電子情報開示ケースで電子情報開示ホールドを作成する

ヒント

新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。

Microsoft Purview eDiscovery (Premium) または (Standard) ケースを使用して、ケースに関連する可能性のあるコンテンツを保持する保留を作成できます。 Exchange メールボックスに保留を設定し、調査中のユーザーのアカウントをOneDrive for Businessすることができます。 Microsoft Teams、Microsoft 365 グループ、およびViva Engage グループに関連付けられているメールボックスとサイトを保留にすることもできます。 コンテンツの場所を保留にすると、コンテンツの場所を保留から削除するか、保留を削除するまでコンテンツが保持されます。

重要

電子情報開示の調査に関連しない長期的なデータ保持については、保持ポリシーと保持ラベルを使用することを強くお勧めします。 詳細については、「アイテム保持ポリシーと保持ラベルの詳細」を参照してください。

電子情報開示ホールドを作成した後、保留が有効になるまでに最大 24 時間かかる場合があります。

保留を作成するときは、指定したコンテンツの場所に保持されているコンテンツのスコープを設定する次のオプションがあります。

  • 指定された場所にあるすべてのコンテンツを保留にする無限保留を作成します。 または、検索クエリに一致する指定された場所のコンテンツのみが保留にされる、クエリベースの保留を作成することもできます。
  • 日付範囲を指定して、その日付範囲内に送信、受信、または作成されたコンテンツのみを保持します。 または、送信、受信、または作成時に関係なく、指定した場所にすべてのコンテンツを保持できます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

電子情報開示保留を作成する方法

電子情報開示 (Premium) または (Standard) ケースに関連付けられている電子情報開示ホールドを作成するには:

注:

期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定コンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。

  1. Microsoft Purview コンプライアンス ポータルに移動し、適切な電子情報開示アクセス許可を持つユーザー アカウントの資格情報を使用してサインインします。

  2. 左側のナビゲーション ウィンドウで [ すべて表示] を選択し、[ 電子情報開示] > [Premium] または [ 電子情報開示 > Standard] を選択します。

  3. [ 電子情報開示 > Premium または 電子情報開示 (Standard)] ページで、保留を作成するケースの名前を選択します。

  4. ケースの [ホーム ] ページで、[ 保留 ] タブを選択します。

  5. [ 保留 ] ページで、[ 作成] を選択します。

  6. [保留ウィザードの名前] ページで、 保留 リストに名前を付け、必要に応じて説明を追加し、[ 次へ] を選択します。 ホールドの名前は組織内で一意である必要があります。

  7. [ 場所の選択 ] ウィザード ページで、保留にするコンテンツの場所を選択します。 メールボックス、サイト、およびパブリック フォルダーを保留にすることができます。

    保留にするコンテンツの場所を選択します。

    1. Exchange メールボックス: トグルを On に設定し、[ユーザー、グループ、またはチームの選択] をクリックして、ホールドするメールボックスを指定します。 検索ボックスを使用して、ユーザーのメールボックス、および配布グループ (グループ メンバーのメールボックスにホールドを適用するため) を検索し、ホールドを適用します。 また、Microsoft Team、Microsoft 365 グループ、および Viva Engage グループの関連付けられているメールボックスに保留を設定することもできます。 メールボックスを保留にしたときに保持されるアプリケーション データの詳細については、「 電子情報開示用のメールボックスに格納されているコンテンツ」を参照してください。

    重要

    保留にする配布リストを選択すると、ポリシーの作成時に、配布リスト内の各メンバー メールボックスに保留が設定されます。 配布リストの後続の変更は、保留またはポリシーを変更または更新しません。

    1. SharePoint サイト: トグルを On に設定し、[サイトの選択] をクリックして、ホールドする SharePoint サイトと OneDrive アカウントを指定します。 ホールドを適用する各サイトの URL を入力します。 Microsoft チーム、Microsoft 365 グループ、または Yammer グループの SharePoint サイトの URL を追加することもできます。

    重要

    SharePoint Online サイトに関連するサブサイトの保留を作成するには、クエリ フィルターの Path プロパティを使用して特定のサブサイトを選択する必要があります。

    1. Exchange パブリック フォルダー: [オン] に切り替えて、Exchange Online 組織のすべてのパブリック フォルダーをホールドにします。 ただし、ホールドにする特定のパブリック フォルダーを選ぶことはできません。 パブリック フォルダーを保留にしない場合は、切り替えスイッチをオフのままにしておきます。

    重要

    Exchange メールボックスまたは SharePoint サイトをホールドに追加する場合、少なくとも 1 つのコンテンツの場所を明示的にホールドに追加する必要があります。 つまり、メールボックスまたはサイトのトグルを [オン] に設定した場合は、特定のメールボックスまたはサイトを選択して保留に追加する必要があります。 それ以外の場合、電子情報開示ホールドは作成されますが、メールボックスまたはサイトはホールドに追加されません。

  8. 場所の保留への追加が完了したら、[ 次へ] を選択します。

  9. キーワードまたは条件を使用してクエリ ベースの保持を作成するには、次の手順を実行します。 指定したコンテンツの場所のすべてのコンテンツを保持するには、[次へ] を選択します。

    キーワード (keyword)と条件を使用してクエリ ベースの保留を作成します。

    1. [キーワード] の下のボックスにクエリを入力して、クエリ条件に一致するコンテンツのみを保持します。 キーワード、電子メール メッセージのプロパティ、またはファイル名などのサイト プロパティを指定できます。 ANDORNOT などのブール演算子を使用する、より複雑なクエリを使用することもできます。
    2. [ 条件の追加] を選択して 1 つ以上の条件を追加して、保留のクエリを絞り込みます。 各条件は、ホールドの作成時に作成および実行される KQL 検索クエリに句を追加します。 たとえば、日付範囲を指定して、その日付範囲内に作成された電子メールまたはサイト ドキュメントを保持できます。 条件は、([キーワード] ボックスに指定された) キーワード (keyword) クエリと、AND 演算子によってその他の条件に論理的に接続されます。 つまり、項目は、キーワード (keyword) クエリと保持する条件の両方を満たす必要があります。

    検索クエリの作成と条件の使用の詳細については、電子情報開示のキーワード クエリと検索条件をご覧ください。

  10. クエリ ベースの保留リストを構成した後、[次へ] をクリックします。

  11. 設定を確認し (必要に応じて編集)、[送信] を選択します。

保留を作成した後、ケースの [保留] タブに移動し、保留ポリシーを選択することで、保留が正常に適用されることをチェックします。 エラーによる保留のトラブルシューティングの詳細については、「 電子情報開示保留エラーを解決する」を参照してください。

注:

クエリベースの保留を作成すると、選択した場所のすべてのコンテンツが最初に保留されます。 その後、指定したクエリと一致しないコンテンツは、7 日から 14 日ごとに保留からクリアされます。 ただし、コンテンツの場所に任意の種類の保持が 5 つ以上適用されている場合、またはアイテムにインデックスの問題がある場合、クエリベースの保持はコンテンツをクリアしません。

サイトに配置されたクエリベースの保留

SharePoint サイトにあるドキュメントにクエリベースの電子情報開示ホールドを設定する場合は、次の点に注意してください。

  • クエリベースの保持では、サイト内のすべてのドキュメントが削除された後、最初は短期間保持されます。 つまり、ドキュメントが削除されると、クエリ ベースの保留の条件と一致しない場合でも、保持保持ライブラリに移動されます。 ただし、クエリ ベースの保留に一致しない削除済みドキュメントは、アイテム保管ライブラリを処理するタイマー ジョブによって削除されます。 タイマー ジョブは定期的に実行され、保持ライブラリ内のすべてのドキュメントをクエリ ベースの電子情報開示ホールド (およびその他の種類の保留と保持ポリシー) と比較します。 タイマー ジョブは、クエリ ベースの保留に一致しないドキュメントを削除し、実行するドキュメントを保持します。
  • 特定のフォルダーやサイト内のドキュメントを保持したり、他の場所ベースの保持条件を使用したりするなど、対象の保持を実行するためにクエリベースの保留を使用しないでください。 意図しない結果になる場合があります。 サイト ドキュメントを保持するには、キーワード、日付範囲、その他のドキュメント プロパティなどの場所ベース以外の保留条件を使用することをお勧めします。

電子情報開示保留中の場所を検索する

電子情報開示 (Standard) ケースで コンテンツを検索 する場合は、ケースに関連付けられた保留にされたコンテンツの場所のみを検索するように検索をすばやく構成できます。

保留中の場所 オプションを選択して、保留中のすべてのコンテンツの場所を検索します。 ケースに複数の電子情報開示保留が含まれている場合、このオプションを選択すると、すべての保留リストのコンテンツの場所が検索されます。 さらに、コンテンツの場所がクエリ ベースの保留に配置された場合、検索を実行すると、保留クエリに一致する項目のみが検索されます。 つまり、保持条件と検索条件の両方に一致するコンテンツのみが検索結果と共に返されます。 たとえば、特定の日付より前に送信または作成されたアイテムを保持するクエリベースのケース ホールドがユーザーに設定された場合、それらのアイテムのみが検索されます。 これは、ケース ホールド クエリと検索クエリを AND 演算子で接続することで実現されます。

電子情報開示ホールドで場所を検索する際に留意する必要があるその他の点を次に示します。

  • コンテンツの場所が同じケース内の複数の保留の一部である場合、すべてのケース コンテンツ オプションを使用してそのコンテンツの場所を検索するときに、保留クエリが OR 演算子によって結合されます。 同様に、コンテンツの場所が 2 つの異なる保留の一部であり、1 つはクエリ ベースで、もう 1 つは無限保留 (すべてのコンテンツが保留) である場合、すべてのコンテンツは無限保留のために検索されます。
  • 検索が保留中の場所を検索するように構成され、その場合に電子情報開示保留を変更した場合 (場所を追加または削除したり、保留クエリを変更したりすることによって)、検索構成がそれらの変更で更新されます。 ただし、保留を変更した後に検索を再実行して、検索結果を更新する必要があります。
  • 電子情報開示ケースの 1 つの場所に複数の電子情報開示保留が配置され、保留の場所を検索することを選択した場合、その検索クエリのキーワードの最大数は 500 です。 これは、 検索で OR 演算子を使用してクエリ ベースのすべてのホールドが結合されるためです。 ホールド クエリと検索クエリの組み合わせに 500 を超えるキーワードがある場合、メールボックス内のすべてのコンテンツが検索されます。クエリ ベースのケース ホールドに一致するコンテンツだけではありません。
  • 電子情報開示ホールドの状態が [オン (保留中)] の場合でも、保留が有効になっている間も、保留状態の場所を検索できます。

Microsoft Teamsでコンテンツを保持する

Microsoft Teams チャネルの一部である会話は、Microsoft チームに関連付けられているメールボックスに格納されます。 同様に、メンバーがチャネルで共有するファイルは、チームの SharePoint サイトに保存されます。 そのため、チャネル内の会話とファイルを保持するには、チーム メールボックスと SharePoint サイトを電子情報開示ホールドに配置する必要があります。

または、Teams のチャット リストの一部である会話 ( 1:1 チャット または 1:N グループ チャットと呼ばれます) は、チャットに参加するユーザーのメールボックスに格納されます。 また、ユーザーがチャット会話で共有するファイルは、ファイルを共有するユーザーの OneDrive アカウントに格納されます。 そのため、個々のユーザー メールボックスと OneDrive アカウントを電子情報開示ホールドに追加して、チャット リスト内の会話とファイルを保持する必要があります。 チーム メールボックスとサイトを保留にするだけでなく、Microsoft チームのメンバーのメールボックスを保留にすることをお勧めします。

注:

organizationに Exchange ハイブリッド展開 (またはorganizationがオンプレミスの Exchange organizationをOffice 365と同期する) があり、Microsoft Teamsが有効になっている場合、オンプレミス ユーザーは Teams チャット アプリケーションを使用し、1:1 チャットと 1:N グループ チャットに参加できます。 これらの会話は、オンプレミス ユーザーに関連付けられているクラウドベースのストレージに格納されます。 オンプレミスのユーザーが電子情報開示ホールドに配置された場合、クラウドベースのストレージ内の Teams チャット コンテンツは保持されます。 詳細については、「PowerShell を使用してオンプレミス ユーザーの Teams チャット データを検索する」を参照してください。

Teams コンテンツの保持の詳細については、「 Microsoft Teamsユーザーまたはチームを法的保留にする」を参照してください。

カードコンテンツを保持する

同様に、Teams チャネル、1:1 チャット、1:N グループ チャットのアプリによって生成されたカードコンテンツはメールボックスに格納され、メールボックスが電子情報開示ホールドに配置されたときに保持されます。 カードとは、短いコンテンツを対象とした UI コンテナです。 カードには複数のプロパティと添付ファイルを含め、カードアクションをトリガーするアイテムを含めることができます。 詳細については、「 カード」を参照してください。 他の Teams のコンテンツと同様に、カードのコンテンツが保存されている場所は、カードが使用された場所に基づいています。 Teams チャネルで使用したカードのコンテンツは、Teams グループのメールボックスに保存されます。 1:1 チャットおよび 1xN チャットのカード コンテンツは、チャット参加者のメールボックスに保存されます。

会議と通話の情報を保持する

Teams チャネルの会議と通話の概要情報は、会議または通話にダイヤルインしたユーザーのメールボックスにも格納されます。 このコンテンツは、電子情報開示ホールドがユーザー メールボックスに配置されるときにも保持されます。

プライベート チャネルでコンテンツを保持する

2020 年 2 月から、プライベート チャネルでコンテンツを保持する機能も有効にしました。 プライベート チャネル チャットはチャット参加者のメールボックスに格納されるため、電子情報開示ホールドにユーザー メールボックスを配置すると、プライベート チャネル チャットが保持されます。 また、ユーザー メールボックスが 2020 年 2 月より前に電子情報開示ホールドに配置された場合、そのメールボックスに格納されているプライベート チャネル メッセージに保留が自動的に適用されるようになります。 プライベート チャネルで共有されているファイルの保持もサポートされています。

Wiki コンテンツを保持する

すべてのチームまたはチーム チャネルには、メモの作成とコラボレーションのための Wiki も含まれています。 Wiki コンテンツは、.mht 形式のファイルに自動的に保存されます。 このファイルは、チームの SharePoint サイトの Teams Wiki データ ドキュメント ライブラリに保存されます。 チームの SharePoint サイトを電子情報開示ホールドに追加することで、Wiki コンテンツを保持できます。

注:

チームまたはチーム チャネル (チームの SharePoint サイトを保留にした場合) の Wiki コンテンツを保持する機能は、2017 年 6 月 22 日にリリースされました。 チーム サイトが保留されている場合、Wiki コンテンツはその日付から保持されます。 ただし、2017 年 6 月 22 日より前にチーム サイトが保留され、Wiki コンテンツが削除された場合、Wiki コンテンツは保持されませんでした。

Microsoft 365 グループ

Teams は Microsoft 365 グループ上に構築されています。 そのため、Microsoft 365 グループを電子情報開示保留にすることは、Teams コンテンツを保留にするのと同様です。

Teams と Microsoft 365 の両方のグループを電子情報開示ホールドに配置する場合は、次の点に注意してください。

  • 前に説明したように、Teams および Microsoft 365 グループにあるコンテンツを保留にするには、グループまたはチームに関連付けられているメールボックスと SharePoint サイトを指定する必要があります。

  • Exchange Online PowerShellGet-UnifiedGroup コマンドレットを実行して、Teams および Microsoft 365 グループのプロパティを表示します。 これは、チームまたは Microsoft 365 グループに関連付けられているサイトの URL を取得する良い方法です。 たとえば、次のコマンドは、シニア リーダーシップ チームという名前の Microsoft 365 グループの選択したプロパティを表示します。

    Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl
    
    DisplayName            : Senior Leadership Team
    Alias                  : seniorleadershipteam
    PrimarySmtpAddress     : seniorleadershipteam@contoso.onmicrosoft.com
    SharePointSiteUrl      : https://contoso.sharepoint.com/sites/seniorleadershipteam
    

    注:

    Get-UnifiedGroup コマンドレットを実行するには、Exchange Online で View-Only Recipients という役割が割り当てられているか、View-Only Recipients という役割が割り当てられている役割グループに属している必要があります。

  • ユーザーのメールボックスが検索されると、ユーザーがメンバーであるチームまたは Microsoft 365 グループは検索されません。 同様に、電子情報開示ホールドにチームまたは Microsoft 365 グループを配置すると、グループ メールボックスとグループ サイトのみが保留されます。 グループ メンバーのメールボックスとOneDrive for Business サイトは、電子情報開示ホールドに明示的に追加しない限り、保留になりません。 そのため、法的な理由で Team または Microsoft 365 グループを保留にする必要がある場合は、チームまたはグループ メンバーのメールボックスと OneDrive アカウントを同じ保留に追加することを検討してください。

  • Team または Microsoft 365 グループのメンバーの一覧を取得するには、Microsoft 365 管理センターの [グループ] ページでプロパティを表示できます。 または、Exchange Online PowerShell で次のコマンドを実行できます。

    Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress
    

    注:

    Get-UnifiedGroupLinks コマンドレットを実行するには、Exchange Online で View-Only Recipients という役割が割り当てられているか、View-Only Recipients という役割が割り当てられている役割グループに属している必要があります。

OneDrive アカウントでコンテンツを保持する

organization内のOneDrive for Business サイトの URL の一覧を収集して、電子情報開示ケースに関連付けられている保留または検索に追加できるようにするには、「organization内のすべての OneDrive の場所の一覧を作成する」を参照してください。 この記事のスクリプトでは、organization内のすべての OneDrive サイトの一覧を含むテキスト ファイルを作成します。 このスクリプトを実行するには、SharePoint Online 管理シェルをインストールして使用する必要があります。 検索する各 OneDrive サイトに組織の個人用サイト ドメインの URL を必ず追加してください。 これは、すべての OneDrive を含むドメインです。たとえば、 https://contoso-my.sharepoint.com。 ユーザーの OneDrive サイトの URL の例を次に示します: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com

重要

ユーザーの OneDrive アカウントの URL には、ユーザー プリンシパル名 (UPN) が含まれます (たとえば、 https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com)。 まれに、ユーザーの UPN が変更されると、OneDrive URL も変更され、新しい UPN が組み込まれます。 ユーザーの OneDrive アカウントが電子情報開示ホールドの一部であり、その UPN が変更された場合は、ユーザーの新しい OneDrive URL を追加して古いアカウントを削除して、保留リストを更新する必要があります。 OneDrive サイトの URL が変更された場合、以前にサイトに配置された保留は有効なままであり、コンテンツは保持されます。 詳細については、「UPN の変更による OneDrive URL への影響」をご覧ください。

電子情報開示ホールドからコンテンツの場所を削除する

メールボックス、SharePoint サイト、または OneDrive アカウントが 電子情報開示ホールドから削除されると、遅延ホールドが適用されます。 つまり、コンテンツの場所からデータが完全に削除 (消去) されるのを防ぐために、保留の実際の削除が 30 日間遅れることを意味します。 これにより、管理者は、電子情報開示ホールドが削除された後に消去されるコンテンツを検索または回復できます。 メールボックスとサイトで遅延保留がどのように機能するかの詳細は異なります。

  • メールボックス: 次に管理フォルダー アシスタントがメールボックスを処理し、電子情報開示ホールドが削除されたことを検出すると、遅延ホールドがメールボックスに配置されます。 具体的には、管理フォルダ アシスタントが次のメールボックス プロパティのいずれかを True に設定すると、遅延保持がメールボックスに適用されます。

    • DelayHoldApplied:このプロパティは、ユーザーのメールボックスに格納されている電子メール関連のコンテンツ (Outlook とOutlook on the webを使用するユーザーによって生成) に適用されます。
    • DelayReleaseHoldApplied:このプロパティは、ユーザーのメールボックスに格納されているクラウドベースのコンテンツ (Microsoft Teams、Microsoft Forms、Microsoft Yammer などの Outlook 以外のアプリによって生成されます) に適用されます。 Microsoft アプリによって生成されたクラウド データは、通常、ユーザーのメールボックスの隠しフォルダーに保存されます。

    メールボックスに遅延保留が設定されている場合 (前のプロパティのいずれかが True に設定されている場合)、メールボックスは訴訟中の場合と同様に、保持期間が無制限であると見なされます。 所有。 30 日後に遅延保留が期限切れになり、Microsoft 365 は自動的に遅延保留の削除を試みます (DelayHoldApplied プロパティまたは DelayReleaseHoldApplied プロパティを False に設定することによって)。 これらのプロパティのいずれかを False に設定すると、次に管理フォルダー アシスタントによってメールボックスが処理されるときに、削除対象としてマークされた対応するアイテムが消去されます。

    詳しくは、メールボックスの管理についての詳細 をご覧ください。。

  • SharePoint サイトと OneDrive サイト: 保持保持ライブラリに保持されている SharePoint または OneDrive コンテンツは、サイトが電子情報開示ホールドから削除された後、30 日間の遅延保留期間中は削除されません。 これは、サイトがアイテム保持ポリシーから解放された場合の動作に似ています。 さらに、30 日間の遅延保持期間中は、アイテム保管ライブラリでこのコンテンツを手動で削除することはできません。 30 日間の遅延ホールド/猶予期間ホールドからサイトを解放するには、 無効なアイテム保持ポリシーまたは電子情報開示ホールド のトラブルシューティングに関する記事を参照してください。

    詳細については、保持ポリシーのリリースをご覧ください。

また、ケースが閉じられたときに保留がオフになるため、電子情報開示 (Standard) ケースを閉じると、保留状態のコンテンツの場所にも遅延保留が適用されます。 ケースを閉じる方法の詳細については、「 電子情報開示 (Standard) ケースを閉じる、再度開く、削除する」を参照してください。

電子情報開示の保留制限

次の表に、電子情報開示ケースとケースホールドの制限を示します。

制限の説明 極限
組織のケースの最大数。 制限なし
organizationの電子情報開示保留ポリシーの最大数。 この制限には、電子情報開示 (Standard) と電子情報開示 (Premium) ケースの保留ポリシーの合計が含まれます。 10,0001
1 つの電子情報開示ホールド内のメールボックスの最大数。 この制限には、ユーザー メールボックスの合計と、Microsoft 365 グループ、Microsoft Teams、Viva Engage グループに関連付けられているメールボックスの合計が含まれます。 1,000
1 つの電子情報開示ホールド内のサイトの最大数。 この制限には、OneDrive for Business サイト、SharePoint サイト、および Microsoft 365 グループ、Microsoft Teams、Viva Engage グループに関連付けられているサイトの合計が含まれます。 <br/ 100
電子情報開示ホーム ページに表示されるケースの最大数と、ケース内の [保留]、[検索]、および [エクスポート] タブに表示されるアイテムの最大数。 1,0001
SharePoint サイトと OneDrive の制限を保持する 詳細については、「 SharePoint の制限」を参照してください。

注:

1 1,000 を超えるケース、保留、検索、またはエクスポートの一覧を表示するには、対応する Security & Compliance PowerShell コマンドレットを使用します。