電子情報開示調査のコンプライアンス境界を設定する
ヒント
新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。
この記事のガイダンスは、Microsoft Purview eDiscovery (Standard) または Microsoft Purview eDiscovery (Premium) を使用して調査を管理する場合に適用できます。
コンプライアンスの境界では、電子情報開示マネージャーが検索できるユーザー コンテンツの場所 (メールボックス、OneDrive アカウント、SharePoint サイトなど) を制御する組織内に論理的な境界を作成します。 また、コンプライアンスの境界は、organization内で法的、人事、またはその他の調査を管理するために使用される電子情報開示ケースにアクセスできるユーザーを制御します。
多くの場合、コンプライアンスの境界の必要性は、地理的なボーダーや規制を尊重する必要がある多国籍企業や、多くの場合、異なる機関に分かれている政府のために必要です。 Microsoft 365 では、コンプライアンス境界は、コンテンツ検索を実行し、電子情報開示ケースを使用して調査を管理するときに、これらの要件を満たすのに役立ちます。
次の図の例を使用して、コンプライアンス境界のしくみを説明します。
この例では、Contoso LTD は、2 つの子会社である Fourth Coffee と Coho Winery で構成されるorganizationです。 このビジネスでは、電子情報開示マネージャーと調査担当者が Exchange メールボックス、OneDrive アカウント、および SharePoint サイトのみを代理店で検索できる必要があります。 また、電子情報開示マネージャーと調査担当者は、機関で電子情報開示ケースのみを表示でき、自分がメンバーであるケースにのみアクセスできます。 さらに、このシナリオでは、調査担当者はコンテンツの場所を保留にしたり、ケースからコンテンツをエクスポートしたりすることはできません。 コンプライアンス境界がこれらの要件を満たす方法を次に示します。
電子情報開示の検索アクセス許可フィルター機能は、電子情報開示マネージャーと調査担当者が検索できるコンテンツの場所を制御します。 このコントロールは、第 4 コーヒーエージェンシーの電子情報開示マネージャーと調査担当者が、第 4 コーヒー子会社内のコンテンツの場所のみを検索できることを意味します。 同じ制限が Coho Winery の子会社にも適用されます。
ロール グループ は、コンプライアンス境界に対して次の機能を提供します。
- Microsoft Purview コンプライアンス ポータルで電子情報開示ケースを表示できるユーザーを制御します。 このコントロールは、電子情報開示マネージャーと調査担当者が、機関で電子情報開示ケースのみを表示できることを意味します。
- 電子情報開示ケースにメンバーを割り当てることができるユーザーを制御します。 このコントロールは、電子情報開示マネージャーと調査担当者がメンバー自身がメンバーであるケースにのみメンバーを割り当てることができることを意味します。
- 特定のアクセス許可を割り当てるロールを追加または削除することで、メンバーが実行できる電子情報開示関連のタスクを制御します。
検索アクセス許可フィルターが役割グループに適用されている場合、アクションを実行するアクセス許可が役割グループに割り当てられている限り、役割グループのメンバーは、次の検索関連のアクションを実行できます。
- コンテンツを検索する
- 検索結果のプレビュー
- 検索結果をエクスポートする
- 検索で返されたアイテムを削除する
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
コンプライアンス境界を設定する前に
- ユーザーには、Exchange Online ライセンスが割り当てられている必要があります。 割り当てを確認するには、Exchange Online PowerShell の Get-User コマンドレットを使用します。
コンプライアンス境界の設定
コンプライアンス境界を設定する手順を次に示します。
- 手順 1: 代理店を定義するユーザー属性を特定する
- 手順 2: 各機関の役割グループを作成する
- 手順 3: コンプライアンス境界を適用する検索アクセス許可フィルターを作成する
- 手順 4: 機関内調査用の電子情報開示ケースを作成する
手順 1: 代理店を定義するユーザー属性を特定する
最初の手順は、代理店を定義する属性を選択することです。 この属性は、この属性の特定の値が割り当てられているユーザーのコンテンツの場所のみを検索するように電子情報開示マネージャーを制限する検索アクセス許可フィルターを作成するために使用されます。 たとえば、Contoso が Department 属性の使用を決定したとします。 第 4 コーヒー子会社のユーザーのこの属性の値は であり FourthCoffee
、Coho Winery 子会社のユーザーの値は になります CohoWinery
。 手順 3 では、この attribute:value
ペア ( たとえば、Department:FourthCoffee) を使用して、電子情報開示マネージャーが検索できるユーザー コンテンツの場所を制限します。
コンプライアンス境界に使用できるユーザー属性の例を次に示します。
- Company
- CustomAttribute1 - CustomAttribute15
- 部署
- 事業所
- CountryOrRegion (2 文字の国コード)
手順 2: 各機関の役割グループを作成する
次の手順では、コンプライアンス ポータルで、機関と連携するロール グループを作成します。
ロール グループを作成するには、コンプライアンス ポータルの [アクセス許可] ページに移動し、コンプライアンス境界と電子情報開示ケースを使用して調査を管理する各機関の各チームの役割グループを作成します。
コンプライアンス境界用に作成されたロール グループには、ロールがアタッチされていないことをお勧めします。 この役割グループは、ユーザーを役割グループに割り当てるためにのみ使用する必要があります。 メンバーにロールを割り当てるには、個別の組み込み (電子情報開示マネージャー) またはカスタム ロール グループを使用する必要があります。 電子情報開示関連のロールの詳細については、「 電子情報開示のアクセス許可を割り当てる」を参照してください。
注:
空のロールを使用してロール グループを停止して更新するには、PowerShell コマンドレットを使用する必要があります。 詳細については、「 New-RoleGroup 」と「 Add-RoleGroupMember」を参照してください。
Contoso コンプライアンス境界シナリオを使用して、4 つの役割グループを作成し、それぞれに適切なメンバーを追加する必要があります。
- Fourth Coffee の電子情報開示マネージャー
- Fourth Coffee の調査担当者
- Coho Winery の電子情報開示マネージャー
- Coho Winery の調査担当者
重要
ケースのメンバーとして追加した役割グループにロールが追加または削除された場合、ロール グループはケースのメンバー (またはロール グループがメンバーである場合) として自動的に削除されます。 その理由は、organizationがケースのメンバーに追加のアクセス許可を誤って提供しないようにするためです。 役割グループが削除されると、メンバーであったすべてのケースから削除されます。 コンプライアンス境界用に作成されたロール グループには、ロールが割り当てられないことをお勧めします。 個別の組み込み/カスタム ロール グループを使用して、ロールをメンバーに割り当てます。
手順 3: コンプライアンス境界を適用する検索アクセス許可フィルターを作成する
各機関の役割グループを作成したら、次の手順では、各役割グループを特定の機関に関連付け、コンプライアンス境界自体を定義する検索アクセス許可フィルターを作成します。 機関ごとに 1 つの検索アクセス許可フィルターを作成する必要があります。 セキュリティアクセス許可フィルターの作成の詳細については、「 コンテンツ検索のアクセス許可フィルターの構成」を参照してください。
この記事のシナリオのコンプライアンス境界に使用される検索アクセス許可フィルターを作成するために使用される構文を次に示します。
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
コマンドの各パラメーターの説明を次に示します。
FilterName
: フィルターの名前を指定します。 フィルターが使用されている機関を説明または識別する名前を使用します。Users
: このフィルターを実行する検索アクションに適用するユーザーまたはグループを指定します。 コンプライアンス境界の場合、このパラメーターは、フィルターを作成する機関の役割グループ (手順 2 で作成した) を指定します。 このパラメーターは複数値パラメーターであるため、1 つ以上の役割グループをコンマで区切って含めることができます。Filters
: フィルターの検索条件を指定します。 コンプライアンス境界の場合は、次のフィルターを定義します。 それぞれ異なるコンテンツの場所に適用されます。Mailbox
: パラメーターで定義されている役割グループが検索できるメールボックスまたは OneDrive アカウントをUsers
指定します。 このフィルターを使用すると、役割グループのメンバーは、特定の機関のメールボックスまたは OneDrive アカウントのみを検索できます。たとえば、"Mailbox_Department -eq 'FourthCoffee'"
です。SiteContent
: このフィルターには、2 つの個別のフィルターが含まれています。 1 つ目SiteContent_Path
は、パラメーターで定義されている役割グループが検索できる、機関内の SharePoint サイトをUsers
指定します。 たとえば、「SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'
」のように入力します。 2 番目SiteContent_Path
のフィルター (オペレーターによってor
最初SiteContent_Path
のフィルターに接続されている) は、機関の OneDrive ドメイン (MySite ドメインとも呼ばれます) を指定します。 たとえば、「SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
」のように入力します。 フィルターの代わりにフィルターをSiteContent
使用Site_Path
することもできます。Site
フィルターとSiteContent
フィルターは交換可能であり、この記事で説明する検索アクセス許可フィルターには影響しません。重要
以前の
SiteContent
検索アクセス許可フィルターに OneDrive のフィルターが含まれているのはなぜですか? フィルターはMailbox
メールボックスと OneDrive アカウントの 両方 に適用されますが、OneDrive フィルターも含めなかった場合、SharePoint フィルターを含めると OneDriveSite
アカウントは除外されます。 検索アクセス許可フィルターに SharePoint フィルターが含まれていない場合、メールボックス フィルターにはコンプライアンス境界のスコープに OneDrive アカウントが含まれるため、個別の OneDrive フィルターを含める必要はありません。 つまり、フィルターのみをMailbox
含む検索アクセス許可フィルターには、メールボックスと OneDrive アカウントの両方が含まれます。
Contoso のコンプライアンスの境界シナリオをサポートするために作成される2つの検索アクセス許可フィルターの例を示します。 これらの例にはいずれもコンマ区切りのフィルター リストが含まれています。メールボックスとサイトのフィルターが同じ検索アクセス許可フィルターに含まれており、コンマで区切られています。
4 番目のコーヒー
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
コホ ワイナリー
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
注:
前の例の Filters
パラメーターの構文には、 フィルター リストが含まれています。 フィルター リストは、メールボックス フィルターと、コンマで区切られたサイト パス フィルターを含むフィルターです。 前の例では、コンマで区切Mailbox
SiteContent
られ、フィルターが適用されていることに注意してください。 -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
電子情報開示検索の実行中にこのフィルターが処理されると、フィルターの一覧から 2 つの検索アクセス許可フィルターが作成されます。1 つのメールボックス フィルターと 1 つの SharePoint/OneDrive フィルター。 フィルター 一覧を使用する代わりに、各機関に対して 2 つの個別の検索アクセス許可フィルターを作成します。メールボックス属性の検索アクセス許可フィルターと、SharePoint および OneDrive サイト属性のフィルターを 1 つ作成します。 どちらの場合も、結果は同じになります。 フィルター リストを使用するか、別の検索アクセス許可フィルターを作成することが優先されます。
このシナリオでは、検索アクセス許可フィルターはどのように機能しますか?
このシナリオでは、各機関に対して検索アクセス許可フィルターを適用する方法を次に示します。
フィルターは
Mailbox
、電子情報開示マネージャーが検索できるコンテンツの場所を定義するために最初に適用されます。 この場合、Coho Winery 電子情報開示マネージャーは、 Department メールボックス プロパティの値が FourthCoffee であるユーザーのメールボックスと OneDrive アカウントのみを検索できます。Coho Winery 電子情報開示マネージャーは、 Department メールボックス プロパティの値が CohoWinery であるユーザーのメールボックスと OneDrive アカウントのみを検索できます。 このMailbox
フィルターは 、電子情報開示マネージャーが検索できるコンテンツの場所を指定するため、コンテンツの場所フィルターです。 どちらのフィルターでも、電子情報開示マネージャーは、特定のメールボックス プロパティ値を持つコンテンツの場所のみを検索できます。検索できるコンテンツの場所を定義した後、フィルターの次の部分では、電子情報開示マネージャーが検索できるコンテンツを定義します。 最初
SiteContent
のフィルターを使用すると、Fourth Coffee 電子情報開示マネージャーは、 を含む (またはで始まる)https://contoso.sharepoint.com/sites/FourthCoffee
サイト パス プロパティを持つドキュメントのみを検索できます。Coho Winery 電子情報開示マネージャーは、 を含む (またはで始まる)https://contoso.sharepoint.com/sites/CohoWinery
サイト パス プロパティを持つドキュメントのみを検索できます。 そのため、2 つのSiteContent
フィルターは、検索できるコンテンツを定義するため、コンテンツ フィルター です。 どちらのフィルターでも、電子情報開示マネージャーは、特定のドキュメント プロパティ値を持つドキュメントのみを検索できます。 検索可能なサイトプロパティはすべてのドキュメントにスタンプされるため、SharePoint 関連のすべてのフィルターはコンテンツ フィルターです。 詳細については、「 電子情報開示のアクセス許可フィルターを構成する」を参照してください。注:
この記事のシナリオでは使用しませんが、メールボックス コンテンツ フィルターを使用して、電子情報開示マネージャーが検索できるコンテンツを指定することもできます。 メールボックス コンテンツ フィルターの構文は です
"MailboxContent_<property> -<comparison operator> '<value>'"
。 日付範囲、受信者、ドメイン、または検索可能な電子メール プロパティに基づいてコンテンツ フィルターを作成できます。 たとえば、このフィルターを使用すると、電子情報開示マネージャーは、contoso.com ドメイン内のユーザーが送受信するメール アイテムのみを検索できます。"MailboxContent_Participants -like 'contoso.com'"
メールボックス コンテンツ フィルターの詳細については、「 検索アクセス許可フィルターの構成」を参照してください。検索アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 つまり、いずれかの機関の電子情報開示マネージャーが電子情報開示検索を実行する場合、検索によって返されるアイテムは、検索クエリと検索アクセス許可フィルターで定義されている条件と一致する必要があります。
手順 4: 機関内調査用の電子情報開示ケースを作成する
最後の手順では、コンプライアンス ポータルで電子情報開示 (Standard) ケースまたは電子情報開示 (Premium) ケースを作成し、手順 2 で作成した役割グループをケースのメンバーとして追加します。 これにより、コンプライアンス境界を使用する 2 つの重要な特性が得られます。
ケースに追加されたロール グループのメンバーのみが、コンプライアンス ポータルでケースを表示してアクセスできます。 たとえば、4 番目のコーヒー調査担当者ロール グループがケースの唯一のメンバーである場合、4 番目のコーヒー電子情報開示マネージャーロール グループ (または他の役割グループのメンバー) のメンバーは、ケースを表示またはアクセスできません。
ケースに割り当てられた役割グループのメンバーがケースに関連付けられた検索を実行すると、そのエージェント内のコンテンツの場所 (手順 3 で作成した検索アクセス許可フィルターによって定義されます) のみを検索できます。
ケースを作成し、メンバーを割り当てるには:
注:
期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定でコンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。
コンプライアンス ポータルの 電子情報開示 (Standard) または 電子情報開示 (Premium) ページに移動し、ケースを作成します。
ケースの一覧で、作成したケースの名前を選択します。
ロール グループをメンバーとしてケースに追加します。 手順については、次のいずれかの記事を参照してください。
注:
ロール グループをケースに追加する場合は、自分がメンバーであるロール グループのみを追加できます。
複数地域環境でのコンテンツの検索とエクスポート
また、検索アクセス許可フィルターを使用すると、エクスポート用にコンテンツをルーティングする場所と、SharePoint Multi-Geo環境でコンテンツの場所を検索するときに検索できるデータセンターを制御することもできます。
検索結果をエクスポートする: 検索結果は、Exchange メールボックス、SharePoint サイト、OneDrive アカウントから特定のデータセンターからエクスポートできます。 つまり、検索結果のエクスポート元となるデータセンターの場所を指定できます。
New-ComplianceSecurityFilter コマンドレットまたは Set-ComplianceSecurityFilter コマンドレットの Region パラメーターを使用して、エクスポートがルーティングされるデータセンターを作成または変更します。
パラメーターの値 データセンターの場所 NAM 北米 (データセンターは米国) EUR ヨーロッパ APC アジア太平洋 CAN カナダ ルート コンテンツ検索: SharePoint サイトと OneDrive アカウントのコンテンツ検索をサテライト データセンターにルーティングできます。 つまり、検索を実行するデータセンターの場所を指定できます。
Region パラメーターには、次のいずれかの値を使用して、SharePoint サイトと OneDrive アカウントを検索するときに検索が実行されるデータセンターの場所を制御します。
パラメーターの値 SharePoint のデータセンター ルーティングの場所 NAM US EUR ヨーロッパ APC アジア太平洋 CAN US AUS アジア太平洋 KOR organizationの既定のデータセンター GBR ヨーロッパ JPN アジア太平洋 IND アジア太平洋 ラム US NOR ヨーロッパ BRA 北米のデータセンター 検索アクセス許可フィルターに Region パラメーターを指定しない場合は、organizationのプライマリ SharePoint リージョンが検索されます。 検索結果は、最も近いデータセンターにエクスポートされます。
概念を簡略化するために、 Region パラメーターは、SharePoint と OneDrive でコンテンツを検索するために使用されるデータセンターを制御します。 Exchange コンテンツ検索はデータセンターの地理的な場所に制限されないため、Exchange でのコンテンツの検索には適用されません。 また、同じ Region パラメーター値によって、エクスポートがルーティングされるデータセンターが決定される場合もあります。 これは多くの場合、地理的なボーダー間でのデータの移動を制御するために必要です。
注:
電子情報開示 (Premium) を使用している場合、 Region パラメーターはデータのエクスポート元のリージョンを制御しません。 データは、organizationの中央の場所からエクスポートされます。 また、SharePoint と OneDrive でコンテンツを検索することは、データセンターの地理的な場所に制限されません。 すべてのデータセンターが検索されます。 電子情報開示 (Premium) の詳細については、「 Microsoft 365 の電子情報開示 (Premium) ソリューションの概要」を参照してください。
コンプライアンス境界の検索アクセス許可フィルターを作成するときに Region パラメーターを使用する例を次に示します。 これは、第4のコーヒー子会社が北米にあり、Coho Wineryがヨーロッパにあることを前提としています。
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR
複数地域環境でコンテンツを検索およびエクスポートする場合は、次の点に注意してください。
Exchange メールボックスの検索は、Region パラメーターにより制御されません。 メールボックスを検索すると、すべてのデータセンターが検索されます。 Exchange メールボックスの検索対象範囲を制限するには、検索アクセス許可フィルターを作成または変更するときに Filters パラメーターを使用します。
電子情報開示マネージャーが複数の SharePoint リージョン間で検索する必要がある場合は、検索アクセス許可フィルターで使用する電子情報開示マネージャー用の別のユーザー アカウントを作成して、SharePoint サイトまたは OneDrive アカウントが配置されているリージョンを指定する必要があります。 この設定の詳細については、「コンテンツ検索」の「SharePoint Multi-Geo環境でコンテンツを検索する」セクションを参照してください。
SharePoint と OneDrive でコンテンツを検索する場合、 Region パラメーターは、電子情報開示マネージャーが電子情報開示調査を行うプライマリまたはサテライトの場所に検索を指示します。 電子情報開示マネージャーが、検索アクセス許可フィルターで指定されているリージョン外の SharePoint サイトと OneDrive サイトを検索した場合、検索結果は返されません。
電子情報開示 (Standard) から検索結果をエクスポートすると、すべてのコンテンツの場所 (Exchange、Skype for Business、SharePoint、OneDrive、およびコンテンツ検索ツールを使用して検索できるその他のサービスを含む) のコンテンツが、Region パラメーターで指定されたデータセンター内の Azure Storage の場所にアップロードされます。 これにより、組織は、制御された国境を越えてコンテンツをエクスポートすることが許可されないため、コンプライアンスの範囲内に留まるのに役立ちます。 検索アクセス許可フィルターでリージョンが指定されていない場合、コンテンツはorganizationのプライマリ データセンターにアップロードされます。
電子情報開示 (Premium) からコンテンツをエクスポートする場合、 Region パラメーターを使用してコンテンツをアップロードする場所を制御することはできません。 コンテンツは、organizationの中央の場所にあるデータセンターの Azure Storage の場所にアップロードされます。 中央の場所に基づく地域の場所の一覧については、「 Microsoft 365 Multi-Geo 電子情報開示の構成」を参照してください。
次のコマンドを実行して、既存の検索アクセス許可フィルターを編集してリージョンを追加または変更できます。
Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>
SharePoint ハブ サイトでのコンプライアンス境界の使用
SharePoint ハブ サイト は、多くの場合、電子情報開示コンプライアンスの境界に従うのと同じ地理的または機関の境界と一致します。 つまり、ハブ サイトのサイト ID プロパティを使用してコンプライアンス境界を作成できます。 これを行うには、SharePoint Online PowerShell の Get-SPOHubSite コマンドレットを使用してハブ サイトの SiteId を取得し、部署 ID プロパティにこの値を使用して検索アクセス許可フィルターを作成します。
SharePoint ハブ サイトの検索アクセス許可フィルターを作成するには、次の構文を使用します。
New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"
Coho Winery エージェンシーのハブ サイトの検索アクセス許可フィルターを作成する例を次に示します。
New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"
コンプライアンス境界の制限事項
コンプライアンス境界を使用する電子情報開示ケースと調査を管理する場合は、次の制限事項に注意してください。
検索を作成して実行するときに、機関以外のコンテンツの場所を選択することができます。 ただし、検索のアクセス許可フィルターがあるため、これらの場所からのコンテンツは、検索結果に含まれません。
コンプライアンスの境界は、電子情報開示ケースの保留には適用されません。 つまり、ある機関の電子情報開示マネージャーが、保留中の別の機関にユーザーを配置することができます。 ただし、電子情報開示マネージャーが保留にされているユーザーのコンテンツの場所を検索する場合は、コンプライアンスの境界が適用されます。 つまり、電子情報開示マネージャーは、ユーザーを保留にすることはできても、ユーザーのコンテンツの場所を検索することはできません。
検索アクセス許可フィルター (メールボックスまたはサイト フィルター) が割り当てられ、organization内のすべての SharePoint サイトを含む検索のインデックスのないアイテムをエクスポートしようとすると、次のエラー メッセージが表示されます
Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied
。 検索アクセス許可フィルターが割り当てられ、SharePoint からインデックスのないアイテムをエクスポートする場合は、検索を再実行し、検索する特定の SharePoint サイトを含める必要があります。 それ以外の場合は、すべての SharePoint サイトを含む検索からインデックス付きアイテムのみをエクスポートできます。 検索結果をエクスポートするときのオプションの詳細については、「コンテンツ検索結果を エクスポートする」を参照してください。検索アクセス許可のフィルターは、Exchange のパブリックフォルダーには適用されません。
サポートされている検索フィルターには、、
-like
-or
、-not
-eq
、および が-ne
含まれます-and
。 コンテンツ ベースのコンプライアンス境界に他の除外フィルター (検索アクセス許可フィルターで 、inotlike
、など) を使用-notlike)
することはお勧めしません。 これらの除外フィルターを使用すると、最近更新された属性のコンテンツにインデックスが作成されていない場合、予期しない結果が生じる可能性があります。検索での OneDrive サイトのコンプライアンス境界の尊重は、次の場合に影響を受ける可能性があります。
- サイト (または関連付けられているメールボックス) が移動または再ホームされる
- OneDrive の所有権が再割り当てされるか、複数の所有者が追加される
- OneDrive サイトの名前が変更/再発行される
OneDrive サイトを移動すると、コンテンツの所有権が変更され、仲裁メールボックスの作成が含まれる場合があります。 これらのリソースを移動すると、コンプライアンスの境界を越えてコンテンツ検索結果を利用できる可能性があります。 OneDrive サイトが再割り当て、名前の変更、または複数の所有者に割り当てられると、これらのサイトのコンテンツがコンプライアンスの境界を越えて利用できる可能性があります。
メールボックスのコンプライアンス境界は、次の場合に影響を受ける可能性があります。
- メールボックスがライセンスを持つユーザー (無効または削除されたユーザーを含む) に関連付けられていない
- メールボックスが管理または同期されていないMicrosoft Entra ID
さらに、コンプライアンスの境界に関係なく、検索中にコンテンツを生成する可能性があるメールボックスには、いくつかの種類があります。 これらのメールボックスの種類は次のとおりです。
- EquipmentMailbox
- GuestMailUser
- LinkedMailbox
- RoomList
- RoomMailbox
- SchedulingMailbox
- SharedMailbox
- SystemMailbox
- TeamMailbox
検索が期待どおりにコンプライアンス境界を尊重していることを確認するには、移動されたリソースのアクセス許可とロールを更新する必要がある場合があります。
詳細
- メールボックスがライセンス解除または論理的に削除された場合、ユーザーはコンプライアンス境界内では考慮されなくなります。 メールボックスが削除されたときに保留が行われた場合、メールボックスに保持されているコンテンツは引き続きコンプライアンス境界または検索アクセス許可フィルターの対象となります。
- ユーザーに対してコンプライアンス境界と検索アクセス許可フィルターが実装されている場合は、OneDrive アカウントではなく、ユーザーのメールボックスを削除しないことをお勧めします。 つまり、ユーザーのメールボックスを削除する場合は、OneDrive の検索アクセス許可フィルターを適用するためにmailbox_RecipientFilterが使用されるため、ユーザーの OneDrive アカウントも削除する必要があります。
- コンプライアンスの境界と検索アクセス許可フィルターは、Exchange、OneDrive、SharePoint のコンテンツにスタンプされている属性と、このスタンプされたコンテンツの後続のインデックス作成によって異なります。
よく寄せられる質問
(New-ComplianceSecurityFilter コマンドレットと Set-ComplianceSecurityFilter コマンドレットを使用して) 検索アクセス許可フィルターを作成および管理できるのは誰ですか?
検索アクセス許可フィルターを作成、表示、変更するには、コンプライアンス ポータルの Organization Management 役割グループのメンバーである必要があります。
電子情報開示マネージャーが複数の機関にまたがる複数の役割グループに割り当てられている場合、ある機関または他の機関でコンテンツを検索するにはどうすればよいですか?
電子情報開示マネージャーは、検索を特定の機関に制限するパラメーターを検索クエリに追加できます。 たとえば、organizationで CustomAttribute10 プロパティを指定して代理店を区別した場合、検索クエリに次を追加して、特定の機関のメールボックスと OneDrive アカウントを検索できます。 CustomAttribute10:<value>
検索アクセス許可フィルターのコンプライアンス属性として使用される属性の値が変更された場合はどうなりますか?
フィルターで使用される属性の値が変更された場合、検索アクセス許可フィルターがコンプライアンス境界を適用するまでに最大 3 日かかります。 たとえば、Contoso のシナリオでは、4 番目のコーヒーエージェンシーのユーザーが Coho Winery 機関に転送されるとします。 その結果、ユーザー オブジェクトの Department 属性の値が FourthCoffee から CohoWinery に変更されます。 このような状況では、Fourth Coffee 電子情報開示と投資家は、属性が変更された後、最大 3 日間、そのユーザーの検索結果を取得します。 同様に、Coho Winery の電子情報開示マネージャーと調査担当者がユーザーの検索結果を取得するまでに最大 3 日かかります。
電子情報開示マネージャーは、2 つの異なるコンプライアンス境界のコンテンツを表示できますか?
はい。これは、両方の機関に対する可視性を持つ役割グループに電子情報開示マネージャーを追加することで、Exchange メールボックスを検索するときに行うことができます。 ただし、SharePoint サイトと OneDrive アカウントを検索する場合、電子情報開示マネージャーは、機関が同じリージョンまたは地理的な場所にある場合にのみ、異なるコンプライアンス境界内のコンテンツを検索できます。 手記: SharePoint と OneDrive でコンテンツを検索することは地理的な場所に限定されないため、サイトのこの制限は電子情報開示 (Premium) では適用されません。
検索アクセス許可フィルターは、電子情報開示ケースホールド、Microsoft 365 アイテム保持ポリシー、または DLP に対して機能しますか?
いいえ。現時点では不可能です。
コンテンツのエクスポート先を制御するリージョンを指定しても、そのリージョンに SharePoint organizationがない場合でも、SharePoint を検索できますか?
検索アクセス許可フィルターで指定されたリージョンがorganizationに存在しない場合、既定のリージョンが検索されます。
organizationで作成できる検索アクセス許可フィルターの最大数は何ですか?
組織で作成できる検索アクセス許可フィルターの数に制限はありません。 ただし、検索クエリには最大 100 の条件を含めることができます。 この場合、条件はブール演算子 ( AND、 OR、 NEAR など) によってクエリに接続されるものとして定義されます。 条件の数の制限には、検索クエリ自体に加えて、検索を実行するユーザーに適用されるすべての検索アクセス許可フィルターが含まれます。 したがって、検索権限フィルターが多いほど (特に、これらのフィルターが同じユーザーまたはユーザー グループに適用される場合)、検索条件の最大数を超える可能性が高くなります。
この制限のしくみを理解するには、検索の実行時に検索アクセス許可フィルターが検索クエリに追加されることを理解する必要があります。 検索アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 検索クエリと 1 つの検索アクセス許可フィルターのクエリ ロジックは次のようになります。
<SearchQuery> AND <PermissionsFilter>
OR ブール演算子によって複数の検索アクセス許可フィルターが組み合わされ、それらの条件が AND 演算子によって検索クエリに接続されます。
検索クエリと複数の検索アクセス許可フィルターのクエリ ロジックは次のようになります。
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
検索クエリ自体が、ブール演算子によって接続された複数の条件で構成されている可能性があります。 検索クエリの各条件も、100 条件の制限に対してカウントされます。
また、クエリに追加される検索アクセス許可フィルターの数は、検索を実行しているユーザーによって異なります。 特定のユーザーが検索を実行すると、ユーザーに適用される検索アクセス許可フィルター (フィルター内の Users パラメーターによって定義されます) がクエリに追加されます。 organizationには何百もの検索アクセス許可フィルターが含まれている可能性がありますが、同じユーザーに 100 を超えるフィルターが適用されている場合は、それらのユーザーが検索を実行するときに 100 条件の制限を超える可能性があります。
条件制限については、もう 1 つ留意する必要があります。 検索クエリまたは検索アクセス許可フィルターに含まれる特定の SharePoint サイトの数も、この制限に対してカウントされます。
organizationが条件の制限に達しないようにするには、organization内の検索アクセス許可フィルターの数を、ビジネス要件を満たすためにできるだけ少なくします。