管理者としてユーザのTeamsとメールを保存できるのかやってみた
管理者はユーザのメールやTeamsのログをどのように取得できるのかやってみた。万が一に求められるログの保全というやつだ。
今回のDocs
必要なライセンス
ざっくりとしてOffice365 E5、MS365 E5
実際に検索してみる
ケースの作成
Microsoft Purview コンプライアンスポータルを開き、「電子情報開示」→「標準」を開き、「ケースを作成」をクリックする
「名前」欄に任意の名前を入れて、「保存」をクリック
「新しい検索」をする
作成したケースをクリックし、「検索」タブ→「新しい検索」をクリックする。
名前と説明
「名前」は任意
場所
「Exchangeメールボックス」を「オン」にし、ユーザ等の絞り込みを行う。
検索条件の定義
任意のキーワードでの検索や、「条件の追加」で送信者の限定などの絞り込みが行える。
今回は日付で、指定日以前とした。過去のものが全部出てくる。
検索の確認と作成
検索条件に問題ないか確認して実行する
実行させると以下が表示される
検索結果
中を見てみると
画面下部の「操作」から「結果のエクスポート」を実行する
結果のエクスポート
「出力オプション」などを設定し、「エクスポート」を実行する
エクスポートを確認する
「エクスポート」タブにエクスポート結果があるので開く
「結果のダウンロード」をクリック
「エクスポートキー」が重要なので「クリップボードにコピー」をしておく
ダウンロードされた「Microsoft.Office.Client.Discovery.UnifiedExportTool.application」という名前のファイルを実行したら以下のエラーが発生した。
エラー内容としては
「この場所からアプリケーション Microsoft office 365 eDiscovery Export Tool を起動できません。このアプリケーションは、既に別の場所からインストールされています。
どうやら下記記事によるとChromeは非対応らしい。2023/06現在でも変化がないことが確認できた。
改めてMicrosoft Edgeで実行
ブラウザからポップアップが出てくるので「開く」
結果の中身を見てみる
電子情報開示エクスポートツールを使う
先ほどコピーしたエクスポートキーを「export key」に貼り付けて
ダウンロードさせる場所を指定する
9MBだったんで一瞬で終わった。実環境で行った場合は5GB以上だったので、なんだかんだ数時間かかった。
ダウンロードした中身を見てみる
下記のようなフォルダ構成になっていた。
※「新しいフォルダ(2)」の中にダウンロードするように指定した。
Outlookで見てみる
デスクトップアプリのOutlookでpstファイルをインポートしてみると以下のものがインポートされる
Teamsの中身
TeamsMessagesDataの中にTeamsのグループチャットの中身が入っている。
下記は実際のTeamsのグループチャット
pstファイル上の中身は以下のようになる。
メールの中身
当然「受信トレイ」内には既存のメールが取れるだけ格納されている
※サンプルのユーザはTeamsの未読通知のメールだけがメールの受信トレイに格納されている。
過去のデータはどれくらいとれるの?
過去のデータをとれるとのことだったが、実環境でやった時には7,8年前のものも取れたので、メールの場合は削除していない限りは取得できるものと思われる。
ダウンロードの時間は以下の2段階で、1段階目の時間がかなり長い。
Azure AD側でダウンロードするデータをまとめる
実際にダウンロードされる
7,8年前まであると数GBに及び、PCへダウンロードが完了までに半日ほどかかった。メールの残し方が人によって違うのであくまで目安。
最後に
情報を取得している間に取られている側のユーザには特に何の通知もこなかった。
管理者としてユーザのわからない間にユーザのログを調べなければならないということは実に気持ちがよくないものだが、いざというときにはやらねばならない時に速やかに実施できるように今回手順を書き残した。
システム管理者は何でもできてしまうため、高いモラル求められる。気を付けて使っていきたい機能である。
今回は以上
今回以外にTeams関連で調べたのは以下を参照