メール メッセージを検索して削除する

  • 6 分

組織は、コンテンツ検索機能を使用して、Exchange 展開内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 このプロセスは、次のような有害なメールや危険度の高いメールを見つけて削除するのに役立ちます。

  • 危険な添付ファイルまたはウイルスを含むメッセージ。
  • フィッシング メッセージ。
  • 機密データを含むメッセージ。

警告

組織が Defender for Office 365 プラン 2 サブスクリプションを持っている場合は、このユニットで説明されている手順に従うのではなく、「Office 365で配信された悪意のあるメールを修復」で詳しく説明されている手順を使用する必要があります。

電子メール メッセージを削除するための前提条件

  • このユニットで説明されている検索と消去のワークフローでは、Microsoft Teams からチャット メッセージやその他のコンテンツは削除されません。 手順 2 (下記) で作成したコンテンツ検索で Microsoft Teams からアイテムが返された場合、手順 3 でアイテムを消去してもそれらのアイテムは削除されません。 チャット メッセージを検索および削除するには、「 Teams でのチャット メッセージの検索と消去」 を参照してください。

  • コンテンツ検索を作成して実行するには、 電子情報開示マネージャー 役割グループのメンバーであるか、Microsoft Purview コンプライアンス ポータルで コンプライアンス検索 ロールが割り当てられている必要があります。

    メッセージを削除するには、 Organization Management 役割グループのメンバーであるか、Microsoft Purview コンプライアンス ポータルで Search and Purge ロールが割り当てられている必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。

    注:

    Organization Management 役割グループは、Exchange Online と Microsoft Purview コンプライアンス ポータルの両方に存在します。 組織の管理 役割グループは、検索と消去 の役割とは異なります。 Exchange Online で Organization Management のメンバーである場合、電子メール メッセージを削除するために必要なアクセス許可は付与されません。 Microsoft Purview コンプライアンス ポータルで Search and Purge の役割が割り当てられない場合 (直接、または Organization Managementなどの役割グループを介して)、 New-ComplianceSearchAction コマンドレットを実行すると、手順 3 でエラーが発生します。 次のメッセージが表示されます: パラメーター名 'Purge' に一致するパラメーターが見つかりません

  • メールボックスごとに最大 10 個のアイテムを一度に削除できます。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。

  • 検索と削除アクションを実行してアイテムを削除するために使用できるコンテンツ検索のメールボックスの最大数は 50,000 です。 検索 (手順 2 で作成) で 50,000 個を超えるメールボックスを検索する場合、削除アクション (手順 3 で作成) は失敗します。 1 回の検索で 50,000 を超えるメールボックスを検索するのは、通常、組織内のすべてのメールボックスを検索に含めるように構成した場合です。 この制限は、検索クエリに一致するアイテムが 50,000 個未満のメールボックスに含まれている場合でも適用されます。 検索アクセス許可フィルターを使用して 50,000 を超えるメールボックスのアイテムを検索および消去する方法については、このユニットの最後のセクションを参照してください。

  • このユニットの手順は、Exchange Online メールボックスとパブリック フォルダー内のアイテムの削除にのみ使用できます。 SharePoint や OneDrive for Business のサイトからコンテンツを削除する場合には使用できません。

  • 電子情報開示 (プレミアム) ケースのレビュー セット内のメール アイテムは、このユニットの手順を使用して削除することはできません。 どうしてでしょうか? レビュー セット内のアイテムは、ライブ サービスではなく、Azure Storage の場所に格納されるためです。 その結果、手順 1 で作成したコンテンツ検索では返されません。 レビュー セット内のアイテムを削除するには、レビュー セットを含む電子情報開示 (プレミアム) ケースを削除する必要があります。 詳細については、「Close or delete an eDiscovery (Premium) case (電子情報開示 (プレミアム) ケースを閉じるか、または削除する)」を参照してください。

手順 1: セキュリティとコンプライアンスの PowerShell モジュールに接続する

組織は、セキュリティとコンプライアンスの PowerShell モジュールを使用してメッセージを削除する必要があります。 そのため、組織の最初の手順は、セキュリティとコンプライアンスの PowerShell モジュールに接続することです。 このモジュールへの接続の詳細については、「 セキュリティへの接続 & コンプライアンス PowerShell」を参照してください。

手順 2: コンテンツ検索を作成して、削除するメッセージを探す

2 番目の手順は、組織のメールボックスから削除するメッセージを見つけるコンテンツ検索を作成し、実行することです。 検索は、Microsoft Purview コンプライアンス ポータルを使用するか、Security and Compliance PowerShell モジュールで New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行して作成できます。

この検索のクエリに一致するメッセージは、手順 3 で New-ComplianceSearchAction -Purge コマンドを実行して削除されます。

注:

この手順で作成するコンテンツ検索で検索されるコンテンツの場所に、SharePoint や OneDrive for Business のサイトを含めることはできません。 メール メッセージに使われるコンテンツ検索には、メールボックスとパブリック フォルダーのみを含めることができます。 コンテンツ検索にサイトが含まれる場合、New-ComplianceSearchAction コマンドレットを実行すると、手順 3 でエラーが発生します。

削除するメッセージを見つけるためのヒント

検索クエリの目標は、削除するメッセージだけに検索結果を絞り込むことです。 次にヒントを示します。

  • メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。
  • メッセージの正確な日付 (または期間) がわかる場合は、検索クエリに Received プロパティを含めます。
  • メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。
  • 検索結果をプレビューして、検索が、削除を希望するメッセージだけを返したことを確認します。
  • 検索見積もりの統計情報 (コンプライアンス ポータルの検索の詳細ウィンドウや、Get-ComplianceSearch コマンドレットを使用して表示される情報) を使用して、結果の合計数のカウントを取得します。

不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。

  • このクエリは、2017 年 4 月 13 日から 2017 年 4 月 14 日の間にユーザーが受信したメッセージと、件名行に「action」と「required」という単語が含まれているメッセージを返します。

    (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')

  • このクエリは、 chatsuwloginsset12345@outlook.com によって送信され、件名行に「アカウント情報を更新する」という正確な語句を含むメッセージを返します。

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

次に示す例では、New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行することにより、クエリを使用して検索を作成して開始し、組織内のすべてのメールボックスを検索します。

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

手順 3: メッセージを削除する

ここまでは、削除するメッセージを返すようにコンテンツ検索を作成して絞り込んでいます。 これで、選択したメッセージを削除する準備ができました。 この手順では、Security and Compliance PowerShell モジュールで New-ComplianceSearchAction -Purge コマンドを実行して、メッセージを削除します。

メッセージを論理的に削除したり、物理的に削除したりできます。

  • 論理的に削除されたメッセージ。 このメッセージは、ユーザーの回復可能なアイテム フォルダーに移動されます。 削除済みアイテムの保持期間が経過するまで保持されます。
  • 物理的に削除されたメッセージ。 このメッセージは、メールボックスから完全に削除されるようにマークが付けられます。 次に管理フォルダー アシスタントによってメールボックスが処理されるときに、完全に削除されます。 次の状況に注意してください:
    • メールボックスに対して単一アイテムの回復が有効になっています。 この場合、物理的に削除されたアイテムは、削除されたアイテムの保持期間が経過すると完全に削除されます。
    • メールボックスが保留状態になります。 この場合、アイテムの保持期間が経過するまで、またはメールボックスから保留が削除されるまで、削除されたメッセージは保持されます。

注:

前述のように、New-ComplianceSearchAction -Purge コマンドを実行しても、コンテンツ検索によって返される Microsoft Teams のアイテムは削除されません。

次のコマンドを実行してメッセージを削除するには、セキュリティとコンプライアンスの PowerShell モジュールに接続していることを確認します。

メッセージの論理的な削除

次の例では、"Remove Phishing Message" (フィッシング メッセージの削除) という名前のコンテンツ検索によって返された検索結果が、そのコマンドによって論理的に削除されます。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

メッセージの物理的な削除

"Remove Phishing Message" コンテンツ検索によって返されたアイテムを物理的に削除するには、次のコマンドを実行します:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

前のコマンドを実行してメッセージを論理的に削除または物理的に削除すると、 SearchName パラメーターで指定された検索は、手順 1 で作成したコンテンツ検索になります。

  • 検索と削除操作の状態を取得するにはどうすればよいですか?

    Get-ComplianceSearchAction コマンドを実行して、削除操作の状態を取得します。 New-ComplianceSearchAction コマンドレットを実行するときに作成されるオブジェクトの名前は、名前形式: <コンテンツ検索 >_Purgeで指定します。

  • メッセージを物理的に削除した後はどうなりますか?

    New-ComplianceSearchAction -Purge -PurgeType HardDelete コマンドで物理的に削除されたメッセージは、 Purges フォルダーに移動されます。 ユーザーがメッセージにアクセスできません。

    メッセージが Purges フォルダーに移動された後、メールボックスに対して単一アイテムの回復が有効になっている場合、削除済みアイテムの保持期間中はメッセージが保持されます。 (Microsoft 365では、新しいメールボックスが作成されるときに、単一アイテムの回復が既定で有効になります。) 削除されたアイテムの保持期間が経過すると、メッセージは完全な削除のマークが付けられます。 次にメールボックスが管理フォルダー アシスタントによって処理されるときに、Microsoft 365 から削除されます。

  • メッセージを論理的に削除した後はどうなりますか?

    New-ComplianceSearchAction -Purge -PurgeType SoftDelete コマンドを使用して論理的に削除されたメッセージは、ユーザーの回復可能なアイテム フォルダーの 削除 フォルダーに移動されます。 Microsoft 365 から直ちに削除されることはありません。

    ユーザーは、メールボックス用に構成された削除済みアイテムの保持期間中に、削除済みアイテム フォルダー内のメッセージを回復できます。 この保持期間の有効期限が切れると (または、ユーザーが期限切れになる前にメッセージを消去した場合)、メッセージは Purges フォルダーに移動されます。 そこから、ユーザーがアクセスできなくなります。 Purges フォルダーに入ると、メールボックスに対して単一アイテムの回復が有効になっている場合、メールボックスに対して構成された削除済みアイテムの保持期間中にメッセージが保持されます。 (Microsoft 365では、新しいメールボックスが作成されるときに、単一アイテムの回復が既定で有効になります。) 削除されたアイテムの保持期間が経過すると、メッセージは完全な削除のマークが付けられます。 次にメールボックスが管理フォルダー アシスタントによって処理されるときに、Microsoft 365 から削除されます。

  • 50,000 を超えるメールボックスからメッセージを削除するにはどうすればよいですか?

    前述のとおり、検索と削除の操作を実行できるメールボックスの上限は 50,000 です (検索クエリに一致するアイテムが 50,000 個未満の場合でも)。 50,000 を超えるメールボックスに対して検索と削除の操作を実行する必要がある場合は、検索対象となるメールボックスの数を 50,000 未満に減らす一時的な検索権限フィルターを作成することをご検討ください。

    たとえば、組織にさまざまな部署、州、国/地域のメールボックスが含まれている場合は、それらのメールボックスのプロパティのいずれかに基づいてメールボックス検索アクセス許可フィルターを作成して、組織内のメールボックスのサブセットを検索できます。 検索アクセス許可フィルターを作成したら、検索を作成し、メッセージを削除します。 その後、フィルターを編集し、別のメールボックスのセット内のメッセージを検索して削除できます。 検索権限フィルターの作成の詳細については、「コンテンツ検索用にアクセス許可フィルターを設定する」を参照してください。

  • 検索結果に含まれるインデックスのないアイテムも削除されますか?

    いいえ。 New-ComplianceSearchAction -Purge コマンドでは、インデックスのない項目は削除されません。

  • インプレース保持または訴訟ホールドに設定されているメールボックス、または Microsoft 365 アイテム保持ポリシーに割り当てられているメールボックスからメッセージが削除された場合はどうなりますか?

    消去されて Purges フォルダーに移動されたメッセージは、保持期間が切れるまで保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。

  • 検索と削除のワークフローが異なるセキュリティおよびコンプライアンス ポータルの役割グループに分割されるのはなぜですか?

    ユーザーは、 電子情報開示マネージャー 役割グループのメンバーであるか、メールボックスを検索するために コンプライアンス検索管理 役割を割り当てられている必要があります。 メッセージを削除するには、ユーザーが Organization Management 役割グループのメンバーであるか、 の検索と消去 管理役割が割り当てられている必要があります。 この設計により、組織内のメールボックスを検索できるユーザーとメッセージを削除できるユーザーを制御できます。