que la propriété recherchée est inférieure à la valeur spécifiée. 1
> property>value Indique que la propriété recherchée est supérieure à la valeur spécifiée.1
<= property<=value Indique que la propriété recherchée est inférieure ou égale à la valeur spécifiée.1
>= property>=value Indique que la propriété recherchée est supérieure ou égale à la valeur spécifiée.1
.. property :value1.. value2 Indique que la propriété recherchée est supérieure ou égale à value1 et inférieure ou égale à value2.1
" " "fair value"

subject:"Quarterly Financials"

Utilisez des guillemets doubles (« ») pour rechercher une expression ou un terme exact dans mot clé et property:value les requêtes de recherche.
* Chat*

subject :set*

Les recherches de caractères génériques de préfixe (où l’astérisque est placé à la fin d’un mot) correspondent à zéro ou plusieurs caractères dans les mots clés ou property:value les requêtes. Par exemple, subject:set* retourne les messages qui contiennent l’ensemble de mots, la configuration et le paramètre (et d’autres mots qui commencent par « set ») dans la ligne d’objet.
( ) (fair OR free) AND from:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

Les parenthèses regroupent des expressions booléennes, property:value des éléments et des mots clés. Par exemple, (quarterly financials) retourne des éléments qui contiennent les mots trimestriel et financier.

Remarque

1 Utilisez cet opérateur pour les propriétés ayant des valeurs de date ou des valeurs numériques.

Caractères non pris en charge dans les requêtes de recherche

En règle générale, les caractères non pris en charge dans une requête de recherche entraînent une erreur ou renvoient des résultats inattendus. Les caractères non pris en charge sont souvent masqués et sont généralement ajoutés à la requête lorsque vous la copiez (ou que vous en copiez des parties) à partir d'autres applications (par exemple, Microsoft Word ou Microsoft Excel), puis que vous les collez dans la zone de mot clé de la page de requête, dans la recherche de découverte électronique inaltérable.

Voici la liste des caractères non pris en charge pour une requête de recherche de découverte électronique inaltérable.

  • Guillemets intelligents : les guillemets simples et doubles intelligents (également appelés guillemets bouclés) ne sont pas pris en charge. Seuls les guillemets droits peuvent être utilisés dans une requête de recherche.

  • Caractères non imprimables et de contrôle : les caractères non imprimables et de contrôle ne représentent pas un symbole écrit, tel qu’un caractère alphanumérique. Il peut s'agir de caractères servant à mettre en forme le texte ou à séparer des lignes.

  • Marques de gauche à droite et de droite à gauche : il s’agit des caractères de contrôle utilisés pour indiquer la direction du texte pour les langues de gauche à droite (comme l’anglais et l’espagnol) et de droite à gauche (comme l’arabe et l’hébreu).

  • Opérateurs booléens en minuscules : comme expliqué précédemment, vous devez utiliser des opérateurs booléens en majuscules, tels que AND et OR, dans une requête de recherche. La syntaxe de requête indique souvent qu’un opérateur booléen est utilisé même si des opérateurs en minuscules peuvent être utilisés ; par exemple, (WordA or WordB) and (WordC or WordD).

Comment empêcher les caractères non pris en charge dans vos requêtes de recherche ? Le meilleur moyen d'éviter les caractères non pris en charge est de saisir la requête dans la zone de mot clé. Vous pouvez aussi copier votre requête à partir de Word ou d'Excel, puis la coller dans un éditeur de texte brut, comme le Bloc-notes Microsoft. Enregistrez ensuite le fichier texte, puis sélectionnez ANSI dans la liste déroulante Encodage. Cela supprime toute mise en forme et les caractères non pris en charge. Vous pouvez ensuite copier la requête du fichier texte vers la zone de mot clé de la requête.

Conseils et astuces pour la recherche

  • Les recherches par mot clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.

  • Un espace entre deux mots clés ou deux property:value expressions est identique à l’utilisation de AND. Par exemple, from:"Sara Davis" subject:reorganization retourne tous les messages envoyés par Sara Davis qui contiennent le mot réorganisation dans la ligne d’objet.

  • Utilisez une syntaxe qui correspond au property:value format. Les valeurs ne respectent pas la casse et ne peuvent pas avoir d’espace après l’opérateur. S’il y a un espace, la valeur prévue fera simplement l’objet d’une recherche en texte intégral. Exemple : pilarp permet de rechercher « pilarp » en tant que mot-clé, et non les messages qui ont été envoyés à pilarp.

  • Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d’affichage pour désigner un destinataire. Par exemple, vous pouvez utiliser pilarp@contoso.com, pilarp ou « Pilar Pinilla ».

  • Vous pouvez utiliser uniquement les recherches de caractères génériques de préfixe (par exemple, cat* ou set*). Les recherches de caractères génériques de suffixe (*cat) ou de sous-chaînes génériques (*cat*) ne sont pas prises en charge.

  • Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple , subject :budget Q1 retourne des messages qui contiennent le budget dans la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans l’une des propriétés du message. L'utilisation de subject:"budget Q1" renvoie tous les messages contenant budget Q1 n'importe où sur la ligne d'objet.