Partage via


Enregistrement d’audit dans les boîtes aux lettres

S’applique à : Exchange Server 2013

Les boîtes aux lettres étant susceptibles de renfermer des informations confidentielles, des informations ayant un impact significatif sur l'activité et des informations d'identification personnelle, il est important de connaître le nom des personnes qui se connectent aux boîtes aux lettres de votre organisation et les actions qui sont effectuées. Ceci est particulièrement important si les utilisateurs qui se connectent ne sont pas les propriétaires des boîtes aux lettres. Ces utilisateurs sont appelés utilisateurs délégués.

Grâce à l’enregistrement d’audit des boîtes aux lettres, vous pouvez enregistrer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués (notamment les administrateurs disposant d’autorisations Accès total pour les boîtes aux lettres) et les administrateurs.

Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour un type de connexion (administrateur, utilisateur délégué ou propriétaire). Les entrées du journal d'audit comprennent également des informations importantes, telles que l'adresse IP du client, le nom d'hôte et le processus ou client utilisé pour accéder à la boîte aux lettres. En ce qui concerne les éléments déplacés, l’entrée inclut le nom du dossier de destination.

Journaux d’audit des boîtes aux lettres

Les journaux d’audit des boîtes aux lettres sont générés pour chaque boîte aux lettres pour laquelle l’enregistrement d’audit est activé. Les entrées de journal sont stockées dans le dossier Éléments récupérables dans la boîte aux lettres concernée, dans le sous-dossier Audits. Cela garantit que toutes les entrées du journal d’audit sont disponibles à partir d’un emplacement unique, quelle que soit la méthode d’accès client utilisée pour accéder à la boîte aux lettres ou le serveur ou la station de travail utilisé par un administrateur pour accéder au journal d’audit de la boîte aux lettres. Si vous déplacez une boîte aux lettres vers un autre serveur, les journaux d'audit de cette boîte aux lettres sont également déplacés, car ils se trouvent dans la boîte aux lettres.

Par défaut, les entrées du journal d'audit des boîtes aux lettres sont conservées pendant 90 jours dans la boîte aux lettres, puis supprimées. Vous pouvez modifier cette période de rétention à l’aide du paramètre AuditLogAgeLimit avec l’applet de commande Set-Mailbox . Si une boîte aux lettres est en conservation inaltérable ou en conservation pour litige, les entrées du journal d'audit sont seulement conservées jusqu'à la fin de la période de rétention de journal d'audit de la boîte aux lettres. Pour conserver plus longtemps les entrées du journal d’audit, vous devez augmenter la période de rétention en modifiant la valeur du paramètre AuditLogAgeLimit . Vous pouvez également exporter les entrées du journal d'audit avant la fin de la période de rétention. Pour plus d'informations, consultez les rubriques suivantes :

Activation de l’enregistrement d’audit des boîtes aux lettres

L'enregistrement d'audit des boîtes aux lettres est activé pour chaque boîte aux lettres. Utilisez la cmdlet Set-Mailbox pour activer ou désactiver l'enregistrement d'audit des boîtes aux lettres. Pour plus d'informations, voir Activer ou désactiver l'enregistrement d'audit pour une boîte aux lettres.

Lorsque vous activez l'enregistrement d'audit pour une boîte aux lettres, l'accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer quelles actions doivent être enregistrées.

Actions consignées par l’enregistrement d’audit des boîtes aux lettres

Le tableau suivant répertorie les actions consignées par l’enregistrement d’audit des boîtes aux lettres et précise les types de connexion pour lesquels l’action est enregistrée.

Opération Description Administrateur Délégué Propriétaire
Copier Un élément est copié dans un autre dossier. Oui Non Non
Create Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres . par exemple, une nouvelle demande de réunion est créée. Notez que la création de messages ou de dossiers n’est pas auditée. Oui* Oui* Oui
FolderBind Un utilisateur accède à un dossier de boîte aux lettres. Oui* Oui** Non
HardDelete Un élément est définitivement supprimé du dossier Éléments récupérables. Oui* Oui* Oui
MessageBind Un utilisateur accède à un élément dans le volet de lecture ou l'ouvre. Oui Non Non
Déplacer Un élément est déplacé vers un autre dossier. Oui* Oui Oui
MoveToDeletedItems Un élément est déplacé vers le dossier Éléments supprimés. Oui* Oui Oui
SendAs Un message est envoyé à l'aide des autorisations Envoyer en tant que. Oui* Oui* Non applicable
SendOnBehalf Un message est envoyé à l'aide des autorisations Envoyer de la part de. Oui* Oui Non applicable
SoftDelete Un élément est supprimé du dossier Éléments supprimés. Oui* Oui* Oui
Mettre à jour Les propriétés d'un élément sont mises à jour. Oui* Oui* Oui

* Enregistré par défaut si l'enregistrement d'audit est activé pour une boîte aux lettres.

** Les entrées correspondant aux actions de liaison des dossiers effectuées par des délégués sont consolidées. Une entrée de journal est générée pour chaque accès aux dossiers sur une période de 24 heures.

Si vous ne souhaitez plus que certains types d'actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d'enregistrement d'audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas effacées tant que l'âge limite des entrées du journal d'audit n'est pas atteint.

Recherche dans les entrées du journal d’audit de boîte aux lettres

Vous pouvez faire appel aux méthodes suivantes pour effectuer une recherche dans les entrées du journal d'audit des boîtes aux lettres :

Entrées de journal d’audit de boîte aux lettres

Le tableau suivant décrit les champs enregistrés dans une entrée de journal d’audit de boîte aux lettres.

Field Renseigné avec
Opération Une des actions suivantes :
  • Copy
  • Create
  • FolderBind
  • HardDelete
  • MessageBind
  • Move
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
OperationResult Un des résultats suivants :
  • Échec
  • Partiellementuccé
  • Réussite
LogonType Type de connexion de l'utilisateur qui a réalisé l'opération. Les types de connexion sont les suivants :
  • Propriétaire
  • Délégué
  • Administrateur
DestFolderId GUID du dossier de destination pour les opérations de déplacement.
DestFolderPathName Chemin d'accès au dossier de destination pour les opérations de déplacement.
FolderId GUID du dossier.
FolderPathName Chemin d'accès au dossier.
ClientInfoString Détails permettant d'identifier le client ou le composant Exchange qui a effectué l'opération.
ClientIPAddress Adresse IP de l'ordinateur client.
ClientMachineName Nom de l'ordinateur client.
ClientProcessName Nom du processus de l'application cliente.
ClientVersion Version de l'application cliente.
InternalLogonType Type de connexion de l'utilisateur qui a réalisé l'opération. Les types de connexion sont les suivants :
  • Propriétaire
  • Délégué
  • Administrateur
MailboxOwnerUPN Nom d'utilisateur principal (UPN) du propriétaire de la boîte aux lettres.
MailboxOwnerSid Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres.
DestMailboxOwnerUPN UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.
DestMailboxOwnerSid SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.
DestMailboxOwnerGuid GUID du propriétaire de la boîte aux lettres de destination.
CrossMailboxOperation Informations permettant de savoir si l'opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres).
LogonUserDisplayName Nom complet de l'utilisateur qui est connecté.
DelegateUserDisplayName Nom complet de l'utilisateur délégué.
LogonUserSid SID de l'utilisateur qui est connecté.
SourceItems Identificateur des éléments de boîtes aux lettres sur lesquels l'action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d'une série d'éléments.
SourceFolders GUID du dossier source.
ItemId Identificateur de l'élément.
ItemSubject Objet de l'élément.
MailboxGuid GUID de la boîte aux lettres.
MailboxResolvedOwnerName Nom résolu de l’utilisateur de la boîte aux lettres au format DOMAIN_SamAccountName_.
LastAccessed Heure à laquelle l'opération a été effectuée.
Identity ID d'entrée du journal d'audit.

Informations supplémentaires

  • Accès administrateur aux boîtes aux lettres : les boîtes aux lettres sont considérées comme accessibles par un administrateur uniquement dans les scénarios suivants :

  • Contournement de la journalisation de l’audit des boîtes aux lettres : l’accès aux boîtes aux lettres par des processus automatisés autorisés, tels que les comptes utilisés par des outils tiers ou les comptes utilisés pour la surveillance légale, peut créer un grand nombre d’entrées de journal d’audit de boîte aux lettres et peut ne pas intéresser vos organization. Vous pouvez faire en sorte que l'enregistrement d'audit ne s'effectue pas dans les boîtes aux lettres de ces comptes. Pour plus d'informations, voir Contournement d'un compte d'utilisateur lors de la journalisation d'audit des boîtes aux lettres.

  • Journalisation des actions du propriétaire de boîte aux lettres : pour les boîtes aux lettres telles que la boîte aux lettres de recherche de découverte, qui peuvent contenir des informations plus sensibles, envisagez d’activer la journalisation d’audit de boîte aux lettres pour les actions de propriétaire de boîte aux lettres telles que la suppression de messages.