電子情報開示で検索を使用すると、ケースに関連するメール、ドキュメント、インスタント メッセージングの会話などのインプレース コンテンツをorganizationで検索できます。 検索を使用して、次のクラウドベースの Microsoft 365 データ ソース内のコンテンツを検索します。
- Exchange Online メールボックス
- SharePoint サイト
- OneDrive アカウント
- Microsoft Teams
- Microsoft 365 グループ
- Viva Engage
ケースに関連付けられているさまざまな検索を作成して実行できます。 条件 (キーワードなど) を使用して、ケースに関連する可能性が最も高いデータで検索結果を返す検索クエリを作成します。 以下のことも実行できます。
- 検索クエリを絞り込んで結果を絞り込むのに役立つ可能性のある検索統計を表示します。
- 検索結果をプレビューして、関連するデータが見つかったかどうかをすばやく確認します。
- クエリを修正して、検索を再実行します。
調査に関連するデータを検索して見つけたら、結果をレビュー セットに送信してさらに調査したり、調査チームの外部のユーザーによるレビューのためにエクスポートしたりできます。
注:
欧州連合 (EU) 内で個人のプライバシー権を保護および有効化するための EU 一般データ保護規則 (GDPR) 要件を持つ組織の場合は、organizationのユーザーによって送信されたデータ主体要求 (DSR) に応じて調査を管理することもできます。 ユーザー データ検索ケース ツールは廃止され、その機能が電子情報開示とマージされました。 検索を使用してコンテンツを検索し、電子情報開示検索でサポートされているすべての場所の DSR をサポートできるようになりました。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
検索のヒント
すべての検索のタイム ゾーンは協定世界時 (UTC) です。 organizationのタイム ゾーンの変更は現在サポートされていません。 検索ビューのタイム ゾーン表示設定は、[ データ ] 列の値にのみ適用され、収集されたアイテムのタイム スタンプには影響しません。
キーワード検索では大文字と小文字は区別されません。 たとえば、cat と CAT は同じ結果を返します。
ブール演算子の AND、OR、NOT、および NEAR は、大文字でなければなりません。
重要
これらの演算子は、 KeyQL 条件フィールドで使用する必要があります。 [キーワード条件] フィールドでこれらの演算子を使用することはサポートされておらず、これらの演算子はリテラル キーワードとして扱われます。
引用符を使用すると、ワイルド カードと引用符内のすべての操作が停止します。
2 つのキーワードまたは 2 つの
property:value
式の間のスペースは、 OR の使用と同じです。 たとえば、from:"Sara Davis" subject:reorganization
は、Sara Davis によって送信されたすべてのメッセージ、または件名行の再編成という単語を含むメッセージを返します。 ただし、1 つのクエリでスペースと OR 条件を組み合わせて使用すると、予期しない結果が発生する可能性があります。 1 つのクエリでスペースまたは OR を使用することをお勧めします。property:value
形式に一致する構文を使用します。 値では大文字と小文字は区別されず、演算子の後にスペースを指定することはできません。 スペースがある場合、目的の値はフルテキスト検索です。 たとえば、to: pilarp
は、ピラープに送信されるメッセージではなく、キーワード (keyword)として "pilarp" を検索します。To、From、Cc、Recipients などの受信者プロパティを検索するとき、SMTP アドレス、別名、または表示名を使用して受信者を指定できます。 たとえば、 pilarp@contoso.com、ピラープ、または "Pilar Pinilla" を使用できます。
プレフィックス検索のみを使用できます。たとえば、 cat* や set* などです。 サフィックス検索 (*cat)、インフィックス検索 (c*t)、部分文字列検索 (*cat*) はサポートされていません。
検索プロパティを検索するとき、検索値が複数の単語で構成される場合は、二重引用符 (" ") を使用します。 たとえば、
subject:budget Q1
は、件名行に 予算 を含み、メッセージ内の任意の場所または任意のメッセージ プロパティに Q1 を含むメッセージを返します。subject:"budget Q1"
を使用すると、件名行に budget Q1 を含むすべてのメッセージが返されます。特定のプロパティ値でマークされているコンテンツを検索結果から除外するには、プロパティの名前の前にマイナス記号 (-) を置きます。 たとえば、
-from:"Sara Davis"
は、Sara Davis によって送信されたすべてのメッセージを除外します。メッセージの種類に基づいてアイテムをエクスポートできます。 たとえば、Skype の会話と Microsoft Teams のチャットをエクスポートするには、構文
kind:im
を使用します。 メール メッセージだけを返すには、kind:email
を使用します。 Microsoft Teams のチャット、会議、通話を返すには、kind:microsoftteams
を使用します。サイトを検索するときは、
path
プロパティを使用して指定したサイト内のアイテムのみを返すときに、URL の末尾に末尾の/
を追加する必要があります。 末尾の/
を含めない場合は、同様のパス名を持つサイトのアイテムも返されます。 たとえば、path:sites/HelloWorld
を使用すると、sites/HelloWorld_East
またはsites/HelloWorld_West
という名前のサイトのアイテムも返されます。 HelloWorld サイトからのみアイテムを返すには、path:sites/HelloWorld/
を使用する必要があります。コンテンツを収集する前に、検索クエリでクエリ 言語/国/地域 を定義する必要があります。
[送信済み] フォルダーで電子メールを検索する場合、送信者の SMTP アドレスの使用はサポートされていません。 [送信済み] フォルダー内のアイテムには、表示名のみが含まれます。
検索クエリを作成する
ヒント
対話型の構成ガイド エクスペリエンスをお好みですか? 検索ガイドのデザインに関するページを参照してください。
新しいケースを作成すると、ケースの [ 検索 ] タブに自動的に移動し、ケースの検索を作成する準備が整います。 organizationのコンテンツ検索ケースで新しい検索を作成することもできます。 検索は、ケースに対して収集するアイテムを見つけるのに役立ちます。
[ケース で検索を作成する ] または [コンテンツ検索ケース] を選択します。 以前の検索を行わずに新しいケースである場合は、[関連データの検索を開始する] の下の [メイン] ウィンドウで [検索の作成] を選択することもできます。
[詳細 を入力して作業を開始する ] ページで、次のフィールドに入力します。
- 検索名: 検索に名前を付けます (必須)。 検索名は、organizationで一意である必要があります
- 検索の説明: 他のユーザーがこの検索を理解するのに役立つ省略可能な説明を追加します。
[ 作成] を選択して新しい検索を作成し、クエリを開始してケースに関連するデータを検索します。
検索の [ クエリ ] タブで、検索用のデータ ソースを追加します。 検索クエリにデータ ソースを追加するには、 ケースへのデータ ソースの追加、検索、保留 に関するページを参照して、詳細なガイダンスを確認してください。
[ 管理 ] を選択して、選択したソースに関連付けられているメールボックスまたはサイトを更新します。 それ以外の場合は、[ 保存して閉じる] を選択します。
選択内容を確認し、各データ ソースに含まれるリソースを確認します。 [保存] を選択します。 これで、検索クエリで調べるデータ ソースのスコープが設定されました。
[ データ ソース ] セクションで、データ ソースの管理オプションの任意のデータ ソースの省略記号メニューを選択します。
管理オプションについては、次のいずれかを選択します。
- データ ソースの管理: 選択したユーザーまたはサイトのデータ ソースを管理します。
- メールボックスを無効にする: 選択したユーザーまたはサイトのメールボックスを無効にします。 ユーザーまたはサイトのメールボックスを有効にするには、もう一度このオプションを選択します。
- サイトを無効にする: 選択したユーザーまたはサイトのサイトを無効にします。 このオプションをもう一度選択して、ユーザーまたはサイトのサイトを有効にします。
- 頻繁にコラボレーター: 選択したユーザーと頻繁に共同作業を行うユーザーの関連付けられているメールボックスとサイトを選択します。
- マネージャー: ユーザーのマネージャーの関連付けられているメールボックスとサイトを選択します。
- 直接レポート: ユーザーの直接レポートの関連付けられているメールボックスとサイトを選択します。
- ユーザーが所有するグループ: 関連付けられているメールボックスと、ユーザーが所有者であるグループのサイトを選択します。
- ユーザーが属しているグループ: 関連付けられているメールボックスと、ユーザーがメンバーになっているグループのサイトを選択します。
グループ ソースの場合は、次のいずれかを選択します。
- メンバー: グループのメンバーであるユーザーの関連付けられているメールボックスとサイトを選択します。
[データ ソース] コマンド バー コントロールを使用して、検索用の他のデータ ソースを追加、更新、同期、および検索します (必要に応じて)
- 検索と追加: [+] アイコンを選択してデータ ソースを追加します。
- 管理: 鉛筆アイコンを選択して、割り当てられたデータ ソースを管理します。
- 同期: 同期アイコンを選択してデータ ソースを同期し、organizationの最新のデータ ソースでデータ ソースを更新します。
- 検索: 検索アイコンを選択して、検索クエリに現在含まれているデータ ソースを検索します。
検索クエリのパラメーターを定義するには、[ クエリ] タブ で次のオプションから選択できます。
条件ビルダー: 検索の 条件ビルダー オプションを使用すると、電子情報開示で検索クエリを作成するときに、ユーザーが簡単に検索できます。 キーワードまたはカスタム条件を使用して、検索クエリのスコープに焦点を当てます。 さらに、検索で キーワード クエリ言語 (KQL) クエリ条件オプション を使用できます。このオプションを使用すると、ガイダンスが提供され、長くて複雑なクエリをすばやくエディターに直接貼り付けることができます。 また、検索クエリをゼロから構築し、潜在的なエラーを特定し、問題を解決する方法に関するヒントを表示するのにも役立ちます。
Microsoft Security Copilotを使用して、検索の KeyQL クエリをすばやく構築することもできます。 ガイダンスについては、この記事の 次のセクション を参照してください。
ファイルで検索 (プレビュー): 1 つ以上のファイルをアップロードして、特定のケースに関連するコンテンツまたは類似のコンテンツを検索します。 監査アクティビティ csv を使用して、特定の期間内に特定のユーザーの関連メッセージとファイルを検索します。 または、類似のコンテンツを見つけるためのサンプル証拠を提供します。 各ファイルの最大ファイル サイズは 10 MB に制限され、ファイルは csv または txt にすることができます。 ファイルによる検索では、クエリ ビルドと KQL オプションが無効になります。
[クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。
ファイルで検索 (プレビュー)
注:
この機能は、初期段階のプレビュー段階にあります。 ユーザーは、結果をレビュー セットまたはエクスポートにチェックして、完全性と精度を高める必要があります。 プレビュー期間中は、フィードバックに基づいて機能を変更または中止する権利を留保します。
この機能は、電子情報開示調査担当者を 2 つの方法で支援します。
類似ファイルで検索
今日のデジタルワークプレースでは、重要なドキュメントは頻繁にコピー、変更、移動され、複数の場所に保存されます。 調査担当者がサンプル ドキュメントを持ち、同様のコンテンツを検索する場合、この機能はアップロードされたサンプル証拠ファイルを分析して最も一意の単語を抽出し、概念的に類似したファイルを検索するクエリを自動的に生成します。 これは、手動クエリの定式化が困難な特殊なドキュメントや一意のドキュメントのバリエーションを特定する場合に特に役立ちます。
監査ログで検索する
監査ログに関する調査のために、この機能は入力監査ログ csv を受け入れます。 監査ログ エントリ (送信されたメッセージやアクセスされたドキュメントなど) を使用して、検索スコープ内の関連ファイルを検索し、識別子や場所などの監査ログ内の情報を使用して、一致するドキュメントやメッセージを検索します。 この機能を使用すると、調査担当者は監査アクティビティをテナント内の関連コンテンツにリンクできます。
どちらのシナリオでも、レビュー セットに項目が追加されると、一致する項目が入力証拠ファイルまたは監査ログの下にグループ化され、確認が容易になります。
Microsoft Copilotを使用して KeyQL 検索クエリを作成する (プレビュー)
検索の自然言語クエリ (プレビュー) KeyQL ビルダー オプションを使用すると、自然言語とMicrosoft Security Copilotを使用してキーワード クエリ言語 (KeyQL) ステートメントをすばやく生成できます。 ビルダーを使用して、AND、OR、条件のグループ化などの追加機能を備えた複雑なクエリを作成し、自然言語プロンプトを使用します。
この機能を使用すると、シナリオの例として定義済みのプロンプトを使用してクエリをより簡単に作成でき、より正確な検索クエリのカスタム プロンプトを絞り込んで強化できます。 プロンプト候補を出発点として使用して、一般的な検索シナリオまたはカスタム検索シナリオに対して KeyQL クエリを作成および絞り込むこともできます。
Copilot で検索クエリを作成するには、次の手順を実行します。
- クエリのデータ ソースを選択したら、[ Copilot を使用してクエリを下書きする] を選択します。
- [ 自然言語] プロンプト ウィンドウで、次のいずれかのオプションを選択します。
- 検索クエリの質問を入力します。 必要に応じて、ユーザー、データ ソース、およびその他のコンテンツの詳細を含めることができます。
- [ プロンプトの表示 ] を選択して、次のいずれかのプロンプト候補を選択します。
- 予算と財務という単語を含むすべてのメールを検索し、添付ファイルを含む
- "会計年度" という単語を含む 2020 年 1 月のすべてのチャットを検索する
- 機密と予算という単語を含む .docx の種類のファイルを検索します
- 自然言語プロンプトを確認します。 Copilot でプロンプトを絞り込むには、[ 絞り込み] を選択します。
- プロンプトが完了したら、[ キーQL の生成] を選択します。
- キーワード クエリ言語 (KeyQL) の結果ウィンドウで KeyQL クエリを確認します。 KeyQL クエリの結果を絞り込む必要がある場合は、[ 自然言語 プロンプト] ウィンドウでプロンプトを更新し、もう一度 [ KeyQL の生成 ] を選択します。 1. KeyQL の結果が完成したら、[ キーQL のコピー] を選択します。
- [ キーワード クエリ言語 (KeyQL)] タブのクエリ フィールドに KeyQL の結果を貼り付けます。 Copilot で下書きクエリを閉じます。
- [クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。
検索クエリを実行する
検索クエリを手動で作成するか、Security Copilotを使用して作成したら、クエリを実行して検索結果を生成する準備が整います。
検索クエリを実行するには、次の手順を実行します。
Microsoft Purview ポータルに移動し、電子情報開示アクセス許可が割り当てられているユーザー アカウントの資格情報を使用してサインインします。
電子情報開示ソリューション カードを選択し、左側のナビゲーションで [ケース (プレビュー)] を選択します。
ケースを選択します。 [検索] タブ で 、保存した検索を選択します。
[クエリの実行] を選択します。
[クエリの 実行] を選択すると、[検索結果の 選択 ] ポップアップ ウィンドウが表示されます。 クエリとその設定に対して生成するビューを選択します。 [ 統計 ] ビューまたは [サンプル ] ビューを選択できます。
統計: このビューでは、収集されたデータの見積もりの概要が上位のインジケーターによって並べ替えられます。 次のオプションの 1 つ以上を選択します。
カテゴリを含める: ユーザー、機密情報の種類、アイテムの種類、エラーを含むようにビューを絞り込みます。
クエリ キーワード レポートを含める: 検索クエリのさまざまな部分キーワード (keyword)関連性を評価する/
部分的にインデックス付けされた項目を調査する: 部分的にインデックス付けされた項目は、通常、データ ソース内のコンテンツの約 1% をカウントで占めます。 このオプション (およびこのオプションのみ) を選択すると、検索用に選択したデータ ソースに含まれる部分的にインデックス付けされた項目に関する概要情報 (アイテム数と場所) が生成されます。 部分的にインデックスが付いた項目はインデックスを再作成または処理されません。 スコープ付きデータ ソース内の部分的にインデックス付けされた項目をさらに処理するには、次の高度なインデックス作成オプションを検討してください。
検索ヒットのない場所で部分的にインデックス付けされた項目を除外する: この追加オプションを選択すると、検索に関連する項目を含むデータ ソースからの部分的なインデックス付きアイテムの含みを制限することで、部分的にインデックス付けされた項目の範囲が縮小されます (または、そのオプションが選択されている場合は高度なインデックス付け)。 これにより、検索に関連する項目が含まれていないデータ ソースから部分的にインデックス付きアイテムが除外されます。
たとえば、複数のメールボックス、SharePoint サイト、OneDrive サイトを検索用のデータ ソースとして選択したとします。 検索を実行すると、一部のメールボックスとサイトのみが検索条件に関連するインデックス付きアイテムを持ちます。残りのメールボックスとサイトには、検索条件に関連するネイティブインデックス付きアイテムは含まれません。 このオプションを選択した場合、検索に関連するネイティブインデックス付きアイテムを含むメールボックスとサイト内の部分的にインデックス付けされたアイテムが、検索結果に含まれます。 検索に関連するネイティブインデックス付きアイテムが含まれていないメールボックスおよびサイト内の部分的にインデックス付けされたアイテムは無視され、検索結果には報告されません。
部分的にインデックス付けされた項目に対して高度なインデックス作成を実行する: 高度なインデックス作成を実行するスコープは、[ 検索ヒットのない場所で部分的にインデックス付けされた項目を除外する ] オプションを選択した場合によって異なります。 高度なインデックス作成プロセスは、スコープ内の部分的にインデックス付けされた項目の統計サンプルを実行し、これらの項目がクエリと一致するかどうかを判断します。
- [検索ヒットのない場所で部分的にインデックス付けされた項目を除外する] オプションで選択: これは、部分的にインデックスが付いた項目が、検索クエリに一致する完全にインデックス付けされた項目を持つデータ ソースにのみ適用されます。 これらの項目はサンプリングされ、インデックスが作成され、検索クエリに一致する項目が (該当する場合) 検索統計に表示されます。
- [検索ヒットのない場所で部分的にインデックス付けされたアイテムを除外する] オプションなしで選択: これは、検索に含まれるすべてのデータ ソース内のすべての部分的にインデックス付きアイテムに適用されます。 すべての項目がサンプリングされ、インデックスが作成され、検索クエリに一致する項目が検索統計に表示されます (該当する場合)。
重要
この機能は、 限られた形式 のケースでは使用できません。
サンプル: このビューでは、検索結果全体の代表的な選択が生成されます。 次のオプションのパラメーターを定義します。
- 場所ごとに生成するサンプル項目の数を選択します。1、10、または 100 のいずれかを選択します。
- サンプルを取得する場所の数を選択します。10、100、1000、または 10000 のいずれかを選択します。
[ クエリの実行 ] を選択して、クエリをすぐに実行します。
選択したクエリ ビュー オプションに応じて、[ 統計 ] タブまたは [ サンプル ] タブに自動的に移動します。検索クエリ評価が開始され、クエリを処理するための残りの時間が計算されます。 検索結果の評価と微調整の詳細については、「検索結果の 確認と評価」を参照してください。
既存の検索から新しい検索を作成する
一部のシナリオでは、既存の検索に基づいて新しい検索を作成すると便利な場合があります。 これにより、元のデータ ソースと検索が維持され、変更を加えながら、元の検索を変更せずに新しい検索統計を取得できます。 重複検索を作成すると、すべてのデータ ソースと元の検索からの検索が新しい検索に保持されます。 これにより、元の検索の整合性が維持され、新しい分析情報を探索できるようになります。
既存の検索から新しい検索を作成するには、次の手順を実行します。
- ケースを選択します。 [検索] タブ で 、検索を開きます。
- [複製する] を選択します。
- 同じケースで新しい検索が自動的に作成されます。
新しい検索名には、タイトルに コピーの プレフィックスが付いたソース検索タイトルと、タイムスタンプが追加されています。 たとえば、ソース検索タイトルが [予算メールの検索] の場合、新しい検索タイトルは 予算メールの検索のコピー + タイムスタンプになります。 新しい検索タイトルを編集するには、タイトル テキストの横にある編集コントロールを選択します。
既存の保留リストから新しい検索を作成する
一部のシナリオでは、既存の保留に基づいて新しい検索を作成すると便利な場合があります。 これにより、元のデータ ソースを使用し、保留に使用される検索を使用して新しい検索を実行できます。 既存の保留から検索を作成すると、すべてのデータ ソースとホールドからの検索が新しい検索に保持されます。
注:
既存の保留リストから検索を作成するには、コンプライアンス 検索 ロールが割り当てられている必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。
既存の保留から新しい検索を作成するには、次の手順を実行します。
- ケースを選択します。 [ 保留ポリシー] タブで、保留ポリシー を選択して開きます。
- [ 検索の作成] を選択します。
- 新しい検索が自動的に作成され、新しい検索に自動的にリダイレクトされます。
新しい検索名には、タイトルとタイムスタンプにプレフィックス が付いたコピーの ソース保留ポリシー名が含まれます。 たとえば、ソース保留ポリシー のタイトルが Contoso プロジェクトを保持するために Hold である場合、新しい検索タイトルは 、Contoso プロジェクトとタイムスタンプを保持するための保留のコピーになります。 新しい検索タイトルを編集するには、タイトル テキストの横にある編集コントロールを選択します。