Exchange Online のインプレース電子情報開示
Important
メールボックス コンテンツを検索するさまざまな方法に投資を続ける中で、Exchange Onlineの Exchange 管理センター (EAC) で In-Place 電子情報開示が廃止されるのを発表します。 2020 年 7 月 1 日以降、電子情報開示検索 In-Place 新しく作成することはできません。 ただし、EAC で電子情報開示検索 In-Place 管理することも、PowerShell の Set-MailboxSearch コマンドレットを使用して管理することもできますExchange Online。 ただし、2020 年 10 月 1 日から、電子情報開示検索 In-Place 管理することはできません。 削除できるのは、EAC または Remove-MailboxSearch コマンドレットを使用することだけです。 Exchange Server展開での In-Place 電子情報開示の使用は引き続きサポートされます。 Exchange Onlineでの In-Place 電子情報開示の廃止の詳細については、「従来の電子情報開示ツールの廃止」を参照してください。
organizationが法的検出要件 (組織のポリシー、コンプライアンス、訴訟に関連) に準拠している場合は、Exchange Online PowerShell の電子情報開示 In-Place、メールボックス内の関連コンテンツの検出検索を実行するのに役立ちます。
Important
In-Place 電子情報開示は、適切なアクセス許可を持つユーザーが、Exchange Online organization全体に格納されているすべてのメッセージング レコードにアクセスできるようにする強力な機能です。 探索管理役割グループへのメンバーの追加、メールボックス検索管理役割の割り当て、探索メールボックスへのメールボックスのアクセス許可の割り当てを含む探索アクティビティを制御し、監視することは重要です。
インプレース電子情報開示のしくみ
インプレース電子情報開示では、Exchange Search によって作成されたコンテンツ インデックスを使用します。 ロール ベースのAccess Control (RBAC) は、検出タスクを技術担当者以外の担当者に委任するための探索管理役割グループを提供します。ユーザーが Exchange 構成に対して運用上の変更を加える可能性がある昇格された特権を提供する必要はありません。 Exchange 管理センター (EAC) は、法務および法令遵守責任者、レコード マネージャー、人事 (HR) 担当者などの非技術者に使いやすい検索インターフェイスを提供します。
許可されているユーザーは、メールボックスを選択してから、キーワード、開始日と終了日、送信者と受信者のアドレス、メッセージの種類などの検索条件を指定することによって、インプレース電子情報開示検索を実行できます。 検索が終了したら、許可されているユーザーは次のいずれかの操作を選択できます。
検索結果の見積もり: このオプションは、指定した条件に基づいて、検索によって返されるアイテムの合計サイズと数の見積もりを返します。
検索結果のプレビュー: このオプションは、結果のプレビューを提供します。 検索対象の各メールボックスから返されるメッセージが表示されます。
検索結果のコピー: このオプションを使用すると、メッセージを探索メールボックスにコピーできます。
検索結果のエクスポート: 検索結果を探索メールボックスにコピーした後、PST ファイルにエクスポートできます。
Exchange Search
インプレース電子情報開示では、Exchange Search によって作成されたコンテンツ インデックスを使用します。 Exchange Search では、高度な検索プラットフォームである Microsoft Search Foundation を使用するようになり、インデックス処理と照会のパフォーマンスが大幅に改善され、検索機能も強化されました。 Microsoft Search Foundation は SharePoint 2013 を含む他の Office 製品でも使用されるため、これらの製品の相互運用性と同様のクエリ構文が提供されます。
単一のコンテンツ インデックス作成エンジンでは、電子情報開示要求が IT 部門によって受信されたときに、In-Place 電子情報開示のメールボックス データベースのクロールとインデックス作成に追加のリソースは使用されません。
In-Place 電子情報開示では、Microsoft Outlook および Outlook on the web のインスタント検索で使用される高度なクエリ構文 (AQS) に似たクエリ構文であるキーワード クエリ言語 (KQL) が使用されます。 KQL に慣れているユーザーは、コンテンツ インデックスを検索するために強力な検索クエリを簡単に作成できます。
Exchange 検索によってインデックスが付けられるファイル形式の詳細については、「File Formats Indexed By Exchange Search」を参照してください。
"Discovery Management/検出の管理" 役割グループおよび管理役割
承認されたユーザーが PowerShell In-Place 電子情報開示検索Exchange Online実行するには、それらを Discovery Management ロール グループに追加する必要があります。 この役割グループは、2 つの管理役割で構成されます。メールボックス検索ロールは、ユーザーが電子情報開示検索を In-Place を実行できるようにする役割と、ユーザーがメールボックスを保留または訴訟ホールド In-Place 配置できるようにする訴訟ホールド ロールです。 ロールとロール グループの詳細については、「Exchange Onlineのアクセス許可」を参照してください。
既定では、インプレース電子情報開示の関連のタスクを実行するアクセス許可は、どのユーザーまたは Exchange 管理者にも割り当てられていません。 "Organization Management/組織の管理" 役割グループのメンバーである Exchange 管理者は、ユーザーを "Discovery Management/検出の管理" 役割グループに追加したり、カスタムの役割グループを作成して検索マネージャーのスコープをユーザーのサブセットに絞り込むことができます。 探索管理役割グループへのユーザーの追加の詳細については、「 Exchange での電子情報開示アクセス許可の割り当て」を参照してください。
Important
ユーザーが探索管理役割グループに追加されていない場合、またはメールボックス検索ロールが割り当てられていない場合、In-Place 電子情報開示コマンドレットは、Exchange Online PowerShell では使用できません。
既定で有効になっている RBAC ロールの変更の監査では、検出管理役割グループの割り当てを追跡するために適切なレコードが保持されていることを確認します。 管理者の役割グループ レポートを使用して、管理者の役割グループに対する変更を検索できます。 詳細については、「Search the role group changes or administrator audit logs」を参照してください。
インプレース電子情報開示用のカスタム管理スコープ
カスタム管理スコープを使用すると、特定のユーザーまたはグループが電子情報開示 In-Place 使用して、Exchange Online organization内のメールボックスのサブセットを検索できます。 たとえば、探索マネージャーが特定の場所または部門のユーザーのメールボックスしか検索できないようにする場合を考えます。 これを行うには、検索可能なメールボックスを制御するためのカスタム受信者フィルターを使用したカスタム管理スコープを作成します。 受信者フィルター スコープでは、受信者の種類またはその他の受信者プロパティに基づいて特定の受信者を絞り込むためのフィルターが使用されます。
電子情報開示 In-Place の場合、カスタム スコープの受信者フィルターを作成するために使用できるユーザー メールボックスの唯一のプロパティは 、配布グループのメンバーシップです。 CustomAttributeN、Department、PostalCode などの他のプロパティを使用する場合、カスタム スコープが割り当てられているロール グループのメンバーによって実行されると、検索は失敗します。 詳細については、「 インプレース電子情報開示検索用のカスタム管理スコープを作成する」を参照してください。
探索メールボックス
インプレースの電子情報開示の検索を作成した後、検索結果を対象のメールボックスにコピーできます。 EAC では、探索メールボックスを対象のメールボックスとして選択できます。 検出メールボックスは、次の機能を提供する特殊な種類のメールボックスです。
簡単で安全なターゲット メールボックスの選択: EAC を使用して電子情報開示検索結果 In-Place コピーする場合、検索結果を格納するリポジトリとして使用できるのは検出メールボックスのみです。 組織で使用可能なメールボックスの一覧を調べる必要がありません。 この機能により、検出マネージャーが誤って別のユーザーのメールボックスを選択したり、機密性の高い可能性のあるメッセージを格納するセキュリティで保護されていないメールボックスを選択したりする可能性も排除されます。
大規模なメールボックス ストレージ クォータ: ターゲット メールボックスは、In-Place 電子情報開示検索によって返される可能性のある大量のメッセージ データを格納できる必要があります。 既定では、探索メールボックスには 50 ギガバイト (GB) のメールボックス記憶域クォータがあります。 この記憶域クォータを増やすことはできません。
既定でより安全: すべてのメールボックスの種類と同様に、検出メールボックスには Active Directory ユーザー アカウントが関連付けられています。 ただし、既定では、このアカウントは無効になっています。 探索メールボックスへのアクセスを明示的に承認されたユーザーのみが、メールボックスにアクセスできます。 探索管理役割グループのメンバーには、既定の探索メールボックスへのフル アクセスのアクセス許可が割り当てられています。 作成した追加の探索メールボックスでは、どのユーザーにもメールボックス アクセス許可が割り当てられていません。
Email配信が無効: Exchange アドレス一覧に表示されますが、ユーザーは検出メールボックスに電子メールを送信できません。 配信制限は、検出メールボックスへの電子メール配信を禁止するために使用されます。 この禁止により、探索メールボックスにコピーされた検索結果の整合性が保持されます。
Exchange セットアップでは、表示名 Discovery Search メールボックスを含む 1 つの 探索メールボックスが作成されます。 Exchange Online PowerShell を使用して、追加の探索メールボックスを作成できます。 既定では、作成した探索メールボックスには、メールボックス アクセス許可が割り当てられていません。 探索マネージャーが探索メールボックスにコピーされたメッセージにアクセスできるように、作成した探索メールボックスにフル アクセス許可を割り当てることができます。 詳細については、「探索メールボックスの作成」を参照してください。
また、インプレース電子情報開示は、表示名 [SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}] を持つシステム メールボックスを使用して、インプレース電子情報開示のメタデータを保管します。 システム メールボックスは、EAC や Exchange のアドレス一覧には表示されません。 社内組織では、インプレース電子情報開示のシステム メールボックスが存在するメールボックス データベースを削除する前に、システム メールボックスを別のメールボックス データベースに移動する必要があります。 メールボックスが削除または破損している場合、探索マネージャーはメールボックスを再作成するまで電子情報開示検索を実行できません。 詳細については、「Exchange で既定の探索メールボックスを削除して再作成する」を参照してください。
見積もり、プレビュー、およびコピーの検索結果
In-Place 電子情報開示検索が完了すると、EAC の [詳細 ] ウィンドウで検索結果の見積もりを表示できます。 見積もりには、返されたアイテム数とそれらのアイテムの合計サイズが含まれます。 検索クエリで使用した各キーワードで返されたアイテム数の詳細を返す、キーワードの統計を表示することもできます。 この情報はクエリの有効性を判断するのに役立ちます。 クエリが広すぎる場合は、はるかに大きなデータ セットが返される可能性があり、これを確認するためにより多くのリソースが必要になり、電子情報開示コストが増加する可能性があります。 クエリが非常に絞り込まれている場合は、返されるレコードが著しく少ないかまったくレコードが返されない可能性があります。 見積もりとキーワードの統計を使用すると、クエリが要件に見合うように微調整できます。
注:
キーワード統計には、日付、メッセージの種類、検索クエリで指定された送信者/受信者など、キーワード (keyword)以外のプロパティの統計も含まれます。
検索結果をプレビューして、返されたメッセージに検索対象のコンテンツが含まれていることをさらに確認し、必要に応じてクエリをさらに微調整することもできます。 電子情報開示の検索のプレビューには、各メールボックスの検索で返されたメッセージの数と検索によって返されたメッセージの総数が表示されます。 プレビューは、メッセージを探索メールボックスにコピーする必要なしに素早く生成されます。
検索結果の量と質に問題がなければ、それらを探索メールボックスにコピーします。 メッセージをコピーする場合、次のオプションがあります。
検索できないアイテムを含める: 検索不可と見なされるアイテムの種類の詳細については、前のセクションの電子情報開示の検索に関する考慮事項を参照してください。
重複除去を有効にする: 重複除去は、検索された 1 つ以上のメールボックスで複数のインスタンスが見つかった場合に、一意のレコードの 1 つのインスタンスのみを含めることによってデータセットを減らします。
完全なログ記録を有効にする: 既定では、項目をコピーするときに 基本ログ のみが有効になります。 [ 完全なログ記録 ] を選択すると、検索によって返されるすべてのレコードに関する情報を含めることができます。
コピーが完了したらメールを送信する: 電子情報開示検索 In-Place は、大量のレコードを返す可能性があります。 探索メールボックスに返されたメッセージのコピーに非常に長い時間がかかる場合があります。 コピー プロセスが完了したときに電子メール通知を取得するには、このオプションを使用します。 Outlook on the webを使用して簡単にアクセスできるように、通知には、メッセージのコピー先の探索メールボックス内の場所へのリンクが含まれています。
検索結果を PST ファイルにエクスポートする
検索結果が探索メールボックスにコピーされた後、それらの検索結果を PST ファイルにエクスポートできます。
検索結果を PST ファイルにエクスポートしたら、作業者および他のユーザーは、検索結果で返されたメッセージを Outlook で開いて、レビューまたは印刷できます。 詳細については、「電子情報開示検索の結果を PST ファイルへエクスポート」を参照してください。
別の検索結果
In-Place 電子情報開示はライブ データに対して検索を実行するため、同じコンテンツ ソースの 2 つの検索と同じ検索クエリの使用によって、異なる結果が返される可能性があります。 推定される検索結果も、探索メールボックスにコピーされている実際の検索結果とは異なる場合があります。 この差異は、短時間で同じ検索を再実行する場合でも発生する可能性があります。 検索結果の一貫性に影響を与えるいくつかの要因があります。
Exchange Search は、organizationのメールボックス データベースとトランスポート パイプラインを継続的にクロールしてインデックスを作成するため、受信メールの継続的なインデックス作成。
ユーザーまたは自動プロセスによるメールの削除。
大量の電子メールを一括インポートします。インデックス作成に時間がかかります。
同じ検索についての異なる結果を実際に経験した場合には、コンテンツのための保留にするメールボックスを配置する、ピークタイムを避けて検索を実行する、大量の電子メールをインポートした後のインデックス作成には時間を確保することを検討してください。
インプレース電子情報開示検索のログ
インプレース電子情報開示の検索には 2 種類のログを使用できます。
基本的なログ記録: 基本的なログ記録は、すべての In-Place 電子情報開示検索に対して既定で有効になっています。 基本ログには、検索およびその検索を実行したユーザーに関する情報が含まれます。 基本ログについて取得された情報は、検索結果が格納されるメールボックスに送信される電子メール メッセージの本文に表示されます。 このメッセージは、検索結果を格納するために作成されたフォルダーに保存されています。
フル ログ: フル ログには、検索によって返されるすべてのメッセージに関する情報が含まれます。 この情報はコンマ区切り値 (.csv) ファイルの形式で提供され、基本ログの情報を含む電子メール メッセージに添付されます。 .csv ファイルの名前には検索の名前が使用されます。 この情報は、法令遵守または記録保持のために必要になる可能性があります。 詳細ログを有効にするには、EAC で検索結果を探索メールボックスにコピーするときに、 詳細ログを有効にするオプションを選択する必要があります。 PowerShell Exchange Online使用している場合は、LogLevel パラメーターを使用して完全なログ オプションを指定します。
注:
Exchange Online PowerShell を使用して In-Place 電子情報開示検索を作成または変更する場合は、ログ記録を無効にすることもできます。
Exchange では、検索結果を探索メールボックスにコピーするときに含まれる検索ログに加えて、EAC または Exchange Online PowerShell で使用されるコマンドレットをログに記録して、電子情報開示検索 In-Place 作成、変更、または削除します。 この情報は、管理者監査ログ エントリに記録されます。 詳細については、「管理者監査ログを表示する」を参照してください。
インプレース電子情報開示およびインプレース保持
電子情報開示要求の一環として、訴訟または捜査が決着するまでメールボックスのコンテンツの保持が必要となる可能性があります。 メールボックス ユーザーによって削除または変更されたメッセージまたはすべての処理も保持する必要があります。 この保持は、In-Place Hold を使用して実現されます。 詳細については、「インプレース保持と訴訟ホールド」を参照してください。
次の点に注意してください。
このオプションを使用して、すべてのメールボックスを検索することはできません。 メールボックスまたは配布グループを選択する必要があります。
[イン プレースホールド ] オプションにも検索が使用されている場合、In-Place 電子情報開示検索を削除することはできません。 最初に、検索 で [インプレースホールド] オプションを無効にしてから、検索を削除する必要があります。
インプレース電子情報開示目的のメールボックスの保持
従業員が組織を離れる際、通常はメールボックスを無効化または削除します。 メールボックスを無効にすると、ユーザー アカウントから切断されますが、既定では 30 日間メールボックスに残ります。 マネージド フォルダー アシスタントでは、切断されたメールボックスは処理されず、この期間中は保持ポリシーは適用されません。 切断されたメールボックスのコンテンツは検索できません。 メールボックス データベースに対して構成された、削除されたメールボックスの保持期間が経過すると、そのメールボックスはメールボックス データベースから削除されます。
Important
Exchange Onlineでは、電子情報開示 In-Place、非アクティブなメールボックス内のコンテンツを検索できます。 非アクティブなメールボックスとは、インプレース保持または訴訟ホールドに置かれた後、削除されたメールボックスのことです。 非アクティブなメールボックスは、保留されている限り保持されます。 非アクティブなメールボックスが In-Place 保留から削除された場合、または訴訟ホールドが無効になっている場合は、完全に削除されます。 詳細については、「 非アクティブなメールボックスの作成と管理」を参照してください。
オンプレミスの展開では、organizationで、organizationにいない従業員のメッセージに保持設定を適用する必要がある場合や、進行中または将来の電子情報開示検索のために元従業員のメールボックスを保持する必要がある場合は、メールボックスを無効にしたり削除したりしないでください。 次の手順を実行して、メールボックスにアクセスできないようにし、新しいメッセージが配信されないようにすることができます。
Active Directory ユーザー & コンピューターまたはその他の Active Directory またはアカウント プロビジョニング ツールまたはスクリプトを使用して、Active Directory ユーザー アカウントを無効にします。 この無効化により、関連付けられているユーザー アカウントを使用してメールボックスにサインインできなくなります。
Important
フル アクセス メールボックスのアクセス許可を持つユーザーは、引き続きメールボックスにアクセスできます。 他のユーザーによるアクセスを禁止するには、メールボックスからフル アクセス許可を削除する必要があります。 メールボックスに対するフル アクセス メールボックスのアクセス許可を削除する方法については、「 受信者のアクセス許可を管理する」を参照してください。
メールボックス ユーザーから送信またはメールボックス ユーザーが受信するメッセージのサイズ制限を非常に低い値 (たとえば、1 KB) に設定します。 この制限により、メールボックスとの間で新しいメールが配信されなくなります。
メールボックスにメッセージを送信できないように、メールボックスの配信制限を構成します。 詳細については、「 メールボックスのメッセージの配信制限を構成する」を参照してください。
Important
組織に必要な他のアカウント管理プロセスでも上記の手順を実行する必要がありますが、メールボックスの無効化または削除、または関連ユーザー アカウントの削除は不要です。
メッセージング保持管理 (MRM) または電子情報開示のために、メールボックス保存の実施を計画する場合は、従業員回転率を考慮する必要があります。 元従業員のメールボックスを長期保存するには、関連するユーザー アカウントも同じ期間保存しなければならないため、メールボックス サーバーにストレージを追加する必要があり、結果として Active Directory データベースの増加に繋がります。 さらに、組織のアカウント プロビジョニングや管理プロセスの変更が必要になる可能性もあります。
インプレース電子情報開示のドキュメント
次の表には、インプレース電子情報開示の理解と管理に役立つトピックへのリンクが含まれています。
| トピック | 説明 |
|---|---|
| Exchange の電子情報開示のアクセス許可を割り当てる | EAC でインプレース電子情報開示を使用して Exchange メールボックスを検索するためのユーザー アクセス権を付与する方法について説明します。 ユーザーを探索管理役割グループに追加すると、SharePoint 2013 と SharePoint Online で電子情報開示センターを使用して Exchange メールボックスを検索することもできます。 |
| 証拠開示用メールボックスの作成 | Exchange Online PowerShell を使用して探索メールボックスを作成し、アクセス許可を割り当てる方法について説明します。 |
| インプレース電子情報開示のためのメッセージ プロパティと検索演算子 | インプレース電子情報開示を使用して検索できる電子メール メッセージのプロパティについて説明します。 各プロパティの構文例、 AND や OR などの検索演算子についての情報、二重引用符 (" ") やプレフィックス ワイルドカードの使用などの他の検索クエリ技法に関する情報を提供します。 |
| In-Place 電子情報開示の検索制限 | Microsoft 365 またはOffice 365組織の電子情報開示サービスの正常性と品質を維持するのに役立つ、Exchange Onlineの電子情報開示の制限 In-Place について説明します。 |
| 電子情報開示検索の結果を PST ファイルへエクスポート | 電子情報開示検索結果を PST ファイルにエクスポートする方法について説明します。 |
| インプレース電子情報開示検索用のカスタム管理スコープを作成する | カスタム管理スコープを使用して探索マネージャーが検索可能なメールボックスを制限する方法について説明します。 |
| メール メッセージを検索して削除する | コンテンツ検索を使用してメール メッセージを検索して削除する方法について説明します。 |
| Exchange の証拠開示用メールボックスのサイズを小さくする | このプロセスを使用して、50 GB を超える検出メールボックスのサイズを小さくします。 |
| Exchange で既定の証拠開示用メールボックスを削除して再作成する | 既定の探索メールボックスを削除、再作成し、アクセス許可をもう一度割り当てる方法について説明します。 このメールボックスが 50 GB の制限を超えている場合、および検索結果が不要な場合は、この手順を使用します。 |
Microsoft Purview での電子情報開示の詳細については、「 電子情報開示の概要 (Standard)」を参照してください。