Exchange Serverでメッセージを検索および削除する

New-ComplianceSearch コマンドレットと New-ComplianceSearchAction コマンドレットを使用して、組織内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 この機能を使用して、次のように有害な、またはリスクが高い可能性があるメールを検索し、削除することができます。

• 危険性のある添付ファイルやウイルスを含むメッセージ

• フィッシング メッセージ

• 機密データを含むメッセージ

Search-Mailbox コマンドレットを使用してメッセージを削除するのではなく、New-ComplianceSearch コマンドレットと New-ComplianceSearchAction コマンドレットを使用する理由 以前のバージョンの Exchange では、 コマンドを Search-Mailbox -DeleteContent 実行して電子メール メッセージを検索および削除できます。 Exchange Serverでも実行できますが、Search-Mailbox コマンドレットを使用して 1 回の検索で検索できるのは最大 10,000 個のメールボックスのみです。 New-ComplianceSearch の場合、1 回の検索でメールボックスの数に制限はありません。 これにより、大規模な組織は組織全体の検索および削除操作を実行できます。

検索と削除のプロセスのワークフローを次に示します。

手順 1: コンプライアンス検索を作成して実行し、削除するメッセージを見つける

手順 2: メッセージを削除する

削除されたメッセージがどうなるか、さらに、検索と削除の操作の状態を取得する方法について、「詳細情報」セクションをご覧ください。

注意

検索と削除は、必要なアクセス許可が割り当てられているユーザーが組織のメールボックスからメール メッセージを削除できるようにするための強力な機能です。

はじめに

• New-ComplianceSearch コマンドレットと Start-ComplianceSearchAction コマンドレットを使用してコンプライアンス検索を作成して実行し、New-ComplianceSearchAction コマンドレットを使用してメッセージを削除するには、メールボックス検索管理ロールを割り当てる必要があります。 既定ではこの役割は管理者には割り当てられません。 メールボックスを検索してメッセージを削除できるようにこの役割を自分で割り当てるには、自分を Discovery Management 役割グループのメンバーとして追加します。 「Exchange Serverで電子情報開示のアクセス許可を割り当てる」を参照してください。

• 一度に削除できるのは、メールボックスごとに最大 10 個のアイテムまでです。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。

手順 1: コンプライアンス検索を作成して実行し、削除するメッセージを見つける

最初の手順は、コンプライアンス検索を作成して実行して、組織内のメールボックスから削除するメッセージを見つけることです。 検索を作成するには、 New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行します。 この検索のクエリに一致するメッセージは、手順 2 で New-ComplianceSearchAction コマンドレットを実行して削除されます。

この例では、コマンドを使用して、件名行に "アカウント情報の更新" という単語を含むメッセージを組織内のすべてのメールボックスの作成と検索を開始します。

1. Exchange 管理シェルを開きます。

2. 次のコマンドを実行します。

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

コンプライアンス検索の作成と検索クエリの構成については、次のトピックを参照してください。

• New-ComplianceSearch

• Start-ComplianceSearch

• Exchange ServerのIn-Place電子情報開示のメッセージ プロパティと検索演算子

削除するメッセージを見つけるためのヒント

検索クエリの目標は、削除するメッセージだけに検索結果を絞り込むことです。 ここでは、そのヒントを紹介します。

• メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。

• メッセージの正確な日付 (または期間) がわかる場合は、検索クエリに Received プロパティを含めます。

• メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。

• 検索結果をプレビューして、検索が、削除を希望するメッセージだけを返したことを確認します。

• 検索結果の合計数を取得するには、( Get-ComplianceSearch コマンドレットを実行して) 検索推定統計を使用します。

不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。

• このクエリは、2016 年 4 月 13 日から 2016 年 4 月 14 日までの間にユーザーが受信し、単語 "action" と "required" が件名に含まれるメッセージを返します。

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• このクエリは、件名行に "アカウント情報の更新" という正確な語句を含む、によって chatsuwloginsset12345@outlook.com 送信されたメッセージを返します。

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

手順 2: メッセージを削除する

削除するメッセージを返すコンプライアンス検索を作成して絞り込んだ後、最後に New-ComplianceSearchAction コマンドレットを実行してメッセージを削除します。 削除されたメッセージは、ユーザーの [回復可能なアイテム] フォルダーに移動します。

この例では、"フィッシング メッセージの削除" という名前のコンプライアンス検索によって返される検索結果を削除します。

1. Exchange 管理シェルを開きます。

2. 次のコマンドを実行します。

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

詳細情報

• メッセージを削除した後はどうなりますか?: コマンドを使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete して削除されたメッセージは、ユーザーの回復可能なアイテム フォルダーの Deletes フォルダーに移動されます。 Exchange データベースからすぐには消去されません。 ユーザーは、メールボックスに構成されている削除したアイテムの保持期間に基づき、その期間は削除済みアイテム フォルダーのメッセージを復元できます。 この保持期間を過ぎるか、過ぎる前にユーザーがメッセージを消去すると、メッセージは Purges フォルダーに移動され、ユーザーはアクセスできなくなります。 [消去] フォルダーに入ると、メールボックスに対して単一アイテムの回復が有効になっている場合、メールボックスに対して構成された削除済みアイテムの保持期間に基づいて、メッセージが再び保持されます。 (Exchange では、新しいメールボックスが作成されるときに、単一アイテムの回復が既定で有効になります。削除されたアイテムの保持期間の有効期限が切れると、メッセージは完全削除からマークされ、次にメールボックスが管理フォルダー アシスタントによって処理されるときに Exchange データベースから消去されます。

• メッセージが削除され、ユーザーの回復可能なアイテム フォルダーに移動されたことを確認するにはどうすればよいですか?: メッセージを削除した後に同じコンプライアンス検索を実行した場合でも、同じ数の検索結果が表示されます (また、メッセージがユーザー メールボックスから削除されなかったと想定される場合があります)。 これは、コンプライアンス検索で [回復可能なアイテム] フォルダーが検索されるためです。これは、コマンドを実行 New-ComplianceSearchAction -Purge -PurgeType SoftDelete した後に削除されたメッセージが に移動される場所です。 [回復可能なアイテム] フォルダーに移動されたメッセージを確認するには、In-Place電子情報開示検索を実行し (手順 1 で作成したコンプライアンス検索と同じソース メールボックスと検索条件を使用)、検索結果を探索メールボックスにコピーします。 その後、探索メールボックスで検索結果を表示し、メッセージが [回復可能なアイテム] フォルダーに移動されたことを確認できます。 ソース メールボックスの一覧とコンプライアンス検索からの検索クエリを使用するIn-Place電子情報開示検索の作成の詳細については、「コンプライアンス検索を使用してExchange Server内のすべてのメールボックスを検索する」を参照してください。

• 保留または訴訟ホールドIn-Placeメールボックスからメッセージが削除された場合はどうなりますか?: メッセージが消去された後 (ユーザーによって、または削除されたアイテムの保持期間の有効期限が切れた後)、保留期間が切れるまでメッセージが保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。

• 検索および削除操作の状態を取得する方法 Get-ComplianceSearchAction: を実行して、削除操作の状態を取得します。 New-ComplianceSearchAction コマンドレットの実行時に作成されるオブジェクトには、次の形式<name of Compliance Search>_Purgeを使用して という名前が付けられます。