コンプライアンス ポータルで電子情報開示のアクセス許可を割り当てる

  • [アーティクル]

Microsoft Purview コンプライアンス ポータルで電子情報開示関連のツールを使用する場合は、適切なアクセス許可を割り当てる必要があります。 ロールを割り当てる最も簡単な方法は、コンプライアンス ポータルの [アクセス許可] ページに適切な役割グループを追加することです。 この記事では、電子情報開示タスクを実行するために必要なアクセス許可について説明します。

ヒント

コンプライアンス ポータルの電子情報開示 (Premium) の概要ページで、独自のアクセス許可を表示できます。 アクセス許可を表示するには、少なくとも 1 つのロールが割り当てられている必要があります。

コンプライアンス ポータルの主要な電子情報開示関連の役割グループは、 電子情報開示マネージャーと呼ばれます。 この役割グループには、次の 2 つのサブグループがあります。

  • 電子情報開示マネージャー - 電子情報開示マネージャーは、電子情報開示検索ツールを使用して、organization内のコンテンツの場所を検索し、プレビューや検索結果のエクスポートなど、さまざまな検索関連のアクションを実行できます。 メンバーは、Microsoft Purview eDiscovery (Standard) とMicrosoft Purview eDiscovery (Premium) でケースを作成および管理したり、ケースにメンバーを追加および削除したり、ケースホールドを作成したり、ケースに関連付けられた検索を実行したり、ケース データにアクセスしたりすることもできます。 電子情報開示マネージャーがアクセスして管理できるのは、自分で作成したケースだけです。 他の電子情報開示マネージャーが作成したケースの場合、アクセスまたは管理はできません。

  • 電子情報開示管理者 - 電子情報開示管理者は電子情報開示マネージャーの役割グループのメンバーであり、電子情報開示マネージャーが実行できるのと同じコンテンツ検索およびケース管理関連のタスクを実行できます。 さらに、電子情報開示管理者は、次のことができます。

    • コンプライアンス ポータルの 電子情報開示 (Standard) ページと 電子情報開示 (Premium) ページに一覧表示されているすべてのケースにアクセスします。
    • 電子情報開示 (プレミアム) で組織内のすべてのケースに関するケース データにアクセスする。
    • 自分自身をケースのメンバーとして追加した後、すべての電子情報開示のケースを管理する。
    • 電子情報開示ケースからメンバーを削除します。 ケースからメンバーを削除できるのは、電子情報開示管理者のみです。 電子情報開示マネージャー サブグループのメンバーであるユーザーは、ケースを作成した場合でも、ケースからメンバーを削除できません。

    organizationで電子情報開示管理者が必要になる理由については、「詳細」を参照してください。

注:

電子情報開示 (Premium) を使用してユーザーのデータを分析するには、ユーザー (データのカストディアン) にOffice 365 E5またはMicrosoft 365 E5 ライセンスを割り当てる必要があります。 または、Office 365 E1またはOffice 365またはMicrosoft 365 E3 ライセンスを持つユーザーに、Microsoft 365 E5 Complianceまたは Microsoft 365 電子情報開示および監査アドオン ライセンスを割り当てることができます。 ケースにメンバーとして割り当てられ、電子情報開示 (Premium) を使用してデータを収集、表示、分析する管理者、コンプライアンス責任者、または法務担当者は、E5 ライセンスは必要ありません。 電子情報開示 (Premium) ライセンスの詳細については、「 電子情報開示 (Premium)のサブスクリプションとライセンス」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

アクセス許可を割り当てる前に

  • コンプライアンス ポータルで電子情報開示のアクセス許可を割り当てるには、 組織管理 役割グループのメンバーであるか、 ロール管理 ロールを割り当てる必要があります。
  • セキュリティ & コンプライアンス PowerShell の Add-RoleGroupMember コマンドレットを使用して、電子情報開示マネージャーの役割グループの電子情報開示マネージャー サブグループのメンバーとしてメールが有効なセキュリティ グループを追加できます。 ただし、電子 情報開示管理者 サブグループにメールが有効なセキュリティ グループを追加することはできません。 詳細については、「 詳細情報」を参照してください。

電子情報開示のアクセス許可を割り当てる

  1. コンプライアンス ポータルに移動し、アクセス許可を割り当てることができるアカウントを使用してサインインします。

  2. 左側のウィンドウで、[ ロール] & [スコープ>のアクセス許可] を選択します。

  3. [ アクセス許可 ] ページの [ Microsoft Purview ソリューション] で、[ロール] を選択 します

  4. [ Microsoft Purview ソリューションの役割グループ ] ページで、[ 電子情報開示マネージャー] を選択します。

  5. [ 電子情報開示マネージャー ] ポップアップ ウィンドウで、割り当てる電子情報開示アクセス許可に基づいて、次のいずれかの操作を行います。

    • [編集] を選択します。
    • [ 電子情報開示マネージャーの管理 ] ページで、[ユーザーの選択] を 選択します
    • 電子情報開示マネージャーとして追加するユーザー (またはユーザー) を検索して選択し、[選択] を選択します
    • [次へ] を選択します。
    • 電子情報開示管理者の役割グループにユーザー (またはユーザー) を割り当てるには、[ユーザーの選択] を選択します
    • 電子情報開示管理者として追加するユーザー (またはユーザー) を検索して選択し、[選択] を選択します。
    • [次へ] を選択します。
    • [ 役割グループを確認して完了] ページで、役割グループの変更を確認します。 [ 保存] を 選択して、電子情報開示役割グループへの変更を保存します。

注:

また、Add-eDiscoveryCaseAdmin コマンドレットを使用してユーザーを電子情報開示管理者にすることもできます。 ただし、このコマンドレットを使用して電子情報開示管理者にする前に、ユーザーに ケース管理 ロールを割り当てる必要があります。 詳細については、「Add-eDiscoveryCaseAdmin」を参照してください。

コンプライアンス ポータルの [アクセス許可] ページで、ユーザーを コンプライアンス管理者組織の管理レビュー担当者 の役割グループに追加することで、電子情報開示関連のアクセス許可を割り当てることもできます。 これらの各役割グループに割り当てられた電子情報開示関連のロールベースのアクセス制御ロールの説明については、「 電子情報開示に関連するロールベースのアクセス制御ロール」を参照してください。

アクセス許可の表示

電子情報開示ユーザーに割り当てられたアクセス許可は、コンプライアンス ポータルで各ユーザーが検出にサインインすると、[電子情報開示の概要] タブの [アクセス許可] カードに表示されます。 このカードでは、電子情報開示ケースに関する制限事項を含め、ユーザーのアクセスとロールについて説明します。

電子情報開示 (Premium) アクセス許可カード。

次の表は、コンプライアンス ポータルの電子情報開示関連のロールベースのアクセス制御ロールの一覧であり、各ロールが既定で割り当てられている組み込みの役割グループを示しています。

役割 コンプライアンス管理者 電子情報開示マネージャー & 管理者 組織の管理 レビュー担当者
ケース管理 チェックマークを付けます。 チェック マーク。 チェック マーク。
コミュニケーション チェック マーク。
コンプライアンス検索 チェックマークを付けます。 チェック マーク。 チェック マーク。
カストディアン チェック マーク。
エクスポート チェックマークを付けます。
Hold チェックマークを付けます。 チェック マーク。 チェック マーク。
レビュー セット タグを管理する チェック マーク。
Preview チェックマークを付けます。
レビュー チェックマークを付けます。 チェック マーク
RMS の暗号化解除 チェック マーク
検索と消去 チェック マーク

次の診断テストを実行して、エクスポートプレビュー、または検索ロールが指定された管理者アカウントに割り当てられているかどうかをチェックします。

  1. Microsoft Purview コンプライアンス ポータルの右上にある [ヘルプ] コントロールを選択します。 電子情報開示 RBAC チェック テストを実行するには、検索に「Diag:edisRBACdiag」と入力します (または、このリンクを選択します)。
  2. [診断の実行] セクションで、エクスポート、プレビュー、または検索タスクを実行しようとしているユーザーの UPN またはメール アドレスを入力します。
  3. [ テストの実行] を選択します。 ユーザーに必要な電子情報開示ロールがない場合は、目的のタスクを実行するロールを割り当てます。

次のセクションでは、前の表に示した電子情報開示関連の各ロールベースのアクセス制御ロールについて説明します。

ケース管理

このロールを使用すると、コンプライアンス ポータルで電子情報開示 (Standard) と電子情報開示 (Premium) ケースへのアクセスをユーザーが作成、編集、削除、制御できます。 前に説明したように、Add-eDiscoveryCaseAdmin コマンドレットを使用して電子情報開示管理者にする前に、ユーザーにケース管理ロールを割り当てる必要があります。

詳細については、以下を参照してください:

コミュニケーション

このロールを使用すると、ユーザーは電子情報開示 (Premium) ケースで識別されたカストディアンとのすべての通信を管理できます。 これには、保留通知の作成、リマインダーの保持、管理へのエスカレーションが含まれます。 また、ユーザーは、保持通知のカストディアン受信確認を追跡し、各カストディアンがカストディアンとして識別されたケースの通信を追跡するために使用されるカストディアン ポータルへのアクセスを管理することもできます。

詳細については、「 電子情報開示 (Premium) での通信の操作」を参照してください。

このロールを使用すると、ユーザーはコンプライアンス ポータルでコンテンツ検索ツールを実行して、メールボックスとパブリック フォルダー、SharePoint Online サイト、OneDrive for Business サイト、Skype for Business会話、Microsoft 365 グループ、Microsoft Teams、Viva Engage グループを検索できます。 このロールを使用すると、ユーザーは検索結果の見積もりを取得し、エクスポート レポートを作成できますが、検索結果のプレビュー、エクスポート、削除などのコンテンツ検索アクションを開始するには、他のロールが必要です。

コンテンツ検索と電子情報開示 (Standard) では、 コンプライアンス検索 ロールが割り当てられているがプレビュー ロールを持たないユーザーは、 プレビュー ロールが割り当てられているユーザーによってプレビュー アクションが開始された検索の結果を プレビュー できます。 プレビュー ロールを持たないユーザーは、最初のプレビュー アクションが作成されてから最大 2 週間、結果をプレビューできます。

同様に、コンプライアンス検索ロールが割り当てられているがエクスポート ロールを持たないコンテンツ検索および電子情報開示 (Standard) のユーザーは、エクスポート ロールが割り当てられているユーザーによってエクスポート アクションが開始された検索の結果をダウンロードできます。 エクスポート ロールを持たないユーザーは、最初の エクスポート アクションが作成されてから最大 2 週間、検索の結果をダウンロードできます。 その後、エクスポート ロールを持つユーザーが エクスポート を再開しない限り、結果をダウンロードできません。

検索結果をプレビューおよびエクスポートするための 2 週間の猶予期間 (対応する検索ロールとエクスポート ロールなし) は、電子情報開示 (Premium) には適用されません。 電子情報開示 (Premium) でコンテンツをプレビューおよびエクスポートするには、ユーザーに プレビュー ロールと エクスポート ロールを割り当てる必要があります。

カストディアン

このロールを使用すると、ユーザーは電子情報開示 (Premium) ケースのカストディアンを識別および管理し、Microsoft Entra IDやその他のソースの情報を使用して、カストディアンに関連付けられているデータ ソースを検索できます。 ユーザーは、メールボックス、SharePoint サイト、Teams などの他のデータ ソースをケースのカストディアンに関連付けることができます。 ユーザーは、カストディアンに関連付けられているデータ ソースを法的に保留して、ケースのコンテキストでコンテンツを保持することもできます。

詳細については、「 電子情報開示 (Premium)でカストディアンを操作する」を参照してください。

エクスポート

この役割では、コンテンツ検索の結果をローカル コンピューターにエクスポートできます。 また、電子情報開示 (Premium) での分析のために検索結果を準備することもできます。

検索結果のエクスポートの詳細については、「Microsoft Purview コンプライアンス ポータルから検索結果をエクスポートする」を参照してください。

Hold

このロールを使用すると、ユーザーはメールボックス、パブリック フォルダー、サイト、Skype for Business会話、Microsoft 365 グループにコンテンツを保留にできます。 コンテンツを保留にすると、コンテンツの所有者は引き続き元のコンテンツを変更または削除できますが、コンテンツは保留が解除されるか保留期間が経過するまで保持されます。

保留の詳細については、以下を参照してください。

レビュー セット タグを管理する

このロールを使用すると、ユーザーがアクセスできるケースのレビュー セット タグを作成、編集、削除できます。 ユーザーは、レビュー中にタグを管理するために、少なくともレビュー ロールとこのロールを持っている必要があります。

プレビュー

この役割では、コンテンツ検索から返された項目の一覧を表示できます。 一覧から各項目を開いて表示し、項目の内容を確認することもできます。

レビュー

このロールを使用すると、ユーザーは 電子情報開示 (Premium) のレビュー セットにアクセスできます。 このロールが割り当てられているユーザーは、自分がメンバーであるコンプライアンス ポータルの [電子情報開示 > Premium ] ページでケースの一覧を表示して開くことができます。 ユーザーが電子情報開示 (Premium) ケースにアクセスした後、[ レビュー セット ] を選択してケース データにアクセスできます。 このロールでは、ケースに関連付けられているコレクション検索の結果をプレビューしたり、他の検索タスクやケース管理タスクを実行したりすることはできません。 このロールを持つユーザーは、レビュー セット内のデータにのみアクセスできます。

RMS の暗号化解除

このロールを使用すると、検索結果をプレビューするときに権限で保護された電子メール メッセージを表示し、復号化された権限で保護された電子メール メッセージをエクスポートできます。 また、このロールを使用すると、暗号化されたファイルが電子情報開示検索の結果に含まれる電子メール メッセージに添付されている場合に 、Microsoft 暗号化テクノロジ で暗号化されたファイルを表示 (およびエクスポート) できます。 さらに、このロールを使用すると、電子情報開示 (Premium) のレビュー セットに追加された暗号化された電子メールの添付ファイルをユーザーが確認し、クエリを実行できます。 電子情報開示での暗号化解除の詳細については、「 Microsoft 365 電子情報開示ツールでの復号化」を参照してください。

検索と消去

この役割では、コンテンツ検索の条件に一致するデータの一括削除を行うことができます。 詳細については、「organizationで電子メール メッセージを検索および削除する」を参照してください。

電子情報開示ケースのメンバーとしての役割グループの追加

役割グループを電子情報開示 (Standard) および電子情報開示 (Premium) ケースのメンバーとして追加して、ロール グループのメンバーが割り当てられたケースのタスクにアクセスして実行できるようにします。 役割グループに割り当てられたロールは、役割グループのメンバーが実行できる操作を定義します。 次に、ロール グループをケースのメンバーとして追加すると、メンバーは特定のケースでこれらのタスクにアクセスして実行できます。 ロール グループをケースのメンバーとして追加する方法の詳細については、次を参照してください。

この要件を念頭に置いて、ロールが役割グループに追加または削除された場合、その役割グループは、ロール グループがメンバーである場合は、そのロール グループのメンバーとして自動的に削除されることを知っておくべきことが重要です。 その理由は、organizationがケースのメンバーに追加のアクセス許可を誤って提供しないようにするためです。 同様に、役割グループが削除されると、メンバーであったすべてのケースから削除されます。

電子情報開示ケースのメンバーである可能性がある役割グループにロールを追加または削除する前に、 Security & Compliance PowerShell で次のコマンドを実行して、役割グループがメンバーであるケースの一覧を取得できます。 役割グループを更新した後、それらのケースのメンバーとして役割グループを再度追加します。

役割グループが割り当てられている電子情報開示 (Standard) ケースの一覧を取得する

Get-ComplianceCase -RoleGroup "Name of role group"

役割グループが割り当てられている電子情報開示 (Premium) ケースの一覧を取得する

Get-ComplianceCase -RoleGroup "Name of role group" -CaseType AdvancedEdiscovery

詳細

  • 電子情報開示管理者を作成する理由 前に説明したように、電子情報開示管理者は、organization内のすべての電子情報開示ケースを表示およびアクセスできる電子情報開示マネージャー役割グループのメンバーです。 すべての電子情報開示のケースにアクセスする能力には、2 つの重要な目的があります。

    • 電子情報開示ケースの唯一のメンバーであるユーザーがorganizationを離れた場合、ケースのメンバーではないので、誰も (組織管理役割グループのメンバーまたは電子情報開示マネージャー役割グループの別のメンバーを含む) その電子情報開示ケースにアクセスできません。 この状況では、ケースのデータにアクセスする方法はありません。 ただし、電子情報開示管理者は、organization内のすべての電子情報開示ケースにアクセスできるため、ケースを表示し、ケースのメンバーとして自分自身または別の電子情報開示マネージャーを追加できます。
    • 電子情報開示管理者は、すべての電子情報開示 (Standard) および電子情報開示 (Premium) ケースを表示およびアクセスできるため、すべてのケースと関連するコンプライアンス検索を監査および監視できます。 この機能は、コンプライアンス検索や電子情報開示ケースの誤用を防ぐのに役立ちます。 電子情報開示管理者はコンプライアンス検索の結果に含まれる潜在的な機密情報にアクセスできるため、電子情報開示管理者となるユーザーの数を制限する必要があります。

  • グループを電子情報開示マネージャー役割グループのメンバーとして追加できますか? 前に説明したように、セキュリティ & コンプライアンス PowerShell の Add-RoleGroupMember コマンドレットを使用して、電子情報開示マネージャーの役割グループの電子情報開示マネージャー サブグループのメンバーとしてメールが有効なセキュリティ グループを追加できます。 たとえば、次のコマンドを実行して、 電子情報開示マネージャー の役割グループにメールが有効なセキュリティ グループを追加できます。

    Add-RoleGroupMember "eDiscovery Manager" -Member <name of security group>

    Exchange 配布グループとMicrosoft 365 グループはサポートされていません。 を実行New-DistributionGroup -Type Securityして PowerShell で作成できるメールが有効なセキュリティ グループExchange Online使用する必要があります。 メールが有効なセキュリティ グループ (およびメンバーの追加) を Exchange 管理センターまたはMicrosoft 365 管理センターで作成することもできます。 電子情報開示マネージャーの役割グループに新しいメールが有効なセキュリティ グループを追加するには、作成してから最大 60 分かかる場合があります。

    また、前述したように、セキュリティ & コンプライアンス PowerShell の Add-eDiscoveryCaseAdmin コマンドレットを使用して、メールが有効なセキュリティ グループを電子情報開示管理者にすることはできません。 個別のユーザーは、電子情報開示管理者としてのみ追加できます。

    メールが有効なセキュリティ グループをケースのメンバーとして追加することもできません。