電子情報開示で電子メール メッセージを検索および削除する

検索機能を使用して、organization内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 このプロセスは、次のような有害なメールや危険度の高いメールを見つけて削除するのに役立ちます。

• 危険性のある添付ファイルやウイルスを含むメッセージ
• フィッシング メッセージ
• 機密データを含むメッセージ

ただし、電子情報開示の消去プロセスは、次のような一般的なメールボックス管理タスクを対象としたものではありません。

• メールボックス クォータの削減
• メールボックスのクリア
• データ保持ポリシーの適用

この記事で説明する消去プロセスは、小さなメッセージが誤って大規模なユーザー グループと共有される場合など、 データ流出インシデントに対処するように特別に設計されています。 定期的なメールボックス管理とコンプライアンスを行う場合は、代わりに次のツールを使用します。

• 保持ポリシー: データのライフサイクルを管理し、組織の標準に確実に準拠します。
• アーカイブ ポリシー: 古いコンテンツをオフロードし、メールボックス ストレージを効果的に管理します。
• メールボックスの所有権と手動削除: 特に、メールボックス所有者がコンテンツを確認または削除する必要がある場合に、特定のメールボックスを正確に制御します。

開始する前に

• organizationの電子情報開示サブスクリプションに応じて、organizationに E5 ライセンスがある場合は、ケースを電子情報開示プレミアム機能に対して有効にすることができます。 ケースの機能サポートのレベルを確認して、PowerShell または Microsoft Graph を使用して検索と消去を行う必要があるかどうかを判断します。

• 電子情報開示プレミアム機能用に構成されていないケースの場合は、PowerShell を使用して電子メール メッセージを検索および削除することしかできません。 E3 のお客様の場合、コマンドレットまたは Microsoft Purview ポータルによって作成されたケースは、PowerShell を使用してのみ電子メールを消去できます。 1 か所あたり最大 10 個のアイテムを消去できます。

• 電子情報開示プレミアム機能用に構成されたケースの場合は、PowerShell または Microsoft Graph を使用してメール メッセージを検索および削除できます。 Graph または Microsoft Purview ポータルを使用してプレミアム機能を使用して構成されたケースでは、Graph を使用して電子メールと Teams のメッセージのみを消去できます。 1 か所あたり最大 100 個のアイテムを消去できます。

  重要

  PowerShell と Microsoft Graph の組み合わせを使用してメール メッセージを消去しないでください。

• データが完全に削除されると、復旧できません。 この記事のガイダンスに注意深く従い、purge コマンドを発行する前に検索の範囲を検証します。 消去コマンドを実行すると、元に戻すことができません。メール メッセージは復元できません。

• 識別子、秘密度ラベル、機密情報の種類などの検索条件は、電子情報開示のプレミアム対応以外のケースの検索と削除ではサポートされていません。 これらの条件を使用すると、予期しないデータ損失が発生します。

• エクスポート レポートを実行して、消去の前に検索条件に一致するすべてのアイテムを確認します。 Microsoft Purview ポータルで検索とエクスポートのエクスペリエンスを使用し、 レポートのみの形式で結果をエクスポートすることで、削除前に詳細なメタデータを調べることができます。 この方法は、検索範囲を絞り込むのに役立ち、よりターゲットを絞った正確な消去を保証します。

• この記事で説明する検索および消去ワークフローを使用して、チャット メッセージやその他のコンテンツをMicrosoft Teamsから削除しないでください。 手順 2 で作成した検索がMicrosoft Teamsからアイテムを返す場合は、「 電子情報開示でチャット メッセージMicrosoft Teams検索して削除 する」で説明されている手順に従って削除します。

• 検索を作成して実行するには、 電子情報開示マネージャー の役割グループのメンバーであるか、Microsoft Purview ポータルで コンプライアンス検索 ロールが割り当てられている必要があります。 メッセージを削除するには、 組織の管理 役割グループのメンバーであるか、Microsoft Purview ポータルで 検索および消去 ロールを割り当てられている必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。

  注:

  組織管理役割グループは、Exchange Onlineと Microsoft Purview ポータルの両方に存在します。 これらは、異なる権限を持つ個別の役割グループです。 Exchange Online で Organization Management のメンバーである場合、電子メール メッセージを削除するために必要なアクセス許可は付与されません。 Microsoft Purview ポータルで 検索および消去 ロールを割り当てていない場合 (直接、または 組織の管理などの役割グループを介して)、 New-ComplianceSearchAction コマンドレットを実行するときに、"パラメーター名 'Purge' と一致するパラメーターが見つかりません" というメッセージでエラーが表示されます。

• セキュリティ & コンプライアンス PowerShell を使用してメッセージを削除する必要があります。 接続方法については、「手順 1: セキュリティ/コンプライアンス PowerShell に接続する」を参照してください。

• メールボックスごとに最大 10 個のアイテムを一度に削除できます。 メッセージを検索および削除する機能はイベント応答ツールを目的としているため、この制限はメッセージをメールボックスから迅速に削除するのに役立ちます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。

• コンテンツ検索で検索と削除アクションを実行してアイテムを削除するために使用できるメールボックスの最大数は 50,000 個です。 ( 手順 2 で作成した) 検索で 50,000 を超えるメールボックスが検索された場合、消去アクション (手順 3 で作成した) は失敗します。 1 回の検索で 50,000 を超えるメールボックスを検索すると、通常、organizationにすべてのメールボックスを含むように検索を構成するときに発生する可能性があります。 この制限は、50,000 個未満のメールボックスに検索クエリに一致するアイテムが含まれている場合でも適用されます。 検索のアクセス許可を使用して 50,000 個を超えるメールボックスからアイテムを検索および消去する方法については、「詳細情報」セクションを参照してください。
• この記事の手順を使用して削除できるのは、メールボックスとパブリック フォルダー Exchange Onlineアイテムのみです。 これを使用して SharePoint サイトまたは OneDrive サイトからコンテンツを削除することはできません。
• この記事の手順を使用して、電子情報開示ケースのレビュー セットの電子メール アイテムを削除することはできません。 これは、レビュー セット内のアイテムはライブ サービスではなく、Azure ストレージの場所に保存されるからです。 これは、手順 1 で作成したコンテンツ検索によって返されないことを意味します。 レビュー セット内のアイテムを削除するには、レビュー セットを含む電子情報開示ケースを削除する必要があります。

手順 1: セキュリティ/コンプライアンス PowerShell に接続する

まず、organizationのセキュリティ & コンプライアンス PowerShell に接続します。 詳細な手順については、「セキュリティ/コンプライアンス PowerShell への接続」を参照してください。

手順 2: 削除するメッセージを検索する検索クエリを作成する

次に、検索を作成して実行して、organization内のメールボックスから削除するメッセージを見つけます。 検索を作成するには、 Microsoft Purview ポータル を使用するか、Security & Compliance PowerShell で New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行します。 この検索のクエリに一致するメッセージは、手順 3 で New-ComplianceSearchAction -Purge コマンドを実行して削除されます。 検索クエリの作成と構成の詳細については、次の記事を参照してください。

• 検索クエリを作成する
• 条件ビルダーを使用する
• New-ComplianceSearch
• Start-ComplianceSearch

削除するメッセージを見つけるためのヒント

検索クエリの目的は、削除するメッセージのみに結果を絞り込む方法です。 次にヒントを示します。

• メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。
• メッセージの正確な日付または日付範囲がわかっている場合は、検索クエリに Received プロパティを含めます。
• メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。
• 検索結果をプレビューして、削除するメッセージのみが検索によって返されることを確認します。
• Microsoft Purview ポータルの検索の詳細ウィンドウに表示される検索見積もり統計を使用するか、 Get-ComplianceSearch コマンドレットを使用して、結果の合計数のカウントを取得します。

不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。

• このクエリは、ユーザーが 2024 年 4 月 13 日から 2024 年 4 月 14 日の間に受信したメッセージを返し、件名に "action" と "required" という単語が含まれています。

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• このクエリは、 user@contoso.com によって送信されたメッセージを返し、件名行に "アカウント情報を更新する" という正確な語句が含まれています。

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

次に示す例では、New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行することにより、クエリを使用して検索を作成して開始し、組織内のすべてのメールボックスを検索します。

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

手順 3: メッセージを削除する

削除するメッセージを返す検索クエリを作成して絞り込んだ後、Security & Compliance PowerShell で New-ComplianceSearchAction -Purge コマンドを実行してメッセージを削除します。

メッセージを論理的に削除したり、物理的に削除したりできます。 論理的に削除したアイテムは、ユーザーの [回復可能なアイテム] フォルダーに移動され、削除済みアイテムの保持期間が切れるまで保持されます。 ハード削除されたメッセージは、メールボックスから完全に削除されるようにマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに完全に削除されます。 メールボックスに対して単一アイテムの回復が有効になっている場合、削除済みアイテムの保持期間の有効期限が切れた後、ハード削除されたアイテムは完全に削除されます。 メールボックスが保留中になっている場合は、削除したメッセージは、そのアイテムの保留期間が切れるか、その保留がメールボックスから削除されるまで保持されます。

次のコマンドを実行してメッセージを削除するには、 セキュリティ & コンプライアンス PowerShell に接続されていることを確認します。

メッセージの論理的な削除

次の例では、 コマンドは、"フィッシング メッセージの削除" という名前の検索クエリによって返される検索結果を論理的に削除します。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

メッセージの物理的な削除

"フィッシング メッセージの削除" コンテンツ検索によって返される項目をハード削除するには、次のコマンドを実行します。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

前のコマンドを実行してメッセージを論理的に削除またはハード削除する場合、 SearchName パラメーターで指定された検索は、手順 1 で作成した検索クエリです。

詳細については、「New-ComplianceSearchAction」を参照してください。

よく寄せられる質問

• 検索、確認、消去については、この記事の手順に従いましたが、メールボックスからアイテムは削除されません。

  検索クエリに一致するアイテムが、メールボックスに対して 10 個を超えるアイテム (または Microsoft Graph を使用している場合は 100 項目) を超える場合があります。 PowerShell コマンドレットを使用して消去を実行し、10 個の項目のみを削除する場合、または Microsoft Graph を使用して消去を実行し、100 個の項目のみを削除する場合、この動作は正常です。 メールボックスごとに 10 個 (または 100 個) を超えるアイテムを削除する場合は、このプロセスを複数回繰り返します。 purge コマンドを継続的に実行することで、これらの制限を回避することを強くお勧めします。 1 つの場所からさらにデータを削除する必要がある場合は、「Office 365で配信された悪意のあるメールを修復する」または「Office 365のMicrosoft Defenderの 0 時間自動消去 (ZAP)」を参照してください。

  もう 1 つの理由は、メールボックスが訴訟ホールド中である可能性があります。 手順 2 の検索実行に関連付けられているエクスポート レポート (または電子情報開示で実行) が、アイテムが [回復可能なアイテム] フォルダー内にあることを示している場合、この結果は保留が存在しますが、アイテムは表示されなくなります。 アイテムを保留から削除する場合は、 優先クリーンアップを使用することを強くお勧めします。 または、保留を解除して、もう一度消去を試みることもできます。 Exchange PowerShell で次のコマンドレットを実行して、保留の状態を確認します。

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

コマンドレットの結果で次の値を確認します。

• InPlaceHolds は空であるか、プレフィックスが付いた値のみを持つ必要があります。

  • DelayHold は false にする必要があります
  • SingleItemRecovery は false にする必要があります

  次のコマンドレットを実行して、テナント レベルのポリシーを確認します。

  Get-OrganizationConfig | fl *Hold*
  

  テナント レベルのポリシーがある場合は、削除からメールボックスを除外する必要があります。

• メールボックスが 遅延ホールド中です。

  • 対象のアイテムは、 復元可能なアイテム フォルダーに移動されるため、消去後も見つかります。

• アイテムが回復可能なアイテム フォルダーの下にあるかどうかを確認操作方法。

  アイテムが [回復可能なアイテム] フォルダーに含まれているかどうかを確認するには、検索用のエクスポート レポートを実行し、CSV レポート内のアイテムのファイル パスを確認して、アイテムが [回復可能なアイテム ] フォルダーにあるかどうかを確認します。 はいの場合、 New-ComplianceSearch コマンドレットはアイテムの削除を試みません。 CSV レポートで、アイテムが [回復可能なアイテム ] フォルダーにあり、アイテムのメールボックスがアーカイブされていることを示している場合、メールボックスのサイズが変更されます。 これらのバックアップ項目は削除できません。最終的には自動的に削除されます。

• 検索と削除の操作の状態を取得するにはどうすればよいですか?

  Get-ComplianceSearchAction を実行すると、その削除操作の状態を取得できます。 New-ComplianceSearchAction コマンドレットの実行時に作成されるオブジェクトには、<name of Content Search>_Purgeという形式で名前が付けられます。

• メッセージを削除するとどうなりますか?

  New-ComplianceSearchAction -Purge -PurgeType HardDelete コマンドを使用して削除されたメッセージは Purges フォルダーに移動され、ユーザーはアクセスできません。 メッセージが Purges フォルダーに移動された後、メールボックスに対して単一アイテムの回復が有効になっている場合、削除されたアイテムの保持期間はメッセージが保持されます。 (Microsoft 365 では、新しいメールボックスが作成されたときに、単一アイテムの回復が既定で有効になります)。削除されたアイテムの保持期間の有効期限が切れると、メッセージは永続的な削除としてマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに Microsoft 365 から消去されます。

  New-ComplianceSearchAction -Purge -PurgeType SoftDelete コマンドを使用すると、メッセージは、ユーザーの回復可能なアイテム フォルダーの Deletions フォルダーに移動されます。 Microsoft 365 から直ちに削除されることはありません。 ユーザーは、メールボックスに構成されている削除したアイテムの保持期間に基づき、その期間は削除済みアイテム フォルダーのメッセージを復元できます。 この保持期間を過ぎるか、過ぎる前にユーザーがメッセージを消去すると、メッセージは Purges フォルダーに移動され、ユーザーはアクセスできなくなります。 Purges フォルダーに移動されたメッセージは、そのメールボックスで単一アイテムの回復が有効になっている場合、メールボックスに構成されている削除済みアイテムの保持期間が切れるまで保持されます。 (Microsoft 365 では、新しいメールボックスが作成されたときに、単一アイテムの回復が既定で有効になります)。削除されたアイテムの保持期間の有効期限が切れると、メッセージは永続的な削除としてマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに Microsoft 365 から消去されます。

• 50,000 を超えるメールボックスからメッセージを削除する必要がある場合はどうすればよいですか?

  最大 50,000 個のメールボックスに対して検索および消去操作を実行できます (50,000 未満に検索クエリに一致するアイテムが含まれている場合でも)。 50,000 を超えるメールボックスで検索および消去操作を実行する必要がある場合は、検索するメールボックスの数を 50,000 未満のメールボックスに減らす一時的な検索アクセス許可フィルターを作成することを検討してください。 たとえば、organizationにさまざまな部署、州、または別の国/地域のメールボックスが含まれている場合は、それらのメールボックスのプロパティのいずれかに基づいてメールボックス検索アクセス許可フィルターを作成して、organization内のメールボックスのサブセットを検索できます。 検索権限フィルターを作成したら、検索を作成 (手順 1 を参照) し、メッセージを削除 (手順 3 を参照) します。 その後、フィルターを編集し、別のメールボックスのセット内のメッセージを検索して削除できます。 検索アクセス許可フィルターの作成の詳細については、「 電子情報開示で検索アクセス許可フィルターを構成する」を参照してください。

• 検索結果に含まれるインデックスのないアイテムも削除されますか?

  いいえ。 New-ComplianceSearchAction -Purge コマンドでは、インデックスのない項目は削除されません。

• 訴訟ホールドまたは Microsoft 365 アイテム保持ポリシーに割り当てられているメールボックスからメッセージが削除された場合はどうなりますか?

  消去されて Purges フォルダーに移動されたメッセージは、保持期間が切れるまで保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。

• 検索と削除ワークフローが異なる Microsoft Purview ポータルの役割グループに分割されているのはなぜですか?

  ユーザーは、 電子情報開示マネージャー 役割グループのメンバーであるか、メールボックスを検索するために コンプライアンス検索管理 役割を割り当てられている必要があります。 メッセージを削除するには、 ユーザーが組織管理 役割グループのメンバーであるか、 検索および消去管理 ロールを割り当てられている必要があります。 この部門では、organization内のメールボックスを検索できるユーザーと、メッセージを削除できるユーザーを制御できます。