次の方法で共有

電子情報開示でコンプライアンス境界を設定する

コンプライアンスの境界では、電子情報開示マネージャーが検索できるユーザー コンテンツの場所 (メールボックス、OneDrive アカウント、SharePoint サイトなど) を制御する組織内に論理的な境界を作成します。 また、コンプライアンスの境界は、organization内で法的、人事、またはその他の調査を管理するために使用される電子情報開示ケースにアクセスできるユーザーを制御します。

多くの場合、地理的な国境や規制を尊重する必要がある多国籍企業や、異なる機関に分かれている政府にはコンプライアンス境界が必要です。 Microsoft 365 では、コンプライアンス境界は、電子情報開示ケースを使用してコンテンツ検索を実行したり調査を管理したりするときに、これらの要件を満たすのに役立ちます。

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

シナリオの例

次の図は、コンプライアンスの境界のしくみを示しています。

コンプライアンスの境界は、機関へのアクセスを制御する検索アクセス許可フィルターと、電子情報開示ケースへのアクセスを制御する管理者の役割グループで構成されています。

この例では、Contoso LTD は、2 つの子会社である Fourth Coffee と Coho Winery で構成されるorganizationです。 このビジネスでは、電子情報開示マネージャーと調査担当者が Exchange メールボックス、OneDrive アカウント、および SharePoint サイトのみを代理店で検索できる必要があります。 また、電子情報開示マネージャーと調査担当者は、機関で電子情報開示ケースのみを表示でき、自分がメンバーであるケースにのみアクセスできます。 このシナリオでは、調査担当者はコンテンツの場所を保留にしたり、ケースからコンテンツをエクスポートしたりすることはできません。 コンプライアンス境界がこれらの要件を満たす方法を次に示します。

  • 電子情報開示の検索アクセス許可フィルター機能は、電子情報開示マネージャーと調査担当者が検索できるコンテンツの場所を制御します。 このコントロールは、第 4 コーヒーエージェンシーの電子情報開示マネージャーと調査担当者が、第 4 コーヒー子会社内のコンテンツの場所のみを検索できることを意味します。 同じ制限が Coho Winery の子会社にも適用されます。

  • ロール グループ は、コンプライアンス境界に対して次の機能を提供します。

    • Microsoft Purview ポータルで電子情報開示ケースを表示できるユーザーを制御します。 このコントロールは、電子情報開示マネージャーと調査担当者が、機関で電子情報開示ケースのみを表示できることを意味します。
    • 電子情報開示ケースにメンバーを割り当てることができるユーザーを制御します。 このコントロールは、電子情報開示マネージャーと調査担当者がメンバー自身がメンバーであるケースにのみメンバーを割り当てることができることを意味します。
    • 特定のアクセス許可を割り当てるロールを追加または削除することで、メンバーが実行できる電子情報開示関連のタスクを制御します。

  • 検索アクセス許可フィルターが役割グループに適用されている場合、アクションを実行するアクセス許可が役割グループに割り当てられている限り、役割グループのメンバーは、次の検索関連のアクションを実行できます。

    • コンテンツを検索する
    • 検索結果のプレビュー
    • 検索結果をエクスポートする
    • 検索で返されたアイテムを削除する

コンプライアンス境界を設定する前に

  • ユーザーにExchange Online ライセンスを割り当てます。 割り当てを確認するには、Exchange Online PowerShell の Get-User コマンドレットを使用します。

コンプライアンス境界の設定

コンプライアンス境界を設定するには、次の手順に従います。

手順 1: 代理店を定義するユーザー属性を特定する

代理店を定義する属性を選択します。 この属性を使用して、この属性の特定の値が割り当てられているユーザーのコンテンツの場所のみを検索するように電子情報開示マネージャーを制限する検索アクセス許可フィルターを作成します。 たとえば、Contoso は Department 属性を使用します。 第 4 コーヒー子会社のユーザーのこの属性の値は FourthCoffee であり、Coho Winery 子会社のユーザーの値は CohoWinery。 手順 3 では、この attribute:value ペア (たとえば、 Department:FourthCoffee) を使用して、電子情報開示マネージャーが検索できるユーザー コンテンツの場所を制限します。

コンプライアンス境界に使用できるユーザー属性の例を次に示します。

  • 会社名
  • CustomAttribute1 - CustomAttribute15
  • 部署
  • 事業所
  • CountryOrRegion (2 文字の国/地域コード)

注:

セキュリティ フィルターの属性を選択するときは、Exchange Onlineのさまざまなメールボックスの種類でサポートされている属性を検討してください。 Exchange のすべてのメールボックスの種類でこれらの属性がサポートされているため、CustomAttribute1 から CustomAttribute15 を使用します。

手順 2: 各機関の役割グループを作成する

Microsoft Purview ポータルで、代理店に合わせてロール グループを作成します。

ロール グループを作成するには、Microsoft Purview ポータルの [設定>ロールとスコープ] に移動します。 コンプライアンス境界と電子情報開示ケースを使用して調査を管理する各機関の各チームの役割グループを作成します。

1 つの役割グループを使用して、電子情報開示ロールとセキュリティ フィルターの両方をメンバーに割り当てることができます。 この役割グループのメンバーシップは、調査担当者に割り当てられたロールと、検索できるコンテンツの場所の両方を管理します。

個別の役割グループを使用します。 1 つの役割グループを使用して、コンプライアンス境界のセキュリティ フィルターを割り当て、別の役割グループを使用して電子情報開示ロールを割り当てます。 2 つの個別の役割グループを使用して、調査担当者に割り当てられたロールを、検索するコンテンツの場所とは別に管理します。 コンプライアンス境界の役割グループは、セキュリティ フィルターをメンバーに適用する場合にのみ使用します。 個別の組み込み (電子情報開示マネージャー) またはカスタム ロール グループを使用して、ロールをメンバーに割り当てます。 電子情報開示関連のロールの詳細については、「 電子情報開示のアクセス許可を割り当てる」を参照してください。

重要

セキュリティ フィルターが割り当てられたロール グループを有効にするには、少なくとも 1 つのロールが追加されている必要があります。

Contoso コンプライアンス境界シナリオを使用して、4 つの役割グループを作成し、それぞれに適切なメンバーを追加します。

  • Fourth Coffee の電子情報開示マネージャー
  • Fourth Coffee の調査担当者
  • Coho Winery の電子情報開示マネージャー
  • Coho Winery の調査担当者

重要

ケースのメンバーとして追加した役割グループにロールを追加または削除すると、ロール グループはケースのメンバー (またはロール グループがメンバーである場合) として自動的に削除されます。 この動作により、organizationがケースのメンバーに追加のアクセス許可を誤って提供するのを防ぎます。 役割グループを削除した場合は、メンバーであったすべてのケースから削除します。

手順 3: コンプライアンス境界を適用する検索アクセス許可フィルターを作成する

各機関の役割グループを作成した後、各役割グループを特定の機関に関連付け、コンプライアンス境界を定義する検索アクセス許可フィルターを作成します。 機関ごとに 1 つの検索アクセス許可フィルターを作成する必要があります。 セキュリティアクセス許可フィルターの作成の詳細については、「 電子情報開示のアクセス許可フィルターの構成」を参照してください。

この記事のシナリオのコンプライアンス境界に使用される検索アクセス許可フィルターを作成するために使用される構文を次に示します。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

コマンドの各パラメーターの説明を次に示します。

  • FilterName: フィルターの名前を指定します。 フィルターが使用されている機関を説明または識別する名前を使用します。

  • Users: このフィルターを実行する検索アクションに適用するユーザーまたはグループを指定します。 コンプライアンス境界の場合、このパラメーターは、フィルターを作成する機関の役割グループ (手順 2 で作成した) を指定します。 このパラメーターは複数値パラメーターであるため、1 つ以上の役割グループをコンマで区切って含めることができます。

  • Filters: フィルターの検索条件を指定します。 コンプライアンス境界の場合は、次のフィルターを定義します。 それぞれ異なるコンテンツの場所に適用されます。

    • Mailbox: Users パラメーターで定義されている役割グループが検索できるメールボックスまたは OneDrive アカウントを指定します。 このフィルターを使用すると、役割グループのメンバーは、特定の機関のメールボックスまたは OneDrive アカウントのみを検索できます。たとえば、 "Mailbox_Department -eq 'FourthCoffee'"

      注:

      メールボックス フィルターは、Microsoft 365 グループ メールボックスと接続された SharePoint サイトにも適用されます。 Microsoft 365 グループに接続されている SharePoint サイトから結果を返すには、 メールボックス フィルターと SiteContent フィルターの両方が、Microsoft 365 グループ メールボックスと関連する SharePoint サイトの両方と一致している必要があります。

  • SiteContent: このフィルターには、2 つの個別のフィルターが含まれています。 最初の SiteContent_Path では、 Users パラメーターで定義されている役割グループが検索できる、機関内の SharePoint サイトを指定します。 たとえば、「 SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' 」のように入力します。 2 つ目のSiteContent_Path フィルター (or オペレーターによって最初のSiteContent_Path フィルターに接続されている) は、機関の OneDrive ドメイン (MySite ドメインとも呼ばれます) を指定します。 たとえば、「 SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*' 」のように入力します。 SiteContent フィルターの代わりに Site_Path フィルターを使用することもできます。 SiteフィルターとSiteContent フィルターは交換可能であり、この記事で説明する検索アクセス許可フィルターには影響しません。

    重要

    以前の検索アクセス許可フィルターに OneDrive の SiteContent フィルターが含まれているのはなぜですか? Mailbox フィルターはメールボックスと OneDrive アカウントの両方に適用されますが、OneDrive Site フィルターも含めなかった場合、SharePoint フィルターを含めると OneDrive アカウントは除外されます。 検索アクセス許可フィルターに SharePoint フィルターが含まれていない場合、メールボックス フィルターにはコンプライアンス境界のスコープに OneDrive アカウントが含まれるため、個別の OneDrive フィルターを含める必要はありません。 つまり、 Mailbox フィルターのみを含む検索アクセス許可フィルターには、メールボックスと OneDrive アカウントの両方が含まれます。

Contoso コンプライアンス境界シナリオをサポートするために作成する 2 つの検索アクセス許可フィルターの例を次に示します。 これらの例にはいずれもコンマ区切りのフィルター リストが含まれています。メールボックスとサイトのフィルターが同じ検索アクセス許可フィルターに含まれており、コンマで区切られています。

4 番目のコーヒー

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

コホ ワイナリー

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

注:

前の例の Filters パラメーターの構文には 、フィルター リストが含まれています。 フィルター リストは、メールボックス フィルターと、コンマで区切られたサイト パス フィルターを含むフィルターです。 前の例では、コンマによって Mailbox フィルターと SiteContent フィルターが区切 -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"。 電子情報開示検索の実行中にこのフィルターが処理されると、フィルターの一覧から 2 つの検索アクセス許可フィルターが作成されます。1 つのメールボックス フィルターと 1 つの SharePoint/OneDrive フィルター。 フィルター 一覧を使用する代わりに、各機関に対して 2 つの個別の検索アクセス許可フィルターを作成します。メールボックス属性の検索アクセス許可フィルターと、SharePoint および OneDrive サイト属性のフィルターを 1 つ作成します。 どちらの場合も、結果は同じです。 フィルター リストを使用するか、別の検索アクセス許可フィルターを作成することが優先されます。

このシナリオでは、検索アクセス許可フィルターはどのように機能しますか?

このシナリオでは、各機関に対して検索アクセス許可フィルターを適用する方法を次に示します。

  1. Mailbox フィルターは、電子情報開示マネージャーが検索できるコンテンツの場所を定義するために最初に適用されます。 この場合、Coho Winery 電子情報開示マネージャーは、 Department メールボックス プロパティの値が FourthCoffee であるユーザーのメールボックスと OneDrive アカウントのみを検索できます。Coho Winery 電子情報開示マネージャーは、 Department メールボックス プロパティの値が CohoWinery であるユーザーのメールボックスと OneDrive アカウントのみを検索できます。 Mailbox フィルターは、電子情報開示マネージャーが検索できるコンテンツの場所を指定するため、コンテンツの場所フィルターです。 どちらのフィルターでも、電子情報開示マネージャーは、特定のメールボックス プロパティ値を持つコンテンツの場所のみを検索できます。

  2. 検索できるコンテンツの場所を定義した後、フィルターの次の部分では、電子情報開示マネージャーが検索できるコンテンツを定義します。 最初の SiteContent フィルターを使用すると、Fourth Coffee 電子情報開示マネージャーは、 https://contoso.sharepoint.com/sites/FourthCoffeeを含む (またはで始まる) サイト パス プロパティを持つドキュメントのみを検索できます。Coho Winery 電子情報開示マネージャーは、 https://contoso.sharepoint.com/sites/CohoWineryを含む (またはで始まる) サイト パス プロパティを持つドキュメントのみを検索できます。 そのため、2 つの SiteContent フィルターは、検索できるコンテンツを定義するため、コンテンツ フィルター です。 どちらのフィルターでも、電子情報開示マネージャーは、特定のドキュメント プロパティ値を持つドキュメントのみを検索できます。 検索可能なサイトプロパティはすべてのドキュメントにスタンプされるため、SharePoint 関連のすべてのフィルターはコンテンツ フィルターです。 詳細については、「 電子情報開示のアクセス許可フィルターを構成する」を参照してください。

    注:

    この記事のシナリオでは使用しませんが、メールボックス コンテンツ フィルターを使用して、電子情報開示マネージャーが検索できるコンテンツを指定することもできます。 メールボックス コンテンツ フィルターの構文は "MailboxContent_<property> -<comparison operator> '<value>'"。 日付範囲、受信者、ドメイン、または検索可能な電子メール プロパティに基づいてコンテンツ フィルターを作成できます。 たとえば、このフィルターを使用すると、電子情報開示マネージャーは、contoso.com ドメイン内のユーザーが送受信したメール アイテム ( "MailboxContent_Participants -like 'contoso.com'") のみを検索できます。 メールボックス コンテンツ フィルターの詳細については、「 検索アクセス許可フィルターの構成」を参照してください。

  3. 検索アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 つまり、いずれかの機関の電子情報開示マネージャーが電子情報開示検索を実行する場合、検索によって返されるアイテムは、検索クエリと検索アクセス許可フィルターで定義されている条件と一致する必要があります。

手順 4: 機関内調査用の電子情報開示ケースを作成する

最後の手順で、Microsoft Purview ポータルで電子情報開示ケースを作成します。 次に、手順 2 で作成したロール グループをケースのメンバーとして追加します。 この方法では、コンプライアンス境界を使用する場合に 2 つの重要な利点があります。

  • Microsoft Purview ポータルでケースを表示およびアクセスできるのは、ケースに追加されたロール グループのメンバーのみです。 たとえば、4 番目のコーヒー調査担当者ロール グループがケースの唯一のメンバーである場合、Fourth Coffee eDiscovery Managers 役割グループ (または他のロール グループのメンバー) のメンバーはケースを表示またはアクセスできません。

  • ケースに割り当てられた役割グループのメンバーが、ケースに関連付けられた検索を実行する場合は、代理店内のコンテンツの場所のみを検索できます。 この制限は、手順 3 で作成した検索アクセス許可フィルターによって定義されます。

ケースを作成し、メンバーを割り当てるには:

  1. Microsoft Purview ポータルで 電子情報開示 に移動し、ケースを作成します。
  2. ケースの一覧で、作成したケースの名前を選択します。
  3. ロール グループをメンバーとしてケースに追加します。

注:

ロール グループをケースに追加する場合は、自分がメンバーである役割グループのみを追加できます。

マルチgeo環境でのコンテンツの検索とエクスポート

検索アクセス許可フィルターを使用すると、コンテンツがエクスポート用にルーティングされる場所と、 SharePoint マルチgeo 環境でコンテンツの場所を検索するときに検索できるデータセンターを制御することもできます。

  • 検索結果をエクスポートする: 検索結果は、Exchange メールボックス、SharePoint サイト、OneDrive アカウントから特定のデータセンターからエクスポートできます。 つまり、検索結果のエクスポート元となるデータセンターの場所を指定できます。

    New-ComplianceSecurityFilter コマンドレットまたは Set-ComplianceSecurityFilter コマンドレットの Region パラメーターを使用して、エクスポートがルーティングされるデータセンターを作成または変更します。

    パラメーターの値 データセンターの場所
    NAM 北米 (データセンターは米国)
    EUR ヨーロッパ
    APC アジア太平洋
    CAN カナダ

  • ルート コンテンツ検索: SharePoint サイトと OneDrive アカウントのコンテンツ検索をサテライト データセンターにルーティングできます。 つまり、検索を実行するデータセンターの場所を指定できます。

    注:

    Premium 電子情報開示機能を使用している場合、 Region パラメーターはデータのエクスポート元のリージョンを制御しません。 データは、organizationの中央の場所からエクスポートされます。 また、SharePoint と OneDrive でコンテンツを検索することは、データセンターの地理的な場所に制限されません。 すべてのデータセンターが検索されます。

    Region パラメーターには、次のいずれかの値を使用して、SharePoint サイトと OneDrive アカウントを検索するときに実行される検索のデータセンターの場所を制御します。

    パラメーターの値 SharePoint のルーティング場所をDatacenterする
    NAM US
    EUR ヨーロッパ
    APC アジア太平洋
    CAN US
    AUS アジア太平洋
    KOR organizationの既定のデータセンター
    GBR ヨーロッパ
    JPN アジア太平洋
    IND アジア太平洋
    ラム US
    NOR ヨーロッパ
    BRA 北米のデータセンター

    検索アクセス許可フィルターに Region パラメーターを指定しない場合は、organizationのプライマリ SharePoint リージョンが検索されます。 検索結果は、最も近いデータセンターにエクスポートされます。

    概念を簡略化するために、 Region パラメーターは、SharePoint と OneDrive でコンテンツを検索するために使用されるデータセンターを制御します。 Exchange コンテンツ検索はデータセンターの地理的な場所にバインドされていないため、このパラメーターは Exchange でのコンテンツの検索には適用されません。 また、同じ Region パラメーター値によって、エクスポートがルーティングされるデータセンターが決定される場合もあります。 多くの場合、このルーティングは、地理的な境界を越えたデータの移動を制御するために必要です。

    重要

    セキュリティ コンプライアンス フィルターを作成し、特定の GEO リージョンを設定する場合: ESP、ITA、NZL、SWE は有効なリージョンではなく、有効なリージョン値にリダイレクトするエラーが生成されます。 このエラーには、次の有効なリージョンが含まれます:ARE、APC、AUS、AUT、BRA、CAN、CHE、CHL、DEU、EUR、FRA、GBR、IDN、IND、JPN、KOR、LAM、MYS、NAM、NOR、POL、QAT、ZAF。

コンプライアンス境界の検索アクセス許可フィルターを作成するときに Region パラメーターを使用する例を次に示します。 この例では、第 4 コーヒー子会社が北米にあり、Coho Winery がヨーロッパにあることを前提としています。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

マルチgeo環境でコンテンツを検索およびエクスポートする場合は、次の点に注意してください。

  • Exchange メールボックスの検索は、Region パラメーターにより制御されません。 メールボックスを検索すると、すべてのデータセンターが検索されます。 Exchange メールボックスの検索対象範囲を制限するには、検索アクセス許可フィルターを作成または変更するときに Filters パラメーターを使用します。

  • 電子情報開示マネージャーが複数の SharePoint リージョン間で検索する必要がある場合は、検索アクセス許可フィルターで使用する電子情報開示マネージャー用の別のユーザー アカウントを作成して、SharePoint サイトまたは OneDrive アカウントが配置されているリージョンを指定する必要があります。 この設定の詳細については、「コンテンツ検索」の「SharePoint Multi-Geo環境でコンテンツを検索する」セクションを参照してください。

  • SharePoint と OneDrive でコンテンツを検索する場合、 Region パラメーターは、電子情報開示マネージャーが電子情報開示調査を行うプライマリまたはサテライトの場所に検索を指示します。 電子情報開示マネージャーが、検索アクセス許可フィルターで指定されているリージョン外の SharePoint サイトと OneDrive サイトを検索した場合、検索結果は返されません。

  • 電子情報開示から検索結果をエクスポートすると、すべてのコンテンツの場所 (Exchange、Skype for Business、SharePoint、OneDrive、およびコンテンツ検索ツールを使用して検索できるその他のサービスを含む) のコンテンツが、Region パラメーターで指定されたデータセンター内の Azure Storage の場所にアップロードされます。 この動作は、組織が管理された国境を越えてコンテンツをエクスポートすることを許可しないことによって、コンプライアンスの範囲内に留まるのに役立ちます。 検索アクセス許可フィルターでリージョンを指定しない場合、コンテンツはorganizationのプライマリ データセンターにアップロードされます。

    Premium 電子情報開示機能を有効にしてコンテンツをエクスポートする場合、 Region パラメーターを使用してコンテンツをアップロードする場所を制御することはできません。 コンテンツは、organizationの中央の場所にあるデータセンターのAzureストレージの場所にアップロードされます。 中央の場所に基づく地域の場所の一覧については、「 Microsoft 365 Multi-Geo 電子情報開示の構成」を参照してください。

  • 次のコマンドを実行して、既存の検索アクセス許可フィルターを編集してリージョンを追加または変更できます。

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>

SharePoint ハブ サイトでのコンプライアンス境界の使用

SharePoint ハブ サイト は、多くの場合、電子情報開示コンプライアンスの境界に従うのと同じ地理的または機関の境界と一致します。 ハブ サイトのサイト ID プロパティを使用して、コンプライアンス境界を作成できます。 これを行うには、SharePoint Online PowerShell の Get-SPOHubSite コマンドレットを使用してハブ サイトの SiteId を取得し、部署 ID プロパティにこの値を使用して検索アクセス許可フィルターを作成します。

SharePoint ハブ サイトの検索アクセス許可フィルターを作成するには、次の構文を使用します。

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Coho Winery エージェンシーのハブ サイトの検索アクセス許可フィルターを作成する例を次に示します。

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

コンプライアンス境界に関する考慮事項

コンプライアンス境界を使用する電子情報開示ケースと調査を管理する場合は、次の考慮事項に注意してください。

  • 検索を作成して実行すると、代理店の外部にあるコンテンツの場所を選択できます。 ただし、検索のアクセス許可フィルターがあるため、これらの場所からのコンテンツは、検索結果に含まれません。

  • コンプライアンスの境界は、電子情報開示ケースの保留には適用されません。 この条件は、ある機関の電子情報開示マネージャーが、ユーザーを別の機関に保留にできることを意味します。 ただし、電子情報開示マネージャーが保留にされたユーザーのコンテンツの場所を検索する場合、コンプライアンス境界が適用されます。 この条件は、電子情報開示マネージャーがユーザーを保留にできた場合でも、ユーザーのコンテンツの場所を検索できないことを意味します。

  • 検索アクセス許可フィルター (メールボックスフィルターまたはサイト フィルター) が割り当てられている場合、スコープ オプションを使用して、検索ヒットのない場所からでも部分的にインデックス付きアイテムを含めることで、organization内のすべての SharePoint サイトを含む検索から部分的にインデックス付きアイテムをエクスポートしようとするとします (「検索結果をエクスポートする」を参照してください))、エクスポートには、割り当てられたコンプライアンス境界外のアイテムを含め、すべてのサイトの部分的にインデックス付きアイテムが含まれます。

  • 検索ヒットを含むサイトから部分的にインデックス付けされたアイテムを取得する場合、電子情報開示ではプレフィックスベースのアプローチが使用されます。 たとえば、サイト http://contoso.com/salesが検索クエリと一致する場所として識別された場合、http://contoso.com/salesdepartment サイトが構成されたコンプライアンス境界の外にある場合でも、http://contoso.com/salesdepartmentなどの同様のプレフィックス付きサイトの項目も結果に含まれる場合があります。 この動作は、フィルターがサイト パスに基づいていない場合に発生する可能性があります。 たとえば、コンプライアンス境界が Property -eq 'abc'として定義されている場合、パスがプロパティと一致するサイトとプレフィックスを共有している場合、 'abc' プロパティ値と一致しないサイトが含まれる可能性があります。

  • 検索アクセス許可のフィルターは、Exchange のパブリックフォルダーには適用されません。

  • サポートされている検索フィルターには、 -and-or-like-not-eq-neが含まれます。 コンテンツ ベースのコンプライアンス境界の検索アクセス許可フィルターで、 -notlikeinotlikeなどの他の除外フィルターを使用しないでください。 これらの除外フィルターを使用すると、最近更新された属性のコンテンツにインデックスが作成されていない場合、予期しない結果が生じる可能性があります。

  • 検索での OneDrive サイトのコンプライアンス境界の尊重は、次の場合に影響を受ける可能性があります。

    • サイトまたは関連付けられているメールボックスが移動または再ホームされます。
    • OneDrive 所有権が再割り当てされるか、複数の所有者が追加されます。
    • OneDrive サイトの名前が変更または再発行されます。
    • OneDrive サイトを移動すると、コンテンツの所有権が変更され、仲裁メールボックスの作成が含まれる場合があります。 これらのリソースを移動すると、コンプライアンスの境界を越えてコンテンツ検索結果を利用できる可能性があります。 OneDrive サイトを再割り当て、名前変更、または複数の所有者に割り当てると、これらのサイトのコンテンツがコンプライアンスの境界を越えて利用できる可能性があります。

  • メールボックスのコンプライアンス境界は、次の場合に影響を受ける可能性があります。

    • メールボックスは、ライセンスを持つユーザー (無効または削除されたユーザーを含む) に関連付けられません。
    • メールボックスは、Microsoft Entra IDから管理または同期されません。

  • さらに、いくつかの種類のメールボックスでは、コンプライアンスの境界に関係なく、検索中にコンテンツが生成される場合があります。 これらのメールボックスの種類は次のとおりです。

    • EquipmentMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • SchedulingMailbox
    • SharedMailbox
    • SystemMailbox
    • TeamMailbox

  • 検索でこれらのメールボックスのコンプライアンス境界が想定どおりに尊重されるようにするには、 Set-Mailbox コマンドレットを使用するか、 Invoke-ComplianceSecurityFilterAction を使用して、共有メールボックス、備品用メールボックス、およびその他のメールボックスに属性を設定して、属性が正しく設定されていることを確認します。 属性を適切に構成し、コンプライアンス境界属性に合わせる場合、メールボックスはコンプライアンス境界を尊重します。

詳細

  • メールボックスを委任または論理的に削除した場合、ユーザーはコンプライアンスの境界内にありません。 メールボックスを削除するときに保留にすると、メールボックスに保持されているコンテンツは引き続きコンプライアンス境界または検索アクセス許可フィルターの対象になります。
  • コンプライアンス境界を実装し、ユーザーのアクセス許可フィルターを検索する場合は、ユーザーのメールボックスまたは OneDrive アカウントを削除しないでください。 ユーザーのメールボックスを削除する場合は、OneDrive の検索アクセス許可フィルターが適用されるため、ユーザーの OneDrive アカウントも削除 mailbox_RecipientFilter
  • コンプライアンスの境界と検索アクセス許可フィルターは、Exchange、OneDrive、SharePoint のコンテンツにスタンプされた属性と、このスタンプされたコンテンツの後続のインデックス作成によって異なります。

よく寄せられる質問

New-ComplianceSecurityFilter コマンドレットと Set-ComplianceSecurityFilter コマンドレットを使用して、検索アクセス許可フィルターを作成および管理できるのは誰ですか?

Microsoft Purview ポータルで検索アクセス許可フィルターを作成、表示、変更するには、 組織の管理電子情報開示管理者 の役割を割り当てる必要があります。

電子情報開示マネージャーが複数の機関にまたがる複数の役割グループに割り当てられている場合、ある機関または他の機関でコンテンツを検索するにはどうすればよいですか?

電子情報開示マネージャーは、検索を特定の機関に制限するパラメーターを検索クエリに追加できます。 たとえば、organizationが代理店を区別するために CustomAttribute10 プロパティを指定した場合、検索クエリに次を追加して、特定の機関のメールボックスと OneDrive アカウントを検索できます:CustomAttribute10:<value>

検索アクセス許可フィルターでコンプライアンス属性として使用される属性の値を変更するとどうなりますか?

フィルターで使用される属性の値を変更した場合、検索アクセス許可フィルターがコンプライアンス境界を適用するまでに最大 3 日かかります。 たとえば、4 番目のコーヒーエージェンシーのユーザーが Coho Winery 機関に転送されるとします。 その結果、ユーザー オブジェクトの Department 属性の値が FourthCoffee から CohoWinery に変更されます。 このような状況では、Fourth Coffee 電子情報開示と投資家は、属性が変更されてから最大 3 日間、そのユーザーの検索結果を取得します。 同様に、Coho Winery の電子情報開示マネージャーと調査担当者がユーザーの検索結果を取得するまでに最大 3 日かかります。

電子情報開示マネージャーは、2 つの異なるコンプライアンス境界のコンテンツを表示できますか?

はい。この機能は、両方の機関に対して可視性を持つ役割グループに電子情報開示マネージャーを追加することで、Exchange メールボックスを検索するときに使用できます。 ただし、SharePoint サイトと OneDrive アカウントを検索する場合、電子情報開示マネージャーは、機関が同じリージョンまたは地理的な場所にある場合にのみ、異なるコンプライアンス境界内のコンテンツを検索できます。

注:

SharePoint と OneDrive でコンテンツを検索することは地理的な場所によって制限されないため、Premium 電子情報開示機能が有効になっている場合、サイトのこの制限は適用されません。

検索アクセス許可フィルターは、電子情報開示ケースホールド、Microsoft 365 アイテム保持ポリシー、または DLP に対して機能しますか?

いいえ。現時点では不可能です。

コンテンツのエクスポート先を制御するリージョンを指定しても、そのリージョンに SharePoint organizationがない場合でも、SharePoint を検索できますか?

検索アクセス許可フィルターで指定されたリージョンがorganizationに存在しない場合、既定のリージョンが検索されます。

organizationで作成できる検索アクセス許可フィルターの最大数はいくつですか?

organizationで作成できる検索アクセス許可フィルターの数に制限はありません。 ただし、検索クエリには最大 100 の条件を含めることができます。 この場合、条件はブール演算子 ( ANDORNEAR など) によってクエリに接続されるものとして定義されます。 条件の数の制限には、検索クエリ自体に加えて、検索を実行するユーザーに適用されるすべての検索アクセス許可フィルターが含まれます。 したがって、検索権限フィルターが多いほど (特に、これらのフィルターが同じユーザーまたはユーザー グループに適用される場合)、検索条件の最大数を超える可能性が高くなります。

この制限のしくみを理解するには、検索の実行時に検索アクセス許可フィルターが検索クエリに追加されることを理解する必要があります。 検索アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 検索クエリと 1 つの検索アクセス許可フィルターのクエリ ロジックは次のようになります。

<SearchQuery> AND <PermissionsFilter>

OR ブール演算子によって複数の検索アクセス許可フィルターが組み合わされ、それらの条件が AND 演算子によって検索クエリに接続されます。

検索クエリと複数の検索アクセス許可フィルターのクエリ ロジックは次のようになります。

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

検索クエリ自体が、ブール演算子によって接続された複数の条件で構成されている可能性があります。 検索クエリの各条件も、100 条件の制限に対してカウントされます。

また、クエリに追加される検索アクセス許可フィルターの数は、検索を実行しているユーザーによって異なります。 特定のユーザーが検索を実行すると、ユーザーに適用される検索アクセス許可フィルター (フィルター内の Users パラメーターによって定義されます) がクエリに追加されます。 organizationには何百もの検索アクセス許可フィルターが含まれている可能性がありますが、同じユーザーに 100 を超えるフィルターを適用すると、それらのユーザーが検索を実行するときに 100 条件の制限を超える可能性があります。

条件制限については、もう 1 つ留意する必要があります。 検索クエリまたは検索アクセス許可フィルターに含まれる特定の SharePoint サイトの数も、この制限に対してカウントされます。

organizationが条件の制限に達しないようにするには、organization内の検索アクセス許可フィルターの数をできるだけ少なくして、ビジネス要件を満たしてください。

メールボックス フィルターは、OneDrive および M365 グループに接続されている SharePoint サイトへの検索にどのように影響しますか?

OneDrive サイトと Microsoft 365 グループに接続された SharePoint サイトは、Exchange の関連付けられているユーザーまたは Microsoft 365 グループ メールボックスにリンクされます。 メールボックスと SiteContent フィルターの両方を含むセキュリティ フィルターの場合、OneDrive または Microsoft 365 グループに接続された SharePoint サイトから結果を返すには、どちらも一致している必要があります。 [メールボックス] フィルターは、接続されているユーザーまたは Microsoft 365 グループ メールボックスに対して最初に評価されてから、SharePoint と OneDrive の項目が SiteContent フィルターに対して評価されます。

OneDrive サイトのコンテキストにおける仲裁メールボックスとは

Exchange メールボックスと OneDrive アカウントの両方を持つアクティブユーザーとライセンスユーザーの場合、メールボックスと OneDrive サイトの間にリンクがあります。 つまり、コンプライアンス境界に割り当てられたメールボックス フィルターは、結果が返される前にユーザーのメールボックスに対して評価され、一致するチェックされます。

メールボックスと OneDrive サイトの間でこのリンクが失われると、代わりに OneDrive が仲裁メールボックスに関連付けられます。 この仲裁メールボックスには、元のメールボックスのメールボックス プロパティが適用されていません。

OneDrive サイトの状態を操作方法 チェックして、仲裁メールボックスに関連付けられているかどうかを判断しますか?

特定の OneDrive サイトを確認し、特定の OneDrive サイトが仲裁中か、ユーザーのメールボックスにリンクされているかどうかをチェックするには、Invoke-ComplianceSecurityFilterAction コマンドレットを使用します。

OneDrive サイトの状態をチェックするには、次の構文を使用します。

Invoke-ComplianceSecurityFilterAction -Action GetStatus -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

仲裁されていない OneDrive サイトの場合、コマンドは、次の例に示すように 、BoundaryType 値を UserMailbox として返します。

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertNname "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"
   
SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          : UserMailbox 
BoundaryInstruction   : Set via Set-Mailbox 
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : Dept-CH

仲裁中の OneDrive サイトの場合、コマンドは、次の例に示すように 、BoundaryType 値の空または null 値を返します。

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertyName "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"   

SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          :  
BoundaryInstruction   :  
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue :

仲裁の OneDrive サイトは、コンプライアンス境界が適用された電子情報開示マネージャーによって返される結果にどのように影響しますか?

この動作は、コンプライアンス境界に対してセキュリティ フィルターを構成する方法によって異なります。 OneDrive サイトが仲裁中の場合、メールボックス フィルターは返された結果に含まれません。

メールボックス フィルターのみを使用するセキュリティ フィルターの場合、このシナリオではメールボックス フィルターが適用されないため、OneDrive のアイテムは検索結果内で返されます。

メールボックス フィルターと SiteContent フィルターの両方を使用するセキュリティ フィルターの場合、 SiteContent フィルターが仲裁対象の OneDrive インスタンス内のアイテムと一致する場合、結果が返されます。 一致するものがない場合、結果は返されません。 たとえば、microsoft 365 Multi-Geo の展開により、SiteContent_Path フィルターが個別の機関で一意の OneDrive URL を持っている場合、OneDrive アイテムのパス フィルターは、仲裁で OneDrive の結果をフィルターまたは出力します。

メールボックス フィルターが引き続き適用されるように、仲裁で OneDrive サイトを更新するにはどうすればよいですか?

Invoke-ComplianceSecurityFilterAction コマンドレットを使用して、調停メールボックスにリンクする OneDrive インスタンスの CustomAttribute1 から CustomAttribute15 値に設定します。

OneDrive サイトの状態を設定するには、次の構文を使用します。

Invoke-ComplianceSecurityFilterAction -Action Set -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

OneDrive で設定すると、OneDrive で CustomAttribute プロパティ セットを使用するメールボックス フィルターが適用されます。

OneDrive サイトが仲裁メールボックスにリンクする原因となるシナリオは何ですか?

多くのシナリオでは、OneDrive サイトがユーザーのメールボックスへのリンクを失い、仲裁メールボックスにリンクする可能性があります。 詳細については、「コンプライアンス境界の制限事項」セクションを参照してください。 その結果、OneDrive を移動、変更、または再割り当てするときに、 Invoke-ComplianceSecurityFilterAction コマンドレットを使用して、関連するメールボックス フィルターが期待どおりに動作することを検証します。

ユーザーのプロビジョニング解除プロセスの一環として、ユーザーの OneDrive に対して Invoke-ComplianceSecurityFilterAction コマンドレットを実行して、必要な CustomAttribute 値を設定します。

メールボックス セキュリティ フィルターに CustomAttribute1 から CustomAttribute15 を使用する必要があるのはなぜですか?

他のメールボックス属性はセキュリティ フィルターで動作しますが、次の理由でメールボックス セキュリティ フィルターを定義するときに CustomAttributes を使用します。

  • すべてのExchange Onlineメールボックスは、これらの属性をサポートします。
  • 属性は、関連付けられたユーザー オブジェクトではなくメールボックスに直接スタンプされるため、関連付けられたユーザー オブジェクトがないシナリオで設定されたままです。
  • Invoke-ComplianceSecurityFilterAction コマンドレットでは、調停メールボックスにリンクされた OneDrive インスタンスでの CustomAttribute の設定のみがサポートされます。
  • Last updated on