訴訟ホールドが有効化されているメールボックスに格納されている特定のアイテムを完全削除する場合、[コンテンツ検索] にて削除対象となるアイテムを検索の上、抽出、確認したのち、PowerShell コマンド "New-ComplianceSearchAction" を実行し、対象アイテムを削除する方法があります。
なお、訴訟ホールドやその他アイテム保持ポリシーなどのメールボックス保持機能が有効な場合、New-ComplianceSearchAction にてアイテムを削除してもメールボックスの削除したアイテムが格納される [回復可能なアイテム領域] にて保持期間内保持される動作となるため、完全削除することができません。
そのため、事前に対象メールボックスに対して保持機能の無効化や、単一アイテムの回復機能の無効化等を実施する必要があります。
この間ユーザーによる手動削除が実行されると対象アイテムも完全削除されるのでご注意ください。
- 1. 削除対象のメールボックスのリストを作成
- 2. 保持機能の無効化により、削除対象以外のアイテムが削除されないように設定変更を実施
- 3. 保持機能の無効化
- 4. New-ComplianceSearchAction により削除されたアイテムが、回復可能なアイテム領域に残らないように設定変更を実施
- 5. コンテンツの検索による削除対象アイテムの検索
- 6. New-ComplianceSearchAction によるアイテムの削除
- 7. 変更した設定の戻し作業
1. 削除対象のメールボックスのリストを作成
メールボックスの設定変更や、保持機能の無効化を一括で設定するために、アイテムの削除を行うメールボックスのリストを CSV ファイルで作成します。
複数のメールボックスを対象とする場合に実施します。
1. メモ帳などのテキスト エディタを開きます。
2. 以下の内容で CSV ファイルを作成します。
<CSV ファイルの構文>
1 行目 : Identity
2 行目 : コンテンツの検索で確認したメールボックスアドレス
<CSV ファイルの作成例>
Identity
user001@contoso.com
user002@contoso.com
user003@contoso.com
(以下 省略)
※ 1 行目は固定で、削除を行うユーザーのメールアドレスを 2 行目以降に記載します。
※ 日本語を含めた CSV ファイルを作成される際には、文字化けが発生する可能性があるので UTF-8 形式で保存します。
[補足] UTF-8 での保存の手順
(1). CSV ファイルを右クリックし、[プログラムから開く] - [メモ帳] の順にクリックします
(2). 開いたメモ帳で [ファイル] - [名前を付けて保存] の順にクリックします。
(3). ファイルの種類で「すべてのファイル」を選択します。
例:"UserList.csv"
(5). [保存] をクリックします。
2. 保持機能の無効化により、削除対象以外のアイテムが削除されないように設定変更を実施
メールボックスに対して管理フォルダーアシスタントが実行されることで、保持されていないアイテムの完全削除が行われます。
管理フォルダーアシスタントが動作しないように事前に設定を変更することで、削除対象以外のアイテムの削除が行われない状態とします。
事前準備
以下の URL を参照し Windows PowerShell を Exchange Online に接続します。
[構文]
Import-CSV <項番 1 で作成した CSV ファイルのパス> | foreach-object {Set-Mailbox -Identity $_.Identity -ElcProcessingDisabled $true}
[実行例]
Import-CSV "C:\temp\UserList.csv" | foreach-object {Set-Mailbox -Identity $_.Identity -ElcProcessingDisabled $true}
以下のコマンドレットで ElcProcessingDisabled が True となっているか確認します。
[実行結果確認]
Import-CSV "C:\Temp\UserList.csv" | foreach-object {Get-Mailbox -Identity $_.Identity | Select DisplayName,PrimarySMTPAddress,LitigationHoldEnabled,LitigationHoldDuration,ElcProcessingDisabled} | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\ElcProcessingDisabledList.csv"
[出力項目]
DisplayName : 表示名
PrimarySMTPAddress : プライマリアドレス
SingleItemRecoveryEnabled : 単一アイテムの回復機能の設定(True : 有効 / False : 無効)
LitigationHoldEnabled : 訴訟ホールドの設定(True : 有効 / False : 無効)
LitigationHoldDuration : 訴訟ホールドの保持期間(無期限 : Unlimited、有期限 : 2555 ※ 7 年の場合)
ElcProcessingDisabled : 管理フォルダ―アシスタントの動作抑止設定(True : 有効 / False : 無効)
特定メールボックスを対象とする場合は、以下コマンドレットとなります。
特定メールボックスに対して削除対象以外のアイテムの削除が行われない状態とする
[構文]
Set-Mailbox "対象ユーザーのメールアドレス" -ElcProcessingDisabled $True
[実行例]
Set-Mailbox User@contoso.com -ElcProcessingDisabled $True
特定メールボックスの実行結果を確認する
[実行例]
Get-Mailbox -Identity User@contoso.com | Select DisplayName,PrimarySMTPAddress,LitigationHoldEnabled,LitigationHoldDuration,ElcProcessingDisabled | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\ElcProcessingDisabledListuser.csv"
3. 保持機能の無効化
以下のコマンドレットを実行して訴訟ホールド機能の無効化を行います。
訴訟ホールド機能の無効化
[構文]
Import-CSV "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -LitigationHoldEnabled $False}
[実行例]
Import-CSV "C:\temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -LitigationHoldEnabled $False}
特定メールボックスを対象とする場合は、以下コマンドレットとなります。
特定メールボックスに対して訴訟ホールドを無効化する
[構文]
Set-Mailbox "対象ユーザーのメールアドレス" -LitigationHoldEnabled $False
[実行例]
Set-Mailbox -Identity User@contoso.com -LitigationHoldEnabled $False
遅延保持機能の無効化
保持機能の無効化を行った際に、"DelayHoldApplied"、または "DelayReleaseHoldApplied" パラメータが自動で有効化される場合があります。
当パラメータは誤って保持機能の無効操作が行われた場合を考慮したパラメータになり、有効 (True) の状態の場合、保持機能が有効なメールボックスと同じ動作を行います。
当パラメータは 30 日経過後、自動で無効になりますが、以下の手順を実施することで有効化されている場合は任意のタイミングで無効化を行うことが可能です。
保持機能の無効化後、次回の管理フォルダアシスタント (最大 7 日間に 1 度) が実行されることで有効されます。
そのため、事前に以下コマンドレットを実行し遅延保留を意図的に有効化します。
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Start-ManagedFolderAssistant -Identity $_.Identity}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Start-ManagedFolderAssistant -Identity $_.Identity}
1. 遅延保留パラメータの設定状況を確認する
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Get-Mailbox -Identity $_.Identity | select PrimarySmtpAddress,DelayHoldApplied,DelayReleaseHoldApplied}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Get-Mailbox -Identity $_.Identity | select PrimarySmtpAddress,DelayHoldApplied,DelayReleaseHoldApplied}
[結果表示例]
PrimarySmtpAddress DelayHoldApplied DelayReleaseHoldApplied
----------- ---------------- ----------------------
User001@contoso.com True False
User002@contoso.com False True
User003@contoso.com True False
※ DelayHoldApplied、DelayReleaseHoldApplied の既定値は "False" となります。
2. 下記のコマンドレットにて、True となっている遅延保留パラメータの無効化を行います。
DelayHoldApplied パラメータの無効化--
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -RemoveDelayHoldApplied}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -RemoveDelayHoldApplied}
DelayReleaseHoldApplied パラメータの無効化--
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -RemoveDelayReleaseHoldApplied}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -RemoveDelayReleaseHoldApplied}
特定メールボックスを対象とする場合は、以下コマンドレットとなります。
事前に以下コマンドレットを実行し対象メールボックスの遅延保留を意図的に有効化します。
[実行例]
Start-ManagedFolderAssistant -Identity User01@contoso.com
1. 遅延保留パラメータの設定状況を確認する
[実行例]
Get-Mailbox -Identity user001@contoso.com | select Displayname,DelayHoldApplied,DelayReleaseHoldApplied
[結果表示例]
DisplayName DelayHoldApplied DelayReleaseHoldApplied
----------- ---------------- ----------------------
user001 True False
※ DelayHoldApplied、DelayReleaseHoldApplied の既定値は “False” となります。
2. 下記のコマンドレットにて、True となっている遅延保留パラメータの無効化を行います。
"DelayHoldApplied" パラメータの無効化
[実行例]
Set-Mailbox -Identity user001@contoso.com -RemoveDelayHoldApplied
"DelayReleaseHoldApplied" パラメータの無効化
[実行例]
Set-Mailbox -Identity user001@contoso.com -RemoveDelayReleaseHoldApplied
4. New-ComplianceSearchAction により削除されたアイテムが、回復可能なアイテム領域に残らないように設定変更を実施
単一アイテムの回復 (SingleItemRecoveryEnabled) は、削除され回復可能なアイテム領域に格納されたアイテムを、RetainDeletedItemsFor で指定された期間、保持を行う機能です。
既定の設定ではユーザーがメールアイテムを削除済みアイテムフォルダーより削除すると、回復可能なアイテム領域配下の [削除済みアイテムを復元] フォルダー (Deletions) に格納され RetainDeletedItemsFor にて指定された期間(規定では 14 日間)経過後に完全削除される動作となります。
※ 訴訟ホールドが有効化されている場合は、14 日経過後も保持期間の間保持される動作となります。
そのため、既定の設定のままでは、New-ComplianceSearchAction コマンドレットにより削除されたメールアイテムが、回復可能なアイテム領域に移動後、完全削除されるまで 14 日を要す動作となり、次の 10 件の削除が行えなくなるため、一時的に削除済みアイテムの保存期間(RetainDeletedItemsFor)を 0 日に変更し、単一アイテムの回復も無効にすることで、即時に完全削除がおこなわれるようにします。
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -SingleItemRecoveryEnabled $false -RetainDeletedItemsFor 0}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -SingleItemRecoveryEnabled $false -RetainDeletedItemsFor 0}
特定メールボックスを対象とする場合は、以下コマンドレットとなります。
特定メールボックスに対して RetainDeletedItemsFor を 0 日、単一アイテムの回復を無効化する
[構文]
Set-Mailbox "対象ユーザーのメールアドレス" -SingleItemRecoveryEnabled $false -RetainDeletedItemsFor 0
[実行例]
Set-Mailbox -Identity User@contoso.com -SingleItemRecoveryEnabled $false -RetainDeletedItemsFor 0
5. コンテンツの検索による削除対象アイテムの検索
[コンテンツ検索] にて削除対象となるアイテムを検索の上、抽出、確認します。
留意点
1 つの検索クエリに対して、各メールボックスから最大 10 件のアイテムを削除することが可能です。
1 つのメールボックスで 11 件以上のアイテムを削除する必要がある場合は、最初の 10 件を完全削除してから実施する必要があります。
コンテンツの検索を用いたアイテムの削除は、処理ルール (検索ルール) を作成し、ルール条件に合致したアイテムを削除する流れとなるため、削除対象のアイテムのみを抽出する必要があります。
コンテンツ検索について
[コンテンツの検索] 機能では、権限を付与された管理者アカウントなどが、メールボックスから完全削除されたアイテムなどが格納される [回復可能なアイテム] フォルダーを含めて対象メールボックス内のすべてのアイテム検索が可能です。
また、検索を行った結果は、CSV ファイルや PST ファイル (Outlook データファイル) へのエクスポートが可能であり、Outlook クライアントを利用しての確認やアイテムの復元などが行えます。
アーカイブメールボックスを利用の場合は、アーカイブメールボックスのアイテムも検索が可能です。
補足 1
検索結果をエクスポートする場合、使用するコンピューターは下記のシステム要件を満たす必要があります。
◇ システム要件
・ OS
最新バージョンの Windows (32 ビットまたは 64 ビット)
・ ソフトウェア
Microsoft .Net Framework 4.7 をインストールしている環境
・ ブラウザー
Mozilla Firefox、Google Chrome は、PST ファイルの出力要件を満たさないため、Microsoft Edge を利用してください。
補足 2
PST ファイルの出力容量の上限は1日に 2TB となってます。
また、エクスポートする PST ファイルの容量が 10 GBを超える場合は、10GB ごとに PST ファイルが分割される動作となります。
1. 権限付与
コンテンツの検索を行う場合、事前に権限の付与が必要となります。以下に権限付与方法をご案内いたします。
※ [eDiscoveryManager] の権限が付与されている場合、2. に進みます。
1. 管理者権限を付与したユーザーにて、Microsoft 365 ポータルサイトにサインインします。
2. Microsoft 365 管理センターを開き、画面左側のメニュー [管理センター] - [コンプライアンス] をクリックします
3. [Microsoft Purview コンプライアンスポータル] 画面に切り替わりましたら、画面左側のメニューから [ロール&スコープ] - [アクセス許可] をクリックします。
4. [アクセス許可] 画面表示後、[Microsoft Purview ソリューション] 項目配下、[役割] をクリックします。
5. 一覧から [eDiscovery Manager] をクリックします。
6. [eDiscovery Manager] メニューが表示されたら、画面上部の [編集] をクリックします。
7. [電子情報開示マネージャーの管理] 下部の [次へ] をクリックします。
8. [電子情報開示管理者の管理] にて [ユーザーの選択] をクリックし、[コンテンツの検索] を利用する管理者アカウントなどを選択し [選択] をクリックします。
9. メンバーが追加されている事を確認し [次へ] をクリックし、[電子情報開示管理者] の項目に追加したユーザーが追加されていることを確認後 [保存] をクリックします。
10. [役割グループを正常に更新しました] と表示されましたら、[完了] をクリックし、[eDiscovery Manager] メニューを閉じます。
2. コンテンツの検索の実行手順について
1. [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Microsoft 365 にサインインします。
2. [Microsoft Purview コンプライアンスポータル] 画面にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします
3. [+ 新しい検索] のアイコンをクリックします。
4. [名前と説明] より任意のルール名を入力し、[次へ] をクリックします。
5. [特定の場所] 項目にて、[Exchange メールボックス] を有効にします。
6. 特定のメールボックスを指定いただく場合、[ユーザー、グループ、またはチームを選択] をクリックし、検索対象メールボックスを検索し選択します。
※ すべての Exchange メールボックスを指定する場合は、[すべて] の状態を指定します。
7. [検索条件の定義] 画面より検索対象の条件を指定します。
[メール] アイテムの絞り込み
メール アイテムのみを検索いただく場合、[+ 条件の追加] より [メッセージの種類] を追加いただき、追加された [メッセージの種類] の項目を [いずれかと等しい]、入力欄に email と入力いただくことで可能です。
[件名] の絞り込み
件名を指定する場合場合、[+ 条件の追加] より [件名 / タイトル] を追加いただき、追加された [件名 / タイトル] の項目を [いずれかと等しい]、入力欄に対象のアイテムの件名を入力いただくことで可能です。
日付の範囲指定をする場合
[条件の追加] > [日付] を選択し任意の日付を指定します。
※ 日時は UTC で検索されるため、日本時間を考慮する場合には、- 9 時間の時差を考慮してください。
※ [キーワード]、[件名 / タイトル] に日本語が含まれる場合、画面上にあるリンク (時計・A・字 と記載されたアイコン) をクリックし、[日本語] を選択し保存します。
なお、日本語のキーワードを指定する際、文字数が多いと意図した検索結果が得られない動作を確認してますので、その場合は短いキーワードを指定して検索をお試しください。
8. [次へ] をクリックし、[送信] をクリックし、新しい検索の作成後、[完了] をクリックします。
3. 検索結果を確認する
[検索結果のプレビュー] と [エクスポート]、[レポート] を出力する方法があります。
事前に削除対象の会議予定アイテムが検索結果として得られているか、レポートや PST ファイルより内容をご確認ください。
検索結果のプレビュー
[2.] の手順後、コンテンツ検索のルール一覧から対象ルールを選択し、[サンプルのレビュー] をクリックするとプレビューを取得する動作となります。
エクスポートする (PST ファイル)
[2.] の手順後、コンテンツ検索のルール一覧から対象ルールを選択し、[操作] > [結果のエクスポート] をクリックし処理をすすめます。
レポートを生成する (CSV ファイル)
[2.] の手順後、コンテンツ検索のルール一覧から対象ルールを選択し、[操作] > [レポートのエクスポート] をクリックし処理をすすめます。
4. [コンテンツの検索] 結果をエクスポートする
1. [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Microsoft 365 にサインインします。
2. [Microsoft Purview コンプライアンスポータル] 画面にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします。
3. [コンテンツの検索] 画面から出力対象の検索ルールを選択し、[操作] > [結果のエクスポート] をクリックします。
※ CSV ファイルによるレポートを出力する場合、[レポートをエクスポート] をクリックします。
4. 画面が切り替わりましたら、エクスポート対象項目を選択し、[エクスポート] をクリックします。
※ CSV ファイルによるレポートを出力する場合、[レポートの生成] をクリックします。
5. 画面右下 [閉じる] をクリックのうえ [コンテンツの検索] 画面に戻り、上部 [Export] タグをクリックします。
6. [該当のルール名_Export] をクリックします。
※ CSV ファイルによるレポートを出力する場合、[該当のルール名_ReportsOnly] をクリックします。
7. 表示されたルール名が正しい事を確認し [クリップボードにコピー] をクリックし、[結果のダウンロード] をクリックします。
8. [ソースへの接続に使われる export key を貼り付けます] にコピーしたエクスポート キーを貼り付け、任意のダウンロード先選択し、[開始] をクリックします。
9. ダウロードが完了するのを待ちます。
5. CSV ファイルの確認方法
コンテンツ検索の検索結果は CSV ファイルにて確認することが可能です。
エクスポート実施後に生成されるフォルダー内 [Result.csv] となります。
[元のパス] : 格納先のフォルダーパス
[件名またはタイトル] : アイテムの件名の確認が可能です。
なお、Results.csv ファイル で確認したアイテムが以降の操作を行うことですべて削除されるため、削除対象アイテム以外のアイテムがヒットしている場合は、検索条件をさらに絞り込んだうえで再検索を実施し、削除対象アイテムのみが検索にヒットするようにしてください。
6. PST ファイルの確認方法
エクスポートされた PST ファイルのデータを確認する際、Outlook クライアントが必要です。
Outlook クライアントにて保存した PST ファイルのデータを確認する方法
1. Outlook を起動し [ファイル] タブ を開きます。
2. 左ペイン [情報] - [アカウント設定] - [アカウント設定(A)] をクリックします。
3. アカウント設定画面が開きますので、[データファイルタブ] を開きます。
4. [追加(A)] をクリックし、保存した PST ファイルを指定し [OK] - [閉じる] をクリックします。
5. Outlook クライアントのメール画面 左ペインに [Outlook データファイル] フォルダーが表示されますので、PST ファイルのデータをご確認いただけます。
6. 確認が終わりましたら、[Outlook データファイル] フォルダーを右クリックし [Outlook データファイルを閉じる] をクリックすることで、フォルダーが非表示になります。
このたびの削除対象であるアイテムのみが検索結果に合致した状態であるかご確認ください。
6. New-ComplianceSearchAction によるアイテムの削除
以下のサイトを参考にセキュリティコンプライアンスセンターに接続してから実行してください。
[構文]
New-ComplianceSearchAction -SearchName "<検索ルール名>" -Purge -PurgeType <削除アクション>
[実行例]
New-ComplianceSearchAction -SearchName "DeleteItem" -Purge -PurgeType HardDelete
[実行結果確認]
Get-ComplianceSearchAction -Purge
[実行結果例]
Status が Completed の場合、削除が完了している状況となります。
7. 変更した設定の戻し作業
上記手順にてメールアイテムの削除が確認できたら、変更していた保持機能や単一アイテムの回復の設定を元の設定に戻します。
単一アイテムの回復の有効化
[構文]
Import-Csv "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -SingleItemRecoveryEnabled $True -RetainDeletedItemsFor 14}
[実行例]
Import-Csv "C:\Temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -SingleItemRecoveryEnabled $True -RetainDeletedItemsFor 14}
特定メールボックスの場合
[実行例]
Set-Mailbox -Identity User@contoso.com -SingleItemRecoveryEnabled $True -RetainDeletedItemsFor 14
訴訟ホールドの再有効化
[構文]
Import-CSV "<項番 1 で作成した CSV ファイルのパス>" | Foreach-object {Set-Mailbox -Identity $_.Identity -LitigationHoldEnabled $True -LitigationHoldDuration <指定する保持期間>}
[実行例]
Import-CSV "C:\temp\UserList.csv" | Foreach-object {Set-Mailbox -Identity $_.Identity -LitigationHoldEnabled $True -LitigationHoldDuration 365}
上記の実行例は、保持期間を "365日"(1 年)としてます。
保持期間を無期限とする場合、<指定する保持期間> の項目に、 "Unlimited" と入力して、コマンドレットを実行してださい。
特定メールボックスの場合
[実行例]
Set-Mailbox -Identity User@contoso.com -LitigationHoldEnabled $True -LitigationHoldDuration 365
管理フォルダーアシスタントが動作するように再設定する
[構文]
Import-CSV "<項番 1 で作成した CSV ファイルのパス>" | foreach-object {Set-Mailbox -Identity $_.Identity -ElcProcessingDisabled $False}
[実行例]
Import-CSV "C:\temp\UserList.csv" | foreach-object {Set-Mailbox -Identity $_.Identity -ElcProcessingDisabled $False}
特定メールボックスの場合
[実行例]
Set-Mailbox -Identity User@contoso.com -ElcProcessingDisabled $False