次の方法で共有

電子情報開示でのメールボックス内のコンテンツの検索 (プレビュー)

  • [アーティクル]

多くの場合、管理者は、進行中または潜在的な訴訟、内部調査、およびその他のシナリオに関する要求に対応するために、最も効率的かつ効果的な方法で何を知っていたかを知ったユーザーを特定する責任があります。 多くの場合、これらの要求は緊急で、複数の利害関係者チームが関与し、タイムリーに完了しないと大きな影響を与えます。 適切な情報を見つける方法を知ることは、管理者が検索を正常に完了し、組織が電子情報開示要件に関連するリスクとコストを管理するのに役立つ重要な情報です。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

電子情報開示要求が送信されると、多くの場合、管理者が特定の調査に関連する可能性のあるコンテンツの収集を開始できる部分的な情報しかありません。 要求には、従業員の名前、プロジェクトタイトル、プロジェクトがアクティブだったときに大まかな日付範囲などが含まれる場合があります。 この情報から、管理者は、Microsoft 365 サービス全体で関連コンテンツを検索するクエリを作成して、特定のプロジェクトまたはサブジェクトに必要な情報を決定する必要があります。 これらのサービスに関する情報の保存と管理方法を理解することで、管理者は必要なものを迅速かつ効果的に効率的に見つけることができます。

Email、チャット、会議、Microsoft 365 Copilot Microsoft Copilotアクティビティ データ (ユーザー プロンプトと Copilot 応答) はすべてExchange Onlineに格納されます。 Exchange Onlineに含まれるアイテムを検索するために、多くの通信プロパティを使用できます。 FromSentSubjectTo などの一部のプロパティは特定のアイテムに固有であり、SharePoint と OneDrive でファイルやドキュメントを検索する場合には関係ありません。 ワークロード間で検索するときにこれらの種類のプロパティを含めると、予期しない結果が生じることがあります。

たとえば、Tradewinds というプロジェクトに関連付けられている特定の従業員 (ユーザー 1ユーザー 2) に関連するコンテンツを見つけるには、2020 年 1 月から 2022 年 1 月の間に、次のプロパティを持つクエリを使用できます。

  • ユーザー 1 とユーザー 2 のExchange Onlineの場所をデータ ソースとしてケースに追加する
  • [ユーザー 1] と [ユーザー 2 のExchange Onlineの場所] をデータ ソースとして選択します。
  • キーワードの場合は、Tradewinds を使用します
  • [日付範囲] には、2020 年 1 月 1 日から 20221 月 31 日の範囲を使用します

重要

電子メールの場合、キーワード (keyword)を使用すると、参加者に関連する件名、本文、および多くのプロパティが検索されます。 ただし、受信者の拡張により、エイリアスまたはエイリアスの一部を使用する場合、検索で予期される結果が返されないことがあります。 そのため、完全な UPN を使用することをお勧めします。

検索可能なメール プロパティ

次の表に、Microsoft Purview ポータルの電子情報開示検索ツールを使用するか、 New-ComplianceSearch コマンドレットまたは Set-ComplianceSearch コマンドレットを使用して検索できる電子メール メッセージ プロパティを示します。

重要

電子メール メッセージには他の Microsoft 365 サービスでサポートされている他のプロパティが含まれている場合があります。電子情報開示検索ツールでは、この表に記載されている電子メール プロパティのみがサポートされています。 検索に他のメール メッセージ プロパティを含めようとすることはサポートされていません。

テーブルには、各 プロパティの property:value 構文の例と、例によって返される検索結果の説明が含まれています。 電子情報開示検索のキーワード ボックスに、これらの property:value ペアを入力できます。

注:

電子メールのプロパティを検索する場合、メッセージ ヘッダーを検索することはできません。 ヘッダー情報は、検索のインデックスが作成されません。 また、指定したプロパティが空または空白の項目は検索できません。 たとえば、件名が空のメール メッセージを検索するときにsubject:"" というプロパティと値の組み合わせを使用した場合、結果は返されません。 これは、サイトと連絡先のプロパティの検索時にも当てはまります。

プロパティ プロパティの説明 例で返される検索結果
AttachmentNames メール メッセージに添付されているファイルの名前。 attachmentnames:annualreport.ppt

attachmentnames:annual*

 という名前の添付ファイルを持つメッセージ annualreport.ppt。 2 番目の例では、ワイルドカード文字 ( * ) を使用すると、添付ファイルのファイル名に annual という単語を含むメッセージが返されます。1
Bcc メール メッセージの Bcc フィールド。1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

 すべての例では、Bcc フィールドに Pilar Pinilla が含まれているメッセージが返されます。
(「受信者の拡張」を参照)
カテゴリ 検索するカテゴリ。 カテゴリは、ユーザーが Outlook または Outlook on the web (旧称: Outlook Web App) を使用して定義できます。 値は次のいずれかです。
  • green
  • orange
  • purple
  • red
  • yellow
 category:"Red Category" ソース メールボックスの 赤い カテゴリが割り当てられているメッセージ。
Cc メール メッセージの Cc フィールド。1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

 どちらの例でも、Cc フィールドに Pilar Pinilla が指定されたメッセージ。
(「受信者の拡張」を参照)
Folderid 48 文字形式の特定のメールボックス フォルダーのフォルダー ID (GUID)。 このプロパティを使う場合は、必ず指定したフォルダーが存在するメールボックスを検索するようにします。 指定したフォルダーのみが検索されます。 フォルダー内のサブフォルダーは検索されません。 サブフォルダーを検索するには、検索するサブフォルダーの Folderid プロパティを使用する必要があります。

Folderid プロパティの検索とスクリプトを使用して特定のメールボックスのフォルダー ID を取得する方法の詳細については、「ターゲット検索」を参照してください。

 folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

 最初の例では、指定したメールボックス フォルダー内のすべてのアイテムが返されます。 2 番目の例では、 garthf@contoso.comによって送受信された指定されたメールボックス フォルダー内のすべてのアイテムを返します。
送信元 メール メッセージの送信者。1 from:pilarp@contoso.com 指定したユーザーによって送信されたメッセージ。
(「受信者の拡張」を参照)
HasAttachment メッセージに添付ファイルがあるかどうかを示します。 値 true または false を使用します。 from:pilar@contoso.com AND hasattachment:true 指定したユーザーによって送信された添付ファイルを含むメッセージ。
Importance 送信者がメッセージを送信するときに指定できる電子メール メッセージの重要度。 既定では、送信者が重要度を high または low に設定していない限り、メッセージは普通の重要度で送信されます。 importance:high

importance:medium

importance:low

 高重要度、中重要度、または低重要度とマークされているメッセージ。
IsRead メッセージが既読か未読かを示します。 値 true または false を使用します。 isread:true

isread:false

 最初の例では、IsRead プロパティを True に設定されているメッセージが返されます。 2 番目の例では、IsRead プロパティが False に設定されているメッセージが返されます。
ItemClass このプロパティは、組織が Office 365 にインポートした特定のサード パーティのデータ型を検索するときに使います。 このプロパティには、次の構文を使用します。 itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

 最初の例では、Subject プロパティに "contoso" という単語が含まれる Facebook アイテムが返されます。 2 番目の例では、Ann Beebe によって投稿された、"Northwind Traders" というキーワード語句を含む Twitter アイテムが返されます。
Kind 検索するメール メッセージの種類。 可能な値:

contacts

docs

email

externaldata

faxes

im

journals

meetings

microsoftteams (Microsoft Teams のチャット、会議、通話のアイテムが返されます)

notes

posts

rssfeeds

tasks

voicemail

 kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

 最初の例では、検索条件に一致するメール メッセージが返されます。 2 番目の例では、検索条件に一致するメール メッセージ、インスタント メッセージ、会話 (Skype for Business の会話と Microsoft Teams のチャットを含みます) ボイス メッセージが返されます。 3 番目の例では、Microsoft 365 のメールボックスにインポートされたアイテムを、検索基準を満たす Twitter、Facebook、Cisco Jabber などのサード パーティのデータ ソースから返します。 詳細については、「Office 365 でサードパーティのデータをアーカイブする」を参照してください。
Participants メール メッセージのすべての送受信者フィールド。 すなわち、[差出人]、[宛先]、[Cc]、[Bcc] の各フィールドです。1 participants:garthf@contoso.com

participants:contoso.com

 garthf@contoso.comによって送信または送信されるメッセージ。 2 番目の例は、contoso.com ドメイン内のユーザーが送信元または送信先のすべてのメッセージを返します。
(「受信者の拡張」を参照)
Received 電子メール メッセージが受信者によって受信された日付。 received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

 2021 年 4 月 15 日に受信されたメッセージ。 2 番目の例では、2021 年 1 月 1 日から 2021 年 3 月 31 日の間に受信したすべてのメッセージを返します。
Recipients メール メッセージのすべての受信者フィールド。 すなわち、[宛先]、[Cc]、[Bcc] の各フィールドです。1 recipients:garthf@contoso.com

recipients:contoso.com

 garthf@contoso.comに送信されるメッセージ。 2 番目の例では、contoso.com ドメイン内のすべての受信者に送信されたメッセージを返します。
(「受信者の拡張」を参照)
Sent 送信者によって電子メール メッセージが送信された日付。 sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

 指定された日付に送信された、または指定された日付範囲内に送信されたメッセージ。
Size アイテムのサイズ (バイト数)。 size>26214400

size:1..1048567

 25 MB を超えるメッセージ。 2 番目の例では、1 ~ 1,048,567 バイト (1 MB) のサイズのメッセージが返されます。
Subject 電子メール メッセージの件名行に含まれるテキスト。

注: クエリで Subject プロパティを使用すると、検索するテキストが件名に含まれているすべてのメッセージが返されます。 つまり、完全一致のメッセージのみがクエリで返されるわけではありません。 たとえば、 subject:"Quarterly Financials"を検索すると、"四半期財務 2018" という件名のメッセージが結果に含まれます。

 subject:"Quarterly Financials"

subject:northwind

 件名行のテキストのいずれかの箇所に "Quarterly Financials" を含むメッセージ。 2 番目の例では、件名行に「northwind」の語が含まれているすべてのメッセージを返します。
To メール メッセージの To フィールド。1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

 いずれの例も、To: 行に "Ann Beebe" が指定されているメッセージを返します。

注:

1 受信者プロパティの値には、電子メール アドレス (ユーザー プリンシパル名 (UPN とも呼ばれます)、表示名、またはエイリアスを使用してユーザーを指定できます。 たとえば、 annb@contoso.com、annb、または "Ann Beebe" を使用して、ユーザー Ann Beebe を指定できます。

検索可能な機密情報の種類

Microsoft Purview ポータルの電子情報開示検索ツールを使用して、メールボックス内のドキュメントに格納されているクレジット カード番号や社会保障番号などの機密データを検索できます。 これを行うには、SensitiveTypeプロパティと機密情報の名前 (または ID) をキーワード クエリで使います。 たとえば、クエリ SensitiveType:"Credit Card Number" は、クレジット カード番号が含まれているドキュメントを返します。 クエリ SensitiveType:"U.S. Social Security Number (SSN)" は、米国の社会保障番号を含むドキュメントを返します。

検索できる機密情報の種類の一覧を表示するには、Microsoft Purview ポータルで データ分類>センシブ情報の種類に関するページ を参照してください。 または、Security & Compliance PowerShell の Get-DlpSensitiveInformationType コマンドレットを使用して、機密情報の種類の一覧を表示することもできます。

受信者の展開

受信者プロパティ (From、To、Cc、Bcc、Participants、Recipients) を検索する場合、Microsoft 365 では、Microsoft Entra IDで検索することで、各ユーザーの ID を拡張しようとします。 Microsoft Entra IDでユーザーが見つかった場合、クエリが展開され、ユーザーのメール アドレス (または UPN)、エイリアス、表示名、LegacyExchangeDN が含まれます。 たとえば、participants:ronnie@contoso.com などのクエリは、participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>" に拡張されます。

受信者の拡張を防ぐには、メール アドレスの末尾にワイルドカード文字 (アスタリスク) を追加し、たとえば、短縮したドメイン名を使用します。 participants:"ronnie@contoso*" 必ず、二重引用符でメール アドレスを囲みます。

検索クエリで受信者が展開されないようにすると、検索結果に関連する項目が返されない可能性があります。 Exchange のメール メッセージは、受信者フィールドに異なるテキスト形式で保存できます。 受信者の拡張は、異なるテキスト形式を含む可能性のあるメッセージを返して、この事実を軽減することを目的としています。 受信者の拡張を防ぐと、検索クエリが調査に関連する可能性のあるすべてのアイテムを返さない結果になる可能性があります。

注:

受信者の拡張のために検索クエリによって返されるアイテムを確認または削減する必要がある場合は、プレミアム電子情報開示機能の使用を検討してください。 受信者の拡張を利用してメッセージを検索し、それをレビュー セットに追加し、レビュー セットのクエリまたはフィルターを使用して結果を確認または絞り込みます。

電子情報開示用のExchange Online メールボックスに格納されているコンテンツ

Exchange Onlineのメールボックスは、主に、メッセージ、予定表アイテム、タスク、メモなどの電子メール関連のアイテムを格納するために使用されます。 しかし、クラウドベースのアプリがユーザーのメールボックスにデータを格納するにつれて変化しています。 メールボックスにデータを格納する利点の 1 つは、コンテンツ検索、Microsoft Purview eDiscovery (Standard)、電子情報開示 (プレビュー) の検索ツールを使用して、これらのクラウドベースのアプリからデータを検索、表示、エクスポートできることです。

これらのアプリの一部のデータは、メールボックス内の非対人メッセージ (非 IPM) サブツリーにある非表示フォルダーに格納されます。 他のクラウドベースのアプリのデータはメールボックス 格納されていない可能性がありますが、メールボックス に関連付けられている ため、検索で返されます (そのデータが検索クエリと一致する場合)。 クラウドベースのデータがユーザー メールボックスに格納されているか、ユーザー メールボックスに関連付けられているかに関係なく、通常、ユーザーがメールボックスを開いたときに、データは電子メール クライアントに表示されません。

次の表に、クラウドベースのメールボックスにデータを格納または関連付けるアプリの一覧を示します。 この表では、各アプリが生成するコンテンツの種類についても説明します。

Microsoft 365 アプリ 説明
Forms* フォームへのFormsと応答は、電子メール メッセージに添付され、フォームを作成したユーザーのメールボックスの非表示フォルダーに格納されているファイルに格納されます。 2020 年 4 月より前に作成されたFormsは、PDF ファイルとして保存されます。 2020 以降に作成されたFormsは、JSON ファイルとして格納されます。 フォームへの応答は CSV ファイルに格納されます。 PST ファイルのFormsからコンテンツをエクスポートすると、このデータは、次のグローバルに一意の識別 (GUID): c9a559d2-7aab-4f13-a6ed-e7e9c52aec87 という名前のサブフォルダーの ApplicationDataRoot フォルダーにあります。
Microsoft 365 グループ メッセージ、予定表アイテム、連絡先 (People)、メモ、タスクのEmailは、Microsoft 365 グループに関連付けられているメールボックスに格納されます。
Microsoft 365 CopilotとMicrosoft Copilot サポートされている Microsoft 365 アプリとサービスで生成されたすべての Copilot アクティビティ データ (ユーザー プロンプトと Copilot 応答) は、カストディアン メールボックスに格納されます。
Outlook/Exchange Online Emailメッセージ、予定表アイテム、連絡先 (People)、メモ、タスクは、ユーザーのメールボックスに格納されます。
連絡先 People アプリの連絡先 (Outlook でアクセスできる連絡先と同じ連絡先) は、ユーザーのメールボックスに格納されます。
クラス スケジュール クラス スケジュールで作成されたプランは、新しいプランの作成時にプロビジョニングされる対応する Microsoft 365 グループのメールボックスに格納されます。 グループ メールボックスのエイリアスは、プランの名前です。
Skype for Business Skype for Business内の会話は、ユーザーのメールボックスの [会話履歴] フォルダーに格納されます。 Skype 会議の参加者のメールボックスが 訴訟ホールド に配置されているか、 アイテム保持ポリシーに割り当てられている場合、会議に添付されたファイルは参加者メールボックスに保持されます。
Sway* Sways は、電子メール メッセージに添付され、sway を作成したユーザーのメールボックスの非表示フォルダーに格納される HTML ファイルとして格納されます。 PST ファイルのSwayからコンテンツをエクスポートする場合、このデータは、次の GUID を持つという名前のサブフォルダーの ApplicationDataRoot フォルダーにあります。 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba
タスク タスク アプリのタスク (Outlook でアクセスできるタスクと同じタスク) は、ユーザーのメールボックスに格納されます。
Teams Teams チャネルの一部である会話は、Teams メールボックスに関連付けられます。 Teams のチャット リストの一部である会話 ( 1 x N チャットとも呼ばれます) は、チャットに参加するユーザーのメールボックスに関連付けられます。 また、Teams チャネル内の会議と通話の概要情報は、会議または通話にダイヤルインしたユーザーのメールボックスに関連付けられます。 そのため、Teams コンテンツを検索する場合は、チャネル会話内のコンテンツを Teams メールボックスで検索し、ユーザー メールボックスで 1 x N チャット内のコンテンツを検索します。
To-Do To-Do アプリのタスク (to do リストに保存される to do と呼ばれます) は、ユーザーのメールボックスに格納されます。
Viva Engage Viva Engage コミュニティ内の会話とコメントは、Microsoft 365 グループ メールボックス、作成者のユーザー メールボックス、および任意の名前付き受信者 (@ メンションまたは Cc'ed ユーザー) に関連付けられます。 Viva Engage コミュニティの外部に送信されたプライベート メッセージは、プライベート メッセージに参加するユーザーのメールボックスに格納されます。

注:

* 現時点では、電子情報開示 (プレビュー) ケースで保留を使用してメールボックスに保留が設定されている場合、このアプリのコンテンツは保留によって保持されません。