ラボ 4 - 演習 2 - 電子情報開示 (Standard) とコンテンツ検索を使用したケース調査

あなたは、Contoso Ltd のコンプライアンス管理者である Joni Sherman です。同社は現在、元従業員が起こした不当解雇訴訟に関与しています。コンプライアンス管理者として、関連するすべての電子データが保持され、法的義務を満たすためにアクセス可能であることを保証する責任があります。この演習では、電子情報開示 (Standard) とコンテンツ検索を使用してケースを効果的に管理し、Contoso Ltd が訴訟に必要な電子証拠を提供できるようにします。

タスク:

電子情報開示にアクセス許可を割り当てる
電子情報開示 (標準) ケースを作成する
電子情報開示 (Standard) ホールドを作成する
メールボックスでの検索と消去を実行する
電子情報開示 (Standard) 検索を作成する
検索結果とレポートをエクスポートする
電子情報開示 (Standard) ケースを閉じる

タスク 1 - 電子情報開示にアクセス許可を割り当てる

このタスクでは、Joni Sherman のアカウントに必要な電子情報開示のアクセス許可を割り当てます。これらのアクセス許可を使用すると、不当解雇ケースに必要な電子情報開示データを管理してエクスポートできます。

Client 1 VM (LON-CL1) に lon-cl1\admin アカウントでログインします。
Microsoft Edge で、 https://purview.microsoft.com に移動し、Microsoft Purview ポータルに MOD 管理者 admin@WWLxZZZZZZ.onmicrosoft.com としてログインします (ZZZZZZ はラボホスティングプロバイダーから支給された固有のテナント ID)。管理者のパスワードは、ラボホスティングプロバイダーから支給されます。
左サイドバーで、[設定] を選択します。
[設定] ページで、[ロールとスコープ] を展開し、[ロールグループ] を選択します。
[Microsoft Purview ソリューションのロールグループ] ページで、eDiscovery を検索し、[電子情報開示マネージャー] を選択します。
[電子情報開示マネージャー] ポップアップパネルで、[編集] を選択します。
[Manage eDiscovery Manager] (電子情報開示マネージャーの管理) ページで、[ユーザーの選択] を選択します。
[ユーザーの選択] ポップアップページで、"Joni" を検索し、[Joni Sherman] のチェックボックスをオンにします。パネルの下部にある [選択] ボタンを選択します。
[電子情報開示マネージャーの管理] ページで、[次へ] を選択します。
[Manage eDiscovery Administrator] (電子情報開示管理者の管理) ページで、[次へ] を選択します。
[ロールグループを確認して完了] ページで、 [保存] を選択します。
[ロールグループが正常に更新されました] で、[完了] を選択します。
ウィンドウの右上隅の MA アイコンを選択して MOD 管理者アカウントからサインアウトし、[サインアウト] を選択します。

これで、必要な電子情報開示アクセス許可が Joni のアカウントに正常に割り当てられました。

タスク 2 - 電子情報開示 (Standard) ケースを作成する

次に、不正解雇訴訟の電子情報開示 (Standard) ケースを作成します。このケースは、訴訟に関連するすべてのアクティビティとデータの中央リポジトリとして機能します。

Client 1 VM (LON-CL1) に lon-cl1\admin アカウントでログインします。
Microsoft Edge で、 https://purview.microsoft.com に移動して Microsoft Purview ポータルに Joni Sherman JoniS@WWLxZZZZZZ.onmicrosoft.com としてログインします (ZZZZZZ はラボホスティングプロバイダーによって提供される固有のテナント ID)。
左サイドバーから Solutions を選択し、電子情報開示を選択します。
[電子情報開示] ページで、左サイドバーから [Standard ケース] を選択します。
[電子情報開示 (Standard)] ページで、[ケースの作成] を選択します。
[新規ケース] ポップアップパネルに、次の内容を入力します。
- 名前: Wrongful Termination Case
- 説明: Wrongful termination lawsuit filed against Contoso Ltd. by a former employee.
[保存] を選択します。
[電子情報開示 (Standard)] ページに戻り、新しく作成した [Wrongful Termination Case] を選択します。
不正解雇ケースのページの [設定] タブを選択します。[アクセスとアクセス許可] の下にある [選択] ボタンを選択します。
[アクセスとアクセス許可] ポップアップページの [ユーザー] で、[追加] を選択します。
[メンバーの追加] ポップアップパネルで "Diego" を検索し、[Diego Siciliani] のチェックボックスをオンにします。パネルの下部にある [追加] を選択して、Diego に電子情報開示ケースへのアクセスを許可します。
[アクセスおよびアクセス許可] ページに戻り、 [閉じる] を選択して、ケース設定ページに戻ります。

以上で、"Wrongful Termination Case"というタイトルの電子情報開示 (Standard) ケースが正常に作成され、アクセスとアクセス許可の管理対象メンバーとして Diego Siciliani が追加されました。

タスク 3 - 電子情報開示 (Standard) ホールドを作成する

タスク 2 では、先ほど作成した "Wrongful Termination Case" の一部として電子情報開示 (Standard) ホールドを作成します。このホールドには、Contoso Ltd. の不当解雇訴訟に関連するすべての関連電子データが保持されます。

引き続き Joni のアカウントを使用して Microsoft Purview にログインし、引き続き電子情報開示 (Standard) の "Wrongful Termination Case" の [設定] ページに残っている必要があります。そうでない場合は、https://purview.microsoft.com に移動し、Joni Sherman としてログインします。 [ソリューション] > [電子情報開示] > [標準ケース] > [不当解雇ケース] を選択します。
上部のナビゲーションバーから [ホールド] を選択します。
Wrongful Termination Case の [ホールド] ページで、 [+ 作成] を選択します。
[ホールドの名前の設定] ページの [新しいホールド] の設定で、次のように入力します。
- 名前: Wrongful Termination Hold
- 説明: Legal hold to preserve all relevant electronic data related to the Wrongful Termination Case.
[場所の選択] ページで、[Exchange メールボックス] の場所を選択します。
Exchange メールボックスの右側にある [含める] で、[ユーザー、グループ、またはチームを選択] を選択します。
右側の [Exchange メールボックス] ポップアップページの "検索" フィールドで、Lidia を検索し、[Lidia Holloway] のチェックボックスをオンにします。次に、パネルの下部にある [完了] を選択します。
[場所の選択] ページに戻り、 [次へ] を選択します。
[クエリ] ページで、[新しいクエリビルダーの使用] への切り替えが設定されていることを確認します。
フィルターおよび AND 演算子の下で、[フィルターの選択] を選択し、次に [日付] を選択します。
新しい [演算子の選択] フィールドが表示され、[日付] フィルターに演算子が適用されます。 Between 演算子を使用して、既定の日付範囲を選択したままにします。
[次へ] を選択します。
[設定の確認] ページで、 [送信] を選択します。
訴訟ホールドが正常に作成されたら、成功メッセージが表示されたページで [完了] を選択します。

以上で、Wrongful Termination Case が正常に作成され、アクセスとアクセス許可の管理対象メンバーとして Diego Siciliani が追加されました。このケースは、さらに電子情報開示アクションを実行する準備ができました。

タスク 4 - メールボックスでの検索と消去の実行

ケース関連のデータを詳細に検索する前に、データセットを汚染する可能性のあるフィッシングメールを削除することが重要です。このタスクでは、検索と消去操作を実行して、すべてのメールボックスからこれらの不要なメールを排除します。

引き続き Joni のアカウントを使用して Microsoft Purview にログインし、Microsoft Purview 内の電子情報開示のところに留まっている必要があります。そうでない場合は、https://purview.microsoft.com に移動し、Joni Sherman としてログインします。 [ソリューション] > [電子情報開示] を選択します。
左側のサイドバーで コンテンツ検索を展開し、[検索] を選択します。
1. [コンテンツ検索] ページで、[+ 新しい検索] を選択します。
新しい検索の構成の [名前と説明] ページで、検索名として「Phishing mail removal」と入力し、[次へ] を選択します。
[場所] ページで、[Exchange メールボックス] の場所を選択し、[次へ] を選択します。
[キーワード] ボックスの [検索条件の定義] ページに「From:phishingmail@outlook.com AND subject:"Password changed"」と入力し、[次へ] を選択します。
[検索の確認と作成] ウィンドウで、[送信] を選択します。
検索が正常に作成されたら、**[新しい検索の作成]**ページで [完了] を選択します。
検索を作成したら、Security & Compliance PowerShell を使用して消去を開始する必要があります。スタートメニューで、Windows ボタンを右クリックし、[Terminal (Admin)] を選択します。
Connect-IPPSSession コマンドレットを実行して、セキュリティとコンプライアンス PowerShell に接続します。
```
Connect-IPPSSession
```
サインインを要求された場合は、MOD 管理者admin@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボホスティングプロバイダーから支給された固有のテナント ID)。
New-ComplianceSearchAction コマンドレットを実行して、Phishing メールの削除検索で見つかった結果を削除します。
```
New-ComplianceSearchAction -SearchName "Phishing mail removal" -Purge -PurgeType HardDelete
```
ターミナルウィンドウで「Y」を入力し、[Enter] キーを押して操作を確定します。
ターミナルウィンドウを閉じます。

メールボックスからフィッシングメールが正常に消去されました。これにより、後続の検索は、関連する正当なデータのみに焦点を当てます。

タスク 5 - 電子情報開示 (Standard) 検索を作成する

メールボックスがクリーンアップされたら、電子情報開示 (Standard) 検索を作成し、不正解雇訴訟に関連するすべての電子データを特定し収集します。この検索は、ケースに必要な証拠を収集するのに役立ちます。

Joni のアカウントで Microsoft Purview にログインしたままである必要があります。 https://purview.microsoft.com に移動し、Joni Sherman としてログインします。
[ソリューション] を選択し、[電子情報開示] を選択します。
左側のサイドバーで、[電子情報開示 (標準)] を選択し、前のタスクで作成した [不当解雇ケース] を選択します。
Wrongful Termination Case 内で、上部のナビゲーションバーから [検索] タブを選択します。
[Wrongful Termination Case] ページの [検索] ページで、 [+ 新しい検索] を選択します。
[新規検索] 構成の [名前と説明] ページで、次のように入力します。
- 名前: Wrongful Termination Search
- 説明: Search to identify and collect all relevant electronic data related to the Wrongful Termination Case.
[場所] ページで、 [Exchange メールボックス] 、 [SharePoint サイト] 、 [Exchange パブリックフォルダー] で [オン] を選択し、 [次へ] を選択します。
[検索条件の定義] ページで、[KQL エディター] のラジオボタンを選択します。
KQL エディターボックスに、次のように入力します。
```
To:Lidia OR From:Lidia OR Cc:Lidia OR Bcc:Lidia
```
[次へ] を選択します。
[検索の確認と作成] ページで、 [送信] を選択します。
検索が正常に作成されたら、[新しい検索が作成されました] ページで [完了] を選択します。

KQL エディターを使用して、Wrongful Termination Search を正常に作成しました。この検索は、ケースに関連するすべての電子データを特定して収集するのに役立ちます。

タスク 6: 検索結果とレポートをエクスポートする

このタスクでは、検索結果をエクスポートし、詳細なレポートを生成します。これらのエクスポートとレポートは、Wrongful Termination Case のサポートを目的として収集されたデータを確認および分析するために重要です。

Joni のアカウントで Microsoft Purview にログインした状態を継続すると、電子情報開示 (Standard) の Wrongful Termination Case の [検索] ページが引き続き表示されます。そうでない場合は、https://purview.microsoft.com に移動し、Joni Sherman としてログインします。 *[ソリューション] > [電子情報開示] > [Standard ケース] > [Wrongful Termination Case] を選択します。
[検索] ページで、Wrongful Termination Search のフィールド (チェックボックスではなく) を選択します。
右側の [Wrongful Termination Search] ポップアップパネルで、パネルの下部にある [アクション] ドロップダウンを選択し、[結果のエクスポート] を選択します。
[結果のエクスポート] ページの [出力オプション] で、[すべてのアイテム (認識できない形式、暗号化されている、またはその他の理由でインデックスのないアイテムを除外する)] を選択します。
[Exchange コンテンツを次のようにエクスポートする] で、 [メールボックスごとに 1 つの PST ファイル] を選択します。
下にスクロールして、[Exchange コンテンツの重複除去を有効にする] と [SharePoint ファイルのバージョンを含める] のチェックボックスをオンにします。
パネルの下部にある見積もりレポートを確認して、エクスポートするアイテムの種類、数、サイズを把握し、[エクスポート] を選択します。
[ジョブが作成されました] と表示した [Microsoft Purview] ポップアップが表示されます。 [OK] を選択します。
[検索] ページに戻り、上部のナビゲーションバーから [エクスポート] タブを選択します。 [Wrongful Termination Search_Export] という名前のジョブを選択します

注: エクスポートの状態が [スケジュール設定...] としてマークされている場合、 [エクスポートキー] が使用可能になるまで [更新] を選択します。この処理には数分かかる場合があります。
エクスポートキーが使用可能になったら、[エクスポートキー] の下の [Wrongful Termination Search_Export] ポップアップパネルで、[クリップボードにコピー] を選択してエクスポートキーをコピーします。
[Wrongful Termination Search_Export] パネルの上部で [結果のダウンロード] を選択して、結果をダウンロードします。
Microsoft Edge では、ファイルを開くように求められます。これは、電子情報開示エクスポートツールです。メッセージが表示されたら、[開く] を選択します。
[アプリケーションのインストール] ウィンドウで、[インストール] を選択して Microsoft Office 365 電子情報開示エクスポートツールをインストールし、[インストール] を選択します。
電子情報開示エクスポートツールの [Paste the export key that will be used to connect to the source:](ソースへの接続に使用されるエクスポートキーを貼り付けてください:) フィールドに、前の手順でコピーした エクスポートキーを貼り付けます。
Select the location that will be used to store the downloaded files: の下にある [参照] を選択します。
[フォルダーの参照] ウィンドウで、 [ドキュメント] を選択し、 [OK] を選択します。
電子情報開示エクスポートツールに戻り、 [開始] を選択して、ファイルをエクスポートします。
[処理が完了しました] に緑色のチェックマークが表示されたら、結果がダウンロードされました。 [閉じる] を選択して、ウィンドウを閉じます。
電子情報開示エクスポートツールで、 [エクスポートの場所] のリンクを選択して、ローカルにエクスポートされたファイルを開きます。
エクスポートの内容を調べます。

エクスポートに含まれる内容:
- エクスポートの概要: エクスポートの概要を含む Excel ドキュメント。これには、検索されたコンテンツソースの数、検索結果の推定されたサイズとダウンロードされたサイズ、エクスポートされたアイテムの推定された数とダウンロードされた数などが含まれます。
- マニフェスト: 検索結果に含まれる各アイテムに関する情報を含むマニフェストファイル (XML 形式)。
- 結果: 検索結果内の各インデックス付きアイテムに関する詳細を提供する Excel ドキュメント。電子メールの場合、メッセージの場所、日付、件名、送信者、受信者が含まれます。 SharePoint および OneDrive for Business ドキュメントの場合、ドキュメントの URL、サイトコレクションの URL、変更日、ドキュメント名が含まれます。
- スキップされたアイテム: フォルダーやドキュメントセットなど、ダウンロードされないアイテムに関する情報を含む Excel ドキュメント。
- Trace.log: エクスポートプロセスに関する詳細なログ情報を含み、エクスポート中の問題を明らかにするのに役立つトレースログ。
- 検索結果とエクスポートレポートは、コンテンツ検索と同じ名前を持つフォルダーに含まれます。エクスポートされたメールメッセージは、Exchange という名前のフォルダー内にあります。ドキュメントは、SharePoint という名前のフォルダー内にあります。
Wrongful Termination Search の検索結果が正常にエクスポートされました。
エクスポートを確認したら、フォルダーウィンドウを閉じ、Microsoft Edge の Microsoft Purview ブラウザーウィンドウに戻り、[Wrongful Termination Search_Export] パネルで [閉じる] を選択します。
[エクスポート] ページに戻り、[検索] タブを選択します。
[検索] ページで、Wrongful Termination Search のフィールド (チェックボックスではなく) を選択します。
右側の [Wrongful Termination Search] ポップアップページで、パネルの下部にある [アクション] ドロップダウンを選択し、[レポートのエクスポート] を選択します。
[レポートのエクスポート] ページで、[出力オプション] の下にある All items, excluding one that have unrecognized format, are encrypted, or weren't indexed for other reasons を選択します。
[Exchange コンテンツの重複除去を有効にする] チェックボックスをオンにし、[レポートの生成] を選択します。
[ジョブが作成されました] と表示した [Microsoft Purview] ポップアップが表示されます。 [OK] を選択します。
[検索] ページに戻り、上部のナビゲーションバーから [エクスポート] タブを選択します。 Wrongful Termination Search_ReportsOnly という名前のレポートが作成されます。

注: エクスポートの状態が [スケジュール設定...] としてマークされている場合、 [エクスポートキー] が使用可能になるまで [更新] を選択します。この処理には数分かかる場合があります。
エクスポートキーが使用可能になったら、[エクスポートキー] の下の [Wrongful Termination Search_ReportsOnly] ポップアップパネルで、[クリップボードにコピー] を選択して、エクスポートキーをコピーします。
[Wrongful Termination Search_ReportsOnly] ページの上部で、 [レポートのダウンロード] を選択して、レポートをダウンロードします。
プロンプトが表示されたら、[開く] を選択して電子情報開示エクスポートツールを開きます。
電子情報開示エクスポートツールの [Paste the export key that will be used to connect to the source:](ソースへの接続に使用されるエクスポートキーを貼り付けてください:) フィールドに、前の手順でコピーした エクスポートキーを貼り付けます。
Select the location that will be used to store the downloaded files: の下にある [参照] を選択します。
[フォルダーの参照] ウィンドウで、 [ドキュメント] を選択し、 [OK] を選択します。
電子情報開示エクスポートツールに戻り、 [開始] を選択して、レポートをダウンロードします。
[処理が完了しました] に緑色のチェックマークが表示されたら、レポートはダウンロードされています。 [閉じる] を選択して、ウィンドウを閉じます。
電子情報開示エクスポートツールで、 [エクスポートの場所] のリンクを選択して、ローカルにダウンロードされたレポートを開きます。
レポートの内容を調べます。

レポートに含まれる内容:
- エクスポートの概要: エクスポートの概要を含む Excel ドキュメント。これには、検索されたコンテンツソースの数、検索結果の推定されたサイズとダウンロードされたサイズ、エクスポートされたアイテムの推定された数とダウンロードされた数などが含まれます。
- マニフェスト: 検索結果に含まれる各アイテムに関する情報を含むマニフェストファイル (XML 形式)。
- 結果: 検索結果内の各インデックス付きアイテムに関する詳細を提供する Excel ドキュメント。電子メールの場合、メッセージの場所、日付、件名、送信者、受信者が含まれます。 SharePoint および OneDrive for Business ドキュメントの場合、ドキュメントの URL、サイトコレクションの URL、変更日、ドキュメント名が含まれます。
- Trace.log: エクスポートプロセスに関する詳細なログ情報を含み、エクスポート中の問題を明らかにするのに役立つトレースログ。
エクスポートされた結果の確認が完了したら、電子情報開示エクスポートツールとエクスプローラーウィンドウを閉じ、Microsoft Edge に戻ります。

検索結果が正常にエクスポートされ、Wrongful Termination Search の必要なレポートが生成されました。これらのドキュメントには、エクスポートの概要、マニフェスト、詳細なアイテムの結果、トレースログが含まれます。これらの結果を確認して分析し、ケースに関連する分析情報を明らかにします。

タスク 7 : 電子情報開示 (Standard) ケースを閉じる

この最後のタスクでは、不正解雇訴訟の電子情報開示ケースを閉じます。この手順では、必要なすべてのデータ収集およびレビュータスクが完了していることを示します。

引き続き Joni のアカウントを使用して Microsoft Purview にログインし、引き続き電子情報開示の不正終了ケース (Standard) の [エクスポート] ページに表示されます。そうでない場合は、https://purview.microsoft.com に移動し、Joni Sherman としてログインします。 *[ソリューション] > [電子情報開示] > [Standard ケース] > [Wrongful Termination Case] を選択します。
ホームタブを選択し、ｘケースを閉じるを選択します。
ケースを閉じるとすべての保留が解除され、データが失われる可能性があることを通知する [警告] ダイアログを確認します。
警告メッセージで [はい] を選択します。

[不当な解雇ケース] を終了し、ケースを再度開くオプションが正常に表示されました。つまり、すべての電子情報開示タスクが実行され、ケースは次の手順に対応できます。あなたの仕事は、Contoso Ltd.が訴訟のために準備されていることを保証します。