Afficher et exporter le journal d’audit de l’administrateur externe dans Exchange Online

  • Article

Remarque

Le centre d’administration Exchange classique est en train d’être déprécié dans le déploiement mondial. Nous vous recommandons d’effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Dépréciation du centre d’administration Exchange classique dans le service WW et Rechercher dans le journal d’audit dans le portail de conformité.

Dans Exchange Online, les actions effectuées par Microsoft et les administrateurs délégués sont enregistrées dans le journal d’audit de l’administrateur. Vous pouvez utiliser le Centre d’administration Exchange (EAC) ou Exchange Online PowerShell pour rechercher et afficher les entrées du journal d’audit afin de déterminer si des administrateurs externes ont effectué des actions ou modifié la configuration de votre organisation Exchange Online. Vous pouvez également utiliser Exchange Online PowerShell pour exporter ces entrées de journal d’audit.

Ce qu'il faut savoir avant de commencer

  • Durée d’exécution estimée : elle peut varier selon que vous affichez ou que vous exportez les entrées du journal d’audit de l’administrateur. Consultez chaque procédure pour connaître sa durée estimée.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Affichage seul de la journalisation de l’audit de l’administrateur » dans la rubrique Autorisations des fonctionnalités dans Exchange Online rubrique.

  • Si vous envisagez d’utiliser Outlook sur le web (anciennement Outlook Web App) pour afficher les entrées exportées, vous devez activer .xml pièces jointes dans Outlook sur le web. Pour plus d’informations, consultez Configurer Outlook sur le web pour autoriser les pièces jointes XML.

  • Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, consultez Raccourcis clavier pour le Centre d’administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide dans le forum Exchange Online.

Utiliser le CAE pour afficher le rapport du journal d’audit de l’administrateur externe

Durée d’exécution estimée : 3 minutes

  1. Accédez à Gestion de la conformité>Audit , puis cliquez sur Afficher le rapport du journal d’audit de l’administrateur externe. Toutes les modifications de configuration apportées par les administrateurs du centre de données Microsoft et les administrateurs délégués pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :

    • Date : date et heure auxquelles la modification de configuration a été apportée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).

    • Applet de commande : nom de l’applet de commande utilisée pour apporter la modification de configuration.

      Si vous sélectionnez un seul résultat de recherche, l'information suivante s'affiche dans le volet de détails :

    • La date et l'heure d'exécution de la cmdlet.

    • L'utilisateur ayant exécuté la cmdlet. Pour toutes les entrées du rapport du journal d'audit de l'administrateur externe, l'utilisateur est identifié comme Administrateur, ce qui désigne un administrateur du centre de données Microsoft ou un administrateur externe.

    • Les paramètres de la cmdlet utilisée, ainsi que toute valeur spécifiée dans le paramètre, au format Paramètre:Valeur.

  2. Si vous souhaitez imprimer une entrée spécifique du journal d'audit, sélectionnez-la dans le volet des résultats de recherche, puis cliquez sur Imprimer dans le volet de détails.

  3. Pour affiner la recherche, choisissez des dates dans les menus déroulants Date de début et Date de fin, puis cliquez sur Rechercher.

Utiliser Exchange Online PowerShell pour afficher les entrées dans le rapport du journal d’audit de l’administrateur externe

Durée d'exécution estimée : 3 minutes

Vous pouvez utiliser l’applet de commande Search-AdminAuditLog avec le paramètre ExternalAccess pour afficher les entrées du journal d’audit de l’administrateur pour les actions effectuées par les administrateurs du centre de données Microsoft et les administrateurs délégués.

Cette commande retourne toutes les entrées dans le journal d’audit de l’administrateur pour les applets de commande exécutées par des administrateurs externes.

Search-AdminAuditLog -ExternalAccess $true

Cette commande retourne des entrées dans le journal d’audit de l’administrateur pour les applets de commande exécutées par des administrateurs externes entre le 17 septembre 2013 et le 2 octobre 2013.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Pour plus d'informations, consultez la rubrique Search-AdminAuditLog.

Utiliser Exchange Online PowerShell pour exporter le journal d’audit administrateur

Durée d'exécution estimée : 24 heures environ

Vous pouvez utiliser l’applet de commande New-AdminAuditLogSearch avec le paramètre ExternalAccess pour exporter les entrées du journal d’audit de l’administrateur pour les actions effectuées par les administrateurs de centre de données Microsoft ou les administrateurs délégués. Microsoft Exchange récupère les entrées du journal d’audit de l’administrateur qui ont été effectuées par des administrateurs externes et les enregistre dans un fichier nommé SearchResult.xml. Ce fichier XML est joint à un message électronique envoyé aux destinataires spécifiés dans les 24 heures.

La commande suivante retourne des entrées dans le journal d’audit de l’administrateur pour les applets de commande exécutées par des administrateurs externes entre le 25 septembre 2013 et le 24 octobre 2013. Les résultats de la admin@contoso.com recherche sont envoyés aux adresses SMTP et et pilarp@contoso.com le texte « Journal d’audit de l’administrateur externe » est ajouté à la ligne d’objet du message.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Remarque

Lorsque vous incluez le paramètre ExternalAccess , seules les entrées pour les actions effectuées par l’administrateur de centre de données Microsoft ou les administrateurs délégués sont incluses dans le journal d’audit exporté. Si vous n’incluez pas le paramètre ExternalAccess , le journal d’audit contient des entrées pour les actions effectuées par les administrateurs de votre organisation et par les administrateurs externes.

Pour vérifier que la commande permettant d’exporter les entrées du journal d’audit de l’administrateur effectuées par les administrateurs externes a réussi et pour afficher des informations sur les recherches actuelles dans le journal d’audit de l’administrateur, exécutez la commande suivante :

Get-AuditLogSearch | Format-List

Plus d’informations

  • Dans Microsoft 365 et Office 365, vous pouvez déléguer la possibilité d’effectuer certaines tâches administratives à un partenaire autorisé de Microsoft. Ces tâches d’administration comprennent la création ou la modification d’utilisateurs, la réinitialisation des mots de passe des utilisateurs, la gestion des licences des utilisateurs, la gestion des domaines et l’attribution d’autorisations d’administration à d’autres utilisateurs de votre organisation. Lorsque vous autorisez un partenaire à assumer ce rôle, le partenaire est appelé administrateur délégué. Les tâches effectuées par un administrateur délégué sont consignées dans le journal d’audit de l’administrateur. Comme indiqué précédemment, les actions effectuées par les administrateurs délégués peuvent être affichées en exécutant le rapport du journal d’audit de l’administrateur externe grâce à la cmdlet New-AdminAuditLogSearch avec le paramètre ExternalAccess.

  • Le journal d’audit de l’administrateur enregistre des actions spécifiques, basées sur Exchange Online applets de commande PowerShell, effectuées par les administrateurs et les utilisateurs auxquels des privilèges d’administration ont été attribués. Les actions effectuées par les administrateurs externes sont également enregistrées. Les entrées du journal d'audit de l'administrateur vous fournissent des informations sur la cmdlet qui a été exécutée, sur les paramètres utilisés, sur l'utilisateur qui a exécuté la cmdlet et sur les objets concernés.

  • Le journal d’audit de l’administrateur n’enregistre aucune action basée sur une applet de commande PowerShell Exchange Online qui commence par les verbes Get, Search ou Test.

  • Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.