次の方法で共有

電子情報開示で検索結果を評価および絞り込む

検索結果の評価と絞り込みは、電子情報開示調査の重要なステップです。 構成する検索クエリと返される結果は、調査に適用できる項目と情報を検出するかどうか、または追加の関連項目を検出するために検索を変更する必要があるかどうかを判断するのに役立ちます。 この項目の初期検索と情報の初期レビューは、検索パラメーターを終了した後に必要なアクションを決定するのに役立ちます。

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

検索結果を評価する

検索を作成して実行した後、検索統計を表示して、関連するコンテンツが見つかり、ヒット数が最も多いコンテンツの場所を確認するのに役立ちます。 検索結果のサンプルを確認して、コンテンツが調査の範囲内にあるかどうかを判断するのに役立つこともできます。

統計ダッシュボード

検索の最初の結果の種類として [統計 ] を選択すると、検索結果の完了時に自動的にこのダッシュボードにリダイレクトされます。 以前のバージョンの電子情報開示に既に精通している場合は、[ 統計 ] タブの情報はコレクションの見積もりに似ています。 統計ダッシュボードの検索結果は、次のセクションに含まれています。

  • 概要: このセクションでは、検索ヒット数、場所、データ ソース、および部分的にインデックス付けされた項目の合計ファイル サイズを示します。

    • 検索ヒット数: 検索された場所のクエリ条件に一致するすべてのアイテムの検索ヒット数とボリュームの合計を表示します。
    • 場所: 検索されたすべての場所からヒットした場所の割合を表示します。 分子はヒットした場所を示し、分母は検索された場所の数を示します。 エラーが発生した場所は赤で表示されます。 すべての場所と関連するヒットとエラーの詳細を表示するには、[ レポートのダウンロード ] を選択して、完全な .csv レポートをダウンロードします。
    • データ ソース: 検索されたすべてのデータ ソースからヒットしたデータ ソースの割合を表示します。 分子はヒットしたデータ ソースを示し、分母は検索に含まれるデータ ソースの数を示します。 このデータ ソースは、検索デザイン フローのデータ ソースと一致しており、検索に含まれるユーザーまたはグループの数と一致する必要があります。 すべてのユーザーとすべてのグループのテナント全体のデータ ソースは、1 つのデータ ソースとしてカウントされます。
    • 部分的にインデックス付けされた項目 または "高度なインデックス付きアイテムヒット": 検索の一部として返される部分的およびインデックスのない項目の数とボリュームを表示します。 このカードは、検索構成の一部として部分的またはインデックスのない項目を含める場合に、部分的にインデックスが付いた項目の情報を表示します。 部分的およびインデックスのない項目を含め、高度なインデックス付けオプションを有効にした場合、このカードには、高度なインデックス付き項目から取得した追加のヒットが表示されます。 高度なインデックス付きヒット数は、部分的にインデックス付けされた項目の統計サンプルからのものであり、実際のヒットが多い可能性があり、レビュー セットへの追加と検索結果のエクスポートアクションを使用して確認する必要があります。

  • 検索ヒットの傾向: このセクションでは、次の検索結果カードを示します。 グラフは対話型で、セクション名、パーセンテージ、項目番号を表示するためにマウス ポインターを合わせます。 各傾向に含まれる項目の詳細を確認し、結果を .csv ファイルにダウンロードするには、[ 上位 100 件を表示] を選択します。

    • 上位のデータ ソース: クエリに一致する検索ヒット数が最も多い上位 5 つのデータ ソースを表示します。 これらのデータ ソースの名前 (ユーザー、グループ、またはorganization全体の場所の名前) は、ヒット数と共に一覧表示されます。 これらのデータ ソースは、検索クエリの作成時にデータ ソース ワークフローで選択したデータ ソースと一致する必要があります。

    • 上位の機密情報の種類 (SID): クエリに一致する検索ヒットに最も多く含まれる SharePoint ファイルの上位 5 種類の機密情報の種類 (SID) を表示します。 各 SIT のカウントを追加しても、1 つのアイテムまたはドキュメントに複数の SIT 型が含まれている可能性があるため、必ずしも合計カウント ヒット数と同じにはなりません。 たとえば、ドキュメントには、パスワードと社会保障番号 (SSN) の両方が含まれています。 この例では、2 回カウントされます。 これらの SIT カウントの場所をより深く理解し、重複しているかどうかを確認するには、[ 上位 100 件を表示] を選択することをお勧めします。

    • 上位のキーワード: クエリ キーワード。その結果、クエリに一致する検索ヒットが最も多く発生しました。

      注:

      統計ビューでキーワード (keyword) レポートを生成するには、少なくとも 2 つ以上のキーワード (keyword)グリッドを設定する必要があります。 1 つのキーワード (keyword)のみを入力した場合、表示される合計ヒット数には、その 1 つのキーワード (keyword)の結果が反映され、キーワード (keyword) レポートは生成されません。

    • 上位のアイテムの種類: クエリに一致する検索ヒット内の最も頻繁なアイテムの種類。 この数は、Exchange コンテンツの 場合は itemClass 、SharePoint コンテンツの 場合は ContentType によって決まります。

    • インデックス作成の状態: インデックスが作成されていない (部分的にインデックス付きを含む) データ項目と完全にインデックス付けされたデータ項目の内訳。

    • 上位のコミュニケーション参加者: Exchange の場所でのメール、Microsoft Teams チャット、予定表の招待の送信者または受信者。

    • 上位の場所の種類: 場所の種類 (メールボックスとサイト) によるヒット数。

[ ビューの再生成] を選択してクエリを再実行し、最新の結果を確認します。 [ レポートのダウンロード ] を選択して、すべての 統計 結果を 1 つの .csv ファイルに結合します。 いずれかの傾向領域の上位 100 件の結果を表示する場合は、選択したヒット傾向の上位 100 件の結果の .csv ファイルの [レポートのダウンロード ] を選択します。

注:

検索統計の有効期限は 14 日後です。 14 日を超える検索の検索統計を再実行して、現在の統計を表示します。

統計と検索結果について

電子情報開示で検索を実行するタイミングに応じて、検索の統計情報に異なる結果が表示される場合があります。 たとえば、まったく同じ条件で、異なる時刻に 2 つの検索を実行すると、さまざまな統計情報の結果が表示される可能性があります。 これらの違いは、次の理由で発生する可能性があります。

  • organizationがアクティブです: 運用環境にはアクティブなユーザーがいるため、organization内のデータは常に移動、追加、削除、廃止されます。 同じ場所に対して同じ検索条件を実行すると、検索を実行した時間の間にそれらの場所のデータが変更されたため、異なる検索結果が返される可能性があります。
  • 一時的なエラー: 検索を実行 (またはレビュー セットにエクスポートまたは追加) すると、特に大規模なデータ セットに対して一時的な処理エラーが発生する可能性があります。 これらのエラーは、多くの場合、処理タイムアウトのために発生し、検索をより小さな日付範囲に分割し、データを並列にエクスポートすることで軽減できます。 常に、検索をより具体的な検索条件で小さなサイズに分割し、選択した場所を対象にして検索を分割してください。 この方法は、エラーの可能性が低いプロセスをより効率的に実行するのに役立ちます。
  • 場所へのアクセス: 一部のシナリオでは、検索に含まれる場所が無効であるか、アクセスできないか、処理中にタイムアウトします。 2 つの検索の結果を同じ条件で比較する場合は、検索した場所が正しく一致していることを確認します。 たとえば、1,000 の場所に対する検索では、最初の実行で失敗した場所が 1 つあり、2 回目の実行で失敗した場所がない可能性があります。 この例は、最初の実行で 999 の場所のみが正常に検索され、2 回目の実行で 1,000 の場所が検索されたことを意味します。 1 つの場所の違いは、2 つの実行間で検索結果が異なる理由です。 検索、エクスポート、追加の locations.csvレポート を使用して、設定プロセスを確認して、成功した場所と失敗した場所に関する包括的なレポートを表示します。 再実行すると、失敗した場所が検索されます。
  • 検索を実行しているユーザー: 検索プロセスを開始するユーザーによっては、コンプライアンス境界またはコンプライアンス検索フィルターが適用されている場合と適用されていない可能性があります。 このフィルターは、メールボックスのプロパティに基づいて場所をフィルター処理するか、コンテンツ パス (SharePoint サイト) に基づいてコンテンツをフィルター処理します。 コンプライアンス境界または検索アクセス許可フィルターが適用されている場合、ユーザーの結果が制限される可能性があります。 たとえば、1 人のユーザーにはコンプライアンス境界が適用されていませんが、2 番目のユーザーにはコンプライアンス境界が適用され、このユーザーは特定のリージョンのユーザー メールボックスと OneDrive サイトに制限されます。 最初のユーザーによる検索では、すべてのメールボックスが返され、OneDrive はすべてのリージョンの検索条件と一致し、2 番目のユーザーの検索では、許可されたリージョンのメールボックスと OneDrive サイトの一致のみが返されます。
  • 検索結果の数は、訴訟ホールドのために検索によって異なる場合があります。同じ検索クエリを異なる時間に実行すると、検索またはエクスポート内のアイテムの数が異なる場合があります。 この違いは、アイテムが検索間で編集または削除されたときに発生する可能性があります。 たとえば、訴訟ホールドの下のアイテムは以前のバージョンを保持し、後のエクスポートに表示される場合があります。一方、保留されていないアイテムは、保留条件を満たさなくなった場合に変更または削除される可能性があります。
  • 検索統計は推定値です。これらの見積もりは、OneDrive および SharePoint サイト ストレージと比較するために使用しないでください。 見積もりではインデックスベースの近似値が使用されるため、推定電子情報開示のコンテンツ サイズが異なる場合があります。 サイト ストレージには、多くの場合、ファイルのバージョンやごみ箱内のアイテムなど、電子情報開示の見積もりに反映されないデータが含まれます。 サイト コンテンツを表示するには、統計ダッシュボードのサイズ見積もりではなく 、エクスポート プロセス を使用します。

サンプル ダッシュボード

検索の最初の結果の種類として [ サンプル ] を選択した場合、検索結果が完了すると、このダッシュボードに自動的にリダイレクトされます。 サンプル ダッシュボード列の検索結果には、各項目に関する次の情報が含まれています。

  • 件名/タイトル: サンプルに含まれる項目の件名またはタイトル。
  • 日付: アイテムが作成または送信された日付。
  • 送信者/作成者: アイテムの送信者または作成者。

サンプルを使用すると、個々のアイテムの代表的なサブセットと、検索に返される各項目の詳細を調べることができます。 場所ごとのサンプル数と、検索で定義されているサンプルの場所の数によって、サンプル項目の数とサンプル項目の場所の表現が決まります。

サンプル項目を選択すると、その項目の ソース 情報が表示されます。 アイテムで使用できる場合、このビューには選択したアイテムの豊富なビューが表示されるため、定義された検索データ ソースと条件に関連するアイテムの関連性を評価できます。

注:

生成したサンプル項目は、24 時間有効です。 24 時間以上前にビューを生成した場合は、ビューを再生成して、検索クエリに一致する最新のサンプルを取得します。

[ ビューの再生成] を選択してクエリを再実行し、最新の結果を確認します。 [ レポートのダウンロード ] を選択して、すべての サンプル 結果を 1 つの .csv ファイルに結合します。 [ ビュー設定] を選択して、サンプル ビュー生成に適用された設定を表示します。

検索結果を絞り込む

検索で返される見積もりと統計に基づいて、検索を編集および絞り込むことができます。 検索に含まれるデータ ソースを変更し、検索クエリを変更して検索を拡張または絞り込みます。 検索結果にケースに最も関連するコンテンツが確実に含まれるまで、検索を更新して再実行できます。

検索結果に満足したら、次のアクションを実行できます。

統計とエクスポート結果の違い

電子情報開示検索を実行すると、統計情報は検索条件に一致する項目の数 (およびその合計サイズ) の見積もりを返します。 ただし、ダウンロードした実際にエクスポートされた検索結果のサイズと数は、推定サイズと検索結果の数とは異なります。

いくつかの考えられる理由で、これらの違いについて説明します。

  • 結果の推定方法: 見積もりでは、検索クエリ条件を満たす項目の見積もり (実際のカウントではなく) が提供されます。 Exchange アイテムの見積もりをコンパイルするために、Exchange データベースからの電子情報開示要求には、検索条件を満たすメッセージ ID の一覧が表示されます。 ただし、検索結果をエクスポートすると、検索が再実行され、実際のメッセージが Exchange データベースから取得されます。 見積もり項目数と実際の項目数の決定方法により、違いが生じる可能性があります。

  • 結果のサイズの見積もり方法: 見積もりの間、サイズは概算されます。 システムは多数の項目を収集し、近似値を使用してサイズを合計します。 サイズの見積もりは、サイズの特定のメジャーではなく、桁違いとして考慮する必要があります。 たとえば、サイズの見積もりが 10 MB の場合、データは 1 MB から 100 MB の間であると予想されます。 数値が大きいほど、推定値に分散が多くなります。

    • Exchange ベースのコンテンツの場合、ファイル サイズはメッセージ内のテキストのサイズと添付ファイルのバイト数です。 エクスポートすると、形式は .msg に変換され、.pst または .zip ファイルに追加されます。 どちらの操作も、サイズに大きな影響を与える可能性があります。
    • SharePoint ベースのコンテンツの場合、ファイル サイズはファイルのおおよそのバイト数です。 SharePoint ベースのデータの場合、多くの場合、検索中にファイル サイズを見積もることはできません。

  • 検索結果の見積もりとエクスポートの間に発生する変更: 検索結果をエクスポートすると、検索条件を満たす検索インデックス内の最新の項目が収集されます。 推定検索結果が収集されてから検索結果がエクスポートされた時点までの間に、検索条件を満たす追加のアイテムが作成、送信、または受信された可能性があります。 検索結果をエクスポートする前にコンテンツの場所から削除されるため、検索結果の推定時に検索インデックスに含まれるアイテムが存在しなくなった可能性もあります。 この問題を軽減するには、電子情報開示検索の日付範囲を指定するか、コンテンツの場所を保留にして、アイテムを保持して消去できないようにします。

    推定検索結果とエクスポートされた検索結果の違いをもたらす可能性があるその他の問題は次のとおりです。

    • 日付クエリを使用する場合の項目の増加。 この問題は通常、次の 2 つのことが原因で発生します。

      • SharePoint での保留バージョン管理: 保留中のサイトからドキュメントが削除され、ドキュメントのバージョン管理が有効になっている場合、削除されたドキュメントのすべてのバージョンが保持されます。
      • 予定表アイテム: メッセージと定期的な会議を受け入れて拒否すると、古い日付でバックグラウンドで新しいアイテムが自動的に作成されます。

    • 保留を使用すると、同じアイテムがユーザーのプライマリ メールボックスとアーカイブ メールボックスに保持される場合があります。 この状況は、ユーザーがアイテムをアーカイブに手動で移動したときに発生する可能性があります。

    • まれですが、保留が適用されている場合でも、組み込みの予定表アイテム (ユーザーは編集できませんが、多くの検索結果に含まれる) のメンテナンスは、随時削除される可能性があります。 予定表アイテムを定期的に削除すると、エクスポートされるアイテムが少なくなります。

  • インデックスのないアイテム: 検索のインデックスが付いていないアイテムは、推定検索結果と実際の検索結果の違いを引き起こす可能性があります。 検索結果をエクスポートするときに、インデックスのない項目を含めることができます。 検索結果をエクスポートするときにインデックスのない項目を含めると、エクスポートされる項目が増える可能性があります。 この違いにより、推定検索結果とエクスポートされた検索結果が異なります。

    検索を使用する場合は、検索結果をエクスポートするときにインデックスのない項目を含めることができます。 検索によって返されるインデックスのない項目の数が 統計ページに一覧表示されます。 検索結果をエクスポートするときに、インデックスのない項目を含めるか含めないようにするかを選択できます。 これらのオプションを構成する方法により、推定結果とエクスポートされた実際の結果が異なる場合があります。

  • SharePoint および OneDrive のドキュメント バージョン: SharePoint サイトと OneDrive アカウントを検索する場合、複数のバージョンのドキュメントは、推定検索結果の数に含まれません。 ただし、検索結果をエクスポートするときにドキュメント バージョンを含めるオプションがあります。 検索結果をエクスポートするときにドキュメント バージョンを含めると、エクスポートされたアイテムの実際の数 (および合計サイズ) が増えます。

  • SharePoint フォルダー: SharePoint 内のフォルダーが検索クエリと一致する場合 (たとえば、日付で検索する場合)、検索見積もりには、最後に変更された日付範囲を持つフォルダーの数が含まれます (ただし、それらのフォルダー内のアイテムは含まれません)。 検索結果をエクスポートする場合は、一致するフォルダーのサブフォルダー内のアイテムをエクスポートするか、検索クエリに一致する項目のみを含めるオプションがあります。 このオプションは、エクスポートされた項目の数に影響を与える可能性があります。 フォルダーが空の場合、実際のフォルダーはエクスポートされないため、エクスポートされた実際の検索結果の数は 1 項目だけ減少します。

  • SharePoint リスト: SharePoint リストの名前が検索クエリと一致する場合、検索見積もりにはリスト内のすべての項目の数が含まれます。 検索結果をエクスポートすると、リスト (およびリスト アイテム) が 1 つの CSV ファイルとしてエクスポートされます。 リスト添付ファイルを含むエクスポート設定を選択できます。添付ファイルは別のドキュメントとしてエクスポートされるため、エクスポートされるアイテムの数が増える可能性があります。

  • 未加工のファイル形式とエクスポートされたファイル形式: Exchange アイテムの場合、検索結果の推定サイズは未加工の Exchange メッセージ サイズを使用して計算されます。 ただし、メール メッセージは PST ファイルまたは個々のメッセージとしてエクスポートされます。 どちらのエクスポート オプションでも、未加工の Exchange メッセージとは異なるファイル形式が使用されるため、エクスポートされたファイルの合計サイズが推定ファイル サイズとは異なります。

  • Last updated on