突然、メールアイテムが消失や削除された場合について、復元することは可能であるか、また、原因について調査が可能かについてご紹介していきたいと思います。
メールアイテムが消失したことについて、想定されるのは、誤操作で削除や他フォルダに移動してしまった場合や仕分けルールやアイテム保持ポリシーで他フォルダやアーカイブメールボックスに移動したことなどが考えられます。
まずは、復元可能かについて記述していきたいと思います。
メールアイテムの復元が可能であるか?
[コンテンツの検索] の機能を利用することで、対象メールボックス (通常領域/回復可能なアイテム領域) に存在するアイテムの検索が可能です。
通常領域は、受信トレイや削除済みアイテムフォルダーなどの、ユーザーから確認可能な領域です。 回復可能なアイテム領域は、受信トレイなどからの完全削除 (Shift+Delete) や削除済みアイテムフォルダーから削除されたアイテムが格納される領域となります。
そのため、該当のメールボックス内に消失したアイテムが存在している場合(他フォルダや回復可能なアイテム領域に存在している場合)は、[コンテンツの検索] にて、PST ファイルにエクスポートし、復元することが可能です。
なお、削除し回復可能なアイテム領域に移動している場合、14日経過後に完全削除されるため、既に完全削除されている場合は復元ができません。
管理者へ必要な権限の付与を行った後、検索を行う対象のメールボックスに対して、検索クエリを指定したコンテンツの検索の作成を行い、アイテムを PST ファイルにエクスポートし、Outlook クライアントにて確認いただく流れです。
以下に記事にて手順を記述してますのでご参考としていただけますと幸いです。
メールアイテムが削除や移動した原因について調査が可能であるか?
メールアイテムが削除や移動した原因については、誤操作ということであれば、メールボックス監査ログにて、メールボックスの操作のログの取得が可能ですので、該当のアイテムを移動や削除したログが記録されていないか確認することで判断ができます。
Powershellのコマンドレットを利用することで、削除や移動に関するログのみ出力することが可能です。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <対象のメールボックス> -Operations <監査項目> -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス>"
[実行例]
Search-MailboxAuditLog -StartDate 09/14/2021 -EndDate 09/16/2021 -Identity User@contoso.com -Operations MoveToDeletedItems,SoftDelete,HardDelete,Move -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog-User01.csv"
※ アイテムが消失した日時が含むように実施ください。
指定した監査項目
MoveToDeletedItems : フォルダーからアイテムを削除したログ (削除済みアイテムフォルダーへの移動)
HardDelete : [削除済みアイテム復元フォルダー] からアイテムが削除されたログ
SoftDelete : [削除済みフォルダー] からアイテムが削除されたログ
Move : アイテムを別フォルダーに移動したログ
なお、メールアイテムの移動のログである [Move] ログについては、既定では有効化されておらず、PowerShell にて追加することで記録されるログとなります。
あらかじめ 有効化しておくことをおススメします。
メールボックス単位で設定を有効にする
[構文]
Set-Mailbox -Identity <対象メールボックス> -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
[実行例]
Set-Mailbox -Identity User01@contoso.com -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
テナント内すべてのメールボックスの設定を有効にする
[実行例]
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
出力された監査ログのパラメーターの意味は以下の通りです。
"LogonUserDisplayName" で誰が操作したかや"ClientInfoString" でOutlookクライアントで実行されたかなど確認ができます。
出力されたログのパラメーター
Operation : 実施した操作の種類
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
ExternalAccess : 外部ユーザーからのアクセスログ
FolderPathName : 該当アイテムが格納されているフォルダ名
FolderName : 対象フォルダー
ClientInfoString : 操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報
ClientIPAddress : クライアントの IP アドレス
InternalLogonType : 操作を実行したユーザーのログオンの種類
MailboxOwnerUPN : メールボックス所有者のユーザー プリンシパル名 (UPN)
LogonUserDisplayName : ログオンしたユーザー名
ItemSubject : アイテムの件名
ItemAttachments : 添付されたファイルのファイル名を確認できます
LastAccessed : オペレーションを実行した日時
メールボックス監査ログについては以下の記事もご参照いただけますと幸いです。
また、アイテムが消失した原因について、一例となりますが、以下の記事をご参照いただけますと幸いです。