次の方法で共有

電子情報開示でケースの検索を作成する

電子情報開示で検索を使用すると、ケースに関連するメール、ドキュメント、インスタント メッセージングの会話などのインプレース コンテンツをorganizationで検索できます。 検索を使用して、次のクラウドベースの Microsoft 365 データ ソース内のコンテンツを検索します。

  • Exchange Online メールボックス
  • SharePoint サイト
  • OneDrive アカウント
  • Microsoft Teams
  • Microsoft 365 グループ
  • Viva Engage

ケースに関連付けられているさまざまな検索を作成して実行できます。 キーワードなどの条件を使用して、ケースに関連する可能性が最も高いデータで検索結果を返す検索クエリを作成します。 以下のことも実行できます。

  • 検索クエリを絞り込んで結果を絞り込むのに役立つ可能性のある検索統計を表示します。
  • 検索結果をプレビューして、関連するデータが見つかったかどうかをすばやく確認します。
  • クエリを修正して、検索を再実行します。

調査に関連するデータを検索して見つけたら、結果をレビュー セットに送信してさらに調査したり、調査チームの外部のユーザーによるレビューのためにエクスポートしたりできます。

注:

欧州連合 (EU) 内で個人のプライバシー権を保護および有効化するための EU 一般データ保護規則 (GDPR) 要件を持つ組織の場合は、organizationのユーザーによって送信されたデータ主体要求 (DSR) に応じて調査を管理することもできます。 ユーザー データ検索ケース ツールは廃止され、その機能が電子情報開示とマージされました。 検索を使用して、電子情報開示検索でサポートされているすべての場所で DSR をサポートするコンテンツを検索できるようになりました。

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

検索のヒント

  • すべての検索のタイム ゾーンは協定世界時 (UTC) です。 organizationのタイム ゾーンの変更は現在サポートされていません。 検索ビューのタイム ゾーン表示設定は 、[データ ] 列の値にのみ適用され、収集されたアイテムのタイム スタンプには影響しません。

  • キーワード検索では大文字と小文字は区別されません。 たとえば、catCAT は同じ結果を返します。

  • ブール演算子の ANDORNOT、および NEAR は、大文字でなければなりません。

    重要

    [KeyQL条件] フィールドでこれらの演算子を使用します。 [キーワード条件] フィールドでこれらの演算子を使用することはサポートされておらず、これらの演算子はリテラル キーワードとして扱われます。

  • 引用符を使用すると、ワイルド カードと引用符内のすべての操作が停止します。

  • 2 つのキーワードまたは 2 つの property:value 式の間のスペースは、 OR の使用と同じです。 たとえば、 from:"Sara Davis" subject:reorganization は、Sara Davis によって送信されたすべてのメッセージ、または件名行の再編成という単語を含むメッセージを返します。 ただし、1 つのクエリでスペースと OR 条件を組み合わせて使用すると、予期しない結果が発生する可能性があります。 1 つのクエリでスペースまたは OR を使用します。

  • property:value 形式に一致する構文を使用します。 値では大文字と小文字は区別されず、演算子の後にスペースを指定することはできません。 スペースがある場合、目的の値はフルテキスト検索です。 たとえば、to: pilarpは、ピラープに送信されるメッセージではなく、キーワード (keyword)として "pilarp" を検索します。

  • To、From、Cc、Recipients などの受信者プロパティを検索するとき、SMTP アドレス、別名、または表示名を使用して受信者を指定できます。 たとえば、 pilarp@contoso.com、ピラープ、または "Pilar Pinilla" を使用できます。

  • プレフィックス検索のみを使用できます。たとえば、 cat*set* などです。 サフィックス検索 (*cat)、インフィックス検索 (c*t)、部分文字列検索 (*cat*) はサポートされていません。

  • 検索プロパティを検索するとき、検索値が複数の単語で構成される場合は、二重引用符 (" ") を使用します。 たとえば、 subject:budget Q1 は、件名行に 予算 を含み、メッセージ内の任意の場所または任意のメッセージ プロパティに Q1 を含むメッセージを返します。 subject:"budget Q1" を使用すると、件名行に budget Q1 を含むすべてのメッセージが返されます。

  • 特定のプロパティ値でマークされているコンテンツを検索結果から除外するには、プロパティの名前の前にマイナス記号 (-) を置きます。 たとえば、 -from:"Sara Davis" は、Sara Davis によって送信されたすべてのメッセージを除外します。

  • メッセージの種類に基づいてアイテムをエクスポートできます。 たとえば、Skype の会話と Microsoft Teams のチャットをエクスポートするには、構文 kind:im を使用します。 電子メール メッセージのみを返すには、 kind:emailを使用します。 Microsoft Teams のチャット、会議、通話を返すには、kind:microsoftteams を使用します。

  • サイトを検索するときは、path プロパティを使用して指定したサイト内のアイテムのみを返すときに、URL の末尾に末尾の/を追加する必要があります。 末尾の /を含めない場合は、同様のパス名を持つサイトのアイテムも返されます。 たとえば、 path:sites/HelloWorld を使用すると、 sites/HelloWorld_East または sites/HelloWorld_West という名前のサイトのアイテムも返されます。 HelloWorld サイトからのみアイテムを返すには、 path:sites/HelloWorld/を使用する必要があります。

  • コンテンツを収集する前に、検索クエリでクエリ 言語/国/地域 を定義する必要があります。

  • [送信済み] フォルダーで電子メールを検索する場合、送信者の SMTP アドレスの使用はサポートされていません。 [送信済み] フォルダー内のアイテムには、表示名のみが含まれます。

検索クエリを作成する

ヒント

対話型の構成ガイド エクスペリエンスをお好みですか? 検索ガイドのデザインに関するページを参照してください。

新しいケースを作成すると、ケースの [ 検索 ] タブに自動的に移動し、ケースの検索を作成する準備が整います。 organizationのコンテンツ検索ケースで新しい検索を作成することもできます。 検索は、ケースに対して収集するアイテムを見つけるのに役立ちます。

  1. [ケース で検索を作成する ] または [コンテンツ検索ケース] を選択します。 以前の検索がない新しいケースの場合は、[関連データ検索を開始する] の下のメイン ウィンドウで [検索の作成] を選択することもできます。

  2. [詳細 を入力して作業を開始する ] ページで、次のフィールドに入力します。

    • 検索名: 検索に名前を付けます (必須)。 検索名は、organizationで一意である必要があります
    • 検索の説明: 他のユーザーがこの検索を理解するのに役立つ省略可能な説明を追加します。

  3. [ 作成] を選択して新しい検索を作成し、クエリを開始してケースに関連するデータを検索します。

  4. 検索の [ クエリ ] タブで、検索用のデータ ソースを追加します。 検索クエリにデータ ソースを追加するには、詳細なガイダンスについては、「 電子情報開示のデータ ソース 」を参照してください。

  5. [ 管理 ] を選択して、選択したソースに関連付けられているメールボックスまたはサイトを更新します。 それ以外の場合は、[ 保存して閉じる] を選択します。

  6. 選択内容を確認し、各データ ソースに含まれるリソースを確認します。 [保存] を選択します。 検索クエリで調べるデータ ソースの範囲を指定しました。

  7. [ データ ソース ] セクションで、データ ソースの管理オプションの任意のデータ ソースの省略記号メニューを選択します。

    管理オプションについては、次のオプションから選択します。

    • データ ソースの管理: 選択したユーザーまたはサイトのデータ ソースを管理します。
    • メールボックスを無効にする: 選択したユーザーまたはサイトのメールボックスを無効にします。 ユーザーまたはサイトのメールボックスを有効にするには、もう一度このオプションを選択します。
    • サイトを無効にする: 選択したユーザーまたはサイトのサイトを無効にします。 このオプションをもう一度選択して、ユーザーまたはサイトのサイトを有効にします。
    • 頻繁にコラボレーター: 選択したユーザーと頻繁に共同作業を行うユーザーの関連付けられているメールボックスとサイトを選択します。
    • マネージャー: ユーザーのマネージャーの関連付けられているメールボックスとサイトを選択します。
    • 直接レポート: ユーザーの直接レポートの関連付けられているメールボックスとサイトを選択します。
    • ユーザーが所有するグループ: 関連付けられているメールボックスと、ユーザーが所有者であるグループのサイトを選択します。
    • ユーザーが属しているグループ: 関連付けられているメールボックスと、ユーザーがメンバーになっているグループのサイトを選択します。

    グループ ソースの場合は、次のオプションから選択します。

    • メンバー: グループのメンバーであるユーザーの関連付けられているメールボックスとサイトを選択します。

  8. [データ ソース] コマンド バー コントロールを使用して、必要に応じて他のデータ ソースを追加、更新、同期、および検索します。

    • 検索と追加: [+] アイコンを選択してデータ ソースを追加します。
    • 管理: 鉛筆アイコンを選択して、割り当てられたデータ ソースを管理します。
    • 同期: 同期アイコンを選択してデータ ソースを同期し、organizationの最新のデータ ソースでデータ ソースを更新します。
    • 検索: 検索アイコンを選択して、検索クエリに現在含まれているデータ ソースを検索します。

  9. 検索クエリのパラメーターを定義するには、[ クエリ] タブ で次のオプションから選択します。

    • 条件ビルダー: 検索の 条件ビルダー オプションを使用すると、電子情報開示で検索クエリを作成するときに、ユーザーが簡単に検索できます。 キーワードまたはカスタム条件を使用して、検索クエリのスコープに焦点を当てます。 さらに、検索でキーワード照会言語 (KeyQL) クエリ条件オプションを使用してガイダンスを提供し、長くて複雑なクエリをすばやくエディターに直接貼り付けることができます。 また、検索クエリをゼロから構築し、潜在的なエラーを特定し、問題を解決する方法に関するヒントを表示するのにも役立ちます。

      Microsoft Security Copilotを使用して、検索のKeyQLクエリをすばやく作成することもできます。 ガイダンスについては、この記事の 次のセクション を参照してください。

    • ファイルで検索 (プレビュー): 1 つ以上のファイルをアップロードして、特定のケースに関連するコンテンツまたは類似のコンテンツを検索します。 監査アクティビティ csv を使用して、特定の期間内に特定のユーザーの関連メッセージとファイルを検索します。 または、類似のコンテンツを見つけるためのサンプル証拠を提供します。 各ファイルの最大ファイル サイズは 10 MB に制限され、ファイルは csv または txt にすることができます。 ファイルで検索する場合、クエリ のビルドとKeyQLのオプションは無効になります。

  10. [クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。

ファイルで検索 (プレビュー)

注:

この機能は、初期段階のプレビュー段階にあります。 レビュー セットまたはエクスポートの結果を確認して、完全性と精度を確認します。 プレビュー期間中は、フィードバックに基づいて機能を変更または中止する権利を留保します。

この機能は、電子情報開示調査担当者を 2 つの方法で支援します。

類似ファイルで検索

今日のデジタルワークプレースでは、重要なドキュメントは頻繁にコピー、変更、移動され、複数の場所に保存されます。 調査担当者がサンプル ドキュメントを持ち、同様のコンテンツを検索する場合、この機能はアップロードされたサンプル証拠ファイルを分析して最も一意の単語を抽出し、概念的に類似したファイルを検索するクエリを自動的に生成します。 この機能は、手動クエリの定式化が困難な特殊なドキュメントや一意のドキュメントのバリエーションを特定する場合に特に便利です。

監査ログで検索する

監査ログに関する調査の場合、この機能は入力監査ログ CSV を受け入れます。 監査ログ エントリ (送信されたメッセージやアクセスされたドキュメントなど) を使用して、検索スコープ内の関連ファイルを検索し、識別子や場所などの監査ログ内の情報を使用して、一致するドキュメントやメッセージを検索します。 この機能を使用すると、調査担当者は監査アクティビティをテナント内の関連コンテンツにリンクできます。

どちらのシナリオでも、レビュー セットに項目を追加すると、一致する項目が入力証拠ファイルまたは監査ログの下にグループ化され、レビューが容易になります。

Microsoft Copilot (プレビュー) を使用してKeyQL検索クエリを作成する

検索の自然言語クエリ (プレビュー) KeyQL ビルダー オプションを使用すると、自然言語とMicrosoft Security Copilotを使用して、キーワード照会言語 (KeyQL) ステートメントをすばやく生成できます。 ビルダーを使用して、AND、OR、条件のグループ化などの追加機能を備えた複雑なクエリを作成し、自然言語プロンプトを使用します。

この機能は、シナリオの例として定義済みのプロンプトを使用して、クエリをより簡単に構築するのに役立ちます。 また、より正確な検索クエリのカスタム プロンプトを絞り込んで強化することもできます。 プロンプトの提案を出発点として使用して、一般的な検索シナリオまたはカスタム検索シナリオのKeyQLクエリを作成して絞り込むこともできます。

Copilot で検索クエリを作成するには、次の手順を実行します。

  1. クエリのデータ ソースを選択したら、[ Copilot を使用してクエリを下書きする] を選択します。
  2. [ 自然言語] プロンプト ウィンドウで、次のいずれかのオプションを選択します。
    • 検索クエリの質問を入力します。 必要に応じて、ユーザー、データ ソース、およびその他のコンテンツの詳細を含めることができます。
    • [ プロンプトの表示 ] を選択して、次のいずれかのプロンプト候補を選択します。
      • 予算と財務という単語を含むすべてのメールを検索し、添付ファイルを含む
      • "会計年度" という単語を含む 2020 年 1 月のすべてのチャットを検索する
      • 機密と予算という単語を含む .docx の種類のファイルを検索します
  3. 自然言語プロンプトを確認します。 Copilot でプロンプトを絞り込むには、[ 絞り込み] を選択します。
  4. プロンプトが完了したら、[KeyQLの生成] を選択します。
  5. キーワード照会言語 (KeyQL) 結果ウィンドウでKeyQL クエリを確認します。 KeyQLクエリ結果を絞り込む必要がある場合は、[自然言語プロンプト] ウィンドウでプロンプトを更新し、もう一度 [KeyQLの生成] を選択します。 1. KeyQL結果が確定したら、[KeyQLコピー] を選択します。
  6. [キーワード クエリ言語 (KeyQL)] タブのクエリ フィールドにKeyQL結果を貼り付けます。Copilot で下書きクエリを閉じます。
  7. [クエリの実行] を選択します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 下書きとして保存] を選択します。

検索クエリを実行する

検索クエリを手動で作成するか、Security Copilotを使用して作成した後、クエリを実行して検索結果を生成する準備が整います。

検索クエリを実行するには、次の手順を実行します。

  1. Microsoft Purview ポータルに移動し、電子情報開示アクセス許可が割り当てられたユーザー アカウントの資格情報でサインインします。

  2. 電子情報開示ソリューション カードを選択し、左側のナビゲーションで [ケース (プレビュー)] を選択します。

  3. ケースを選択します。 [検索] タブ 、保存した検索を選択します。

  4. [クエリの実行] を選択します。

  5. [クエリの 実行] を選択すると、[ 検索結果の選択 ] ポップアップ ウィンドウが表示されます。 クエリとその設定に対して生成するビューを選択します。 [ 統計 ] ビューまたは [サンプル ] ビューを選択できます。

    • 統計: このビューでは、収集されたデータの見積もりの概要が上位のインジケーターによって並べ替えられます。 次のオプションの 1 つ以上を選択します。

    • カテゴリを含める: ユーザー、機密情報の種類、アイテムの種類、エラーを含むようにビューを絞り込みます。

    • クエリ キーワード レポートを含める: 検索クエリのさまざまな部分キーワード (keyword)関連性を評価する/

    • 部分的にインデックス付けされた項目を調査する: 部分的にインデックス付けされた項目は、通常、データ ソース内のコンテンツの約 1% をカウントで占めます。 このオプション (およびこのオプションのみ) を選択すると、検索用に選択したデータ ソースに含まれる部分的にインデックス付けされた項目に関する概要情報 (アイテム数と場所) が生成されます。 部分的にインデックスが付いた項目はインデックスを再作成または処理されません。 スコープ付きデータ ソース内の部分的にインデックス付けされた項目をさらに処理するには、次の高度なインデックス作成オプションを検討してください。

      • 検索ヒットのない場所で部分的にインデックス付けされたアイテムを除外する: この追加オプションを選択すると、部分的にインデックス付けされた項目の包含を検索に関連するアイテムを含むデータ ソースのみに制限することで、部分的にインデックス付けされた項目の範囲が縮小されます (そのオプションが選択されている場合は高度なインデックス付け)。 これにより、検索に関連する項目が含まれていないデータ ソースから部分的にインデックス付きアイテムが除外されます。

        たとえば、検索のデータ ソースとして複数のメールボックス、SharePoint サイト、OneDrive サイトを選択します。 検索を実行すると、一部のメールボックスとサイトのみが検索条件に関連するインデックス付きアイテムを持ちます。残りのメールボックスとサイトには、検索条件に関連するネイティブインデックス付きアイテムは含まれません。 このオプションを選択すると、検索に関連するネイティブインデックス付きアイテムを含むメールボックスおよびサイト内の部分的にインデックス付けされたアイテムが、検索結果に含まれます。 検索に関連するネイティブインデックス付きアイテムが含まれていないメールボックスおよびサイト内の部分的にインデックス付けされたアイテムは無視され、検索結果には報告されません。

      • 部分的にインデックス付けされた項目に対して高度なインデックス作成を実行する: 高度なインデックス作成を実行する範囲は、[ 検索ヒットのない場所で部分的にインデックス付けされた項目を除外する ] オプションを選択した場合によって異なります。 高度なインデックス作成プロセスは、スコープ内の部分的にインデックス付けされた項目の統計サンプルを実行し、これらの項目がクエリと一致するかどうかを判断します。

        • [検索ヒットのない場所で部分的にインデックス付けされた項目を除外する] オプションで選択: この設定は、部分的にインデックスが付いた項目に対してのみ、検索クエリに一致する完全なインデックス付きアイテムを持つデータ ソースに適用されます。 これらの項目はサンプリングされ、インデックスが作成され、検索クエリに一致する項目が (該当する場合) 検索統計に表示されます。
        • [検索ヒットのない場所で部分的にインデックス付けされたアイテムを除外する] オプションなしで選択: この設定は、検索に含まれるすべてのデータ ソース内のすべての部分的にインデックス付きアイテムに適用されます。 すべての項目がサンプリングされ、インデックスが作成され、検索クエリに一致する項目が検索統計に表示されます (該当する場合)。

        重要

        この機能は、 限られた形式 のケースでは使用できません。

    • サンプル: このビューでは、検索結果全体の代表的な選択が生成されます。 次のオプションのパラメーターを定義します。

      • 場所ごとに生成するサンプル項目の数を選択します。1、10、または 100 のいずれかを選択します。
      • サンプルを取得する場所の数を選択します。10、100、1000、または 10000 のいずれかを選択します。

  6. 電子情報開示のテナント全体のソース構成オプションを使用すると、organization全体の検索中に追加のデータ ソースを含めることができます。 データ ソースを追加すると、検索に通常よりも時間がかかる場合があります。

    1 つ以上のユーザーまたはコンテンツ タイプを含むように、organization全体のソース "すべてのユーザーとグループ" を構成します。

    • "すべてのユーザーとグループ" には、ライセンスのないユーザーとオンプレミスのユーザーを含める必要があります
    • "すべてのユーザーとグループ" にはゲスト ユーザーが含まれている必要があります
    • "すべてのユーザーとグループ" には、共有 Teams チャネルを含める必要があります
    • "すべてのユーザーとグループ" には、出発したユーザーを含める必要があります

  7. [ クエリの実行 ] を選択して、クエリをすぐに実行します。

選択したクエリ ビュー オプションに応じて、[ 統計 ] タブまたは [ サンプル ] タブに自動的に移動します。検索クエリ評価が開始され、クエリを処理するための残りの時間が計算されます。 検索結果の評価と微調整の詳細については、「検索結果の 確認と評価」を参照してください。

一部のシナリオでは、既存の検索に基づいて新しい検索を作成すると便利な場合があります。 この方法では、元のデータ ソースと検索を維持しながら、元の検索を変更せずに新しい検索統計を取得します。 重複検索を作成すると、すべてのデータ ソースと、新しい検索で元の検索からの検索が保持されます。 この方法では、元の検索の整合性が維持され、新しい分析情報を探索できます。

既存の検索から新しい検索を作成するには、次の手順を実行します。

  1. ケースを選択します。 [検索] タブ 、検索を開きます。
  2. [複製する] を選択します。
  3. 同じケースで新しい検索が自動的に作成されます。

新しい検索名には、タイトルに コピーの プレフィックスが付いたソース検索タイトルと、タイムスタンプが追加されています。 たとえば、ソース検索タイトルが [予算メールの検索] の場合、新しい検索タイトルは [ 予算メールの検索のコピー] + タイムスタンプです。 新しい検索タイトルを編集するには、タイトル テキストの横にある編集コントロールを選択します。

既存の保留リストから新しい検索を作成する

一部のシナリオでは、既存の保留に基づいて新しい検索を作成すると便利な場合があります。 この方法では、元のデータ ソースと、保留に使用される検索を使用して新しい検索を実行できます。 既存の保留から検索を作成する場合は、すべてのデータ ソースと保留リストからの検索を新しい検索に保持します。

注:

既存の保留リストから検索を作成するには、コンプライアンス 検索 ロールが割り当てられている必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。

既存の保留から新しい検索を作成するには、次の手順を実行します。

  1. ケースを選択します。 [ 保留ポリシー] タブで、保留ポリシー を選択して開きます。
  2. [ 検索の作成] を選択します
  3. 新しい検索が自動的に作成され、新しい検索に自動的にリダイレクトされます。

新しい検索名には、タイトルとタイムスタンプにプレフィックス が付いたコピーの ソース保留ポリシー名が含まれます。 たとえば、ソース保留ポリシー のタイトルが Contoso プロジェクトを保持するために [保留] の場合、新しい検索タイトルは [保持のコピー] で Contoso プロジェクトとタイムスタンプを保持します。 新しい検索タイトルを編集するには、タイトル テキストの横にある編集コントロールを選択します。

ケースに関連付けられている以前の検索の数を減らす必要がある場合は、電子情報開示で特定の検索を削除できます。 検索でエクスポートセットとレビュー セットが関連付けられている場合、これらのエクスポートおよびレビュー セットの履歴は 、プロセス マネージャー監査ログで引き続き使用できます。

ケース内の既存の検索を削除するには、次の手順を実行します。

  1. ケースを選択し、削除する検索を選択します。
  2. 検索ページの右上にある省略記号 (...) を選択し、[ 検索の削除] を選択します。
  3. [検索の削除] ダイアログで [はい] を選択して、ケースから検索を削除します。