メール内のメッセージを検索および削除Exchange Server

New-ComplianceSearch コマンドレットと New-ComplianceSearchAction コマンドレットを使用して、組織内のすべてのメールボックスから電子メール メッセージを検索および削除できます。 これは、次に示す潜在的に有害または高リスクのメールを見つけて削除するのに役立ちます。

• 危険性のある添付ファイルやウイルスを含むメッセージ

• フィッシング メッセージ

• 機密データを含むメッセージ

メッセージを削除New-ComplianceSearch、New-ComplianceSearchActionコマンドレットを使用する代わりに、Search-Mailboxコマンドレットを使用する理由 以前のバージョンの ExchangeコマンドSearch-Mailbox -DeleteContentを実行して、電子メール メッセージを検索および削除できます。 この操作は、Exchange Server で実行できますが、Search-Mailbox コマンドレットを使用して、1 回の検索で最大 10,000 のメールボックスのみを検索できます。 New-ComplianceSearch の 場合、1 回の検索でメールボックスの数に制限はありません。 これにより、大規模な組織は組織全体の検索操作と削除操作を実行できます。

検索および削除プロセスのワークフローを次に示します。

手順 1: コンプライアンス検索を作成して実行し、削除するメッセージを見つける

手順 2: メッセージを削除する

削除されたメッセージがどうなるか、さらに、検索と削除の操作の状態を取得する方法について、「詳細情報」セクションをご覧ください。

注意事項

検索と削除は、必要なアクセス許可が割り当てられているユーザーが組織のメールボックスからメール メッセージを削除できるようにするための強力な機能です。

はじめに

• New-ComplianceSearch コマンドレットと Start-ComplianceSearchAction コマンドレットを使用してコンプライアンス検索を作成および実行し、New-ComplianceSearchAction コマンドレットを使用してメッセージを削除するには、メールボックス検索管理役割を割り当てる必要があります。 既定ではこの役割は管理者には割り当てられません。 メールボックスを検索してメッセージを削除できるよう、この役割を自分自身に割り当てるには、探索管理役割グループのメンバーとして自分自身を追加します。 「電子情報開示のアクセス許可を割り当てる」を参照Exchange Server。

• 一度に削除できるのは、メールボックスごとに最大 10 個のアイテムまでです。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。

手順 1: コンプライアンス検索を作成して実行し、削除するメッセージを見つける

最初の手順は、コンプライアンス検索を作成して実行し、組織内のメールボックスから削除するメッセージを検索します。 検索を作成するには、 New-ComplianceSearch コマンドレットと Start-ComplianceSearch コマンドレットを 実行します。 この検索のクエリに一致するメッセージは、手順 2 で New-ComplianceSearchAction コマンドレットを実行して削除されます。

この例では、コマンドは組織内のすべてのメールボックスの検索を作成して開始し、件名に "アカウント情報を更新する" という単語を含むメッセージを検索します。

1. 管理シェルExchange開きます。

2. 次のコマンドを実行します。

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

コンプライアンス検索の作成と検索クエリの構成の詳細については、次のトピックを参照してください。

• New-ComplianceSearch

• Start-ComplianceSearch

• 電子情報開示のメッセージ プロパティIn-Place検索演算子Exchange Server

削除するメッセージを見つけるためのヒント

検索クエリの目標は、削除するメッセージだけに検索結果を絞り込むことです。次にヒントを示します。

• メッセージの件名に使われているテキストまたはフレーズを正確に記憶している場合は、検索クエリの Subject プロパティをご利用ください。

• メッセージの正確な日付 (または期間) がわかる場合は、検索クエリに Received プロパティを含めます。

• メッセージの送信者がわかる場合は、検索クエリに From プロパティを含めます。

• 検索結果をプレビューして、検索が、削除を希望するメッセージだけを返したことを確認します。

• 検索結果の総数を取得するには、 (Get-ComplianceSearch コマンドレットを実行して) 検索推定統計を使用します。

不審な電子メール メッセージを検索するクエリの 2 つの例を次に示します。

• このクエリは、2016 年 4 月 13 日から 2016 年 4 月 14 日までの間にユーザーが受信し、単語 "action" と "required" が件名に含まれるメッセージを返します。

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• このクエリは、chatsuwloginsset12345@outlook.com から送信され、完全に一致する語句 "Update your account information" (アカウント情報を更新してください) が件名に含まれているメッセージを返します。

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

手順 2: メッセージを削除する

コンプライアンス検索を作成して絞り込んで削除するメッセージを返したら、最後に New-ComplianceSearchAction コマンドレットを実行してメッセージを削除します。 削除されたメッセージは、ユーザーの [回復可能なアイテム] フォルダーに移動します。

この例では、コマンドは"フィッシング メッセージの削除" という名前のコンプライアンス検索によって返される検索結果を削除します。

1. 管理シェルExchange開きます。

2. 次のコマンドを実行します。

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

詳細情報

• メッセージを削除 した後の処理: New-ComplianceSearchAction -Purge -PurgeType SoftDelete コマンドを使用して削除されたメッセージは、ユーザーの [回復可能なアイテム] フォルダーの [削除] フォルダーに移動されます。 データベースからすぐにExchangeされません。 ユーザーは、メールボックスに構成されている削除したアイテムの保持期間に基づき、その期間は削除済みアイテム フォルダーのメッセージを復元できます。 この保持期間を過ぎるか、過ぎる前にユーザーがメッセージを消去すると、メッセージは Purges フォルダーに移動され、ユーザーはアクセスできなくなります。 Purges フォルダーに入った後、メールボックスに対して単一アイテムの回復が有効になっている場合、メールボックス用に構成された削除済みアイテムの保持期間に基づいて、メッセージが再び保持されます。 (このExchange、新しいメールボックスが作成されると、既定で単一アイテムの回復が有効になります。 ) 削除されたアイテムの保持期間が経過すると、メッセージは完全な削除からマークされ、メールボックスが管理フォルダー アシスタントによって次に処理された場合、Exchange データベースから削除されます。

• メッセージが 削除され、ユーザーの回復可能なアイテム フォルダーに移動される方法を確認する方法:メッセージを削除した後に同じコンプライアンス検索を実行すると、同じ数の検索結果が引き続き表示されます (メッセージがユーザー メールボックスから削除されたとは見なされません)。 これは、コンプライアンス検索で [回復可能なアイテム] フォルダーが検索され、削除されたメッセージはコマンドの実行後に移動 New-ComplianceSearchAction -Purge -PurgeType SoftDelete されます。 回復可能なアイテム フォルダーに移動されたメッセージを確認するには、In-Place 電子情報開示検索 (手順 1 で作成したコンプライアンス検索と同じソース メールボックスと検索条件を使用) を実行し、検索結果を探索メールボックスにコピーします。 次に、探索メールボックスで検索結果を表示し、メッセージが回復可能なアイテム フォルダーに移動されたと確認できます。 コンプライアンス検索からソース メールボックスと検索クエリの一覧を使用する In-Place 電子情報開示検索の作成の詳細については、「コンプライアンス検索を使用して Exchange Server 内のすべてのメールボックスを検索する」を参照してください。

• In-Place 保留または訴訟ホールドに配置されたメールボックスからメッセージが削除された場合は、メッセージが削除された後 (ユーザーまたは削除されたアイテム保持期間が経過した後)、メッセージは保持期間が経過するまで保持されます。 保持期間が無期限である場合は、ホールドが解除されるか、または保持期間が変更されるまで、アイテムは保持されます。

• 検索操作と削除操作の状態を取得する方法 Get-ComplianceSearchAction: を実行して、削除操作の状態を取得します。 New-ComplianceSearchAction コマンドレットを実行するときに作成されるオブジェクトの名前は、次の形式で指定されます<name of Compliance Search>_Purge。