Partager via


Gérer l’audit de boîte aux lettres

La journalisation d’audit de boîte aux lettres est activée par défaut dans toutes les organisations. Cela signifie que certaines actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs sont automatiquement journalisées. Les enregistrements d’audit de boîte aux lettres correspondants peuvent être recherchés par les administrateurs dans le journal d’audit de la boîte aux lettres.

Voici quelques avantages de l’audit de boîte aux lettres activé par défaut :

  • L’audit est automatiquement activé lorsque vous créez une boîte aux lettres. Vous n’avez pas besoin d’activer manuellement l’audit de boîte aux lettres pour les nouveaux utilisateurs.
  • Vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées. Un ensemble prédéfini d’actions de boîte aux lettres est audité par défaut pour chaque type de connexion (Administrateur, Délégué et Propriétaire).
  • Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l’action peut être ajoutée automatiquement à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l’utilisateur dispose de la licence appropriée). Ce résultat signifie que vous n’avez pas besoin d’ajouter de nouvelles actions sur les boîtes aux lettres à mesure qu’elles sont publiées.
  • Vous disposez d’une stratégie d’audit de boîte aux lettres cohérente au sein de votre organisation (car vous auditez les mêmes actions pour toutes les boîtes aux lettres).

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Vérifier l’audit des boîtes aux lettres activé par défaut est activé

Pour vérifier que l’audit de boîte aux lettres activé par défaut est activé pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell :

Get-OrganizationConfig | Format-List AuditDisabled

La valeur False indique que l’audit de boîte aux lettres activé par défaut est activé pour l’organisation. L’audit de boîte aux lettres activé par défaut dans l’organisation remplace les paramètres d’audit de boîte aux lettres sur les boîtes aux lettres individuelles. Par exemple, si l’audit de boîte aux lettres est désactivé pour une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur False), les actions de boîte aux lettres par défaut sont toujours auditées pour la boîte aux lettres, car l’audit de boîte aux lettres activé par défaut est activé pour l’organisation.

Pour conserver l’audit des boîtes aux lettres désactivé pour des boîtes aux lettres spécifiques, vous configurez le contournement de l’audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs disposant d’un accès délégué à la boîte aux lettres. Pour plus d’informations, consultez la section Ignorer la journalisation d’audit de boîte aux lettres plus loin dans cet article.

Remarque

Lorsque l’audit de boîte aux lettres activé par défaut est activé pour l’organisation, la propriété AuditEnabled des boîtes aux lettres concernées ne passe pas de False à True. En d’autres termes, l’audit de boîte aux lettres activé par défaut ignore la propriété AuditEnabled sur les boîtes aux lettres.

Types de boîtes aux lettres pris en charge

Les types de boîtes aux lettres pris en charge par l’audit de boîte aux lettres activé par défaut sont décrits dans le tableau suivant :

Type de boîte aux lettres Audit pris en charge Activé par défaut pris en charge
Boîtes aux lettres utilisateur
Boîtes aux lettres partagées
Boîtes aux lettres de groupe Microsoft 365
Boîtes aux lettres de ressources
Boîtes aux lettres de dossiers publics

Types de connexion et actions de boîte aux lettres

Les types de connexion classent les responsables des actions auditées sur la boîte aux lettres. La liste suivante décrit les types de connexion utilisés dans la journalisation d’audit de boîte aux lettres :

  • Propriétaire : propriétaire de la boîte aux lettres (le compte associé à la boîte aux lettres).
  • Déléguer :
    • Un utilisateur à qui l’autorisation SendAs, SendOnBehalf ou FullAccess a été attribuée à une autre boîte aux lettres.
    • Administrateur à qui l’autorisation FullAccess a été attribuée à la boîte aux lettres d’un utilisateur.
  • Administrateur :
    • La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
      • eDiscovery dans le portail Microsoft Purview ou le portail de conformité.
      • In-Place eDiscovery dans Exchange Online.
    • La boîte aux lettres est accessible à l’aide de l’éditeur MAPI microsoft Exchange Server.
    • La boîte aux lettres est accessible par un compte qui emprunte l’identité d’un autre utilisateur. Cela se produit lorsque le rôle ApplicationImpersonation est attribué à un compte, tel qu’une application, qui accède désormais activement aux données. Pour plus d’informations, consultez Configurer l’emprunt d’identité.

Actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées

Le tableau suivant décrit les actions de boîte aux lettres disponibles dans la journalisation d’audit de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.

  • Une coche (✔) indique que l’action de boîte aux lettres peut être journalisée pour le type de connexion (toutes les actions ne sont pas disponibles pour tous les types de connexion).
  • Un astérisque ( * ) après la coche indique que l’action de boîte aux lettres est journalisée par défaut pour le type de connexion.
  • N’oubliez pas qu’un administrateur disposant de l’autorisation Accès total à une boîte aux lettres est considéré comme un délégué.
Action de boîte aux lettres Description Administrateur Délégué Propriétaire
AddFolderPermissions Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur.
ApplyRecord Un élément est étiqueté en tant qu’enregistrement. * * *
Copy Un message a été copié vers un autre dossier.
Create Un élément a été créé dans le dossier Calendrier, Contacts, Brouillon, Notes ou Tâches de la boîte aux lettres (par exemple, une demande de réunion est créée). Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée. * *
FolderBind Un dossier de boîte aux lettres a été accédé. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres.

Remarque : Les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures.
HardDelete Un message a été purgé du dossier Éléments récupérables. * * *
MailboxLogin L’utilisateur s’est connecté à sa boîte aux lettres.
MailItemsAccessed Se produit lorsque les protocoles de messagerie et les clients accèdent aux données de messagerie. * * *
MessageBind Remarque : Cette valeur est disponible uniquement pour les utilisateurs sans licence E5/A5/G5.

Un message a été affiché dans le volet d’aperçu ou ouvert par un administrateur.
ModifyFolderPermissions Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur.
Déplacer Un message a été déplacé vers un autre dossier.
MoveToDeletedItems Un message a été supprimé et déplacé vers le dossier Éléments supprimés. * * *
RecordDelete Un élément étiqueté en tant qu’enregistrement a été supprimé de manière réversible (déplacé vers le dossier Éléments récupérables). Les éléments étiquetés en tant qu’enregistrements ne peuvent pas être supprimés définitivement (vidés du dossier Éléments récupérables).
RemoveFolderPermissions Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur.
SearchQueryInitiated Une personne utilise Outlook (Windows, Mac, iOS, Android ou Outlook sur le web) ou l’application Courrier pour Windows 10 pour rechercher des éléments dans une boîte aux lettres.
Send L’utilisateur envoie un e-mail, répond à un e-mail ou transfère un e-mail. * *
SendAs Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cette autorisation permet à un autre utilisateur d’envoyer le message comme s’il provenait du propriétaire de la boîte aux lettres. * *
SendOnBehalf Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cette autorisation permet à un autre utilisateur d’envoyer le message au nom du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a réellement envoyé le message. * *
SoftDelete Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. * * *
Mettre à jour Un message ou l’une de ses propriétés a été modifié. * * *
UpdateCalendarDelegation Une délégation de calendrier a été affectée à une boîte aux lettres. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres. * *
UpdateFolderPermissions Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. * * *
UpdateInboxRules Une règle de boîte de réception a été ajoutée, supprimée ou modifiée. Les règles de boîte de réception traitent les messages dans la boîte de réception de l’utilisateur en fonction des conditions. Les actions spécifient ce qu’il faut faire aux messages qui correspondent aux conditions de la règle. Par exemple, déplacez le message vers un dossier spécifié ou supprimez le message. * * *

Importante

Si vous avez personnalisé les actions de boîte aux lettres à auditer avant que l’audit de boîte aux lettres activé par défaut soit activé dans votre organisation, les paramètres d’audit de boîte aux lettres personnalisés sont conservés sur la boîte aux lettres et ne sont pas remplacés par les actions de boîte aux lettres par défaut, comme décrit dans cette section. Pour rétablir les valeurs par défaut des actions de boîte aux lettres d’audit (ce que vous pouvez faire à tout moment), consultez la section Restaurer les actions de boîte aux lettres par défaut plus loin dans cet article.

Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365

L’audit de boîte aux lettres activé par défaut apporte la journalisation d’audit de boîte aux lettres aux boîtes aux lettres de groupe Microsoft 365, mais vous ne pouvez pas personnaliser ce qui est journalisé (vous ne pouvez pas ajouter ou supprimer des actions de boîte aux lettres enregistrées pour n’importe quel type de connexion).

Le tableau suivant décrit les actions de boîte aux lettres enregistrées par défaut sur les boîtes aux lettres de groupe Microsoft 365 pour chaque type de connexion.

N’oubliez pas qu’un administrateur disposant d’une autorisation d’accès total à une boîte aux lettres de groupe Microsoft 365 est considéré comme un délégué.

Action de boîte aux lettres Description Administrateur Délégué Propriétaire
Create Création d’un élément de calendrier. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. * *
HardDelete Un message a été purgé du dossier Éléments récupérables. * * *
MoveToDeletedItems Un message a été supprimé et déplacé vers le dossier Éléments supprimés. * * *
SendAs Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. * *
SendOnBehalf Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. * *
SoftDelete Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. * * *
Mettre à jour Un message ou l’une de ses propriétés a été modifié. * * *

Vérifiez que les actions de boîte aux lettres par défaut sont journalisées pour chaque type de connexion

L’audit de boîte aux lettres activé par défaut ajoute une nouvelle propriété DefaultAuditSet à toutes les boîtes aux lettres. La valeur de cette propriété indique si les actions de boîte aux lettres par défaut (gérées par Microsoft) sont auditées sur la boîte aux lettres.

Pour afficher la valeur sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez la commande suivante dans Exchange Online PowerShell :

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Pour afficher la valeur sur les boîtes aux lettres de groupe Microsoft 365, remplacez MailboxIdentity> par <le nom, l’alias ou l’adresse e-mail de la boîte aux lettres partagée et exécutez la commande suivante dans Exchange Online PowerShell :

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

La valeur Admin, Delegate, Owner indique :

  • Les actions de boîte aux lettres par défaut pour les trois types de connexion sont en cours d’audit. Cette valeur est la seule valeur que vous voyez sur les boîtes aux lettres de groupe Microsoft 365.
  • Un administrateur n’a pas modifié les actions de boîte aux lettres auditées pour un type de connexion sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée.

Si un administrateur a déjà modifié les actions de boîte aux lettres auditées pour un type de connexion (à l’aide des paramètres AuditAdmin, AuditDelegate ou AuditOwner sur l’applet de commande Set-Mailbox ), la valeur de la propriété est différente.

Par exemple, la valeur Owner de la propriété DefaultAuditSet sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée indique :

  • Les actions de boîte aux lettres par défaut pour le propriétaire de la boîte aux lettres sont en cours d’audit.
  • Les actions de boîte aux lettres auditées pour les Delegate types de connexion et Admin ont été modifiées par rapport aux actions par défaut.

Une valeur vide pour la propriété DefaultAuditSet indique que les actions de boîte aux lettres pour les trois types de connexion ont été modifiées sur la boîte aux lettres utilisateur ou une boîte aux lettres partagée.

Pour plus d’informations, consultez la section Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut dans cet article.

Afficher les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres

Pour afficher les actions de boîte aux lettres actuellement enregistrées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez une ou plusieurs des commandes suivantes dans Exchange Online PowerShell.

Remarque

Bien que vous puissiez ajouter le -GroupMailbox commutateur aux commandes Get-Mailbox suivantes pour les boîtes aux lettres de groupe Microsoft 365, ne croyez pas les valeurs retournées. Les actions de boîte aux lettres statiques et par défaut auditées pour les boîtes aux lettres de groupe Microsoft 365 sont décrites dans la section Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365 plus haut dans cet article.

Actions du propriétaire

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Déléguer des actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Actions de l’administrateur

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut

Comme expliqué précédemment, l’un des principaux avantages de l’audit de boîte aux lettres activé par défaut est : vous n’avez pas besoin de gérer les actions de boîtes aux lettres auditées. Microsoft gère les actions pour vous, et nous ajoutons automatiquement de nouvelles actions de boîte aux lettres à auditer par défaut à mesure qu’elles sont publiées.

Toutefois, votre organisation peut être tenue d’auditer un autre ensemble d’actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées. Les procédures de cette section vous montrent comment modifier les actions de boîte aux lettres auditées pour chaque type de connexion et comment revenir aux actions par défaut gérées par Microsoft.

Importante

Si vous utilisez les procédures suivantes pour personnaliser les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouvelles actions de boîte aux lettres par défaut publiées par Microsoft ne seront pas automatiquement auditées sur ces boîtes aux lettres. Vous devez ajouter manuellement toutes les nouvelles actions de boîte aux lettres à votre liste d’actions personnalisée.

Modifier les actions de boîte aux lettres pour auditer

Vous pouvez utiliser les paramètres AuditAdmin, AuditDelegate ou AuditOwner de l’applet de commande Set-Mailbox pour modifier les actions de boîte aux lettres auditées pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées (les actions auditées pour les boîtes aux lettres de groupe Microsoft 365 ne peuvent pas être personnalisées).

Vous pouvez utiliser deux méthodes différentes pour spécifier les actions de boîte aux lettres :

  • Remplacez (remplacez ) les actions de boîte aux lettres existantes à l’aide de la syntaxe suivante : action1,action2,...actionN.
  • Ajoutez ou supprimez des actions de boîte aux lettres sans affecter d’autres valeurs existantes à l’aide de la syntaxe suivante : @{Add="action1","action2",..."actionN"} ou @{Remove="action1","action2",..."actionN"}.

Cet exemple montre comment modifier les actions de boîte aux lettres d’administration pour la boîte aux lettres nommée « Gabriela Laureano » en remplaçant les actions par défaut par SoftDelete et HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

Cet exemple ajoute l’action propriétaire MailboxLogin à la boîte aux lettres laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

Cet exemple supprime l’action déléguée MoveToDeletedItems pour la boîte aux lettres Discussion d’équipe.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Quelle que soit la méthode que vous utilisez, la personnalisation des actions de boîte aux lettres auditées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées a les résultats suivants :

  • Pour le type de connexion que vous avez personnalisé, les actions de boîte aux lettres auditées ne sont plus gérées par Microsoft.
  • Le type de connexion que vous avez personnalisé n’est plus affiché dans la valeur de propriété DefaultAuditSet pour la boîte aux lettres, comme décrit précédemment.

Restaurer les actions de boîte aux lettres par défaut

Remarque

Les procédures suivantes ne s’appliquent pas aux boîtes aux lettres de groupe Microsoft 365 (elles sont limitées aux actions par défaut décrites ici).

Si vous avez personnalisé les actions de boîte aux lettres auditées sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée, vous pouvez restaurer les actions de boîte aux lettres par défaut pour un ou tous les types de connexion à l’aide de la syntaxe suivante :

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Vous pouvez spécifier plusieurs valeurs DefaultAuditSet séparées par des virgules.

Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour tous les types de connexion sur la boîte aux lettres mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour le type de connexion Administrateur sur la boîte aux lettres chris@contoso.onmicrosoft.com, mais laisse les actions de boîte aux lettres auditées personnalisées pour les types de connexion Délégué et Propriétaire.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

La restauration des actions de boîte aux lettres auditées par défaut pour un type de connexion a les résultats suivants :

  • La liste actuelle des actions de boîte aux lettres est remplacée par les actions de boîte aux lettres par défaut pour le type de connexion.
  • Toutes les nouvelles actions de boîte aux lettres publiées par Microsoft sont automatiquement ajoutées à la liste des actions auditées pour le type de connexion.
  • La valeur de la propriété DefaultAuditSet de la boîte aux lettres est mise à jour pour inclure le type de connexion restauré.

Désactiver l’audit des boîtes aux lettres par défaut pour votre organisation

Vous pouvez désactiver l’audit des boîtes aux lettres par défaut pour l’ensemble de votre organisation en exécutant la commande suivante dans Exchange Online PowerShell :

Set-OrganizationConfig -AuditDisabled $true

La désactivation de l’audit de boîte aux lettres activée par défaut a les résultats suivants :

  • L’audit de boîte aux lettres est désactivé pour votre organisation.
  • À partir du moment où vous désactivez l’audit de boîte aux lettres activé par défaut, aucune action de boîte aux lettres n’est auditée, même si l’audit de boîte aux lettres est activé sur une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur True).
  • L’audit de boîte aux lettres n’est pas activé pour les nouvelles boîtes aux lettres et la définition de la propriété AuditEnabled sur une boîte aux lettres nouvelle ou existante sur True est ignorée.
  • Tous les paramètres d’association de contournement d’audit de boîte aux lettres (configurés à l’aide de l’applet de commande Set-MailboxAuditBypassAssociation ) sont ignorés.
  • Les enregistrements d’audit de boîte aux lettres existants sont conservés jusqu’à l’expiration de la limite d’âge du journal d’audit pour l’enregistrement.

Activer l’audit des boîtes aux lettres par défaut

Pour réactiver l’audit des boîtes aux lettres pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell :

Set-OrganizationConfig -AuditDisabled $false

Ignorer l’enregistrement d’audit de boîte aux lettres :

Pour l’instant, vous ne pouvez pas désactiver l’audit de boîte aux lettres pour les boîtes aux lettres spécifiques lorsque l’audit de boîte aux lettres activé par défaut est activé dans votre organisation. Par exemple, la définition de la propriété de boîte aux lettres AuditEnabled sur False est ignorée.

Toutefois, vous pouvez toujours utiliser l’applet de commande Set-MailboxAuditBypassAssociation dans Exchange Online PowerShell pour empêcher la journalisation de toutes les actions de boîte aux lettres effectuées par les utilisateurs spécifiés, quel que soit l’endroit où les actions se produisent. Par exemple :

  • Les actions du propriétaire de boîte aux lettres effectuées par les utilisateurs contournés ne sont pas journalisées.
  • Les actions déléguées effectuées par les utilisateurs contournés sur les boîtes aux lettres d’autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas journalisées.
  • Les actions d’administration effectuées par les utilisateurs contournés ne sont pas journalisées.

Pour ignorer la journalisation d’audit de boîte aux lettres pour un utilisateur spécifique, remplacez <MailboxIdentity> par le nom, l’adresse de courrier, l’alias ou le nom d’utilisateur principal (nom d’utilisateur) de l’utilisateur, puis exécutez la commande suivante :

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Pour vérifier que l’audit est contourné pour l’utilisateur spécifié, exécutez la commande suivante :

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

La valeur True indique que la journalisation d’audit de boîte aux lettres est ignorée pour l’utilisateur.

Plus d’informations

  • Par défaut, les enregistrements du journal d’audit de boîte aux lettres sont conservés pendant 90 jours avant d’être supprimés. Vous pouvez modifier la limite d’âge pour les enregistrements du journal d’audit à l’aide du paramètre AuditLogAgeLimit sur l’applet de commande Set-Mailbox dans Exchange Online PowerShell. Toutefois, l’augmentation de cette valeur ne vous permet pas de rechercher des événements datant de plus de 90 jours dans le journal d’audit.

    Si vous augmentez la limite d’âge, vous devez utiliser l’applet de commande Search-MailboxAuditLog dans Exchange Online PowerShell pour rechercher les enregistrements antérieurs à 90 jours dans le journal d’audit de la boîte aux lettres de l’utilisateur.

  • Si vous avez modifié la propriété AuditLogAgeLimit d’une boîte aux lettres avant que l’audit de boîte aux lettres soit activé par défaut pour l’organisation, la limite d’âge du journal d’audit existante de la boîte aux lettres n’est pas modifiée. En d’autres termes, l’audit de boîte aux lettres activé par défaut n’affecte pas la limite d’âge actuelle pour les enregistrements d’audit de boîte aux lettres.

  • Pour modifier la valeur AuditLogAgeLimit sur une boîte aux lettres de groupe Microsoft 365, vous devez inclure le -GroupMailbox commutateur dans la commande Set-Mailbox .

  • Les enregistrements du journal d’audit de boîte aux lettres sont stockés dans un sous-dossier (nommé Audits) dans le dossier Éléments récupérables de la boîte aux lettres de chaque utilisateur. Gardez à l’esprit les éléments suivants concernant les enregistrements d’audit de boîte aux lettres et le dossier Éléments récupérables :

    • Les enregistrements d’audit de boîte aux lettres sont comptabilisés par rapport au quota de stockage du dossier Éléments récupérables, qui est de 30 Go par défaut (le quota d’avertissement est de 20 Go). Le quota de stockage est automatiquement augmenté à 100 Go (avec un quota d’avertissement de 90 Go) dans les cas suivants :

      • Une conservation est placée sur une boîte aux lettres.
      • La boîte aux lettres est affectée à une stratégie de rétention dans le portail Microsoft Purview ou le portail de conformité.
    • Les enregistrements d’audit de boîte aux lettres sont également comptabilisés dans la limite de dossiers pour le dossier Éléments récupérables. Un maximum de 3 millions d’éléments (enregistrements d’audit) peuvent être stockés dans le sous-dossier Audits.

      Remarque

      Il est peu probable que l’audit de boîte aux lettres activé par défaut affecte le quota de stockage ou la limite de dossiers pour le dossier Éléments récupérables.

      • Vous pouvez exécuter la commande suivante dans Exchange Online PowerShell pour afficher la taille et le nombre d’éléments dans le sous-dossier Audits du dossier Éléments récupérables :

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Vous ne pouvez pas accéder directement à un enregistrement de journal d’audit dans le dossier Éléments récupérables . à la place, vous utilisez l’applet de commande Search-MailboxAuditLog ou effectuez une recherche dans le journal d’audit pour rechercher et afficher les enregistrements d’audit de boîte aux lettres.

  • Si une boîte aux lettres est mise en attente ou affectée à une stratégie de rétention, les enregistrements du journal d’audit sont conservés pendant la durée définie par la propriété AuditLogAgeLimit de la boîte aux lettres (90 jours par défaut). Pour conserver plus longtemps les enregistrements du journal d’audit pour les boîtes aux lettres en attente, vous devez augmenter la valeur AuditLogAgeLimit de la boîte aux lettres.

  • Dans un environnement multigéographique, l’audit de boîte aux lettres intergéographique n’est pas pris en charge. Par exemple, si un utilisateur se voit attribuer des autorisations pour accéder à une boîte aux lettres partagée dans un autre emplacement géographique, les actions de boîte aux lettres effectuées par cet utilisateur ne sont pas enregistrées dans le journal d’audit de la boîte aux lettres partagée. Les événements d’audit d’administrateur Exchange sont disponibles pour tous les emplacements via Microsoft Purview et l’applet de commande Search-UnifiedAuditLog .