メール メッセージを検索して削除する

ヒント

新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。

ヒント

この記事は管理者向けです。 削除するメールボックス内のアイテムを検索しようとしていますか? 「 インスタント検索でメッセージまたはアイテムを検索する」を参照してください。

コンテンツ検索機能を使用すると、organization内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 この機能を使用して、次のように有害な、またはリスクが高い可能性があるメールを検索し、削除することができます。

  • 危険性のある添付ファイルやウイルスを含むメッセージ
  • フィッシング メッセージ
  • 機密データを含むメッセージ

ヒント

組織に Office 365 プラン 2 の Defender サブスクリプションがある場合は、この記事で説明する手順に従うのではなく、Office 365 で配信された悪意のあるメールの修復に関する手順を使用することをお勧めします。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

始める前に

  • この記事で説明されている検索と消去のワークフローでは、Microsoft Teams からチャット メッセージやその他のコンテンツは削除されません。 手順 2 で作成したコンテンツ検索で Microsoft Teams からアイテムが返された場合、手順 3 でアイテムを消去しても、それらのアイテムは削除されません。 チャット メッセージを検索および削除するには、「 Teams でのチャット メッセージの検索と消去」 を参照してください。

  • コンテンツ検索を作成して実行するには、電子情報開示マネージャーの役割グループのメンバーであるか、Microsoft Purview コンプライアンス ポータルでコンプライアンス検索ロールが割り当てられている必要があります。 メッセージを削除するには、 組織管理 役割グループのメンバーであるか、コンプライアンス ポータルで 検索および消去 ロールを割り当てる必要があります。役割グループへのユーザーの追加については、「 電子情報開示のアクセス許可を割り当てる」を参照してください。

    注:

    組織の管理 の役割グループは、Exchange Online とコンプライアンス ポータルの両方にあります。 これらは、異なる権限を持つ個別の役割グループです。 Exchange Online で 組織の管理 のメンバーであっても、メール メッセージを削除するために必要なアクセス許可は付与されません。 コンプライアンス ポータルで 検索および消去 ロールを割り当てていない場合 (直接、または 組織の管理などの役割グループを介して)、 New-ComplianceSearchAction コマンドレットを実行すると、「パラメーター名 'Purge' と一致するパラメーターが見つかりません」というメッセージが表示され、手順 3 でエラーが表示されます。

  • メッセージを削除するには、セキュリティ/コンプライアンス PowerShell を使用する必要があります。 接続方法については、「手順 1: セキュリティ/コンプライアンス PowerShell に接続する」を参照してください。

  • メールボックスごとに最大 10 個のアイテムを一度に削除できます。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。

  • メールボックスから追加のアイテムを削除する必要がある場合は、追加の手順が必要です。

    1. メールボックスの 1 つのアイテム保持 を無効にする必要があります。 これにより、アイテムが Purges フォルダーから削除されます
    2. 管理フォルダー アシスタントは、各コンプライアンス消去アクションの後にメールボックスに対して実行する必要があります。 このアクションにより、項目が完全に削除され、追加の消去アクションを使用して追加の 10 個の項目を削除できます。

    注:

    メールボックスに訴訟ホールドまたはインプレース ホールドがある場合、このオプションはサポートされません。 ユーザーのビューから削除される項目は 10 個のみです。 これらの 10 個のアイテムは完全に削除されないため、処理されるアイテムは 10 個のみです。

  • コンテンツ検索で検索と削除アクションを実行してアイテムを削除するために使用できるメールボックスの最大数は 50,000 個です。 検索 (手順 2 で作成) で 50,000 個を超えるメールボックスを検索する場合、削除アクション (手順 3 で作成) は失敗します。 1 回の検索で 50,000 個を超えるメールボックスを検索するのは、通常、組織内のすべてのメールボックスを検索に含めるように構成した場合です。 この制限は、検索クエリに一致するアイテムが 50,000 個未満のメールボックスに含まれている場合でも適用されます。 検索のアクセス許可を使用して 50,000 個を超えるメールボックスからアイテムを検索および消去する方法については、「詳細情報」セクションを参照してください。

  • この記事の手順は、Exchange Online のメールボックスとパブリック フォルダーにあるアイテムを削除する場合にのみ使用できます。 SharePoint や OneDrive for Business のサイトからコンテンツを削除する場合には使用できません。

  • 電子情報開示 (プレミアム) ケースのレビュー セット内のメール アイテムは、この記事の手順で削除することはできません。 これは、レビュー セット内のアイテムはライブ サービスではなく、Azure ストレージの場所に保存されるからです。 これは、手順 1 で作成したコンテンツ検索では返されないことを意味します。 レビュー セット内のアイテムを削除するには、レビュー セットが含まれている電子情報開示 (プレミアム) ケースを削除する必要があります。 詳細については、「Close or delete an eDiscovery (Premium) case (電子情報開示 (プレミアム) ケースを閉じるか、または削除する)」を参照してください。

手順 1: セキュリティ/コンプライアンス PowerShell に接続する

最初の手順は、organizationの Security & Compliance PowerShell に接続することです。 詳細な手順については、「セキュリティ/コンプライアンス PowerShell への接続」を参照してください。

手順 2: コンテンツ検索を作成して、削除するメッセージを探す

2 番目の手順は、組織のメールボックスから削除するメッセージを見つけるコンテンツ検索を作成し、実行することです。 検索を作成するには、Microsoft Purview コンプライアンス ポータルを使用するか、Security & Compliance PowerShell で New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行します。 手順 3New-ComplianceSearchAction -Purge コマンドを実行すると、この検索のクエリに一致するメッセージは削除されます。 コンテンツ検索の作成と検索クエリの構成については、次の記事を参照してください。

注:

この手順で作成するコンテンツ検索で検索されるコンテンツの場所に、SharePoint や OneDrive for Business のサイトを含めることはできません。 メール メッセージに使われるコンテンツ検索には、メールボックスとパブリック フォルダーのみを含めることができます。 コンテンツ検索にサイトが含まれる場合、New-ComplianceSearchAction コマンドレットを実行すると、手順 3 でエラーが発生します。

削除するメッセージを見つけるためのヒント

検索クエリの目標は、削除するメッセージだけに検索結果を絞り込むことです。 次にヒントを示します。

  • メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。
  • メッセージの正確な日付 (または期間) がわかる場合は、検索クエリに Received プロパティを含めます。
  • メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。
  • 検索結果をプレビューして、検索が、削除を希望するメッセージだけを返したことを確認します。
  • 検索見積もりの統計情報 (コンプライアンス ポータルの検索の詳細ウィンドウや、Get-ComplianceSearch コマンドレットを使用して表示される情報) を使用して、結果の合計数のカウントを取得します。

不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。

  • このクエリは、2016 年 4 月 13 日から 2016 年 4 月 14 日までの間にユーザーが受信し、単語 "action" と "required" が件名に含まれるメッセージを返します。

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • このクエリは、 user@contoso.com によって送信され、件名行に「アカウント情報を更新する」という正確な語句を含むメッセージを返します。

    (From:user@contoso.com) AND (Subject:"Update your account information")
    

次に示す例では、New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを実行することにより、クエリを使用して検索を作成して開始し、組織内のすべてのメールボックスを検索します。

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

手順 3: メッセージを削除する

コンテンツ検索を作成して、削除するメッセージを返すように検索条件を絞りこんだ後は、最後に Security/Compliance PowerShell の New-ComplianceSearchAction -Purge コマンドレットを実行して、メッセージを削除します。

メッセージは、論理的に削除することも、物理的に削除することもできます。 論理的に削除したアイテムは、ユーザーの [回復可能なアイテム] フォルダーに移動され、削除済みアイテムの保持期間が切れるまで保持されます。 物理的に削除したメッセージは、メールボックスから完全に削除するようにマークされ、管理フォルダー用アシスタントによって次回そのメールボックスが処理される際に完全に削除されます。 そのメールボックスで単一アイテムの回復が有効になっている場合、物理的に削除したアイテムは、削除済みアイテムの保持期間が切れると完全に削除されます。 メールボックスが保留中になっている場合は、削除したメッセージは、そのアイテムの保留期間が切れるか、その保留がメールボックスから削除されるまで保持されます。

注:

前述のように、 New-ComplianceSearchAction -Purge コマンドを実行しても、コンテンツ検索によって返される Microsoft Teams のアイテムは削除されません。

次のコマンドを実行してメッセージを削除するには、セキュリティ/コンプライアンス PowerShell に接続していることを確認して下さい。

メッセージの論理的な削除

次の例では、"Remove Phishing Message" (フィッシング メッセージの削除) という名前のコンテンツ検索によって返された検索結果が、そのコマンドによって論理的に削除されます。

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

メッセージの物理的な削除

"Remove Phishing Message" コンテンツ検索によって返されたアイテムを物理的に削除するには、次のコマンドを実行します:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

前のコマンドを実行してメッセージを論理的またはハード削除する場合、 SearchName パラメーターで指定された検索は、手順 1 で作成したコンテンツ検索です。

詳細については、「New-ComplianceSearchAction」を参照してください。

詳細情報

  • 検索と削除の操作の状態を取得するにはどうすればよいですか?

    Get-ComplianceSearchAction を実行すると、その削除操作の状態を取得できます。 New-ComplianceSearchAction コマンドレットの実行時に作成されるオブジェクトには、<name of Content Search>_Purgeという形式で名前が付けられます。

  • メッセージを削除するとどうなりますか?

    New-ComplianceSearchAction -Purge -PurgeType HardDelete コマンドを使用して削除されたメッセージは Purges フォルダーに移動され、ユーザーはアクセスできません。 Purges フォルダーに移動されたメッセージは、そのメールボックスで単一アイテムの回復が有効になっている場合、削除済みアイテムの保持期間が切れるまで保持されます。 (Microsoft 365 では、新しいメールボックスを作成すると、既定で単一アイテムの回復が有効になります)。削除済みアイテムの保持期間を過ぎると、そのメッセージは完全に削除するようにマークされ、管理フォルダー用アシスタントによって次回そのメールボックスが処理される際に Microsoft 365 から消去されます。

    New-ComplianceSearchAction -Purge -PurgeType SoftDelete コマンドを使用すると、メッセージは、ユーザーの回復可能なアイテム フォルダーの Deletions フォルダーに移動されます。 Microsoft 365 から直ちに削除されることはありません。 ユーザーは、メールボックスに構成されている削除したアイテムの保持期間に基づき、その期間は削除済みアイテム フォルダーのメッセージを復元できます。 この保持期間を過ぎるか、過ぎる前にユーザーがメッセージを消去すると、メッセージは Purges フォルダーに移動され、ユーザーはアクセスできなくなります。 Purges フォルダーに移動されたメッセージは、そのメールボックスで単一アイテムの回復が有効になっている場合、メールボックスに構成されている削除済みアイテムの保持期間が切れるまで保持されます。 (Microsoft 365 では、新しいメールボックスを作成すると、既定で単一アイテムの回復が有効になります)。削除済みアイテムの保持期間を過ぎると、そのメッセージは完全に削除するようにマークされ、管理フォルダー用アシスタントによって次回そのメールボックスが処理される際に Microsoft 365 から消去されます。

  • 50,000 を超えるメールボックスからメッセージを削除するにはどうすればよいですか?

    前述のとおり、検索と削除の操作を実行できるメールボックスの上限は 50,000 です (検索クエリに一致するアイテムが 50,000 個未満の場合でも)。 50,000 を超えるメールボックスに対して検索と削除の操作を実行する必要がある場合は、検索対象となるメールボックスの数を 50,000 未満に減らす一時的な検索権限フィルターを作成することをご検討ください。 たとえば、organizationにさまざまな部署、州、国/地域のメールボックスが含まれている場合は、それらのメールボックスのプロパティのいずれかに基づいてメールボックス検索アクセス許可フィルターを作成して、organization内のメールボックスのサブセットを検索できます。 検索権限フィルターを作成したら、検索を作成 (手順 1 を参照) し、メッセージを削除 (手順 3 を参照) します。 その後、フィルターを編集し、別のメールボックスのセット内のメッセージを検索して削除できます。 検索権限フィルターの作成の詳細については、「コンテンツ検索用にアクセス許可フィルターを設定する」を参照してください。

  • 検索結果に含まれるインデックスのないアイテムも削除されますか?

    いいえ。'New-ComplianceSearchAction -Purge コマンドでは、インデックスのない項目は削除されません。

  • メッセージが、インプレース ホールドまたは訴訟ホールドが設定されたメールボックスから削除されたり、Microsoft 365 の保持ポリシーに割り当てられたりするとどうなりますか?

    消去されて Purges フォルダーに移動されたメッセージは、保持期間が切れるまで保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。

  • 検索と削除のワークフローが異なるMicrosoft Purview コンプライアンス ポータル役割グループに分割されるのはなぜですか?

    前述したように、メールボックスを検索するには、電子情報開示管理者役割グループのメンバーであるか、コンプライアンス検索の管理の役割が割り当てられている必要があります。 メッセージを削除するには、組織管理役割グループのメンバーであるか、検索と消去の管理の役割が割り当てられている必要があります。 この制限によって、組織のメールボックスを検索できるユーザーとメッセージを削除できるユーザーを制御できます。