次の方法で共有

電子情報開示でケースの検索クエリを作成する (プレビュー)

  • [アーティクル]

電子情報開示での検索 (プレビュー) を使用して、ケースに関連する電子メール、ドキュメント、インスタント メッセージングの会話などのインプレース コンテンツをorganizationで検索できます。 検索を使用して、次のクラウドベースの Microsoft 365 データ ソース内のコンテンツを検索します。

  • Exchange Online メールボックス
  • SharePoint サイト
  • OneDrive アカウント
  • Microsoft Teams
  • Microsoft 365 グループ
  • Viva Engage グループ

ケースに関連付けられているさまざまな検索を作成して実行できます。 条件 (キーワードなど) を使用して、ケースに関連する可能性が最も高いデータで検索結果を返す検索クエリを作成します。 以下のことも実行できます。

  • 検索クエリを絞り込んで結果を絞り込むのに役立つ検索統計を表示します。
  • 検索結果をプレビューして、関連するデータが見つかったかどうかをすばやく確認します。
  • クエリを修正して、検索を再実行します。

調査に関連するデータを検索して見つけたら、結果をレビュー セットに送信してさらに調査したり、調査チームの外部のユーザーによるレビューのためにエクスポートしたりできます。

注:

欧州連合 (EU) 内で個人のプライバシー権を保護および有効化するための EU 一般データ保護規則 (GDPR) 要件を持つ組織の場合は、organizationのユーザーによって送信されたデータ主体要求 (DSR) に応じて調査を管理することもできます。 ユーザー データ検索ケース ツールは廃止され、その機能は電子情報開示 (プレビュー) とマージされました。 検索を使用してコンテンツを検索し、電子情報開示検索でサポートされているすべての場所の DSR をサポートできるようになりました。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

検索のヒント

  • すべての検索のタイム ゾーンは協定世界時 (UTC) です。 organizationのタイム ゾーンの変更は現在サポートされていません。 検索ビューのタイム ゾーン表示設定は、[ データ ] 列の値にのみ適用され、収集されたアイテムのタイム スタンプには影響しません。
  • キーワード検索では大文字と小文字は区別されません。 たとえば、catCAT は同じ結果を返します。
  • ブール演算子の ANDORNOT、および NEAR は、大文字でなければなりません。
  • 引用符を使用すると、ワイルド カードと引用符内のすべての操作が停止します。
  • 2 つのキーワードまたは 2 つの property:value 式の間のスペースは、 OR の使用と同じです。 たとえば、 from:"Sara Davis" subject:reorganization は、Sara Davis によって送信されたすべてのメッセージ、または件名行の再編成という単語を含むメッセージを返します。 ただし、1 つのクエリでスペースと OR 条件を組み合わせて使用すると、予期しない結果が発生する可能性があります。 1 つのクエリでスペースまたは OR を使用することをお勧めします。
  • property:value 形式に一致する構文を使用します。 値では大文字と小文字は区別されず、演算子の後にスペースを指定することはできません。 スペースがある場合、目的の値はフルテキスト検索です。 たとえば、to: pilarpは、ピラープに送信されるメッセージではなく、キーワード (keyword)として "pilarp" を検索します。
  • To、From、Cc、Recipients などの受信者プロパティを検索するとき、SMTP アドレス、別名、または表示名を使用して受信者を指定できます。 たとえば、 pilarp@contoso.com、ピラープ、または "Pilar Pinilla" を使用できます。
  • プレフィックス検索のみを使用できます。たとえば、 cat*set* などです。 サフィックス検索 (*cat)、インフィックス検索 (c*t)、部分文字列検索 (*cat*) はサポートされていません。
  • 検索プロパティを検索するとき、検索値が複数の単語で構成される場合は、二重引用符 (" ") を使用します。 たとえば、 subject:budget Q1 は、件名行に 予算 を含み、メッセージ内の任意の場所または任意のメッセージ プロパティに Q1 を含むメッセージを返します。 subject:"budget Q1" を使用すると、件名行に budget Q1 を含むすべてのメッセージが返されます。
  • 特定のプロパティ値でマークされているコンテンツを検索結果から除外するには、プロパティの名前の前にマイナス記号 (-) を置きます。 たとえば、 -from:"Sara Davis" は、Sara Davis によって送信されたすべてのメッセージを除外します。
  • メッセージの種類に基づいてアイテムをエクスポートできます。 たとえば、Skype の会話と Microsoft Teams のチャットをエクスポートするには、構文 kind:im を使用します。 メール メッセージだけを返すには、kind:email を使用します。 Microsoft Teams のチャット、会議、通話を返すには、kind:microsoftteams を使用します。
  • サイトを検索するときは、path プロパティを使用して指定したサイト内のアイテムのみを返すときに、URL の末尾に末尾の/を追加する必要があります。 末尾の /を含めない場合は、同様のパス名を持つサイトのアイテムも返されます。 たとえば、 path:sites/HelloWorld を使用すると、 sites/HelloWorld_East または sites/HelloWorld_West という名前のサイトのアイテムも返されます。 HelloWorld サイトからのみアイテムを返すには、 path:sites/HelloWorld/を使用する必要があります。
  • コンテンツを収集する前に、検索クエリでクエリ 言語/国/地域 を定義する必要があります。
  • [送信済み] フォルダーで電子メールを検索する場合、送信者の SMTP アドレスの使用はサポートされていません。 [送信済み] フォルダー内のアイテムには、表示名のみが含まれます。

検索クエリを作成する

ヒント

対話型の構成ガイド エクスペリエンスをお好みですか? 検索ガイドのデザインに関するページを参照してください。

新しいケースを作成すると、ケースの [ 検索 ] タブに自動的に移動し、ケースの検索を作成する準備が整います。 検索は、ケースに対して収集するアイテムを見つけるのに役立ちます。

  1. [ 検索の作成] を選択します。 以前の検索を行わずに新しいケースである場合は、[関連データの検索を開始する] の下の [メイン] ウィンドウで [検索の作成] を選択することもできます。

  2. [詳細 を入力して作業を開始する ] ページで、次のフィールドに入力します。

    • 検索名: 検索に名前を付けます (必須)。 検索名は、organizationで一意である必要があります
    • 検索の説明: 他のユーザーがこの検索を理解するのに役立つ省略可能な説明を追加します。

  3. [ 作成] を選択して新しい検索を作成し、クエリを開始してケースに関連するデータを検索します。

  4. 検索の [ クエリ ] タブで、検索用のデータ ソースを追加します

  5. [ データ ソースの追加] または [ テナント全体のソースの追加] を選択します

    • [データ ソースの追加]: このオプションを選択すると、個々のデータ ソースがorganizationに追加されます。

    • テナント全体のソースを追加する: このオプションを選択すると、organization全体のソースが含まれます。 すべてのソースに適用するか、選択内容をデータ ソースのサブセットに絞り込みます。

      たとえば、[すべてのユーザーとグループ] を選択し、[すべてのメールボックス] を選択すると、organizationのすべてのユーザー Exchange メールボックスがデータ ソースとして追加されます。 [すべてのユーザーとグループ] を選択し、[サイトのすべて] を選択すると、organizationのすべてのユーザー SharePoint サイトと OneDrive サイトがデータ ソースとして追加されます。

  6. [ ソースの検索 ] ポップアップ ウィンドウで、検索クエリのデータ ソースを検索して追加します。 フィルターを適用してデータ ソースのスコープを設定すると、検索に追加する 1 つ以上のユーザーまたはグループ ソースを選択できます。

    ウィンドウの左側には、ソースのフィルター オプションが表示されます。既定では、テナント内のすべてのソースが選択され、organizationのすべてのソースが選択され、検索に追加されます。

    [検索] セクションでソースのスコープを設定するには、[フィルターの表示] で次のオプションを使用します。

    • すべてのユーザーとグループ (既定)
    • Peopleのみ
    • グループのみ

    該当する場合は、[ 非アクティブなユーザーの除外] を選択して、ソースの範囲を現在アクティブなユーザーのみに減らします。

    データ ソースをフィルター処理したら、[ 検索 ] セクションの検索コントロールとセレクターを使用して、特定のデータ ソース、ユーザー、およびグループを検索クエリに追加します。 検索フィールドに追加する特定のユーザー、グループ、またはorganizationの場所を入力し、[検索] を選択します

    次の値を使用してユーザーを検索します。

    • ユーザー表示名の姓と姓 (John Smith など)
    • 名のみ
    • ユーザー SMTP アドレス
    • ユーザー エイリアス
    • Exchange GUID
    • ユーザーの OneDrive サイトの URL

    次の値を使用してグループを検索します。

    • グループ メールボックスの SMTP アドレス
    • グループ サイトの URL。 Teams チャネル サイトの URL は、Teams グループをデータ ソースとして解決します。

  7. [ 管理 ] を選択して、選択したソースに関連付けられているメールボックスまたはサイトを更新します。 それ以外の場合は、[ 保存して閉じる] を選択します。

  8. 選択内容を確認し、各データ ソースに含まれるリソースを確認します。 [保存] を選択します。 これで、検索クエリで調べるデータ ソースのスコープが設定されました。

  9. [ データ ソース ] セクションで、データ ソースの管理オプションの任意のデータ ソースの省略記号メニューを選択します。

    管理オプションについては、次のいずれかを選択します。

    • データ ソースの管理: 選択したユーザーまたはサイトのデータ ソースを管理します。
    • メールボックスを無効にする: 選択したユーザーまたはサイトのメールボックスを無効にします。 ユーザーまたはサイトのメールボックスを有効にするには、もう一度このオプションを選択します。
    • サイトを無効にする: 選択したユーザーまたはサイトのサイトを無効にします。 このオプションをもう一度選択して、ユーザーまたはサイトのサイトを有効にします。
    • 頻繁にコラボレーター: 選択したユーザーと頻繁に共同作業を行うユーザーの関連付けられているメールボックスとサイトを選択します。
    • マネージャー: ユーザーのマネージャーの関連付けられているメールボックスとサイトを選択します。
    • 直接レポート: ユーザーの直接レポートの関連付けられているメールボックスとサイトを選択します。
    • ユーザーが所有するグループ: ユーザーが所有者であるグループの関連付けられているメールボックスとサイトを選択します。
    • ユーザーが属しているグループ: 関連付けられているメールボックスと、ユーザーがメンバーになっているグループのサイトを選択します。

    グループ ソースの場合は、次のいずれかを選択します。

    • メンバー: グループのメンバーであるユーザーの関連付けられているメールボックスとサイトを選択します。

  10. [データ ソース] コマンド バー コントロールを使用して、検索用の他のデータ ソースを追加、更新、同期、および検索します (必要に応じて)

    • 検索と追加: [+] アイコンを選択してデータ ソースを追加します。
    • 管理: 鉛筆アイコンを選択して、割り当てられたデータ ソースを管理します。
    • 同期: 同期アイコンを選択してデータ ソースを同期し、organizationの最新のデータ ソースでデータ ソースを更新します。
    • 検索: 検索アイコンを選択して、検索クエリに現在含まれているデータ ソースを検索します。

  11. 検索クエリのパラメーターを定義するには、[ クエリ] タブ で次のオプションから選択できます。

    • 条件ビルダー: 検索の 条件ビルダー オプションを使用すると、電子情報開示 (プレビュー) で検索クエリを作成するときに、ユーザーが簡単に検索できます。 キーワードまたはカスタム条件を使用して、検索クエリのスコープに焦点を当てます。 さらに、検索で キーワード クエリ言語 (KQL) クエリ条件オプション を使用できます。このオプションを使用すると、ガイダンスが提供され、長くて複雑なクエリをすばやくエディターに直接貼り付けることができます。 また、検索クエリをゼロから構築し、潜在的なエラーを特定し、問題を解決する方法に関するヒントを表示するのにも役立ちます。

      Microsoft Security Copilotを使用して、検索の KeyQL クエリをすばやく構築することもできます。 ガイダンスについては、この記事の 次のセクション を参照してください。

    • [ファイルで検索]: 1 つ以上のファイルをアップロードして、特定のケースに関連するコンテンツまたは類似のコンテンツを検索します。 監査アクティビティ csv を使用して、特定の期間内に特定のユーザーの関連メッセージとファイルを検索します。 または、類似のコンテンツを見つけるためのサンプル証拠を提供します。 各ファイルの最大ファイル サイズは 10 MB に制限され、ファイルは csv または txt にすることができます。 ファイルによる検索では、クエリ ビルドと KQL オプションが無効になります。

  12. [クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。

Microsoft Copilotを使用して KeyQL 検索クエリを作成する (プレビュー)

検索の自然言語クエリ (プレビュー) KeyQL ビルダー オプションを使用すると、自然言語とMicrosoft Security Copilotを使用してキーワード クエリ言語 (KeyQL) ステートメントをすばやく生成できます。 ビルダーを使用して、AND、OR、条件のグループ化などの追加機能を備えた複雑なクエリを作成し、自然言語プロンプトを使用します。

この機能を使用すると、シナリオの例として定義済みのプロンプトを使用してクエリをより簡単に作成でき、より正確な検索クエリのカスタム プロンプトを絞り込んで強化できます。 プロンプト候補を出発点として使用して、一般的な検索シナリオまたはカスタム検索シナリオに対して KeyQL クエリを作成および絞り込むこともできます。

Copilot で検索クエリを作成するには、次の手順を実行します。

  1. クエリのデータ ソースを選択したら、[ Copilot を使用してクエリを下書きする] を選択します。
  2. [ 自然言語] プロンプト ウィンドウで、次のいずれかのオプションを選択します。
    • 検索クエリの質問を入力します。 必要に応じて、ユーザー、データ ソース、およびその他のコンテンツの詳細を含めることができます。
    • [ プロンプトの表示 ] を選択して、次のいずれかのプロンプト候補を選択します。
      • 予算と財務という単語を含むすべてのメールを検索し、添付ファイルを含む
      • "会計年度" という単語を含む 2020 年 1 月のすべてのチャットを検索する
      • 機密と予算という単語を含む .docx の種類のファイルを検索します
  3. 自然言語プロンプトを確認します。 Copilot でプロンプトを絞り込むには、[ 絞り込み] を選択します。
  4. プロンプトが完了したら、[ キーQL の生成] を選択します。
  5. キーワード クエリ言語 (KeyQL) の結果ウィンドウで KeyQL クエリを確認します。 KeyQL クエリの結果を絞り込む必要がある場合は、[ 自然言語 プロンプト] ウィンドウでプロンプトを更新し、もう一度 [ KeyQL の生成 ] を選択します。 1. KeyQL の結果が完成したら、[ キーQL のコピー] を選択します。
  6. [ キーワード クエリ言語 (KeyQL)] タブのクエリ フィールドに KeyQL の結果を貼り付けます。 Copilot で下書きクエリを閉じます。
  7. [クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。

検索クエリを実行する

検索クエリを手動で作成するか、Security Copilotを使用して作成したら、クエリを実行して検索結果を生成する準備が整います。

検索クエリを実行するには、次の手順を実行します。

  1. Microsoft Purview ポータルに移動し、電子情報開示アクセス許可が割り当てられているユーザー アカウントの資格情報を使用してサインインします。

  2. 電子情報開示ソリューション カードを選択し、左側のナビゲーションで [ケース (プレビュー)] を選択します。

  3. ケースを選択します。 [検索] タブ 、保存した検索を選択します。

  4. [クエリの実行] を選択します。

  5. [クエリの 実行] を選択すると、[ クエリ結果の書式設定 ] ポップアップ ウィンドウが表示されます。 クエリとその設定に対して生成するビューを選択します。 [ 統計 ] ビューまたは [サンプル ] ビューを選択できます。

    • 統計: このビューでは、収集されたデータの見積もりの概要が上位のインジケーターによって並べ替えられます。 次のオプションの 1 つ以上を選択します。

      • カテゴリを含める: ユーザー、機密情報の種類、アイテムの種類、エラーを含むようにビューを絞り込みます。

      • クエリ キーワード レポートを含める: 検索クエリのさまざまな部分キーワード (keyword)関連性を評価する/

      • 部分的にインデックス付けされた項目を調査する: 部分的にインデックス付けされた項目は、通常、データ ソース内のコンテンツの約 1% をカウントで占めます。 このオプション (およびこのオプションのみ) を選択すると、検索用に選択したデータ ソースに含まれる部分的にインデックス付けされた項目に関する概要情報 (アイテム数と場所) が生成されます。 部分的にインデックスが付いた項目はインデックスを再作成または処理されません。 スコープ付きデータ ソース内の部分的にインデックス付けされた項目をさらに処理するには、次の高度なインデックス作成オプションを検討してください。

        • 検索ヒットのない場所で部分的にインデックス付けされた項目を除外する: この追加オプションを選択すると、検索に関連する項目を含むデータ ソースからの部分的なインデックス付きアイテムの含みを制限することで、部分的にインデックス付けされた項目の範囲が縮小されます (または、そのオプションが選択されている場合は高度なインデックス付け)。 これにより、検索に関連する項目が含まれていないデータ ソースから部分的にインデックス付きアイテムが除外されます。

          たとえば、複数のメールボックス、SharePoint サイト、OneDrive サイトを検索用のデータ ソースとして選択したとします。 検索を実行すると、一部のメールボックスとサイトのみが検索条件に関連するインデックス付きアイテムを持ちます。残りのメールボックスとサイトには、検索条件に関連するネイティブインデックス付きアイテムは含まれません。 このオプションを選択した場合、検索に関連するネイティブインデックス付きアイテムを含むメールボックスとサイト内の部分的にインデックス付けされたアイテムが、検索結果に含まれます。 検索に関連するネイティブインデックス付きアイテムが含まれていないメールボックスおよびサイト内の部分的にインデックス付けされたアイテムは無視され、検索結果には報告されません。

        • 部分的にインデックス付けされた項目に対して高度なインデックス作成を実行する: 高度なインデックス作成を実行するスコープは、[ 検索ヒットのない場所で部分的にインデックス付けされた項目を除外する ] オプションを選択した場合によって異なります。 高度なインデックス作成プロセスは、スコープ内の部分的にインデックス付けされた項目の統計サンプルを実行し、これらの項目がクエリと一致するかどうかを判断します。

          • [検索ヒットのない場所で部分的にインデックス付けされた項目を除外する] オプションで選択: これは、部分的にインデックスが付いた項目が、検索クエリに一致する完全にインデックス付けされた項目を持つデータ ソースにのみ適用されます。 これらの項目はサンプリングされ、インデックスが作成され、検索クエリに一致する項目が (該当する場合) 検索統計に表示されます。
          • [検索ヒットのない場所で部分的にインデックス付けされたアイテムを除外する] オプションなしで選択: これは、検索に含まれるすべてのデータ ソース内のすべての部分的にインデックス付きアイテムに適用されます。 すべての項目がサンプリングされ、インデックスが作成され、検索クエリに一致する項目が検索統計に表示されます (該当する場合)。

    • サンプル: このビューでは、検索結果全体の代表的な選択が生成されます。 次のオプションのパラメーターを定義します。

      • 場所ごとに生成するサンプル項目の数を選択します。1、10、または 100 のいずれかを選択します。
      • サンプルを取得する場所の数を選択します。10、100、1000、または 10000 のいずれかを選択します。

  6. [ クエリの実行 ] を選択して、クエリをすぐに実行します。

選択したクエリ ビュー オプションに応じて、[ 統計 ] タブまたは [ サンプル ] タブに自動的に移動します。検索クエリ評価が開始され、クエリを処理するための残りの時間が計算されます。 検索結果の評価と微調整の詳細については、「検索結果の 確認と評価」を参照してください。