電子情報開示で電子メール メッセージを検索および削除する (プレビュー)
ヒント
この記事は管理者向けです。 削除するメールボックス内のアイテムを検索しようとしていますか? 「 インスタント検索でメッセージまたはアイテムを検索する」を参照してください。
検索機能を使用して、organization内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 このプロセスは、次のような有害なメールや危険度の高いメールを見つけて削除するのに役立ちます。
- 危険性のある添付ファイルやウイルスを含むメッセージ
- フィッシング メッセージ
- 機密データを含むメッセージ
ヒント
組織に Office 365 プラン 2 の Defender サブスクリプションがある場合は、この記事で説明する手順に従うのではなく、Office 365 で配信された悪意のあるメールの修復に関する手順を使用することをお勧めします。
始める前に
この記事で説明されている検索と消去のワークフローでは、Microsoft Teams からチャット メッセージやその他のコンテンツは削除されません。 手順 2 で作成した検索でMicrosoft Teamsから項目が返された場合、手順 3 でアイテムを消去しても、それらの項目は削除されません。 チャット メッセージを検索および削除するには、「 Teams でのチャット メッセージの検索と消去」 を参照してください。
検索を作成して実行するには、 電子情報開示マネージャー の役割グループのメンバーであるか、Microsoft Purview ポータルで コンプライアンス検索 ロールを割り当てる必要があります。 メッセージを削除するには、 組織管理 役割グループのメンバーであるか、Microsoft Purview ポータルで 検索および消去 ロールを割り当てる必要があります。役割グループへのユーザーの追加については、「 電子情報開示のアクセス許可を割り当てる」を参照してください。
注:
組織管理役割グループは、Exchange Onlineと Microsoft Purview ポータルの両方に存在します。 これらは、異なる権限を持つ個別の役割グループです。 Exchange Online で 組織の管理 のメンバーであっても、メール メッセージを削除するために必要なアクセス許可は付与されません。 Microsoft Purview ポータルで 検索および消去 ロールを割り当てていない場合 (直接、または 組織の管理などの役割グループを介して)、 New-ComplianceSearchAction コマンドレットを実行すると、"パラメーター名 'Purge' と一致するパラメーターが見つかりません" というメッセージが表示され、手順 3 でエラーが表示されます。
メッセージを削除するには、セキュリティ/コンプライアンス PowerShell を使用する必要があります。 接続方法については、「手順 1: セキュリティ/コンプライアンス PowerShell に接続する」を参照してください。
メールボックスごとに最大 10 個のアイテムを一度に削除できます。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。
メールボックスから追加のアイテムを削除する必要がある場合は、追加の手順が必要です。
- メールボックスの 1 つのアイテム保持 を無効にする必要があります。 これにより、アイテムが Purges フォルダーから削除されます
- 管理フォルダー アシスタントは、各コンプライアンス消去アクションの後にメールボックスに対して実行する必要があります。 このアクションにより、項目が完全に削除され、追加の消去アクションを使用して追加の 10 個の項目を削除できます。
注:
メールボックスに 訴訟ホールドがある場合、このオプションはサポートされません。 ユーザーのビューから削除される項目は 10 個のみです。 これらの 10 個のアイテムは完全に削除されないため、処理されるアイテムは 10 個のみです。
コンテンツ検索で検索と削除アクションを実行してアイテムを削除するために使用できるメールボックスの最大数は 50,000 個です。 ( 手順 2 で作成した) 検索で 50,000 を超えるメールボックスを検索した場合、消去アクション (手順 3 で作成した) は失敗します。 1 回の検索で 50,000 個を超えるメールボックスを検索するのは、通常、組織内のすべてのメールボックスを検索に含めるように構成した場合です。 この制限は、検索クエリに一致するアイテムが 50,000 個未満のメールボックスに含まれている場合でも適用されます。 検索のアクセス許可を使用して 50,000 個を超えるメールボックスからアイテムを検索および消去する方法については、「詳細情報」セクションを参照してください。
この記事の手順は、Exchange Online のメールボックスとパブリック フォルダーにあるアイテムを削除する場合にのみ使用できます。 これを使用して SharePoint サイトまたは OneDrive サイトからコンテンツを削除することはできません。
電子情報開示ケースのレビュー セット内のアイテムEmail、この記事の手順を使用して削除することはできません。 これは、レビュー セット内のアイテムはライブ サービスではなく、Azure ストレージの場所に保存されるからです。 これは、手順 1 で作成したコンテンツ検索では返されないことを意味します。 レビュー セット内のアイテムを削除するには、レビュー セットを含む電子情報開示ケースを削除する必要があります。
手順 1: セキュリティ/コンプライアンス PowerShell に接続する
最初の手順は、organizationの Security & Compliance PowerShell に接続することです。 詳細な手順については、「セキュリティ/コンプライアンス PowerShell への接続」を参照してください。
手順 2: 削除するメッセージを検索する検索クエリを作成する
2 番目の手順は、検索を作成して実行して、organization内のメールボックスから削除するメッセージを見つけることです。 検索を作成するには、 Microsoft Purview ポータル を使用するか、Security & Compliance PowerShell で New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行します。 この検索のクエリに一致するメッセージは、手順 3 で New-ComplianceSearchAction -Purge コマンドを実行して削除されます。 検索クエリの作成と構成の詳細については、次の記事を参照してください。
注:
この手順で作成した検索クエリで検索されるコンテンツの場所には、SharePoint サイトまたは OneDrive サイトを含めることはできません。 メールボックスとパブリック フォルダーは、メール メッセージに使用される検索にのみ含めることができます。 検索にサイトが含まれている場合は、 New-ComplianceSearchAction コマンドレットを実行すると、手順 3 でエラーが表示されます。
削除するメッセージを見つけるためのヒント
検索クエリの目標は、削除するメッセージだけに検索結果を絞り込むことです。 次にヒントを示します。
- メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。
- メッセージの正確な日付 (または期間) がわかる場合は、検索クエリに Received プロパティを含めます。
- メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。
- 検索結果をプレビューして、検索が、削除を希望するメッセージだけを返したことを確認します。
- 検索見積もり統計 (Microsoft Purview ポータルの検索の詳細ウィンドウに表示されるか、 Get-ComplianceSearch コマンドレットを使用して表示) を使用して、結果の合計数のカウントを取得します。
不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。
このクエリは、2024 年 4 月 13 日から 2024 年 4 月 14 日の間にユーザーが受信したメッセージと、件名に "action" と "required" という単語が含まれているメッセージを返します。
(Received:4/13/2024..4/14/2024) AND (Subject:'Action required')このクエリは、 user@contoso.com によって送信され、件名行に「アカウント情報を更新する」という正確な語句を含むメッセージを返します。
(From:user@contoso.com) AND (Subject:"Update your account information")
次に示す例では、New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行することにより、クエリを使用して検索を作成して開始し、組織内のすべてのメールボックスを検索します。
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity
手順 3: メッセージを削除する
削除するメッセージを返す検索クエリを作成して絞り込んだ後、最後の手順は、Security & Compliance PowerShell で New-ComplianceSearchAction -Purge コマンドを実行してメッセージを削除することです。
メッセージは、論理的に削除することも、物理的に削除することもできます。 論理的に削除したアイテムは、ユーザーの [回復可能なアイテム] フォルダーに移動され、削除済みアイテムの保持期間が切れるまで保持されます。 ハード削除されたメッセージは、メールボックスから完全に削除されるようにマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに完全に削除されます。 メールボックスに対して単一アイテムの回復が有効になっている場合、削除済みアイテムの保持期間の有効期限が切れた後、ハード削除されたアイテムは完全に削除されます。 メールボックスが保留中になっている場合は、削除したメッセージは、そのアイテムの保留期間が切れるか、その保留がメールボックスから削除されるまで保持されます。
注:
前述のように、 New-ComplianceSearchAction -Purge コマンドを実行すると、検索クエリによって返されるMicrosoft Teamsの項目は削除されません。
次のコマンドを実行してメッセージを削除するには、セキュリティ/コンプライアンス PowerShell に接続していることを確認して下さい。
メッセージの論理的な削除
次の例では、 コマンドは、"フィッシング メッセージの削除" という名前の検索クエリによって返される検索結果を論理的に削除します。
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
メッセージの物理的な削除
"Remove Phishing Message" コンテンツ検索によって返されたアイテムを物理的に削除するには、次のコマンドを実行します:
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete
前のコマンドを実行してメッセージを論理的またはハード削除する場合、 SearchName パラメーターで指定された検索は、手順 1 で作成した検索クエリです。
詳細については、「New-ComplianceSearchAction」を参照してください。
詳細情報
検索と削除の操作の状態を取得するにはどうすればよいですか?
Get-ComplianceSearchAction を実行すると、その削除操作の状態を取得できます。 New-ComplianceSearchAction コマンドレットの実行時に作成されるオブジェクトには、
<name of Content Search>_Purgeという形式で名前が付けられます。メッセージを削除するとどうなりますか?
New-ComplianceSearchAction -Purge -PurgeType HardDeleteコマンドを使用して削除されたメッセージは Purges フォルダーに移動され、ユーザーはアクセスできません。 メッセージが Purges フォルダーに移動された後、メールボックスに対して単一アイテムの回復が有効になっている場合、削除されたアイテムの保持期間はメッセージが保持されます。 (Microsoft 365 では、新しいメールボックスが作成されたときに、単一アイテムの回復が既定で有効になります)。削除されたアイテムの保持期間の有効期限が切れると、メッセージは永続的な削除としてマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに Microsoft 365 から消去されます。New-ComplianceSearchAction -Purge -PurgeType SoftDeleteコマンドを使用すると、メッセージは、ユーザーの回復可能なアイテム フォルダーの Deletions フォルダーに移動されます。 Microsoft 365 から直ちに削除されることはありません。 ユーザーは、メールボックスに構成されている削除したアイテムの保持期間に基づき、その期間は削除済みアイテム フォルダーのメッセージを復元できます。 この保持期間を過ぎるか、過ぎる前にユーザーがメッセージを消去すると、メッセージは Purges フォルダーに移動され、ユーザーはアクセスできなくなります。 Purges フォルダーに移動されたメッセージは、そのメールボックスで単一アイテムの回復が有効になっている場合、メールボックスに構成されている削除済みアイテムの保持期間が切れるまで保持されます。 (Microsoft 365 では、新しいメールボックスが作成されたときに、単一アイテムの回復が既定で有効になります)。削除されたアイテムの保持期間の有効期限が切れると、メッセージは永続的な削除としてマークされ、次に管理フォルダー アシスタントによってメールボックスが処理されるときに Microsoft 365 から消去されます。50,000 を超えるメールボックスからメッセージを削除するにはどうすればよいですか?
最大 50,000 個のメールボックスに対して検索および消去操作を実行できます (50,000 未満に検索クエリに一致するアイテムが含まれている場合でも)。 50,000 を超えるメールボックスに対して検索と削除の操作を実行する必要がある場合は、検索対象となるメールボックスの数を 50,000 未満に減らす一時的な検索権限フィルターを作成することをご検討ください。 たとえば、organizationにさまざまな部署、州、国/地域のメールボックスが含まれている場合は、それらのメールボックスのプロパティのいずれかに基づいてメールボックス検索アクセス許可フィルターを作成して、organization内のメールボックスのサブセットを検索できます。 検索権限フィルターを作成したら、検索を作成 (手順 1 を参照) し、メッセージを削除 (手順 3 を参照) します。 その後、フィルターを編集し、別のメールボックスのセット内のメッセージを検索して削除できます。 検索アクセス許可フィルターの作成の詳細については、「 電子情報開示 (プレビュー)で検索アクセス許可フィルターを構成する」を参照してください。
検索結果に含まれるインデックスのないアイテムも削除されますか?
いいえ。'New-ComplianceSearchAction -Purge コマンドでは、インデックスのない項目は削除されません。
訴訟ホールドに設定されているか、Microsoft 365 アイテム保持ポリシーに割り当てられているメールボックスからメッセージが削除された場合はどうなりますか?
消去されて Purges フォルダーに移動されたメッセージは、保持期間が切れるまで保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。
検索と削除ワークフローが異なる Microsoft Purview ポータルの役割グループに分割されているのはなぜですか?
ユーザーは、 電子情報開示マネージャー 役割グループのメンバーであるか、メールボックスを検索するために コンプライアンス検索管理 役割を割り当てられている必要があります。 メッセージを削除するには、 ユーザーが組織管理 役割グループのメンバーであるか、 検索および消去管理 ロールを割り当てられている必要があります。 この制限によって、組織のメールボックスを検索できるユーザーとメッセージを削除できるユーザーを制御できます。