電子情報開示の保留リストを作成する

  • 3 分

組織は、Microsoft Purview 電子情報開示 (標準) ケースを使用して保留を作成できます。 ケースに関連する可能性のある保持コンテンツを保持します。 たとえば、保留を設定できるのは次のとおりです。

  • ケースで調査しているユーザーの Exchange メールボックスと OneDrive for Business アカウント。
  • Microsoft Teams、Microsoft 365 グループ、および Yammer グループに関連付けられているメールボックスとサイト。

注:

組織が電子情報開示保留を作成した後、保留が有効になるまでに最大 24 時間かかる場合があります。

組織がコンテンツの場所を保留にすると、組織が次のいずれかを行うまでコンテンツが保持されます。

  • ホールドからコンテンツの場所を削除します。
  • ホールドを削除します。

組織がホールドを作成する場合、指定されたコンテンツの場所に保持されるコンテンツの範囲を限定する次のオプションがあります。

  • 指定された場所にあるすべてのコンテンツを保留にする無限保留を作成します。 または、検索クエリに一致する指定された場所のコンテンツのみが保留にされる、クエリベースの保留を作成することもできます。
  • 日付範囲を指定して、その日付範囲内に送信、受信、または作成されたコンテンツのみを保持します。 または、いつ送信、受信、または作成されたかに関係なく、すべてのコンテンツを指定された場所に保持することもできます。

電子情報開示保留を作成する方法

次の手順を実行して、電子情報開示 (標準) ケースに関連付けられた電子情報開示保留を作成します。

  1. Microsoft Purview コンプライアンス ポータルのナビゲーション ペインで [eDiscovery] を選択します。 eDiscovery グループで、[標準] を選択します。

  2. [電子情報開示 (標準)] ページで、保留リストを作成するケースの名前を選択します。

  3. ケースの詳細ウィンドウには、デフォルトで [ホーム] タブが表示されます。 [保留] タブを選択します。

  4. [保留] タブで、[+作成] を選択します。 これにより、New Hold ウィザードが開始されます。

  5. 新しい保留ウィザードの [保留に名前を付ける] ページで、保留の名前を入力します。 必要に応じて説明を追加し、[次へ] を選択します。 ホールドの名前は、組織内で一意である必要があります。

  6. [場所の選択] ページで、保留にするコンテンツの場所を選択します。 メールボックス、サイト、およびパブリック フォルダーを保留にすることができます。

    New Hold ウィザードの [ロケーションの選択] ページのスクリーンショット。3 つのロケーションがそれぞれ強調表示されています。

    1. Exchange メールボックス。 トグルを [オン] に設定し、[ユーザー、グループ、またはチームを選択] を選択して、保留にするメールボックスを指定します。 検索ボックスを使用して、ユーザーのメールボックス、および配布グループ (グループ メンバーのメールボックスにホールドを適用するため) を検索し、ホールドを適用します。 Microsoft チーム、Microsoft 365 グループ、および Yammer グループに関連付けられているメールボックスを保持することもできます。 メールボックスが保持されたときに保持されるアプリケーション データの詳細については、電子情報開示のためにメールボックスに保存されているコンテンツをご覧ください。
    2. SharePoint サイト。 トグルを [オン] に設定し、[サイトを選択] を選択して、保持する SharePoint サイトと OneDrive アカウントを指定します。 ホールドを適用する各サイトの URL を入力します。 Microsoft チーム、Microsoft 365 グループ、または Yammer グループの SharePoint サイトの URL を追加することもできます。
    3. パブリック フォルダを交換する。 トグルを [オン] に設定して、Exchange Online 組織内のすべてのパブリック フォルダを保留にします。 ただし、ホールドにする特定のパブリック フォルダーを選ぶことはできません。 パブリック フォルダを保持したくない場合は、トグル スイッチを オフ のままにします。

    重要

    Exchange メールボックスまたは SharePoint サイトをホールドに追加する場合、少なくとも 1 つのコンテンツの場所を明示的にホールドに追加する必要があります。 つまり、メールボックスまたはサイトのトグルを [オン] に設定した場合、ホールドに追加する特定のメールボックスまたはサイトを選択する必要があります。 それ以外の場合、電子情報開示ホールドは作成されますが、メールボックスまたはサイトはホールドに追加されません。

  7. 保留リストにコンテンツの場所を追加し終わったら、[次へ] をクリックします。

  8. クエリ ページで、キーワードまたは条件を使用してクエリベースの保留を作成します。 これを行うには、次の手順を実行します。

    New Hold ウィザードの [Query] ページのスクリーンショット。[Keywords] フィールドと [Add condition] オプションが強調表示されています。

    1. [キーワード] の下のボックスにクエリを入力して、クエリ条件に一致するコンテンツのみを保持します。 キーワード、電子メール メッセージのプロパティ、またはファイル名などのサイト プロパティを指定できます。 AND、OR、NOT などのブール演算子を使用する、より複雑なクエリを使用することもできます。
    2. [+ 条件を追加] を選択して、1 つまたは複数の条件を追加し、保留のクエリを絞り込みます。 各条件は、ホールドの作成時に作成および実行される KQL 検索クエリに句を追加します。 たとえば、日付範囲を指定して、その日付範囲内に作成された電子メールまたはサイト ドキュメントを保持できます。 条件は、キーワード クエリ ([キーワード] ボックスで指定) およびその他の条件に AND 演算子で論理的に関連付けられます。 そうすることで、アイテムはキーワード クエリと保持される条件の両方を満たす必要があります。

    検索クエリの作成と条件の使用の詳細については、電子情報開示のキーワード クエリと検索条件をご覧ください。

  9. クエリ ベースの保留リストを構成した後、[次へ] をクリックします。

  10. [設定の確認] ページで、設定が正しいことを確認します。 適切な [編集] オプションを選択して、変更が必要な設定を編集します。 すべての設定が正しければ、[送信] を選択します。

注:

クエリベースの保留を作成すると、選択した場所のすべてのコンテンツが最初に保留されます。 ホールドが作成された後、指定されたクエリに一致しないコンテンツは、7 ~ 14 日ごとにホールドからクリアされます。 ただし、コンテンツの場所に任意の種類の保持が 5 つ以上適用されている場合、またはアイテムにインデックスの問題がある場合、クエリベースの保持はコンテンツをクリアしません。

サイトに配置されたクエリベースの保留

組織は、SharePoint サイトにあるドキュメントにクエリベースの電子情報開示保持を配置する場合、次の考慮事項に留意する必要があります。

  • 保留が解除された後のコンテンツの保持。 クエリベースの保持では、サイト内のすべてのドキュメントが削除された後、最初は短期間保持されます。 つまり、ドキュメントが削除されると、クエリベースの保持の基準に一致しなくても、アイテム保持ライブラリに移動されます。 ただし、クエリ ベースの保留に一致しない削除済みドキュメントは、アイテム保管ライブラリを処理するタイマー ジョブによって削除されます。 タイマー ジョブは定期的に実行されます。 保存保持ライブラリ内のすべてのドキュメントを、組織のクエリベースの電子情報開示保持 (およびその他の種類の保持および保持ポリシー) と比較します。 タイマー ジョブは、クエリ ベースの保持に一致しないドキュメントを削除しますが、一致するドキュメントは保持します。
  • 対象を絞った保存を避ける。 対象を絞った保持を実行するために、クエリベースの保持を使用しないでください。 たとえば、ドキュメントを特定のフォルダーまたはサイトに保存したり、他の場所に基づく保持基準を使用したりします。 意図しない結果になる場合があります。 組織では、サイト ドキュメントを保持するために、キーワード、日付範囲、またはその他のドキュメント プロパティなど、場所に基づかない保留基準を使用することをお勧めします。

電子情報開示保留中の場所を検索する

組織が 電子情報開示 (標準) ケースでコンテンツを検索する場合、ケースに関連付けられた保留中のコンテンツの場所のみを検索するように検索をすばやく構成できます。

保留中の場所 オプションを選択して、保留中のすべてのコンテンツの場所を検索します。 ケースに複数の電子情報開示保持が含まれている場合、このオプションを選択すると、すべての保持のコンテンツの場所が検索されます。

さらに、コンテンツの場所がクエリ ベースのホールドに置かれた場合、検索の実行時に、ホールド クエリに一致するアイテムのみが検索されます。 つまり、保留基準と検索基準の両方に一致するコンテンツのみが検索結果とともに返されます。 たとえば、特定の日付より前に送信または作成されたアイテムを保持するクエリベースのケース ホールドがユーザーに設定された場合、それらのアイテムのみが検索されます。 この結果は、ケース ホールド クエリと検索クエリを AND 演算子で接続することによって得られます。

組織は、次のシナリオで電子情報開示保留の場所を検索するときに、次の推奨事項に留意する必要があります。

  • コンテンツの場所は、同じケース内の複数の記録保持の一部です。 この場合、保留クエリは、すべてのケースのコンテンツ オプションを使用してそのコンテンツの場所を検索すると、OR 演算子によって結合されます。 同様に、コンテンツの場所が 2 つの異なる保留の一部であり、一方がクエリベースで、もう一方が無限保留 (すべてのコンテンツが保留にされる) である場合、無限保留のためにすべてのコンテンツが検索されます。
  • 保留中の場所を検索するように検索が構成されている場合、場所を追加または削除するか、保留クエリを変更して、ケースの 電子情報開示保留を変更します。 このシナリオでは、検索構成がそれらの変更で更新されます。 ただし、保留を変更した後に検索を再実行して、検索結果を更新する必要があります。
  • 電子情報開示ケースの 1 つの場所に複数の 電子情報開示保留が設定されており、保留中の場所を検索することを選択した場合。 この場合、その検索クエリのキーワードの最大数は 500 です。 どうしてでしょうか? 検索では、OR 演算子を使用してすべてのクエリベースの保留が結合されるためです。 ホールド クエリと検索クエリの組み合わせに 500 を超えるキーワードがある場合、メールボックス内のすべてのコンテンツが検索されます。クエリ ベースのケース ホールドに一致するコンテンツだけではありません。
  • 電子情報開示保留のステータスはオン (保留中) です。 このシナリオでは、保留がオンになっている間でも、保留中の場所を検索できます。

電子情報開示ホールドからコンテンツの場所を削除する

メールボックス、SharePoint サイト、または OneDrive アカウントが 電子情報開示ホールドから削除されると、遅延ホールドが適用されます。 これにより、コンテンツの場所からデータが完全に削除 (パージ) されるのを防ぐために、保留の実際の削除が 30 日間遅れます。 この遅延により、管理者は、電子情報開示の保留が解除された後に削除されるコンテンツを検索または回復する機会が与えられます。

メールボックスとサイトで遅延保留がどのように機能するかの詳細は異なります。

  • メールボックス。 次に管理フォルダー アシスタントがメールボックスを処理し、電子情報開示保持が削除されたことを検出すると、メールボックスに遅延保持が設定されます。 具体的には、管理フォルダ アシスタントが次のメールボックス プロパティのいずれかを True に設定すると、遅延保持がメールボックスに適用されます。

    • DelayHoldApplied。 このプロパティは、ユーザーのメールボックスに保存されている (Outlook および Outlook on the web を使用しているユーザーによって生成された) 電子メール関連のコンテンツに適用されます。
    • DelayReleaseHoldApplied。 このプロパティは、ユーザーのメールボックスに保存されているクラウドベースのコンテンツ (Microsoft Teams、Microsoft Forms、Microsoft Yammer などの Outlook 以外のアプリによって生成されたもの) に適用されます。 Microsoft アプリによって生成されたクラウド データは、通常、ユーザーのメールボックスの隠しフォルダーに保存されます。

    メールボックスに遅延保留が設定されている場合 (前のプロパティのいずれかが True に設定されている場合)、メールボックスは訴訟中の場合と同様に、保持期間が無制限であると見なされます。 所有。 30 日が経過すると、遅延保留の有効期限が切れます。 その時点で、Microsoft 365 は (DelayHoldApplied または DelayReleaseHoldApplied プロパティを False に設定することにより) 遅延保留の削除を自動的に試み、保留が解除されるようにします。 これらのプロパティのいずれかが False に設定されると、次にメールボックスが管理フォルダ アシスタントによって処理されるときに、削除対象としてマークされた対応するアイテムが削除されます。

    詳しくは、メールボックスの管理についての詳細 をご覧ください。。

  • SharePoint および OneDrive サイト。 アイテム保管ライブラリに保持されている SharePoint または OneDrive のコンテンツは、サイトが電子情報開示ホールドから削除された後、30 日間の遅延保持期間中は削除されません。 このプロセスは、サイトが保持ポリシーから解放されるときに起こることと似ています。 さらに、30 日間の遅延保持期間中は、アイテム保管ライブラリでこのコンテンツを手動で削除することはできません。

    詳細については、保持ポリシーのリリースをご覧ください。

電子情報開示 (標準) ケースをクローズすると、保留中のコンテンツの場所にも遅延保留が適用されます。 どうしてでしょうか? ケースがクローズされると保留がオフになるためです。

理解度チェック

次の各質問に最適な回答を選択します。

自分の知識をチェックする

1.

組織が電子情報開示保留を作成した後、保留が有効になるまでに通常どのくらいの時間がかかりますか?