Microsoft 365データの保護

Microsoft 365データをバックアップする理由

Microsoft 365はクラウドサービスのセットですが、定期的にバックアップすることで、ユーザーの過失や悪意を持った意図的な行為からの保護レベルを高めます。Microsoft 365の保持期間が終了した後でもバックアップから削除したアイテムをリカバリできます。規制コンプライアンスに必要な場合、Exchange Onlineメールボックスのローカルコピーを保存できます。

バックアップされたデータは自動的に圧縮されるため、バックアップ先で使用されるスペースは元のロケーションよりも小さくなります。クラウドツークラウドバックアップの圧縮レベルは固定であり、非クラウドツークラウドバックアップの通常レベルに相当します。これらのレベルの詳細については、圧縮レベルを参照してください。

クラウドエージェントとローカルエージェント

Microsoft 365ワークロードでは、2種類のエージェントが利用可能です。

  • クラウドエージェント

    クラウドエージェントでは拡張バックアップ機能が提供され、Cyber Protectコンソールから直接アクセスできます。インストールの必要はありません。詳細については、Microsoft 365クラウドエージェントを使用するを参照してください。

  • ローカルエージェント

    ローカルエージェントでは、Exchange Onlineメールボックスのバックアップのみが提供されます。このエージェントは、必ずインターネットに接続しているWindowsマシンにインストールする必要があります。詳細については、ローカルにインストールされたOffice 365エージェントの使用を参照してください。

Azure Information Protection(AIP)は両方のエージェントでサポートされています。

セキュリティ強化モードのテナントでは、ローカルエージェントのみ利用可能です。これらのテナントでは、Microsoft 365メールボックスのみをバックアップできます。クラウドエージェントが提供する拡張機能を利用することはできません。

エージェントの機能については、次の表に示します。

  ローカルエージェント クラウドエージェント
バックアップできるデータアイテム

Exchange Online: ユーザーメールボックスと共有メールボックス(Kiosk計画上のユーザーのメールボックスおよび訴訟ホールドのメールボックスを含む)
  • Exchange Online:
    • ユーザーメールボックスと共有メールボックス(Kiosk計画上のユーザーのメールボックスおよび訴訟ホールドのメールボックスを含む)
    • グループメールボックス
    • パブリックフォルダ
  • OneDrive: ユーザーファイルとフォルダ
  • SharePoint Online:
    • クラシックサイトコレクション
    • グループ(チーム)サイト
    • 通信サイト
    • 個別データ項目
  • Microsoft 365 Teams:
    • チーム全体
    • チームチャネル
    • チャネルのファイル
    • チームのメールボックス
    • チームのメールボックス内のファイルとEメールメッセージ
    • 会議
    • チームサイト
  • OneNoteノートブック: OneDrive、SharePoint Online、Microsoft 365 Teamsのバックアップの一部として
アーカイブメールボックス(インプレースアーカイブ)のバックアップ

いいえ

はい
バックアップスケジュール

ユーザー定義

1日6回まで*
バックアップ保存先

クラウドストレージ、ローカルフォルダ、ネットワークフォルダ

クラウドストレージのみ

(パートナーホステッドストレージを含む)
新しいMicrosoft 365ユーザー、グループ、サイト、チームの自動保護

いいえ

はい(保護計画を [すべてのユーザー][すべてのグループ][すべてのサイト][すべてのチーム] グループに適用することで可能)
複数のMicrosoft 365組織を保護

いいえ

はい
詳細復元

はい

はい
1つの組織内の別のユーザーに復元

はい

はい
別の組織への復元

いいえ

はい
オンプレミスMicrosoft Exchange Serverに復元

いいえ

いいえ
パフォーマンスの低下を伴わずにバックアップできるアイテムの最大数

クラウドストレージにバックアップする場合:会社ごとに5000メールボックス

別の場所にバックアップする場合:保護計画ごとに2000個のメールボックス(会社ごとのメールボックス数は無制限)

会社ごとに10,000件の保護されたアイテム(メールボックス、OneDrive、またはサイト)**
手動バックアップ実行の最大数

いいえ

1時間に10回の手動実行

同時復元操作の最大数

いいえ

Google Workspaceの復元操作を含め、10回の操作

* デフォルトのオプションは、1日に一度です。Advanced Backupパックでは、最大1日に6回のバックアップをスケジュールできます。バックアップは、データセンター内で複数のカスタマーにサービスを提供しているクラウドエージェントの現在の負荷に応じて、おおよその間隔で開始されます。これにより、1日の負荷が均等になり、すべてのカスタマーのサービス品質が均等化されます。

保護スケジュールは、サードパーティサービスの動作(Microsoft 365サーバーのアクセシビリティ、Microsoftサーバーの調整設定など)による影響を受けることがあります。https://docs.microsoft.com/en-us/graph/throttlingも参照してください。

**保護された項目を、次の順序で徐々にバックアップすることをお勧めします。

  1. メールボックス。
  2. メールボックスがすべてバックアップされた後、OneDriveに進みます。
  3. OneDriveのバックアップ完了後、SharePoint Onlineサイトに進みます。

保護対象アイテムの数とサイズによっては、初回の完全バックアップに数日かかります。

必要なユーザー権限

Cyber Protection

ローカルエージェントは、企業管理者アカウントで登録され、カスタマーテナントレベルで使用されていなければなりません。ユニットレベルでの企業管理者、部署管理者、およびユーザーは、Microsoft 365データのバックアップやリカバリを実行できません。

クラウドエージェントは、カスタマーのテナントレベルとユニットレベルの両方で利用できます。これらのレベルとそれぞれの管理者の詳細については、異なるレベルで追加されたMicrosoft 365組織の管理を参照してください。

Microsoft 365の場合

アカウントにMicrosoft 365のグローバル管理者権限が割り当てられている必要があります。

Microsoft 365のパブリックフォルダを検出して、バックアップとリカバリを行うには、メールボックスを利用できる、少なくとも1つのMicrosoft 365管理者アカウントが存在していて、そのアカウントにバックアップ対象のパブリックフォルダに対する読み取り/書き込み権限が付与されていなければなりません。

  • ローカルエージェントはこのアカウントを使用してMicrosoft 365にログインします。エージェントがメールボックスの内容すべてにアクセスできるようにするために、このアカウントにはApplicationImpersonation管理ロールが割り当てられます。このアカウントパスワードを変更する場合は、Cyber Protectコンソールでパスワードをアップデートします(Microsoft 365アクセス認証の変更を参照)。

  • クラウドエージェントはMicrosoft 365にログインしません。クラウドエージェントの操作に必要な許可を付与するには、まずグローバル管理者としてMicrosoft 365にログインする必要があります。

    Microsoft 365で以下の許可が必要です。

    • ユーザープロファイルによるサインインと読み取り
    • すべてのサイトコレクションファイルの読み取りと書き込み
    • 全ユーザーのプロファイルの読み取りと書き込み(制限なし)
    • すべてのグループの読み取りと書き込み
    • ディレクトリデータの読み取り
    • すべてのチャネルメッセージの読み取り
    • 管理メタデータの読み取りと書き込み
    • すべてのサイトコレクションの項目およびリストの読み取りと書き込み
    • すべてのサイトコレクションに対する完全な制御
    • すべてのサイトコレクション項目の読み取りと書き込み
    • すべてのメールボックスに無制限でアクセスできるExchange Webサービスを使用

  • クラウドエージェントは、アカウント資格情報を保存せず、バックアップと復元を実行するために使用しません。資格情報の変更、アカウントの無効化、またはアカウントの削除は、クラウドエージェントの動作に影響しません。

制限事項

  • ローカルエージェントでは、最大5000ワークロードを保護できます。クラウドエージェントでは、最大50000ワークロードを保護できます。

  • メールボックスまたはOneDriveを所有するすべてのユーザーが、Cyber Protectコンソールに表示されます。これにはMicrosoft 365ライセンスを持たないユーザーやMicrosoft 365サービスへのサインインをブロックされているユーザーも含まれます。
  • メールボックスのバックアップには、ユーザーから可視状態のフォルダのみが含まれます。復元可能なアイテムのフォルダとそのサブフォルダ(削除バージョン完全削除監査DiscoveryHoldカレンダーログ)は、メールボックスのバックアップに含まれません。
  • 復元中にユーザー、パブリックフォルダ、グループ、またはサイトの自動作成はできません。たとえば、削除したSharePoint Onlineサイトを復元する場合、最初に新しいサイトを手動で作成し、その後で復元中にターゲットサイトとして指定します。
  • 検索結果からアイテムを選択できたとしても、異なるリカバリポイントからそれらのアイテムを同時にリカバリすることはできません。

  • バックアップ時には、コンテンツに適用されている機密性ラベルが保持されます。そのため、機密性の高いコンテンツが元のロケーション以外にリカバリされ、関係するユーザーのアクセス権限が異なっている場合は、コンテンツが非表示になる可能性があります。

  • 同じワークロードに複数の個別のバックアップ計画を適用することはできません。

  • 個別のバックアップ計画とグループバックアップ計画が同じワークロードに適用される場合、個別計画の設定が優先されます。

Microsoft 365シートライセンスレポート

社内管理者は、保護済みのMicrosoft 365シートとそのライセンスに関するレポートをダウンロードできます。レポートは、CSV形式で提供され、シートのライセンスステータスや、ライセンスが使用される理由などの情報が記載されています。またレポートには、保護済みのシート名、関連付けられたEメール、グループ、Microsoft 365組織、保護済みのワークロードタイプと名前などの情報も含まれます。

このレポートは、Microsoft 365組織が登録されたテナントでのみ利用可能です。

Microsoft 365シートライセンスレポートをダウンロードするには

  1. 企業管理者としてCyber Protectコンソールにログインします。
  2. 右上にあるアカウントアイコンをクリックします。
  3. [Microsoft 365シートライセンスレポート] をクリックします。

ログの記録

バックアップされたEメールの内容を見る、添付物やファイルをダウンロードする、元のメールボックスではない場所にEメールをリカバリする、また上述の対象をEメールとして送信するなどのクラウドツークラウドリソースを利用した操作は、ユーザーのプライバシーを侵害する可能性があり、ログに記録されます。これらの操作は、管理ポータルの [監視] > [監査ログ] に記録されます。