Rapports d’audit Exchange dans Exchange 2013

S’applique à : Exchange Server 2013

Utilisez l’enregistrement d’audit pour résoudre des problèmes de configuration en suivant les modifications spécifiques effectuées par les administrateurs et vous aider à respecter les exigences réglementaires, de conformité et en matière de litiges. Microsoft Exchange fournit deux types d'enregistrements d'audit :

• Enregistrement d'audit d'administrateur enregistre toute action, basée sur une cmdlet d'Exchange Management Shell, effectuée par un administrateur. Cela peut vous aider à résoudre des problèmes de configuration ou à identifier la cause de problèmes de sécurité ou de conformité.

• Enregistrement d'audit des boîtes aux lettres enregistre chaque accès à une boîte aux lettres par un administrateur, un utilisateur délégué ou son propriétaire. Vous pouvez ainsi identifier les personnes ayant accédé à une boîte aux lettres et ce qu'elles y ont fait.

Exporter des journaux d’audit

Dans la pageAuditde gestion de> la conformité dans le Centre d’administration Exchange (EAC), vous pouvez rechercher et exporter des entrées à partir du journal d’audit de l’administrateur et du journal d’audit de la boîte aux lettres.

• Exporter le journal d’audit de l’administrateur : toute action effectuée par un administrateur basée sur une applet de commande Shell et qui ne commence pas par les verbes Get, Search ou Test est enregistrée dans le journal d’audit de l’administrateur. Les entrées de journal d’audit incluent l’applet de commande exécutée, le paramètre et les valeurs utilisées avec l’applet de commande, et quand l’opération a réussi. Vous pouvez rechercher et exporter des entrées à partir du journal d’audit de l’administrateur. Lorsque vous exportez vos résultats de la recherche, Microsoft Exchange les enregistre dans un fichier XML et l’inclut en pièce jointe dans un message électronique. Pour plus d'informations, consultez la rubrique Search the role group changes or administrator audit logs.

  Remarque

  Par défaut, les entrées du journal d'audit de l'administrateur sont conservées pendant 90 jours. Lorsqu'une entrée a dépassé le seuil de 90 jours, elle est supprimée. Ce paramètre ne peut pas être modifié dans une organisation informatique. Toutefois, il peut être modifié dans une organisation Exchange locale à l'aide de la cmdlet Set-AdminAuditLog.

• Exporter les journaux d’audit de boîte aux lettres : lorsque la journalisation d’audit de boîte aux lettres est activée pour une boîte aux lettres, Microsoft Exchange stocke un enregistrement des actions effectuées sur les données de boîte aux lettres par des non-propriétaires dans le journal d’audit de la boîte aux lettres, qui est stocké dans un dossier masqué de la boîte aux lettres auditée. L’enregistrement d’audit des boîtes aux lettres peut également être configuré pour enregistrer les actions du propriétaire. Les entrées de ce journal indiquent qui a accédé à la boîte aux lettres et quand, les actions effectuées et si l’action a réussi. Lorsque vous recherchez des entrées dans le journal d'audit de la boîte aux lettres et que vous les exportez, Microsoft Exchange enregistre les résultats de la recherche dans un fichier XML et l'inclut en pièce jointe dans un message électronique. Pour plus d'informations, consultez la rubrique Exporter les journaux d'audit de boîte aux lettres.

Exécuter des rapports d’audit

Lorsque vous exécutez l’un des rapports suivants sous l’onglet Audit du CAE, les résultats sont affichés dans le volet d’informations du rapport.

• Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire : utilisez ce rapport pour rechercher les boîtes aux lettres auxquelles une personne autre que la personne propriétaire de la boîte aux lettres a accédé. Pour plus d'informations, consultez la rubrique Exécuter un rapport d'accès aux boîtes aux lettres par des non-propriétaires.

• Exécuter un rapport de groupe de rôles administrateur : utilisez ce rapport pour rechercher les modifications apportées aux groupes de rôles d’administrateur. Pour plus d'informations, consultez la rubrique Search the role group changes or administrator audit logs.

• Exécuter un rapport de découverte et de conservation sur place : utilisez ce rapport pour rechercher les boîtes aux lettres qui ont été placées ou supprimées de In-Place mise en attente. Pour plus d’informations, consultez l’article suivant :

  • Conservation inaltérable et conservation pour litige

  • Découverte électronique locale

• Exécuter un rapport de conservation pour litige par boîte aux lettres : utilisez ce rapport pour rechercher les boîtes aux lettres qui ont été placées ou supprimées d’une conservation pour litige. Pour plus d'informations, consultez :

  • Exécuter un rapport de suspension pour litige par boîte aux lettres

  • Placer une boîte aux lettres en conservation pour litige

• Exécuter le rapport du journal d’audit administrateur : utilisez ce rapport pour afficher les entrées du journal d’audit de l’administrateur. Au lieu d’exporter le journal d’audit de l’administrateur, dont la réception par courrier électronique peut prendre jusqu’à 24 heures, vous pouvez exécuter ce rapport dans le CAE. Ce rapport enregistre les modifications de configuration apportées par les administrateurs de votre organisation. Jusqu’à 5 000 entrées peuvent s’afficher sur plusieurs pages. Pour affiner la recherche, vous pouvez spécifier une plage de dates. Pour plus d'informations, consultez :

  • Consulter le journal d'audit de l'administrateur

  • Connexion au service d'audit administrateur

Configurer l’enregistrement d’audit

Avant de pouvoir exécuter des rapports d’audit et exporter des journaux d’audit, vous devez configurer l’enregistrement d’audit pour votre organisation.

Activer l’enregistrement d’audit de boîte aux lettres

Vous devez activer l’enregistrement d’audit de boîte aux lettres pour chaque boîte aux lettres pour laquelle vous souhaitez exécuter un rapport d’accès aux boîtes aux lettres par un non-propriétaire. Si l’enregistrement d’audit de boîte aux lettres n’est pas activé pour une boîte aux lettres, vous n’obtiendrez pas de résultats lorsque vous exécuterez un rapport ou exporterez le journal d’audit de la boîte aux lettres.

Pour activer l’enregistrement d’audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Pour activer l'audit de boîte aux lettres pour toutes les boîtes aux lettres des utilisateurs de votre organisation, exécutez les commandes suivantes.

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Pour plus d’informations sur la configuration des actions journalisées, consultez Activer ou désactiver la journalisation d’audit de boîte aux lettres pour une boîte aux lettres.

Donner aux utilisateurs l’accès aux rapports d’audit

Par défaut, les administrateurs peuvent accéder et exécuter tous les rapports dans la page Audit du CAE. Toutefois, les autres utilisateurs, tels qu’un gestionnaire d’enregistrements ou le personnel juridique, doivent avoir les autorisations nécessaires.

La façon la plus facile pour donner l’accès aux utilisateurs consiste à les ajouter au groupe de rôles Gestion des enregistrements. Vous pouvez également utiliser l’environnement de ligne de commande Exchange Management Shell pour donner à un utilisateur l’accès à la page Audit dans le CAE en lui attribuant le rôle Journaux d’audit.

Ajouter un utilisateur au groupe de rôles Gestion des enregistrements

1. Accédez à Autorisations>Administration Rôles.

2. Dans la liste des groupes de rôles, cliquez sur Gestion des enregistrements, puis cliquez sur .

3. Sous Membres, cliquez sur Ajouter une

4. Dans la boîte de dialogue Sélectionner des membres, sélectionnez l’utilisateur. Vous pouvez rechercher un utilisateur en tapant tout ou partie d’un nom d’affichage, puis en cliquant sur dans la recherche. Vous pouvez également trier la liste en cliquant sur l’en-tête de colonne Nom ou Nom complet.

5. Cliquez sur Ajouter une puis sur OK pour revenir à la page du groupe de rôles.

6. Cliquez sur Enregistrer pour enregistrer la modification apportée au groupe de rôles.

Dans le volet d’informations, l’utilisateur est répertorié sous Membres et peut accéder à la page Audit dans le CAE, exécuter des rapports d’audit et exporter des journaux d’audit.

Attribuer le rôle Journaux d’audit à un utilisateur

Exécutez la commande suivante pour attribuer le rôle Journaux d’audit à un utilisateur.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Cela permet à l’utilisateur de sélectionnerAuditde gestion de> la conformité dans le Centre d’administration Exchange pour exécuter l’un des rapports. L’utilisateur peut également exporter le journal d’audit de la boîte aux lettres, et exporter et afficher le journal d’audit de l’administrateur.

Remarque

Pour permettre à un utilisateur d’exécuter des rapports d’audit mais pas d’exporter des journaux d’audit, utilisez la commande précédente pour attribuer le rôle Journaux d’audit en affichage seul.

Configurer Outlook Web App pour autoriser les pièces jointes XML

Lorsque vous exportez le journal d’audit de la boîte aux lettres ou le journal d’audit de l’administrateur, Microsoft Exchange joint le journal d’audit, qui est un fichier XML à un message électronique. Cependant, Outlook Web App bloque les pièces jointes XML par défaut. Si vous voulez utiliser Outlook Web App pour accéder à ces journaux d'audit, vous devez configurer Outlook Web App de sorte qu'il autorise les pièces jointes au format XML.

Exécutez la commande suivante pour autoriser les pièces jointes XML dans Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'