Exchange 2013 での電子情報開示の In-Place
製品: Exchange Server 2013
組織が法的検出要件 (組織のポリシー、コンプライアンス、訴訟に関連) に準拠している場合は、Microsoft Exchange Server 2013 の電子情報開示 In-Place、メールボックス内の関連コンテンツの検出検索を実行するのに役立ちます。 Exchange 2013 では、フェデレーション検索機能と Microsoft SharePoint 2013 との統合も提供されます。 SharePoint の電子情報開示センターを使用すると、SharePoint 2013 Web サイト、ドキュメント、SharePoint によってインデックス付けされたファイル共有、Exchange のメールボックス コンテンツ、アーカイブされた Lync 2013 コンテンツなど、ケースに関連するすべてのコンテンツを検索して保持できます。 また、Exchange ハイブリッド環境でインプレース電子情報開示を使用して、同一の検索で社内のメールボックスとクラウド ベースのメールボックスを検索することもできます。
重要
In-Place 電子情報開示は、適切なアクセス許可を持つユーザーが Exchange 2013 組織全体に保存されているすべてのメッセージング レコードにアクセスできるようにする強力な機能です。 探索管理役割グループへのメンバーの追加、メールボックス検索管理役割の割り当て、探索メールボックスへのメールボックスのアクセス許可の割り当てを含む探索アクティビティを制御し、監視することは重要です。
インプレース電子情報開示のしくみ
インプレース電子情報開示では、Exchange Search によって作成されたコンテンツ インデックスを使用します。 役割ベースのアクセス制御 (RBAC) では、Discovery Management 役割グループを使用できるため、ユーザーが Exchange の構成に対する運用変更を行える可能性のある管理者特権を付与する必要なく、非技術者に検出タスクを委任できます。 Exchange 管理センター (EAC) は、法務および法令遵守責任者、レコード マネージャー、人事 (HR) 担当者などの非技術者に使いやすい検索インターフェイスを提供します。
許可されているユーザーは、メールボックスを選択してから、キーワード、開始日と終了日、送信者と受信者のアドレス、メッセージの種類などの検索条件を指定することによって、インプレース電子情報開示検索を実行できます。 検索が終了したら、許可されているユーザーは次のいずれかの操作を選択できます。
[検索結果の推定] このオプションは、指定された条件に基づいて検索から返されるアイテムの合計サイズと件数の推定値を返します。
[検索結果のプレビュー] このオプションは、結果のプレビューを提供します。 検索対象の各メールボックスから返されるメッセージが表示されます。
[検索結果のコピー] このオプションを使用すれば、メッセージを探索メールボックスにコピーできます。
[検索結果のエクスポート] 検索結果が探索メールボックスにコピーされた後、それらの結果を PST ファイルにエクスポートできます。
Exchange Search
インプレース電子情報開示では、Exchange Search によって作成されたコンテンツ インデックスを使用します。 Exchange Search では、高度な検索プラットフォームである Microsoft Search Foundation を使用するようになり、インデックス処理と照会のパフォーマンスが大幅に改善され、検索機能も強化されました。 Microsoft Search Foundation は SharePoint 2013 を含む他の Office 製品でも使用されるため、これらの製品の相互運用性と同様のクエリ構文が提供されます。
IT 部門で電子情報開示要求を受信したとき、インプレース電子情報開示のメールボックス データベースをクロールおよびインデックス処理する際には、1 つのコンテンツ インデックス処理エンジンだけで、他のリソースは使用されません。
In-Place 電子情報開示では、Microsoft Outlook と Outlook Web App のインスタント検索で使用される高度なクエリ構文 (AQS) に似たクエリ構文であるキーワード クエリ言語 (KQL) が使用されます。 KQL に慣れているユーザーは、コンテンツ インデックスを検索するために強力な検索クエリを簡単に作成できます。
Exchange 検索でインデックス付けされたファイル形式の詳細については、「Exchange Search でインデックスが作成されたファイル形式」を参照してください。
"Discovery Management/検出の管理" 役割グループおよび管理役割
承認されたユーザーが電子情報開示検索 In-Place 実行するには、 それらを Discovery Management 役割グループに追加する必要があります。 この役割グループは、2 つの管理役割で構成されます。 メールボックス検索ロールは、ユーザーが電子情報開示検索 In-Place を実行できるようにする役割と、ユーザーがメールボックスを保留または訴訟ホールド In-Place 配置できるようにする 訴訟ホールド ロールです。
既定では、インプレース電子情報開示の関連のタスクを実行するアクセス許可は、どのユーザーまたは Exchange 管理者にも割り当てられていません。 "Organization Management/組織の管理" 役割グループのメンバーである Exchange 管理者は、ユーザーを "Discovery Management/検出の管理" 役割グループに追加したり、カスタムの役割グループを作成して検索マネージャーのスコープをユーザーのサブセットに絞り込むことができます。 ユーザーを探索管理役割グループに追加する方法の詳細については、「Exchange の電子情報開示のアクセス許可を割り当てる」を参照してください。
重要
ユーザーが探索管理役割役割グループに追加されていない場合、またはメールボックス検索役割を割り当てられていない場合、EAC では [インプレースの電子情報開示と保持] のユーザー インターフェイスが表示されません。また、インプレース電子情報開示のコマンドレットは Exchange 管理シェルでは利用できません。
既定で有効になっている RBAC 役割の変更の監査により、"Discovery Management/検出の管理" 役割グループの割り当てを追跡するために十分なレコードが保管されていることを確認します。 管理者の役割グループ レポートを使用して、管理者の役割グループに対する変更を検索できます。 詳細については、「Search the role group changes or administrator audit logs」を参照してください。
インプレース電子情報開示用のカスタム管理スコープ
カスタム管理スコープを使用すると、特定のユーザーまたはグループ In-Place 電子情報開示を使用して、Exchange 2013 組織内のメールボックスのサブセットを検索できます。 たとえば、探索マネージャーが特定の場所または部門のユーザーのメールボックスしか検索できないようにする場合を考えます。 これを行うには、検索可能なメールボックスを制御するためのカスタム受信者フィルターを使用したカスタム管理スコープを作成します。 受信者フィルター スコープでは、受信者の種類またはその他の受信者プロパティに基づいて特定の受信者を絞り込むためのフィルターが使用されます。
インプレース電子情報開示では、カスタム スコープ用の受信者フィルターを作成するために使用可能なユーザー メールボックスの唯一のプロパティが配布グループ メンバーシップです。 CustomAttributeN、Department、PostalCode などの他のプロパティを使用する場合、カスタム スコープが割り当てられているロール グループのメンバーによって実行されると、検索は失敗します。 詳細については、「 インプレース電子情報開示検索用のカスタム管理スコープを作成する」を参照してください。
SharePoint Server との統合
Exchange Server では SharePoint Server との統合が提供されており、検出マネージャーは SharePoint で電子情報開示センターを使用して次のタスクを実行できます。
単一の場所からコンテンツを検索して保持する: 承認された検出マネージャーは、インスタント メッセージングの会話や Exchange メールボックスにアーカイブされた共有会議ドキュメントなどの Lync コンテンツなど、SharePoint と Exchange 全体のコンテンツを検索して保持できます。
ケース管理: 電子情報開示センターでは、ケース管理アプローチを使用して電子情報開示を行い、ケースを作成し、ケースごとに異なるコンテンツ リポジトリ間でコンテンツを検索および保持できます。
検索結果をエクスポートする: 探索マネージャーは、電子情報開示センターを使用して検索結果をエクスポートできます。 検索結果に含まれるメールボックス コンテンツが PST ファイルにエクスポートされます。
SharePoint は、コンテンツのインデックス処理およびクエリの実行に Microsoft Search Foundation も使用します。 探索マネージャーが Exchange のコンテンツを検索するのに EAC または電子情報開示センターを使用したかに関係なく、同じメールボックスのコンテンツが返されます。
社内展開では、SharePoint の電子情報開示センターを使用して Exchange メールボックスを検索する前に、2 つのアプリケーション間で信頼を確立する必要があります。 Exchange 2013 と SharePoint 2013 では、これは OAuth 認証を使用して行われます。 詳細については、「SharePoint の電子情報開示センター用の Exchange の構成」を参照してください。 SharePoint から実行された電子情報開示の検索は、RBAC を使用して Exchange で認証されます。 SharePoint ユーザーが Exchange メールボックスの電子情報開示の検索を実行できるようにするためには、Exchange の委任された探索管理アクセス許可が割り当てられる必要があります。 SharePoint 電子情報開示センターを使用して実行した電子情報開示検索で返されたメールボックス コンテンツをプレビューできるようにするには、探索マネージャーが同じ Exchange 組織にメールボックスを持っている必要があります。
Exchange ハイブリッド展開での電子情報開示
Exchange 2013 ハイブリッド組織でクロスプレミス電子情報開示検索を正常に実行するには、In-Place 電子情報開示を使用してオンプレミスおよびクラウドベースのメールボックスを検索できるように、Exchange オンプレミスと Exchange Online 組織の間で OAuth (Open Authorization) 認証を構成する必要があります。 OAuth 認証は、アプリケーションが互いに認証するために使用できるサーバー間の認証プロトコルです。
OAuth 認証は、Exchange ハイブリッド展開で以下の電子情報開示シナリオをサポートします。
クラウド ベースのアーカイブ メールボックスに Exchange Online Archiving を使用する社内メールボックスを検索する。
同じ電子情報開示検索で社内およびクラウド ベースのメールボックスを検索する。
SharePoint Online の電子情報開示センターを使用して、社内メールボックスを検索する。
OAuth 認証を Exchange ハイブリッド展開で構成する必要がある電子情報開示シナリオに関する詳細については、「Exchange ハイブリッド展開において電子情報開示をサポートするための OAuth 認証の使用」を参照してください。 電子情報開示をサポートするように OAuth 認証を構成する手順については、「Exchange と Exchange Online 組織の間の OAuth 認証の構成」を参照してください。
探索メールボックス
インプレースの電子情報開示の検索を作成した後、検索結果を対象のメールボックスにコピーできます。 EAC では、探索メールボックスを対象のメールボックスとして選択できます。 探索メールボックスは、次の機能を提供する特殊なタイプのメールボックスです。
簡単で安全なターゲット メールボックスの選択: EAC を使用して電子情報開示検索結果 In-Place コピーする場合、検索結果を格納するリポジトリとして使用できるのは検出メールボックスのみです。 組織で使用可能なメールボックスの一覧を調べる必要がありません。 これにより、探索マネージャーが、機密性が高い可能性があるメッセージを格納する際に別のユーザーのメールボックス、またはセキュリティ保護されていないメールボックスを誤って選択することもなくなります。
大規模なメールボックス ストレージ クォータ: ターゲット メールボックスは、In-Place 電子情報開示検索によって返される可能性のある大量のメッセージ データを格納できる必要があります。 既定では、探索メールボックスには 50 ギガバイト (GB) のメールボックス記憶域クォータがあります。 この記憶域クォータを増やすことはできません。
既定でより安全: すべてのメールボックスの種類と同様に、検出メールボックスには Active Directory ユーザー アカウントが関連付けられています。 ただし、既定では、このアカウントは無効になっています。 探索メールボックスへのアクセスを明示的に承認されたユーザーのみが、メールボックスにアクセスできます。 探索管理役割グループのメンバーには、既定の探索メールボックスへのフル アクセスのアクセス許可が割り当てられています。 作成した追加の探索メールボックスでは、どのユーザーにもメールボックス アクセス許可が割り当てられていません。
メール配信が無効: Exchange アドレス一覧に表示されますが、ユーザーは検出メールボックスに電子メールを送信できません。 探索メールボックスへの電子メールの配信は、配信制限の使用によって禁止されています。 これにより、探索メールボックスにコピーされた検索結果の整合性が維持されます。
Exchange セットアップでは、表示名 Discovery Search メールボックスを含む 1 つの 探索メールボックスが作成されます。 シェルを使用して、追加の探索メールボックスを作成できます。 既定では、作成した探索メールボックスには、メールボックス アクセス許可が割り当てられていません。 探索マネージャーが探索メールボックスにコピーされたメッセージにアクセスするためのフル アクセス許可を割り当てることができます。 詳細については、「 探索メールボックスの作成」を参照してください。
また、インプレース電子情報開示は、表示名 [SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}] を持つシステム メールボックスを使用して、インプレース電子情報開示のメタデータを保管します。 システム メールボックスは、EAC や Exchange のアドレス一覧には表示されません。 社内組織では、インプレース電子情報開示のシステム メールボックスが存在するメールボックス データベースを削除する前に、システム メールボックスを別のメールボックス データベースに移動する必要があります。 メールボックスが削除されるか破損している場合、メールボックスを再作成するまで探索マネージャーは電子情報開示の検索を実行できません。 詳細については、「 Exchange 2013 で既定の検出メールボックスを削除して再作成する」を参照してください。
インプレース電子情報開示の使用
"Discovery Management/検出の管理" 役割グループに追加されたユーザーは、インプレース電子情報開示の検索を実行できます。 EAC の Web ベースのインターフェイスを使用して検索を実行できます。 これにより、レコード マネージャー、法令遵守責任者、法務および HR の専門家などの非技術者が、インプレースの電子情報開示を簡単に使用できるようになります。 シェルを使用して検索を実行することもできます。 詳細については、「インプレース電子情報開示検索を作成する」を参照してください。
注:
オンプレミス組織では、In-Place 電子情報開示を使用して、Exchange 2013 メールボックス サーバーにあるメールボックスを検索できます。 Exchange 2010 メールボックス サーバーにあるメールボックスを検索するには、Exchange 2010 サーバーで複数メールボックス検索を使用します。 > > ハイブリッド展開では、一部のメールボックスがオンプレミスのメールボックス サーバーに存在し、一部のメールボックスがクラウドベースの組織に存在する環境では、オンプレミス組織の EAC を使用して、クラウドベースのメールボックスの In-Place 電子情報開示検索を実行できます。 メッセージを探索メールボックスにコピーするには、社内の探索メールボックスを選択する必要があります。 検索結果で返されるクラウドベース メールボックスからのメッセージは、指定した社内探索メールボックスにコピーされます。 ハイブリッド展開の詳細については、「Exchange Server 2013 Hybrid Deployments」を参照してください。
EAC のインプレース電子情報開示 & 保留 ウィザードを使用すると、In-Place 電子情報開示検索を作成したり、In-Place 保留を使用して検索結果を保留にしたりできます。 When you create an In-Place eDiscovery search, a search object is created in the In-Place eDiscovery system mailbox. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
検索結果に満足したら、それらを探索メールボックスにコピーします。 EAC または Outlook を使用して、探索メールボックスまたはそのコンテンツの一部を PST ファイルにエクスポートすることもできます。
インプレース電子情報開示の検索を作成する場合、次のパラメーターを指定する必要があります。
名前: 検索名は、検索を識別するために使用されます。 検索結果を探索メールボックスにコピーすると、探索メールボックス内の検索結果を一意に識別するために、検索名とタイムスタンプを使用してフォルダーが作成されます。
メールボックス: Exchange 2013 組織内のすべてのメールボックスを検索するか、検索するメールボックスを指定するかを選択できます。 ユーザーのプライマリ メールボックスとアーカイブ メールボックスが検索に含まれます。 同じ検索を使用してアイテムを保留にする場合は、メールボックスを指定する必要があります。 配布グループを指定して、そのグループのメンバーであるメールボックス ユーザーを含めることができます。 グループのメンバーシップは、検索の作成時に 1 回計算され、その後のグループ メンバーシップの変更は検索に自動的に反映されません。
検索クエリ: 指定したメールボックスのすべてのメールボックス コンテンツを含めるか、検索クエリを使用して、ケースまたは調査に関連するアイテムを返すことができます。 検索クエリには次のパラメーターを指定できます。
キーワード: メッセージ コンテンツを検索するキーワードとフレーズを指定できます。 論理演算子 AND、 OR、 NOT も使用できます。 さらに、Exchange 2013 では NEAR 演算子もサポートされているため、別の単語や語句に近い単語または語句を検索できます。
複数の語句の完全一致を検索するには、語句を引用符で囲む必要があります。 たとえば、"プランと競合" という語句を検索すると、語句と完全に一致するメッセージが返されますが、 プランと競合 を指定すると、メッセージ内の任意の場所に プラン と 競合 という単語が含まれるメッセージが返されます。
Exchange 2013 では、In-Place 電子情報開示検索のキーワード クエリ言語 (KQL) 構文もサポートされています。
注:
インプレースの電子情報開示では、正規表現はサポートしていません。
AND および OR などの論理演算子がキーワードではなく演算子として扱われるようにするには、大文字で入力する必要があります。 複数の論理演算子が混在しているクエリに対しては、明示的なかっこを使用して間違いや誤解を避けることをお勧めします。 たとえば、WordA と WordB のいずれか、および WordC と WordD のいずれかを含むメッセージを検索する場合は、 (WordA OR WordB) AND (WordC OR WordD) と入力する必要があります。
開始日と終了日: 既定では、In-Place 電子情報開示では、日付範囲による検索は制限されません。 特定の期間内に送信されたメッセージを検索するには、開始日と終了日を指定することで検索の範囲を絞り込むことができます。 終了日を指定しない場合は、検索を再開するたびに最新の結果が返されます。
送信者と受信者: 検索を絞り込むには、メッセージの送信者または受信者を指定できます。 ドメイン名を使用すると、そのドメインのすべてのユーザーが送受信したアイテムを検索します。 たとえば、Contoso, Ltd によって送られた電子メールまたは Contoso, Ltd の誰かに宛てて送られた電子メールを検索するには、EAC の から または [宛先]/[CC] フィールドに @contoso.com を指定します。 シェルで Senders または Recipients パラメーターに @contoso.com を指定することもできます。
メッセージの種類: 既定では、すべてのメッセージの種類が検索されます。 特定のメッセージの種類 (電子メール、連絡先、ドキュメント、ジャーナル、会議、メモ、Lync コンテンツなど) を選択することで、検索を制限することができます。
次のスクリーン ショットは、EAC での検索クエリの例を示しています。
インプレース電子情報開示を使用する場合は、次の事項も考慮します。
添付ファイル: In-Place 電子情報開示は、Exchange Search でサポートされている添付ファイルを検索します。 詳細については、「 Exchange Search によってインデックス処理されるファイル形式」を参照してください。 社内展開では、メールボックス サーバー上にファイルの種類に対する検索フィルター (iFilter とも呼ばれます) をインストールすることで、別のファイルの種類のサポートを追加できます。
検索不可アイテム: 検索不可アイテムは、Exchange Search でインデックスを作成できないメールボックス アイテムです。 インデックス処理できない理由として、添付ファイルに対するインストール済みの検索フィルターがない、フィルター エラー、暗号化されたメッセージである、などが挙げられます。 電子情報開示の検索が成功するためには、そのようなアイテムを組織でレビューに含めることが必要になる場合があります。 検索結果を探索メールボックスにコピーする場合、または検索結果を PST ファイルにエクスポートする場合には、検索不能アイテムを含めることができます。 詳細については、「 Exchange 電子情報開示の検索不能アイテム」を参照してください。
暗号化されたアイテム: S/MIME を使用して暗号化されたメッセージは Exchange Search によってインデックス付けされないため、電子情報開示 In-Place これらのメッセージは検索されません。 検索結果に検索不能アイテムを含めるオプションを選択した場合、これらの S/MIME 暗号化されたメッセージは探索メールボックスにコピーされます。
IRM で保護されたアイテム: Information Rights Management (IRM) を使用して保護されたメッセージは Exchange Search によってインデックスが作成されるため、クエリ パラメーターと一致する場合は検索結果に含まれます。 メッセージは、メールボックス サーバーと同じ Active Directory フォレスト内の Active Directory Rights Management サービス (AD RMS) クラスターを使用して保護されている必要があります。 詳細については、「Information Rights Management」を参照してください。
重要
解読の失敗によって、または IRM が無効になっているために、IRM で保護されたメッセージのインデックス処理に Exchange Search が失敗した場合、保護されたメッセージは失敗したアイテムの一覧に追加されません。 検索結果に検索不能アイテムを含めるオプションを選択した場合、IRM で保護されたメッセージで解読できなかったものが結果に含まれない場合があります。 > > IRM で保護されたメッセージを検索に含めるために、別の検索を作成して、.rpmsg 添付ファイルを含むメッセージを含めることができます。 クエリ文字列
attachment:rpmsg
を使用すると、インデックスが正常に作成されたかどうかにかかわらず、指定されたメールボックス内のすべての IRM で保護されたメッセージを検索できます。 この場合、正常にインデックス処理された IRM で保護されたメッセージを含め、検索基準に一致するメッセージを 1 つの検索で返すシナリオでは、検索結果の重複が発生する可能性があります。 この検索では、IRM で保護されたメッセージでインデックス処理できなかったものは返されません。 > > すべての IRM で保護されたメッセージの 2 番目の検索を実行すると、最初の検索でインデックスが正常に作成され、返された IRM で保護されたメッセージも含まれます。 また、2 回目の検索によって返された IRM で保護されたメッセージは、最初の検索に使用されたキーワードなどの検索基準に一致しない可能性があります。重複除去: 検索結果を探索メールボックスにコピーするときに、検索結果の重複除去を有効にして、一意のメッセージのインスタンスを 1 つだけ探索メールボックスにコピーできます。 重複除去には次のような利点があります。
コピーするメッセージ数の削減により、記憶域の要件と探索メールボックスのサイズを低減できます。
検索結果の確認を担当する探索マネージャー、弁護士その他の負荷を軽減できます。
検索結果内の重複アイテム数によっては、電子情報開示コストを削減できます。
見積もり、プレビュー、およびコピーの検索結果
インプレース電子情報開示の検索が完了した後、検索結果の見積もりを EAC の [詳細] ウィンドウで見ることができます。 見積もりには、返されたアイテム数とそれらのアイテムの合計サイズが含まれます。 検索クエリで使用した各キーワードで返されたアイテム数の詳細を返す、キーワードの統計を表示することもできます。 この情報はクエリの有効性を判断するのに役立ちます。 クエリがあまり絞り込まれていない場合は、非常に大きなデータセットが返される場合があり、それによって多くのリソースが必要となり電子情報開示のコストが上がる可能性があります。 クエリが非常に絞り込まれている場合は、返されるレコードが著しく少ないかまったくレコードが返されない可能性があります。 見積もりとキーワードの統計を使用すると、クエリが要件に見合うように微調整できます。
注:
Exchange 2013 では、キーワード統計には、検索クエリで指定された日付、メッセージの種類、送信者/受信者など、キーワード以外のプロパティの統計情報も含まれています。
検索結果をプレビューすることで、返されたメッセージに検索しているコンテンツが含まれていることをさらに確認して、必要であればクエリを微調整することもできます。 電子情報開示の検索のプレビューには、各メールボックスの検索で返されたメッセージの数と検索によって返されたメッセージの総数が表示されます。 プレビューは、メッセージを探索メールボックスにコピーする必要なしに素早く生成されます。
検索結果の量と質に問題がなければ、それらを探索メールボックスにコピーします。 メッセージをコピーする場合、次のオプションがあります。
検索できないアイテムを含める: 検索不可と見なされるアイテムの種類の詳細については、前のセクションの電子情報開示の検索に関する考慮事項を参照してください。
重複除去を有効にする: 重複除去は、検索された 1 つ以上のメールボックスで複数のインスタンスが見つかった場合に、一意のレコードの 1 つのインスタンスのみを含めることによってデータセットを減らします。
[完全なログ記録を有効にする]: 既定では、項目をコピーするときに基本的なログのみが有効になります。 詳細ログを選択すると、検索で返されたすべてのレコードに関する情報を含めることができます。
コピーが完了したらメールを送信する: 電子情報開示検索 In-Place は、大量のレコードを返す可能性があります。 探索メールボックスに返されたメッセージのコピーに非常に長い時間がかかる場合があります。 このオプションを使用すると、コピー処理の完了時にメールが送信されます。 Outlook Web App を使用して簡単にアクセスできるように、通知には、メッセージがコピーされる検出メールボックス内の場所へのリンクが含まれています。
詳細については、「電子情報開示検索結果を探索メールボックスにコピーする」を参照してください。
検索結果を PST ファイルにエクスポートする
検索結果が探索メールボックスにコピーされた後、それらの検索結果を PST ファイルにエクスポートできます。
検索結果を PST ファイルにエクスポートしたら、作業者および他のユーザーは、検索結果で返されたメッセージを Outlook で開いて、レビューまたは印刷できます。 詳細については、「電子情報開示検索の結果を PST ファイルへエクスポート」を参照してください。
別の検索結果
In-Place 電子情報開示はライブ データに対して検索を実行するため、同じコンテンツ ソースの 2 つの検索と同じ検索クエリを使用すると、異なる結果が返される可能性があります。 推定される検索結果も、探索メールボックスにコピーされている実際の検索結果とは異なる場合があります。 これは、同じ検索を短時間で再実行した場合でも発生することがあります。 検索結果の一貫性に影響を与えるいくつかの要因があります。
Exchange Search は組織のメールボックス データベースとトランスポート パイプラインを継続的にクロールしてインデックスを作成するため、受信電子メールを継続的にインデックス作成します。
ユーザーまたは自動化されたプロセスによって電子メールを削除します。
大量の電子メールを一括してインポートするため、インデックスには時間を要します。
同じ検索についての異なる結果を実際に経験した場合には、コンテンツのための保留にするメールボックスを配置する、ピークタイムを避けて検索を実行する、大量の電子メールをインポートした後のインデックス作成には時間を確保することを検討してください。
インプレース電子情報開示検索のログ
インプレース電子情報開示の検索には 2 種類のログを使用できます。
基本的なログ記録: 基本的なログ記録は、すべての In-Place 電子情報開示検索に対して既定で有効になっています。 基本ログには、検索およびその検索を実行したユーザーに関する情報が含まれます。 基本ログについて取得された情報は、検索結果が格納されるメールボックスに送信される電子メール メッセージの本文に表示されます。 このメッセージは、検索結果を格納するために作成されたフォルダーに保存されています。
フル ログ: フル ログには、検索によって返されるすべてのメッセージに関する情報が含まれます。 この情報はコンマ区切り値 (.csv) ファイルの形式で提供され、基本ログの情報を含む電子メール メッセージに添付されます。 .csv ファイルの名前には検索の名前が使用されます。 この情報は、法令遵守または記録保持のために必要になる可能性があります。 詳細ログを有効にするには、EAC で検索結果を探索メールボックスにコピーするときに、 詳細ログを有効にするオプションを選択する必要があります。 シェルを使用している場合は、LogLevel パラメーターを使用して詳細ログ オプションを指定します。
注:
シェルを使用してインプレース電子情報開示の検索を作成または変更する場合、ログを無効にすることもできます。
Exchange では、検索結果を探索メールボックスにコピーするときに含まれる検索ログに加えて、EAC またはシェルが電子情報開示検索を作成、変更、または削除するために使用するコマンドレット In-Place ログに記録します。 この情報は、管理者監査ログ エントリに記録されます。 詳細については、「管理者監査ログ」を参照してください。
インプレース電子情報開示およびインプレース保持
電子情報開示要求の一環として、訴訟または捜査が決着するまでメールボックスのコンテンツの保持が必要となる可能性があります。 メールボックス ユーザーによって削除または変更されたメッセージまたはすべての処理も保持する必要があります。 Exchange 2013 では、これを実現するには、In-Place 保留を使用します。 詳細については、「インプレース保持と訴訟ホールド」を参照してください。
Exchange 2013 では、新しい インプレース電子情報開示 & 保留 ウィザードを使用して、電子情報開示や他のビジネス要件を満たすために必要な限り、アイテムを検索して保持できます。 インプレースの電子情報開示とインプレース保持で同じ検索を使用する場合は、次のことに注意してください。
このオプションを使用して、すべてのメールボックスを検索することはできません。 メールボックスまたは配布グループを選択する必要があります。
インプレース電子情報開示の検索が、インプレース保持でも使用されている場合は削除できません。 検索を削除するには、最初にインプレース保持オプションを無効にする必要があります。
インプレース電子情報開示目的のメールボックスの保持
従業員が組織を離れる際、通常はメールボックスを無効化または削除します。 メールボックスを無効化すると、メールボックスはユーザー アカウントから切断されますが、一定期間 (既定では 30 日間) メールボックスは残ります。 この期間中、管理フォルダー アシスタントは切断されたメールボックスを処理せず、保持ポリシーは適用されません。 切断されたメールボックスのコンテンツは検索できません。 メールボックス データベースに対して構成された、削除されたメールボックスの保持期間が経過すると、そのメールボックスはメールボックス データベースから削除されます。
社内展開では、組織内に存在していない従業員のメッセージに対して組織が保持設定を適用する必要がある場合、または継続あるいは今後の電子情報開示の検索のために元従業員のメールボックスの保持が必要になる可能性がある場合は、そのメールボックスを無効化または削除しないでください。 次の手順を実行すれば、メールボックスにアクセスできず、新しいメッセージが送信されないことを確認できます。
Active Directory ユーザー & コンピューターまたはその他の Active Directory またはアカウント プロビジョニング ツールまたはスクリプトを使用して、Active Directory ユーザー アカウントを無効にします。 This prevents mailbox logon using the associated user account.
重要
メールボックスのフル アクセス許可のあるユーザーは、引き続きメールボックスにアクセスできます。 他のユーザーによるアクセスを阻止するためには、そのユーザーのフル アクセス許可をメールボックスから削除する必要があります。 メールボックスに対するフル アクセス メールボックスのアクセス許可を削除する方法については、「 受信者のアクセス許可を管理する」を参照してください。
メールボックス ユーザーから送信またはメールボックス ユーザーが受信するメッセージのサイズ制限を非常に低い値 (たとえば、1 KB) に設定します。 これにより、メールボックスにまたはメールボックスから新しいメールの配信を阻止します。 詳細については、「メールボックスのメッセージ サイズ制限を構成する」を参照してください。
このメールボックスへの配信制限を構成すると、メッセージを送信できるユーザーはいなくなります。 詳細については、「メールボックスのメッセージの配信制限を構成する」を参照してください。
重要
組織に必要な他のアカウント管理プロセスでも上記の手順を実行する必要がありますが、メールボックスの無効化または削除、または関連ユーザー アカウントの削除は不要です。
メッセージング保持管理 (MRM) または電子情報開示のために、メールボックス保存の実施を計画する場合は、従業員回転率を考慮する必要があります。 元従業員のメールボックスを長期保存するには、関連するユーザー アカウントも同じ期間保存しなければならないため、メールボックス サーバーにストレージを追加する必要があり、結果として Active Directory データベースの増加に繋がります。 さらに、組織のアカウント プロビジョニングや管理プロセスの変更が必要になる可能性もあります。
インプレース電子情報開示の制限と調整ポリシー
Exchange 2013 では、電子情報開示 In-Place 使用できるリソースは、調整ポリシーを使用して制御されます。
既定の調整ポリシーには、次の調整パラメーターが含まれています。
パラメーター | 説明 | 既定値 |
---|---|---|
DiscoveryMaxConcurrency | 組織内で同時に実行できる、インプレース電子情報開示検索の最大数 | 2 注: 以前の 2 つの検索がまだ実行されている間に電子情報開示検索が開始された場合、3 番目の検索はキューに入れられません。代わりに失敗します。 新しい検索を正常に開始するには、前の検索のいずれかが終了するまで待機する必要があります。 |
DiscoveryMaxMailboxes | 1 回のインプレース電子情報開示検索で検索できるメールボックスの最大数。 | 5,000 |
DiscoveryMaxStatsSearchMailboxes | キーワード統計を表示できるインプレース電子情報開示検索で、一度に検索できる最大メールボックス数。 | 100 注: 電子情報開示検索の見積もりを実行すると、キーワードの統計情報を表示できます。 これらの統計情報は、検索クエリで使用された各キーワードに対して返される項目数の詳細情報を表示します。 検索に含まれるソース メールボックス数が 100 を超える場合、キーワード統計を表示しようとするとエラーが返されます。 |
DiscoveryMaxKeywords | 1 回のインプレース電子情報開示の検索で指定できるキーワードの最大数。 | 500 |
DiscoveryMaxSearchResultsPageSize | インプレース電子情報開示の検索結果をプレビューするときに、1 ページに表示する項目の最大数を指定します。 | 200 |
DiscoverySearchTimeoutPeriod | インプレース電子情報開示検索がタイムアウトする前に実行される時間 (分)。 | 10 分 |
Exchange Server 2013 では、要件に合わせてこれらのパラメーターの既定値を変更するか、追加の調整ポリシーを作成して、委任された Discovery Management アクセス許可を持つユーザーに割り当てることができます。
インプレース電子情報開示のドキュメント
次の表には、インプレース電子情報開示の理解と管理に役立つトピックへのリンクが含まれています。
トピック | 説明 |
---|---|
Exchange の電子情報開示のアクセス許可を割り当てる | EAC でインプレース電子情報開示を使用して Exchange メールボックスを検索するためのユーザー アクセス権を付与する方法について説明します。 ユーザーを探索管理役割グループに追加すると、ユーザーは SharePoint 2013 の電子情報開示センターを使用して Exchange メールボックスを検索することもできます。 |
証拠開示用メールボックスの作成 | シェルを使用して、探索メールボックスを作成し、アクセス許可を割り当てる方法について説明します。 |
インプレース電子情報開示検索を作成する | インプレース電子情報開示検索を作成する方法と、電子情報開示検索結果を予測してプレビューする方法について説明します。 |
Exchange Search によってインデックス処理されるメッセージのプロパティ | インプレース電子情報開示を使用して検索できる電子メール メッセージのプロパティについて説明します。 各プロパティの構文例、 AND や OR などの検索演算子についての情報、二重引用符 (" ") やプレフィックス ワイルドカードの使用などの他の検索クエリ技法に関する情報を提供します。 |
インプレース電子情報開示の検索の開始または停止 | 電子情報開示検索を開始、停止、再開する方法について説明します。 |
インプレース電子情報開示検索を変更する | 既存の電子情報開示検索を変更する方法について説明します。 |
電子情報開示検索結果を探索メールボックスにコピーする | 電子情報開示検索の結果を探索メールボックスにコピーする方法について説明します。 |
電子情報開示検索の結果を PST ファイルへエクスポート | 電子情報開示検索結果を PST ファイルにエクスポートする方法について説明します。 |
インプレース電子情報開示検索用のカスタム管理スコープを作成する | カスタム管理スコープを使用して探索マネージャーが検索可能なメールボックスを制限する方法について説明します。 |
インプレース電子情報開示検索を削除する | 電子情報開示検索を削除する方法について説明します。 |
Exchange 2013 でメッセージを検索して削除する | Search-Mailbox コマンドレットを使用して、電子メール メッセージを検索し、削除する方法を説明します。 |
Exchange の証拠開示用メールボックスのサイズを小さくする | このプロセスを使用して、50 GB を超える検出メールボックスのサイズを小さくします。 |
Exchange で既定の証拠開示用メールボックスを削除して再作成する | 既定の探索メールボックスを削除、再作成し、アクセス許可をもう一度割り当てる方法について説明します。 このメールボックスが 50 GB の制限を超え、検索結果が不要な場合は、この手順を使用します。 |
Exchange 2013 で既定の検出メールボックスを削除して再作成する | 探索システム メールボックスを作り直す方法について説明します。 このタスクは、Exchange 2013 組織にのみ適用されます。 |
Exchange ハイブリッド展開で OAuth 認証を使用して電子情報開示をサポートする | OAuth 認証を構成する必要がある Exchange ハイブリッド展開での電子情報開示シナリオについて説明します。 |
SharePoint の電子情報開示センター用の Exchange の構成 | SharePoint 2013 の電子情報開示センターを使用して Exchange メールボックスを検索できるように Exchange 2013 を構成する方法について説明します。 |
Exchange 電子情報開示の検索不能アイテム | Exchange Search でインデックスを作成できず、電子情報開示検索結果で検索不可能なアイテムとして返されるメールボックスアイテムについて説明します。 |
Microsoft Purview、Office 365、Exchange 2013、SharePoint 2013、Lync 2013 の電子情報開示の詳細については、「 電子情報開示の概要 (Standard)」を参照してください。