今回は[コンテンツの検索]という機能についてご紹介していきたいと思います。
コンテンツの検索では、Exchange Online メールボックスやパブリックフォルダーのほか、Sharepoint Online や OneDrive for Business のアイテムを対象として検索を行うことが可能です。
回復可能領域やアーカイブメールボックス(回復可能領域含む)のアイテムも検索することができます。
利用するシナリオとしては、管理者にてユーザーの送信アイテムや受信したアイテムを確認したい場合や、ユーザーのメールデータをpstファイルにエクスポートしたい場合などに利用することができます。
なお、コンテンツの検索を利用するには、管理者に[eDiscovery Manager]という権限を付けなければいけません。
以下に手順をご紹介していきたいと思いますので、ご参考としていただけると幸いです。
※2021年6月15日以降、コンプライアンスセンターのコンテンツの検索にリダイレクトされるようです。
以下の記事にてご紹介しております。
◆1. [検索ルール] を作成する
管理者へ必要な権限の付与を行った後、検索を行う対象のメールボックスやパブリック フォルダーに対して、検索クエリを指定したコンテンツの検索の作成を行い、アイテムの検索や確認を行うといった流れでございます。
■ 管理者へ必要な権限を付与する
- 管理者にて、Office 365 サービスへサインインします。
- Microsoft365 管理センターを開き、画面左ペインの [管理センター] - [セキュリティ] をクリックします。
- セキュリティ/コンプライアンス センターにて、[アクセス許可] をクリックします。
- 役割一覧より [eDiscovery Manager] をダブルクリックし、編集画面を表示します。
- [電子情報開示管理者] にて、[+] ボタン (追加) より、機能を実行する管理者を追加し [OK] をクリックします。
- 画面下の [保存] をクリックします。
◆ 2. コンテンツの検索の実行手順について
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Office 365 にサインインします。
- 画面左ペインの [管理センター] - [セキュリティ] にて、セキュリティコンプライアンスセンターにアクセスし、画面左側のメニューから [検索] - [コンテンツの検索] をクリックします。
※ 旧 UI をご利用いただく場合には、[切り替え : 以前の UI に戻す] から旧 UI をご利用いただくことも可能です。
- [+ 新しい検索] のアイコンをクリックします。
- [コンテンツの検索 > 新しい検索] ページで、[検索クエリ] の指定を行います。すべてのアイテムを検索する場合、何も設定を行わない事で可能です。
※ 日本語キーワードを入力して指定する場合、画面右上のリンク [クエリの言語と国] をクリックし、[日本語-日本] を選択し保存します。
※ メール アイテムのみを検索いただく場合、[+ 条件の追加] より [メッセージの種類] を追加いただき、追加された [メッセージの種類] の項目を [いずれかと等しい]、入力欄に email と入力いただくことで可能です。
※[コンテンツの検索] 機能にて、送信者や受信者の条件を設定して検索する場合は [+ 条件の追加] にて、抽出項目の設定が可能です。
4-1. [コンテンツの検索] 画面より、[+ 条件の追加] をクリックします。
4-2. [条件の追加] 画面が表示されましたら、必要な項目([受信者]、[送信者] など)を ON にして [追加] をクリックします。
4-3. 元の画面に戻りましたら、[検索クエリ] に 項番2 で選択した項目(例 [受信者])が表示されますので、プルダウンより項目([いずれかと等しい] など)を選択し、[ユーザーの選択] 欄に、対象ユーザーのメールアドレスを設定します。
- [場所 : 選択した場所] 項目にて、[特定の場所] の [変更...] をクリックします。
- [場所の変更] 画面より、検索対象と指定し保存します。
※ 特定のメールボックスを指定いただく場合、[ユーザー、グループ、またはチームを選択] をクリックし、[場所の編集] 画面より検索対象メールボックスを検索し選択します。
※ 全メールボックスを指定いただく場合、[Exchange メール] が含まれる項目側の [すべて選択] を ON にします。
- クエリ指定、対象メールボックスの選択後、[保存して実行] をクリックします。
- [検索の保存] 画面が表示されますので、[名前] を入力、必要があれば [説明] も入力し [保存] をクリックします。
◆ 3. 検索結果を確認する
[検索結果のプレビュー] と [エクスポート]、[レポート] を出力する方法があります。
・ 検索結果のプレビュー
[◆ 2.] の手順後、もしくは、対象ルールの [クエリを開く] を選択した場合にプレビューを取得する動作となります。
・ エクスポートする
[◆ 2.] の手順後、即時にメール アイテム自体のエクスポートを行う場合、[その他] をクリックし、[結果のエクスポート] の方法を選択し処理をすすめます。
・ レポートを生成する
[◆ 2.] の手順後、即時にレポート (CSV ファイル) のエクスポートを行う場合、[その他] をクリックし、[レポートのエクスポート] を選択します。
ダウンロードされたレポートについて、 "Results.csv" をご参照いただくことでアイテムの情報を確認できます。
※ 宛先や BCC などの情報を確認する場合、 [宛先行の受信者] [CC行の受信者] [BCC行の受信者] などから確認可能です。
出力されるレポート
◇ Export Summary
エクスポートの検索結果の要約レポートであり、検索されたコンテンツソースの数、各コンテンツの場所からの検索結果の数、アイテムの推定数、エクスポートされるアイテムの実際の数、およびエクスポートされるアイテムの予想および実際のサイズなどの情報が含まれております。
◇ manifest.csv
検索結果に含まれる各アイテムに関する情報が含まれております。
◇ Results.csv
検索結果と共にエクスポートされるインデックス化された各アイテムに関する情報が含まれております。
◇ Trace.log
電子情報開示エクスポートツールを実行したログが含まれております。
なお、レポート出力ではメールアイテムの本文は確認できません。
本文を確認される場合には、プレビュー表示または PST ファイルへのエクスポートを行ってください。
※ 詳細な手順は以下 [◆ .4] の 4. の手順からご参考ください。
PST ファイルの出力が可能であり、出力容量の上限は日に 2TB となっております。 エクスポートする PST ファイルの容量が 10 GBを超える場合につきましては、10GB ごとに PST ファイルが分割される動作となります
また、メールボックスのエクスポートおよびレポートの出力を行う場合、Exchange Online のライセンスが付与されている事が必要要件となります。
実施する管理者には、ライセンス要件はございませんが、検索対象となるメールボックスにはExchange Onlineのライセンスが付与されている必要あります。
◆ 4. [コンテンツの検索] 結果をエクスポートする
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Office 365 にサインインします。
- 画面左ペインの [管理センター] - [セキュリティ] にて、セキュリティコンプライアンスセンターにアクセスし、画面左側のメニューから [検索と調査] - [コンテンツの検索] をクリックします。
- [コンテンツの検索] 画面から出力対象の検索ルールを選択し、[↓ その他] をクリックします。
- メール アイテム自体のエクスポートを行う場合は [結果のエクスポート]、レポート のエクスポートを行う場合は [レポートのエクスポート] を選択します。
- 画面が切り替わりましたら、エクスポート対象項目を選択し、[エクスポート] をクリックします。
- [閉じる] をクリックし [コンテンツの検索] 画面に戻り、上部 [エクスポート] タグをクリックします。
- [コンテンツの検索 > エクスポート] 画面より対象のルールを選択します。
- 表示されたルール名が正しい事を確認し [クリップボードにコピー] をクリックし、そのまま、[結果のダウンロード] をクリックします。
- [ソースへの接続に使われる export key を貼り付けます] にコピーしたキーを貼り付け、任意のダウンロード先選択し、[開始] をクリックします。
- ダウンロードが完了するのを待ちます。
検索結果をエクスポートする場合、使用するコンピューターは下記のシステム要件を満たす必要があります。
◇ システム要件
・ OS
32 ビットおよび 64 ビット バージョンの Windows 7 およびそれ以降のバージョン
・ ソフトウェア
Microsoft .Net Framework 4.7 をインストールしている環境
・ ブラウザー
Mozilla Firefox、Google Chrome につきましては、PST ファイルの出力要件を満たさないため、Internet Explorer、Microsoft Edge を利用してください。
Chromium ベースの Microsoft Edge でコンテンツの検索を利用し、電子情報開示エクスポートツールを使用する際には、以下の公開情報をご参考いただき、ClickOnce サポートの有効化を行う必要があります。
補足として、Outlook クライアントにて PST ファイルのデータの確認を行う手順についてご紹介いたします。
◆Outlook クライアントにてローカル上に保存した PST ファイルのデータを確認する方法
- Outlook クライアント を起動し [ファイル] タブ を開きます。
- 左ペイン [情報] - [アカウント設定] - [アカウント設定(A)] をクリックします。
- アカウント設定画面が開きますので、[データファイルタブ] を開きます。
- [追加(A)] をクリックし、保存した PST ファイルを指定し [OK] - [閉じる] をクリックします。
- Outlook クライアントのメール画面 左ペインにデータファイル名のフォルダーが表示されますので、PST ファイルのデータをご確認いただけます。
- 確認が終わりましたら、[Outlook データファイル] フォルダーを右クリックし ["データファイル名"を閉じる] をクリックすることで、フォルダーが非表示になります。
また、類似した機能で[電子情報開示]という機能があります。
それぞれの機能の違いについて、紹介していきたいと思います。
■ [コンテンツの検索] について
・アイテムの検索を行う機能でございます。
・管理者役割 eDiscovery Manager の "電子情報開示管理者" または "電子情報開示マネージャー"、いづれかの役割付与されているユーザーにて、[コンテンツの検索] の利用が可能であり、各役割における本機能のご利用に違いはありません。
■ [電子情報開示] について
・アイテムの検索、および保持を行う機能でございます。
・管理者役割 eDiscovery Manager の "電子情報開示管理者" または "電子情報開示マネージャー"、いづれかの役割付与されているユーザーにて、[電子情報開示] 機能を利用できます。
※ 各役割における [コンテンツの検索] との違いについて
"電子情報開示管理者" は、ケースの [メンバーの管理] に含まれていなくても、自身もしくは他ユーザーが作成したケース、すべてのケースにアクセス可能です。
"電子情報開示マネージャー" は、自身もしくは他ユーザーが作成したケースで、[メンバーの管理] に含まれているケースに限り、参照・アクセス可能でございます。
※メンバーの管理に含まれているケースのみ表示されます。
なお、[メンバーの管理] にメンバーを追加することで、ユーザー単位でケースのアクセス権を付与することが可能ですが、[役割グループの管理] では、役割グループのメンバーに含まれているユーザー全員にケースのアクセス権を付与することが可能です。
一般ユーザーに "電子情報開示マネージャー" 役割を付与した場合、セキュリティセンターにアクセスするためのメニューが表示されない動作です。 役割を付与された一般ユーザーは、下記方法にてセキュリティセンターへアクセスを行うことが可能です。
手順
1. 役割を割り当てられた一般ユーザーにて Office 365 へサインインします。
2. ブラウザのアドレスバーに https://protection.office.com と入力し、アクセスをおこないます。