管理者は、多くの場合、誰がいつ何を知っているかを確認する必要があります。 進行中または潜在的な訴訟、内部調査、その他のシナリオに関する要求に、可能な限り最も効率的かつ効果的な方法で対応する必要があります。 多くの場合、これらの要求は緊急で、複数の利害関係者チームが関与し、タイムリーに完了しないと大きな影響を与えます。 適切な情報を見つける方法を知ることは、管理者が検索を正常に完了し、組織が電子情報開示要件に関連するリスクとコストを管理するのに役立つ重要な要素です。
電子情報開示でメールボックス内のコンテンツを検索する方法の詳細については、次のビデオをご覧ください。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
電子情報開示要求が送信されると、管理者は、特定の調査に関連する可能性があるコンテンツの収集を開始するための部分的な情報のみを受け取ることが多いです。 要求には、ユーザー名、プロジェクト タイトル、プロジェクトがアクティブな場合の大まかな日付範囲などが含まれる場合があります。 この情報から、管理者は、Microsoft 365 サービス全体で関連コンテンツを検索するためのクエリを作成して、特定のプロジェクトまたはサブジェクトに必要な情報を決定する必要があります。 これらのサービスに対する情報の格納と管理方法を理解すると、管理者は必要なものを迅速かつ効果的に効率的に見つけることができます。
Exchange Onlineには、メール、チャット、会議、Microsoft 365 Copilot とMicrosoft 365 Copilot Chatアクティビティ データ (ユーザー プロンプトと Copilot 応答) が格納されます。 Exchange Onlineに含まれるアイテムを検索するために、多くの通信プロパティを使用できます。 From、Sent、Subject、To などの一部のプロパティは特定のアイテムに固有であり、SharePoint と OneDrive でファイルやドキュメントを検索する場合には関係ありません。 ワークロード間で検索するときにこれらの種類のプロパティを含めると、予期しない結果が生じることがあります。
たとえば、Tradewinds というプロジェクトに関連付けられている特定のユーザー (ユーザー 1 とユーザー 2) に関連するコンテンツを見つけるには、2020 年 1 月から 2022 年 1 月の間に、次のプロパティを持つクエリを使用できます。
- ユーザー 1 とユーザー 2 のExchange Onlineの場所をデータ ソースとしてケースに追加する
- [ユーザー 1] と [ユーザー 2 のExchange Onlineの場所] をデータ ソースとして選択します。
- キーワードの場合は、Tradewinds を使用します
- [日付範囲] には、2020 年 1 月 1 日から 2022 年 1 月 31 日の範囲を使用します
クラウド添付ファイルを含む可能性のあるメールまたはその他のメールボックス コンテンツを検索する場合、SharePoint または OneDrive のストレージの場所へのクラウド添付ファイルリンクは、個別のドキュメントではなくメッセージ ファイルの添付ファイルと見なす必要があります。
この動作は、検索でローカル添付ファイルが埋め込まれたメールを返す方法と似ています。これらの添付ファイルは、電子メールの一部であるかのように取得されます。 SharePoint または OneDrive のコンプライアンス境界は、応答性の高いメッセージに含まれるクラウド添付ファイルのコレクションには反映されません。
重要
電子メールの場合、キーワード (keyword)を使用する場合、検索には件名、本文、および参加者に関連する多くのプロパティが含まれます。 ただし、受信者の拡張により、エイリアスまたはエイリアスの一部を使用する場合、検索で予期される結果が返されないことがあります。 そのため、完全な UPN を使用します。
KeyQLの検索可能な電子メール プロパティ
重要
電子メール メッセージには、他の Microsoft 365 サービスで他のプロパティがサポートされている場合があります。電子情報開示検索ツールでは、この表に記載されている電子メール プロパティのみがサポートされています。 検索に他のメール メッセージ プロパティを含めることはできません。
次の表に、Microsoft Purview ポータルの電子情報開示KeyQL エディターを使用するか、New-ComplianceSearch コマンドレットまたは Set-ComplianceSearch コマンドレットを使用して、検索でサポートされる電子メール メッセージプロパティの一覧を示します。 サポートされている条件ビルダーのプロパティの一覧については、「 条件ビルダーを使用して電子情報開示で検索クエリを作成する」を参照してください。
テーブルには、各 プロパティの property:value 構文の例と、例によって返される検索結果の説明が含まれています。 電子情報開示検索のキーワード ボックスに、これらの property:value ペアを入力できます。
注:
電子メールのプロパティを検索する場合、メッセージ ヘッダーを検索することはできません。 ヘッダー情報は、検索のインデックス付けされません。 また、指定したプロパティが空または空白の項目を検索することはできません。 たとえば、件名:"" のプロパティと値のペアを使用して、空の件名行を含む電子メール メッセージを検索すると、0 個の結果が返されます。 この制限は、サイトと連絡先のプロパティを検索する場合にも適用されます。
| プロパティ | プロパティの説明 | 例 | 例で返される検索結果 |
|---|---|---|---|
| AttachmentNames | メール メッセージに添付されているファイルの名前。 | attachmentnames:annualreport.ppt |
という名前の添付ファイルを持つメッセージ annualreport.ppt。 2 番目の例では、ワイルドカード文字 ( * ) を使用すると、添付ファイルのファイル名に annual という単語を含むメッセージが返されます。1 |
| Bcc | メール メッセージの Bcc フィールド。1 | bcc:pilarp@contoso.com |
すべての例では、Bcc フィールドに Pilar Pinilla が含まれているメッセージが返されます。 (「受信者の拡張」を参照) |
| カテゴリ | 検索するカテゴリ。 ユーザーは、Outlook または Outlook on the web (旧称 Outlook Web App) を使用してカテゴリを定義できます。 値は次のいずれかです。
|
category:"Red Category" |
ソース メールボックスの 赤い カテゴリが割り当てられているメッセージ。 |
| Cc | メール メッセージの Cc フィールド。1 | cc:pilarp@contoso.com |
どちらの例でも、Cc フィールドに Pilar Pinilla が指定されたメッセージ。 (「受信者の拡張」を参照) |
| 送信元 | メール メッセージの送信者。1 | from:pilarp@contoso.com |
指定したユーザーによって送信されたメッセージ。 (「受信者の拡張」を参照) |
| HasAttachment | メッセージに添付ファイルがあるかどうかを示します。 値 true または false を使用します。 | from:pilar@contoso.com AND hasattachment:true |
指定したユーザーによって送信された添付ファイルを含むメッセージ。 |
| Importance | 送信者がメッセージを送信するときに指定できる電子メール メッセージの重要度。 既定では、送信者が重要度を high または low に設定していない限り、メッセージは普通の重要度で送信されます。 | importance:high |
高重要度、中重要度、または低重要度とマークされているメッセージ。 |
| IsRead | メッセージを読み取るかどうかを示します。 値 true または false を使用します。 | isread:true |
最初の例では、IsRead プロパティを True に設定されているメッセージが返されます。 2 番目の例では、IsRead プロパティが False に設定されているメッセージが返されます。 |
| ItemClass | このプロパティは、組織が Office 365 にインポートした特定のサード パーティのデータ型を検索するときに使います。 このプロパティには、次の構文を使用します。 itemclass:ipm.externaldata.<third-party data type>* |
itemclass:ipm.externaldata.Facebook* AND subject:contoso |
最初の例では、Subject プロパティに "contoso" という単語が含まれる Facebook アイテムが返されます。 2 番目の例では、Ann Beebe によって投稿された、"Northwind Traders" というキーワード語句を含む Twitter アイテムが返されます。 |
| Kind | 検索するメール メッセージの種類。 可能な値: contacts docs externaldata faxes im journals meetings microsoftteams (Microsoft Teams のチャット、会議、通話のアイテムが返されます) notes posts rssfeeds tasks voicemail |
kind:email |
最初の例では、検索条件に一致するメール メッセージが返されます。 2 番目の例では、検索条件に一致するメール メッセージ、インスタント メッセージ、会話 (Skype for Business の会話と Microsoft Teams のチャットを含みます) ボイス メッセージが返されます。 3 番目の例では、Microsoft 365 のメールボックスにインポートされたアイテムを、検索基準を満たす Twitter、Facebook、Cisco Jabber などのサード パーティのデータ ソースから返します。 詳細については、「Office 365 でサードパーティのデータをアーカイブする」を参照してください。 |
| Participants | メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。1 | participants:garthf@contoso.com |
garthf@contoso.comによって送信または送信されるメッセージ。 2 番目の例は、contoso.com ドメイン内のユーザーが送信元または送信先のすべてのメッセージを返します。 (「受信者の拡張」を参照) |
| Received | 受信者が電子メール メッセージを受信する日付。 | received:2021-04-15 |
2021 年 4 月 15 日に受信されたメッセージ。 2 番目の例では、2021 年 1 月 1 日から 2021 年 3 月 31 日の間に受信したすべてのメッセージを返します。 |
| Recipients | メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。1 | recipients:garthf@contoso.com |
garthf@contoso.comに送信されるメッセージ。 2 番目の例では、contoso.com ドメイン内のすべての受信者に送信されたメッセージを返します。 (「受信者の拡張」を参照) |
| Sent | 送信者が電子メール メッセージを送信する日付。 | sent:2021-07-01 |
指定した日付に送信されるか、指定した日付範囲内で送信されるメッセージ。 |
| Size | アイテムのサイズ (バイト数)。 | size>26214400 |
25 MB を超えるメッセージ。 2 番目の例では、1 ~ 1,048,567 バイト (1 MB) のサイズのメッセージが返されます。 |
| Subject | 電子メール メッセージの件名行に含まれるテキスト。
注: クエリで Subject プロパティを使用すると、検索するテキストが件名に含まれているすべてのメッセージが返されます。 つまり、完全一致のメッセージのみがクエリで返されるわけではありません。 たとえば、 |
subject:"Quarterly Financials" |
件名行のテキストのいずれかの箇所に "Quarterly Financials" を含むメッセージ。 2 番目の例では、件名行に「northwind」の語が含まれているすべてのメッセージを返します。 |
| To | メール メッセージの To フィールド。1 | to:annb@contoso.com |
いずれの例も、To: 行に "Ann Beebe" が指定されているメッセージを返します。 |
注:
1 受信者プロパティの値には、電子メール アドレス (ユーザー プリンシパル名 (UPN とも呼ばれます)、表示名、またはエイリアスを使用してユーザーを指定できます。 たとえば、 annb@contoso.com、annb、または "Ann Beebe" を使用して、ユーザー Ann Beebe を指定できます。
検索可能な機密情報の種類
Microsoft Purview ポータルの電子情報開示検索ツールを使用して、メールボックス内のドキュメントに格納されているクレジット カード番号や社会保障番号などの機密データを検索できます。 これを行うには、SensitiveTypeプロパティと機密情報の名前 (または ID) をキーワード クエリで使います。 たとえば、クエリ SensitiveType:"Credit Card Number" は、クレジット カード番号が含まれているドキュメントを返します。 クエリ SensitiveType:"U.S. Social Security Number (SSN)" は、米国の社会保障番号を含むドキュメントを返します。
検索できる機密情報の種類の一覧を表示するには、Microsoft Purview ポータルで データ分類>センシブ情報の種類に関するページ を参照してください。 または、Security & Compliance PowerShell の Get-DlpSensitiveInformationType コマンドレットを使用して、機密情報の種類の一覧を表示することもできます。
受信者の展開
メールボックスは柔軟なストレージであり、メールボックスに接続するクライアントは、特に送信者に対して、受信者情報のいくつかの側面を制御します。 クライアントは、送信者アドレスとして SMTP、 名前、または レガシDN の各プロパティを選択できます。 クライアントの動作とデータの格納方法のバリエーションを補正するために、電子情報開示検索の受信者の拡張は便利な機能です。
多くの場合、一部のクライアントによって作成された送信者情報には、johndoe@contoso.comなどの SMTP アドレスを含めずに、John Doe などの送信者の名前のみが格納されます。 さらに、レガシ システムを持つフェデレーションアイテムには、以前のバージョンの Exchange でメールボックスまたは配布リストを表すために使用される一意の識別子である LegacyExchangeDN のみが格納される場合があります。 フェデレーション システムは、さまざまなシステムまたは組織から統合されたメッセージまたはデータを指します。多くの場合、古い形式または識別子を使用するレガシ システムが関係します。
受信者拡張関数は、これらのバリエーションで格納されているコンテンツをキャプチャするために検索を拡張することで、十分に広く検索しないという問題を解決します。 Microsoft Entra ID のクエリを実行すると、参加者フィルターで指定されたすべての値が展開されます。 この拡張には、ユーザーのメール アドレス、UPN、エイリアス、表示名、LegacyExchangeDN が含まれます。 この拡張により、検索によってより広いネットがキャストされ、参加者の情報の格納方法に関係なく関連するすべてのコンテンツがキャプチャされ、電子情報開示検索の精度と包括的さが向上します。
注:
受信者の拡張は、ユーザーが出発し、Microsoft Entra ID に存在しなくなったケースを解決しません。 このシナリオでは、UPN、エイリアス、LegacyExchangeDN などのバリエーションを含むように ID を拡張することはできません。 包括的な検索結果を確実に得るには、出発したユーザーのすべての既知の識別子 (以前の SMTP アドレス、エイリアス、表示名など) をクエリに手動で含める必要があります。
受信者プロパティ (From、To、Cc、Bcc、Participants、Recipients) を検索すると、Microsoft 365 は、Microsoft Entra ID で検索することで、各ユーザーの ID を拡張しようとします。 ユーザーが Microsoft Entra ID で見つかった場合、クエリが展開され、ユーザーのメール アドレス (または UPN)、エイリアス、表示名、LegacyExchangeDN が含まれます。 たとえば、participants:ronnie@contoso.com などのクエリは、participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>" に拡張されます。
受信者の拡張を防ぐには、メール アドレスの末尾にワイルドカード文字 (アスタリスク) を追加し、縮小されたドメイン名を使用します。たとえば、 participants:"ronnie@contoco*" 電子メール アドレスを二重引用符で囲んでください。
検索クエリで受信者が展開されないようにすると、検索結果に関連する項目が返されない可能性があります。 Exchange のメール メッセージは、受信者フィールドに異なるテキスト形式で保存できます。 受信者の拡張は、異なるテキスト形式を含む可能性のあるメッセージを返すことによって、この事実を軽減することを目的としています。 そのため、受信者の拡大を防ぐと、調査に関連する可能性のあるすべての項目が検索クエリから返されない可能性があります。
受信者の拡張は、ユーザー名とエイリアスの変更に関連するシナリオをサポートするようには設計されていません。 ユーザーの SMTP/UPN が変更された場合、Microsoft Entra ID でユーザーが見つからず、検索結果が不完全になる可能性があります。 また、ほとんど変更されない LegacyExchangeDN が、すべてのメール アイテムの基板に存在しない可能性があります。 受信者の展開は、クライアントが SMTP ではなく LegacyExchangeDN を使用するケースのみを処理します。 SMTP アドレスが変更されても LegacyExchangeDN が変更されない場合、受信者の拡張は役に立たないので、これらのアドレスのすべてのバリエーションを手動で検索して使用する必要があります。 この制限により、受信者の拡張が名前や SMTP の変更を含むすべてのバリエーションをキャッチすると誤ってユーザーが信じる可能性があります。
等しい条件 (=) で From 条件を使用すると、表示名のみがインデックス内でクエリ可能になります。 つまり、 差 出人または 送信者 の条件で SMTP アドレスを使用する場合、次の両方の条件が満たされた場合に検索結果が返されます。
- 条件で使用される SMTP アドレスは、Microsoft Entraのアクティブまたは非アクティブなユーザーと一致します。
- 対象アイテムが送受信されてから、アクティブまたは非アクティブのユーザーの表示名は変更されていません。
電子情報開示検索で Sender または From 条件を使用すると、システムは受信者の拡張を試み、クエリを展開して 表示名を含めます。 成功した場合、クエリには、ユーザーの SMTP アドレスと従来の Exchange 表示名に割り当てられているすべてのメール アドレスが含まれます。 受信者の展開が成功しなかった場合、検索では 、From 条件と Sender 条件で指定された値のみを使用してインデックスを検索します。 受信者の拡張が失敗する可能性がある条件は次のとおりです。
- 非アクティブなメールボックスが保持されていない、出発したユーザー。
- SMTP アドレスがオブジェクトに存在しなくなったアクティブまたは非アクティブなユーザー。
- 表示名が変更されたアクティブまたは非アクティブなユーザー ([送信者] または [差出人] 条件で表示名が使用されている場合)。
一部のシナリオでは、organization検索を使用すると、受信者の拡張によって追加のアイテムにヒットが発生する場合もあります。 たとえば、あるユーザーの表示名が、別のユーザーの表示名の一部を形成する場合があります。 たとえば、ユーザーが John Doe の表示名を持ち、別のユーザーが John Doe Jr の表示名を持つ場合があります。organization全体の検索では、両方のメールボックスから結果ヒットが返される場合があります。 SMTP アドレスの末尾にピリオドを追加して、このシナリオでは受信者の拡張を抑制することを検討してください。
その他の考慮事項としては、受信者の展開では、自分のメールボックスからの送信のみがサポートされ、委任されたアクティビティや送信アクティビティはサポートされません。 配布グループ メンバーの最大数の精度や配布グループの入れ子の最大レベルなど、関連する制限を確認してください。 セキュリティ グループはサポートされており、電子メールの送信時に有効なのは配布グループと配布グループのみです。
注:
受信者の拡張のために検索クエリによって返されるアイテムを確認または削減する必要がある場合は、プレミアム電子情報開示機能の使用を検討してください。 受信者の拡張を利用してメッセージを検索し、それをレビュー セットに追加し、レビュー セットのクエリまたはフィルターを使用して結果を確認または絞り込みます。
電子情報開示用のExchange Online メールボックスに格納されているコンテンツ
主にExchange Onlineのメールボックスを使用して、メッセージ、予定表アイテム、タスク、メモなどの電子メール関連のアイテムを格納します。 しかし、クラウドベースのアプリがユーザーのメールボックスにデータを格納するにつれて変化しています。 メールボックスにデータを格納する利点の 1 つは、電子情報開示の検索ツールを使用して、これらのクラウドベースのアプリからデータを検索、表示、エクスポートできることです。
これらのアプリの一部のデータは、メールボックス内の非対人メッセージ (非 IPM) サブツリーにある非表示フォルダーに格納されます。 他のクラウドベースのアプリのデータはメールボックス に 格納されていない可能性がありますが、メールボックスに 関連付けられている ため、そのデータが検索クエリと一致する場合は検索で返されます。 クラウドベースのデータがユーザー メールボックスに格納されているか、ユーザー メールボックスに関連付けられているかに関係なく、通常、ユーザーがメールボックスを開いたときに、データは電子メール クライアントに表示されません。
次の表に、クラウドベースのメールボックスにデータを格納または関連付けるアプリの一覧を示します。 この表では、各アプリが生成するコンテンツの種類についても説明します。
| Microsoft 365 アプリ | Description |
|---|---|
| クラス スケジュール | クラス スケジュールで作成したプランは、新しいプランを作成するときにプロビジョニングされる対応する Microsoft 365 グループのメールボックスに格納されます。 グループ メールボックスのエイリアスは、プランの名前です。 |
| フォーム* | フォームへのFormsと応答は、電子メール メッセージに添付され、フォームを作成したユーザーのメールボックスの非表示フォルダーに格納されているファイルに格納されます。 2020 年 4 月より前に作成されたFormsは、PDF ファイルとして保存されます。 2020 以降に作成されたFormsは、JSON ファイルとして格納されます。 フォームへの応答は CSV ファイルに格納されます。 PST ファイルのFormsからコンテンツをエクスポートすると、このデータは、次のグローバルに一意の識別 (GUID): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87 という名前のサブフォルダーの ApplicationDataRoot フォルダーにあります。 |
| Microsoft 365 Copilot と Microsoft 365 Copilot Chat | サポートされている Microsoft 365 アプリとサービスで生成されたすべての Copilot アクティビティ データ (ユーザー プロンプトと Copilot 応答) は、カストディアン メールボックスに格納されます。 |
| Microsoft 365 グループ | メッセージ、予定表アイテム、連絡先 (People)、メモ、タスクのEmailは、Microsoft 365 グループに関連付けられているメールボックスに格納されます。 |
| Outlook/Exchange Online | Emailメッセージ、予定表アイテム、連絡先 (People)、メモ、タスクは、ユーザーのメールボックスに格納されます。 |
| 連絡先 | People アプリの連絡先 (Outlook でアクセスできる連絡先と同じ連絡先) は、ユーザーのメールボックスに格納されます。 |
| Skype for Business | Skype for Business内の会話は、ユーザーのメールボックスの [会話履歴] フォルダーに格納されます。 Skype 会議の参加者のメールボックスが 訴訟ホールド に配置されているか、 アイテム保持ポリシーに割り当てられている場合、会議に添付されたファイルは参加者メールボックスに保持されます。 |
| Sway* | Sways は、電子メール メッセージに添付され、sway を作成したユーザーのメールボックスの非表示フォルダーに格納される HTML ファイルとして格納されます。 PST ファイルのSwayからコンテンツをエクスポートする場合、このデータは、次の GUID を持つという名前のサブフォルダーの ApplicationDataRoot フォルダーにあります。 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba。 |
| タスク | タスク アプリのタスク (Outlook でアクセスできるタスクと同じタスク) は、ユーザーのメールボックスに格納されます。 |
| Teams | Teams チャネルの一部である会話は、Teams メールボックスに関連付けられます。 Teams のチャット リストの一部である会話 ( 1 x N チャットとも呼ばれます) は、チャットに参加するユーザーのメールボックスに関連付けられます。 また、Teams チャネル内の会議と通話の概要情報は、会議または通話にダイヤルインしたユーザーのメールボックスに関連付けられます。 そのため、Teams コンテンツを検索するときは、チャネル会話内のコンテンツを Teams メールボックスで検索し、ユーザー メールボックスで 1 x N チャット内のコンテンツを検索します。 |
| To-Do | To-Do アプリのタスク (to do リストに保存される to do と呼ばれます) は、ユーザーのメールボックスに格納されます。 |
| Viva Engage | Viva Engage コミュニティ内の会話とコメントは、Microsoft 365 グループ メールボックス、作成者のユーザー メールボックス、および任意の名前付き受信者 (@ メンションまたは Cc'ed ユーザー) に関連付けられます。 Viva Engage コミュニティの外部に送信されたプライベート メッセージは、プライベート メッセージに参加するユーザーのメールボックスに格納されます。 |
注:
* 現時点では、電子情報開示ケースで保留を使用してメールボックスに保留を設定した場合、保留はこのアプリのコンテンツを保持しません。