Activer ou désactiver la journalisation d’audit de boîte aux lettres pour une boîte aux lettres dans Exchange Server

  • Article

Avec la journalisation d’audit de boîte aux lettres dans Exchange Server, vous pouvez suivre les connexions à une boîte aux lettres, ainsi que les actions effectuées lorsque l’utilisateur est connecté. Lorsque vous activez l’enregistrement d’audit des boîtes aux lettres, certaines actions réalisées par les administrateurs et les délégués sont enregistrées par défaut. Aucune des actions entreprises par le propriétaire de la boîte aux lettres ne sont enregistrées par défaut. Pour en savoir plus sur la journalisation de l’audit de boîte aux lettres et sur les actions qui peuvent être journalisées, consultez Journalisation de l’audit de boîte aux lettres dans Exchange Server.

Attention

L’audit des actions du propriétaire de boîte aux lettres peut générer un grand nombre d’entrées de journal d’audit de boîte aux lettres et est donc désactivé par défaut. Nous vous recommandons d’activer uniquement l’audit des actions de propriétaire spécifiques nécessaires pour répondre aux exigences métier ou de conformité.

Ce qu'il faut savoir avant de commencer

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Journalisation d’audit de boîte aux lettres » dans la rubrique Stratégie de messagerie et autorisations de conformité dans Exchange Server rubrique.

  • Par défaut, les entrées du journal d’audit de boîtes aux lettres sont conservées pendant 90 jours. Consultez la section Plus d'informations pour savoir comment modifier la durée de conservation des entrées.

  • Vous ne pouvez pas utiliser le Centre d'administration Exchange (CAE) pour activer ou désactiver l'enregistrement d'audit de boîte aux lettres. Vous devez utiliser l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell. Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

  • Un administrateur disposant de l'autorisation Accès complet sur la boîte aux lettres d'un utilisateur est considéré comme un utilisateur délégué.

  • On considère qu’un administrateur accède aux boîtes aux lettres uniquement dans les cas suivants :

    • La découverte électronique inaltérable est utilisée pour effectuer une recherche dans une boîte aux lettres.

    • La cmdlet New-MailboxExportRequest est utilisée pour exporter une boîte aux lettres.

    • L'éditeur MAPI Microsoft Exchange Server est utilisé pour accéder à la boîte aux lettres.

Activer ou désactiver l’enregistrement d’audit de boîte aux lettres

Vous pouvez utiliser l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell pour activer ou désactiver l'enregistrement d'audit des boîtes aux lettres. Cela active ou désactive l'enregistrement de toutes les opérations spécifiées pour l'administrateur, les délégués et le propriétaire de la boîte aux lettres.

Cet exemple active l’enregistrement d’audit pour la boîte aux lettres de l’utilisateur Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

Dans cet exemple, la journalisation d’audit est activée pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

Cet exemple désactive l'enregistrement d'audit pour la boîte aux lettres de l'utilisateur Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-Mailbox.

Configurer les paramètres d’enregistrement d’audit des boîtes aux lettres pour l’accès des administrateurs, des délégués et des propriétaires

Si l’enregistrement d’audit de boîte aux lettres est activé pour une boîte aux lettres, seules les actions des administrateurs, des délégués et des propriétaires spécifiées dans la configuration de l’enregistrement d’audit pour la boîte aux lettres sont journalisées.

Cet exemple spécifie que les MessageBind actions et FolderBind effectuées par les administrateurs seront journalisées pour la boîte aux lettres de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

Cet exemple spécifie que les SendAs actions ou SendOnBehalf effectuées par les utilisateurs délégués seront journalisées pour la boîte aux lettres de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

Cet exemple spécifie que l’action HardDelete effectuée par le propriétaire de la boîte aux lettres sera journalisée pour la boîte aux lettres de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-Mailbox.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez bien activé l'enregistrement d'audit des boîtes aux lettres et que vous avez spécifié les paramètres d'enregistrement qui conviennent pour l'accès des administrateurs, des délégués ou des propriétaires, utilisez la cmdlet Get-Mailbox pour récupérer les paramètres d'enregistrement d'audit de boîte aux lettres pour cette boîte aux lettres.

Cet exemple illustre la récupération des paramètres de la boîte aux lettres de Ben Smith et le transfert des paramètres d'audit spécifiés, y compris la limite d'âge du journal d'audit, vers la cmdlet Format-List.

Get-Mailbox "Ben Smith" | Format-List Audit*

La valeur de True pour la propriété AuditEnabled vérifie que la journalisation d’audit est activée.

Dans cet exemple, les paramètres d’audit sont récupérés pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

Plus d’informations

Il est possible que les actions auditées pour chaque type d'utilisateur ne soient pas toutes affichées lorsque vous exécutez la cmdlet Get-Mailbox. Toutefois, vous pouvez exécuter les commandes suivantes pour afficher toutes les actions auditées pour un type de connexion utilisateur spécifique.

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

Par défaut, les entrées du journal d’audit de boîtes aux lettres sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée. Vous pouvez utiliser la cmdlet Set-Mailbox pour modifier ce paramètre, afin que les éléments soient conservés pendant une période plus longue (ou plus courte).

Cet exemple permet d'allonger à 180 jours la durée de vie des entrées du journal d'audit de boîte aux lettres dans la boîte aux lettres de Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

Cet exemple permet de réduire à 60 jours la durée de vie des entrées du journal d'audit de boîte aux lettres pour les boîtes aux lettres de tous les utilisateurs de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60