Requêtes de mot clé et conditions de recherche pour la recherche de conformité dans Office 365 dédié

 

Sapplique à :Exchange Online Dedicated

Dernière rubrique modifiée :2016-12-09

Cette rubrique décrit les propriétés de messagerie et de documents que vous pouvez rechercher dans les éléments de messagerie dans Exchange Online à l’aide de la fonctionnalité Recherche de conformité dans le Centre d’administration Exchange (CAE) dans Office 365 dédié. La rubrique décrit les propriétés de messagerie que vous pouvez rechercher, les opérateurs de recherche booléens pris en charge et les conditions de recherche que vous pouvez utiliser pour affiner vos résultats de recherche. La recherche de conformité utilise le langage de requête de mot-clé (KQL). Pour plus d’informations sur la syntaxe KQL, consultez la rubrique Référence sur la syntaxe Keyword Query Language.

Pour plus d’informations, voir Compliance Search in Office 365 Dedicated.

Table des matières

Propriétés de messagerie utilisables dans une requête

Opérateurs de recherche

Conditions de recherche

Conseils et astuces pour la recherche

Le tableau suivant répertorie les propriétés de messagerie qui peuvent être recherchées à l’aide de la fonctionnalité de recherche dans les cmdlets New-ComplianceSearch ou Set-ComplianceSearch, ou à l’aide de celles-ci. Il inclut un exemple de syntaxe property:value pour chaque propriété et une description des résultats de recherche renvoyés par ces exemples. Vous pouvez taper ces paires property:value dans la zone des mots-clés pour une recherche de conformité.

 

Propriété Description de la propriété Exemples Résultats de recherche renvoyés par les exemples

Attachment

Nom des fichiers joints à un message électronique.

attachment:annualreport.ppt

attachment:annual*

Messages possédant un fichier joint nommé annualreport.ppt. Dans le deuxième exemple, l’utilisation du caractère générique renvoie des messages contenant le mot « annuel » dans le nom d’un fichier joint.

Bcc

Champ Cci d’un message électronique.1

bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

Tous les exemples renvoient des messages dont « Pilar Pinilla » est en copie carbone invisible.

Body

Texte dans le corps d’un message électronique.

body:"Northwind Traders"

body:north*

Messages dont le corps contient l’expression exacte « Northwind Traders ». Le deuxième exemple renvoie tous les messages qui contiennent des mots commençant par la chaîne « north », comme « north », « northwind » ou « northern ».

Category

Catégories à rechercher. Les utilisateurs peuvent définir les catégories à l’aide d’Outlook ou d’Outlook Web App. Les valeurs possibles sont les suivantes :

  • blue

  • green

  • orange

  • purple

  • red

  • yellow

category:="Red Category"

Messages auxquels a été attribuée la catégorie « red » dans les boîtes aux lettres source.

Cc

Champ Cc d’un message électronique.1

cc:pilarp@contoso.com

cc:"Pilar Pinilla"

Dans les deux exemples, les résultats renvoient les messages contenant « Pilar Pinilla » dans le champ Cc.

From

Expéditeur d’un message électronique.1

from:pilarp@contoso.com

from:contoso.com

Messages envoyés par l’utilisateur indiqué ou à partir d’un domaine spécifié.

Importance

Importance d’un message électronique, que l’expéditeur peut préciser lors de l’envoi. Par défaut, les messages sont envoyés avec une importance normale, à moins que l’expéditeur préfère une importance haute ou faible.

importance:high

importance:medium

importance:low

Messages marqués comme ayant une importance haute, normale ou faible.

Kind

Type de message à rechercher. Valeurs possibles :

  • contacts

  • docs

  • email

  • faxes

  • im

  • journals

  • meetings

  • notes

  • posts

  • rssfeeds

  • tasks

  • voicemail

kind:email

kind:email OR kind:im OR kind:voicemail

Messages électroniques correspondant aux critères de recherche. Le deuxième exemple renvoie des messages électroniques, des conversations de messagerie instantanée et des messages vocaux correspondant aux critères de recherche.

Participants

Tous les champs de contacts compris dans un message électronique ; De, À, Cc et Cci.1

participants:garthf@contoso.com

participants:contoso.com

Messages envoyés par ou envoyés à garthf@contoso.com. Le deuxième exemple renvoie tous les messages envoyés par ou envoyés à un utilisateur dans le domaine contoso.com.

Received

Date à laquelle un message électronique a été reçu par un destinataire.

received:04/15/2014

received>=01/01/2014 AND received<=03/31/2014

Messages reçus le 15 avril 2014. Le deuxième exemple renvoie tous les messages reçus entre le 1er janvier 2014 et le 31 mars 2014.

Recipients

Tous les champs de destinataires compris dans un message électronique ; À, Cc et Cci.1

recipients:garthf@contoso.com

recipients:contoso.com

Messages envoyés à garthf@contoso.com. Le deuxième exemple renvoie les messages envoyés à tous les destinataires dans le domaine contoso.com.

Sent

Date à laquelle un message électronique a été envoyé par l’expéditeur.

sent:07/01/2014

sent>=06/01/2014 AND sent<=07/01/2014

Messages envoyés à la date indiquée ou entre les dates spécifiées.

Size

Taille d’un élément, en octets.

size>2621440

size:1..50000

Messages dont la taille est supérieure à 25 Mo. Le deuxième exemple renvoie les messages dont la taille est comprise entre 1 et 50 000 octets.

Subject

Texte de la ligne d’objet d’un message électronique.

subject:"Quarterly Financials"

subject:northwind

Messages contenant l’expression exacte « Quarterly Financials » dans la ligne d’objet. Le deuxième exemple renvoie tous les messages contenant le mot « northwind » dans la ligne d’objet.

To

Champ À d’un message électronique.1

to:annb@contoso.com

to:annb

to:"Ann Beebe"

Tous les exemples renvoient les messages dans lesquels « Ann Beebe » est indiqué sur la ligne À.

RemarqueRemarque :
1   Pour la valeur d’une propriété de destinataire, vous pouvez utiliser l’adresse SMTP, le nom d’affichage ou l’alias afin d’indiquer un utilisateur. Par exemple, vous pouvez utiliser annb@contoso.com, annb ou « Ann Beebe » pour spécifier l’utilisateur Ann Beebe.

Retour au début

Les opérateurs booléens, tels que AND, OR et NOT, vous permettent de définir des recherches plus précises dans des boîtes aux lettres en incluant des mots spécifiques dans la requête de recherche ou en les excluant. D’autres techniques, comme l’utilisation d’opérateurs de propriété (tels que >= ou ...), les guillemets, les parenthèses et les caractères génériques vous permettent d’affiner la requête de recherche. Le tableau suivant répertorie les opérateurs disponibles pour restreindre ou élargir les résultats de recherche.

 

Opérateur Utilisation Description

AND

keyword1 AND keyword2

Renvoie les éléments qui incluent tous les mots-clés spécifiés ou toutes les expressions property:value indiquées. Par exemple, from:"Ann Beebe" AND subject:northwind renverra tous les messages envoyés par Ann Beebe qui contiennent le mot « northwind » dans la ligne d’objet.2

+

keyword1 + keyword2

Identique à l’opérateur AND.

OR

keyword1 OR keyword2

Renvoie les éléments qui incluent au moins un des mots-clés spécifiés ou une des expressions property:value indiquées.2

NOT

keyword1 NOT keyword2

NOT from:"Ann Beebe"

Exclut les éléments qui incluent un mot-clé spécifié ou une expression property:value indiquée. Par exemple, NOT from:"Ann Beebe" exclut les messages envoyés par Ann Beebe.2

-

keyword1 -keyword2

Identique à l’opérateur NOT.

NEAR

keyword1 NEAR(n) keyword2

Renvoie les éléments qui incluent des mots proches les uns des autres, n étant égal au nombre de mots. Par exemple, best NEAR(5) worst renvoie les éléments où le mot « worst » est situé à 5 mots maximum du mot « best ». Si aucun nombre n’est spécifié, la distance par défaut est de huit mots.2

ONEAR

keyword1 ONEAR(n) keyword2

Semblable à NEAR, mais renvoie les éléments qui incluent des mots proches les uns des autres dans l’ordre indiqué. Par exemple, best ONEAR(5) worst renvoie les éléments où le mot « best » se trouve avant le mot « worst » et où les deux mots sont situés à cinq mots maximum l’un de l’autre. Si aucun nombre n’est spécifié, la distance par défaut est de huit mots.2

=

property=value

Renvoie les éléments qui sont une correspondance exacte de la valeur spécifiée.

:

property:value

Le signe deux-points (:) dans la syntaxe property:value signale que la valeur de la propriété recherchée contient la valeur spécifiée. Par exemple, recipients:garthf@contoso.com renvoie les messages envoyés à garthf@contoso.com.

<

property<value

Indique que la propriété recherchée est inférieure à la valeur spécifiée.1

>

property>value

Indique que la propriété recherchée est supérieure à la valeur spécifiée.1

<=

property<=value

Indique que la propriété recherchée est inférieure ou égale à la valeur spécifiée.1

>=

property>=value

Indique que la propriété recherchée est supérieure ou égale à la valeur spécifiée.1

..

property:value1..value2

Indique que la propriété recherchée est supérieure ou égale à value1 et inférieure ou égale à value2.1

" "

"fair value"

subject:"Quarterly Financials"

Utilisez des guillemets doubles (" ") pour rechercher une expression ou un terme exact dans un mot-clé et des requêtes de recherche property:value.

*

cat*

subject:set*

Les recherches par caractères génériques préfixées (où l’astérisque est placée à la fin d’un mot) correspondent à zéro ou plusieurs caractères dans les mots-clés ou les requêtes property:value. Par exemple, title:set* renvoie les documents contenant les mots « set », « setup » et « setting » (et d’autres mots commençant par « set ») présents dans le titre du document.

( )

(fair OR free) AND from:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

Les parenthèses regroupent des expressions booléennes, des éléments property:value et des mots-clés. Par exemple, (quarterly financials) renvoie les éléments contenant les mots « quarterly » et « financials ».

RemarqueRemarque :
1   Utilisez cet opérateur pour les propriétés ayant des valeurs de date ou des valeurs numériques.
   2   Les opérateurs booléens doivent être en majuscules, par exemple AND. L’utilisation d’opérateurs en lettres minuscules dans les requêtes de recherche renverra une erreur.

Retour au début

Vous pouvez utiliser des conditions dans vos requêtes de recherche pour affiner une recherche et obtenir un ensemble de résultats plus précis. Chaque condition ajoute une clause à la requête de recherche KQL qui est créée et exécutée lorsque vous démarrez la recherche.

ImportantImportant :
Les conditions pour les propriétés de document sont affichées sur la page Nouvelle recherche dans le Centre d’administration Exchange, même si la recherche de documents sur des sites SharePoint n’est pas prise en charge par Office 365 dédié.

Créez une condition à l’aide des propriétés de messagerie lorsque vous recherchez des boîtes aux lettres. Le tableau suivant répertorie les propriétés de messagerie que vous pouvez utiliser pour une condition. Notez que ces propriétés sont un sous-ensemble des propriétés de messagerie qui ont été décrites précédemment. Ces descriptions sont répétées pour faciliter votre travail.

 

Propriété Description de la propriété

Participants

Tous les champs de personnes compris dans un message électronique ; De, À, Cc et Cci.

Expéditeur

Expéditeur d’un message électronique.

Destinataire

Personne à laquelle un message électronique a été envoyé. Il s’agit de la même propriété que la propriété de messagerie To.

Subject

Texte de la ligne d’objet d’un message électronique.

Received date

Date à laquelle un message électronique a été reçu par un destinataire. Il s’agit de la même propriété que la propriété de messagerie Received.

Sent date

Date à laquelle un message électronique a été envoyé par l’expéditeur. Il s’agit de la même propriété que la propriété de messagerie Sent.

Type de message

Type de message à rechercher. Il s’agit de la même propriété que la propriété de messagerie Kind.

Type de message à rechercher. Valeurs possibles :

  • contacts

  • docs

  • email

  • faxes

  • im

  • journals

  • meetings

  • notes

  • posts

  • rssfeeds

  • tasks

  • voicemail

Retour au début

Les propriétés communes sont conçues pour être utilisées lors de la recherche de boîtes aux lettres et de sites au sein de la même recherche dans d’autres versions d’Office 365. Vous pouvez toutefois les utiliser dans Office 365 dédié lors de la recherche de boîtes aux lettres. Vous pouvez également simplement utiliser les conditions pour les propriétés de messagerie décrites dans la section précédente. Le tableau suivant répertorie les propriétés disponibles à utiliser lors de l’ajout d’une condition.

 

Propriété Description de la propriété

Date

Pour la messagerie électronique, date à laquelle un message a été reçu par un destinataire ou envoyé par l’expéditeur.

Size

Pour la messagerie électronique, taille de l’élément (en octets).

Sender/Author

Pour la messagerie électronique, personne ayant envoyé le message.

Subject/Title

Pour la messagerie électronique, texte de la ligne d’objet d’un message.

Retour au début

Lorsque vous ajoutez une condition, vous pouvez sélectionner un opérateur pertinent par rapport au type de propriété pour la condition. Le tableau suivant décrit les opérateurs qui sont utilisés avec les conditions et répertorie l’équivalent utilisé dans la requête de recherche.

 

Opérateur Équivalent dans la requête Description

Après

property>date

Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés après la date spécifiée.

Avant

property<date

Utilisé avec les conditions de date. Renvoie les éléments qui ont été envoyés, reçus ou modifiés avant la date spécifiée.

Entre

date..date

Utilisé avec les conditions de date et de taille. Lorsqu’il est utilisé avec une condition de date, renvoie les éléments qui ont été envoyés, reçus ou modifiés dans la plage de dates spécifiée. Lorsqu’il est utilisé avec une condition de taille, renvoie les éléments dont la taille est comprise dans la plage spécifiée.

Contient l’un des éléments

(property:value) OR (property:value)

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui contiennent une partie d’une ou plusieurs valeurs de chaîne spécifiées.

Ne contient pas

-property:value

NOT property:value

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent aucune partie de la valeur de chaîne spécifiée.

N’est pas égal à

-property=value

NOT property=value

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui ne contiennent pas la chaîne spécifique.

Est égal à

Size=value

Renvoie les éléments qui sont égaux à la taille spécifiée.1

Est égal à l’un des éléments

(property=value) OR (property=value)

Utilisé avec les conditions des propriétés qui spécifient une valeur de chaîne. Renvoie les éléments qui correspondent exactement à une ou plusieurs valeurs de chaîne spécifiées.

Supérieur

Size>value

Renvoie les éléments pour lesquels la propriété spécifiée est supérieure à la valeur spécifiée.1

Supérieur ou égal

Size>=value

Renvoie les éléments pour lesquels la propriété spécifiée est supérieure ou égale à la valeur spécifiée.1

Inférieur

Size<value

Renvoie les éléments qui sont supérieurs ou égaux à la valeur spécifique.1

Inférieur ou égal

Size<=value

Renvoie les éléments qui sont supérieurs ou égaux à la valeur spécifique.1

Différent de

Size<>value

Renvoie les éléments qui ne sont pas égaux à la taille spécifiée.1

RemarqueRemarque :
1   L’opérateur est disponible uniquement pour les conditions qui utilisent la propriété Size.

Retour au début

Gardez les points suivants à l’esprit lorsque vous utilisez des critères de recherche.

  • Une condition est connectée à la requête de mot-clé (spécifiée dans la zone de mot-clé) sur le plan logique par l’opérateur AND. Cela signifie que les éléments doivent satisfaire la requête de mot-clé et la condition pour être inclus dans les résultats. C’est ainsi que les conditions contribuent à affiner vos résultats.

  • Si vous ajoutez au moins deux conditions uniques à une requête de recherche (des conditions qui spécifient des propriétés différentes), celles-ci sont connectées sur le plan logique par l’opérateur AND. Cela signifie que seuls les éléments qui répondent à toutes les conditions (en plus des requêtes de mot-clé) sont renvoyés.

  • Si vous ajoutez plusieurs conditions pour la même propriété, celles-ci sont connectées sur le plan logique par l’opérateur OR. Cela signifie que les éléments renvoyés sont ceux qui satisfont la requête de mot-clé et l’une des conditions. Par conséquent, les groupes de mêmes conditions sont connectés par l’opérateur OR et les ensembles de conditions uniques sont connectés par l’opérateur AND.

  • Si vous ajoutez plusieurs valeurs (séparées par des virgules ou des points-virgules) à une condition unique, ces valeurs sont connectées par l’opérateur OR. Les éléments renvoyés sont ceux qui contiennent l’une des valeurs spécifiées pour la propriété dans la condition.

  • La requête de recherche créée à l’aide de la zone des mots-clés et des conditions est affichée sur la page Recherche, dans le volet Détails de la recherche sélectionné. Dans une requête, tout ce qui est situé à droite de la notation (c:c) correspond aux conditions qui sont ajoutées à la requête.

  • Les conditions ajoutent uniquement des propriétés à la requête de recherche. Elles n’ajoutent pas d’opérateurs. C’est la raison pour laquelle la requête affichée dans le volet Détails n’affiche pas les opérateurs à droite de la notation (c:c). La syntaxe KQL ajoute les opérateurs logiques (conformément aux règles précédemment expliquées) lors de l’exécution de la requête.

  • Vous pouvez utiliser la commande glisser-déposer pour modifier l’ordre des conditions. Cliquez simplement sur la commande pour une condition et déplacez-la vers le haut ou vers le bas.

  • Comme indiqué précédemment, certaines propriétés de condition vous permettent de saisir plusieurs valeurs. Chaque valeur est connectée sur le plan logique par l’opérateur OR. Cela entraîne la même logique que la présence de plusieurs instances de la même condition avec une valeur unique pour chacune. Les illustrations suivantes montrent un exemple de condition unique avec plusieurs valeurs et un exemple de conditions multiples (pour la même propriété) avec une valeur unique. Les deux exemples génèrent la même requête : (kind="email") OR (kind="contacts") OR (kind="meetings")

    Une condition avec plusieurs valeurs

    Plusieurs conditions de recherche pour la même propriété
ConseilConseil :
Si une condition accepte plusieurs valeurs, nous vous recommandons d’utiliser une condition unique et de spécifier plusieurs valeurs (séparées par des virgules ou des points-virgules). Cela permet de vous assurer que la logique de requête appliquée est celle que vous souhaitez.

Retour au début

Les exemples suivants montrent la version d’une requête de recherche avec des conditions affichée dans l’interface graphique, la syntaxe de requête de recherche qui est affichée dans le volet Détails de la recherche sélectionnée (qui est également renvoyée par la cmdlet Get-ComplianceSearch) et la logique de la requête KQL correspondante.

Cet exemple renvoie les éléments de messagerie qui contiennent le mot-clé « report », qui ont été envoyés avant le 1er avril 2015 et qui contiennent le mot « northwind » dans le champ de l’objet.

GUI

Premier exemple de conditions de recherche

Syntaxe de requête de recherche

report‎(c:c)‎‎(date<2015-04-01)‎‎(subject:"northwind")‎

Logique de requête de recherche

report AND (date<2015-04-01) AND (subject:"northwind")

Retour au début

Cet exemple renvoie des messages électroniques ou des réunions de calendrier qui ont été envoyés entre le 1/12/2014 et le 30/11/2015 et qui contiennent des mots commençant par « phone » ou « smartphone ».

GUI

Deuxième exemple de conditions de recherche

Syntaxe de requête de recherche

phone* OR smartphone*‎(c:c)‎‎(sent=2014-12-01..2015-11-30)‎‎(kind="email")‎‎(kind="meetings")‎

Logique de requête de recherche

phone* OR smartphone*‎ AND ‎‎(sent=2014-12-01..2015-11-30)‎ AND (‎‎(kind="email") OR ‎‎(kind="meetings"))

Retour au début

  • Les recherches par mot-clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.

  • Les opérateurs booléens AND, OR, NOT, NEAR et ONEAR doivent être en majuscules.

  • Un espace entre deux mots-clés ou deux expressions property:value revient au même que l’utilisation de l’opérateur AND. Par exemple, from:"Sara Davis" subject:reorganization renvoie tous les messages envoyés par Sara Davis contenant le mot reorganization dans la ligne d’objet.

  • Utilisez la syntaxe correspondant au format property:value. Les valeurs ne respectent pas la casse et doivent être collées à l’opérateur. Si un espace est présent, la valeur prévue fera l’objet d’une recherche en texte intégral. Exemple : pilarp permet de rechercher « pilarp » en tant que mot-clé, et non les messages qui ont été envoyés à pilarp.

  • Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d’affichage pour désigner un destinataire. Par exemple, vous pouvez saisir pilarp@contoso.com, pilarp ou « Pilar Pinilla ».

  • Vous pouvez utiliser uniquement des recherches par caractères génériques préfixées, par exemple cat* ou set*. Les recherches par caractères génériques suffixées (*cat) ou les recherches par caractères génériques de sous-chaîne (*cat*) ne sont pas prises en charge.

  • Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple, subject:budget Q1 renvoie des messages contenant budget sur la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans n’importe quelle propriété du message. L’utilisation de subject:"budget Q1" renvoie tous les messages contenant budget Q1 sur la ligne d’objet.

  • Pour exclure de vos résultats de recherche du contenu marqué avec une certaine valeur de propriété, placez un signe moins (-) avant le nom de la propriété. Par exemple, -from:"Sara Davis” permet d’exclure les messages envoyés par Sara Davis.

Retour au début

 
Afficher: