1. 全体概要と結論
Teamsの標準機能では、一度削除されたチャットを元の画面に「復旧」させることはできないが、 Microsoft Purviewの「コンテンツ検索」 機能を利用することで、監査目的などで内容を確認することは可能。この運用には「アイテム保持ポリシー」の事前設定が必須であり、データの反映には一定の時間がかかる点に留意が必要。
関連サービス
- Microsoft Teams
- Microsoft Purview(旧コンプライアンスセンター)
- Exchange Online
- Azure Blob Storage
調べたこと
- Teamsで削除されたチャットの調査・確認方法(復旧は不可)
- コンテンツ検索の具体的な設定手順と反映待ち時間
- アイテム保持ポリシーのライセンス要件とストレージ料金の確認
結論
Teams標準機能で削除されたチャットを直接元に戻すことはできないが、Microsoft Purviewのコンテンツ検索を通じて確認可能。事前にアイテム保持ポリシーを設定しておく必要があり、削除データが検索対象(SubstrateHoldsフォルダー)に移動し反映されるまで、最大7日間かかる場合がある。
2. 調査内容
2.1. Teamsで削除されたチャットの復旧・確認方法
調査内容
利用者が削除したチャットを管理者が確認することは可能か。また、監査のためにそれらのやり取りを「復旧」させる方法はあるか。
【事前に発生していたこと】
- 発生事象: Teams標準画面上では削除されたメッセージを確認・復旧できない。
- 関連環境: Microsoft Teams, Microsoft Purview, Exchange Online
- アイテム保持ポリシーを作成済み。
- 管理者を [eDiscovery Manager] 役割に登録。
- コンテンツ検索を実行したが「利用できるデータはありません」と表示される。
調査結果
「復旧(元のチャット画面に戻すこと)」は不可能だが、Purviewでの 「確認(検索・エクスポート)」は可能。
- 根本原因と技術解説:
Teamsのチャットデータは特殊な構造を持っており、検索結果に反映されるまでタイムラグが発生する。
- チャットの本体データは Azure Blob Storage に保存される。
- 監査・検索用として Exchange Online の不可視フォルダー にデータが複製される。
- ユーザーがチャットを削除すると、データは SubstrateHolds という特殊なフォルダーに移動するが、この移動とインデックス作成に 1~7日間 要することがある。
- 対応策/手順:
- アイテム保持ポリシー: 「アイテムを無期限に保持する」または必要な期間保持するよう設定。
- 権限付与: 管理者を [eDiscovery Manager] 役割グループに登録。
- コンテンツ検索: Microsoft Purviewポータルで、条件欄に
Kind:microsoftteamsを入力して実行。 - 待機: 設定直後や削除直後の場合は、最大7日間待機してから再検索する。
- 出力: 必要に応じて検索結果をPSTファイルとしてエクスポートする。
2.2. アイテム保持ポリシーのライセンス要件とAzure Blob Storageの料金
調査内容
アイテム保持ポリシーでデータが保持される際、裏側で使用される Azure Blob Storage の料金体系はどうなるのか。従量課金の契約が別途必要なのか。
調査結果
Azure Blob Storage は Microsoft Purview の機能の一部として提供されるため、追加の容量課金や従量課金契約は不要。
保持に使用されるストレージ料金は Microsoft 365 のライセンス料に含まれている。容量制限はなく、SharePoint Online や OneDrive for Business のテナント容量を消費することもない。
3. 全ての参考URLリスト
- Teams の保持の詳細(Learn)
- Microsoft Teams の保持ポリシー(Learn)
- 保持ポリシーの作成と構成(Learn)
- Microsoft Purview でコンテンツを検索する(Learn)
コメント