Journalisation dans Exchange Online

Importante

Reportez-vous aux Centre de sécurité Microsoft 365 et portail de conformité Microsoft Purview pour les fonctionnalités de sécurité et de conformité Exchange. Ils ne sont plus disponibles dans le nouveau centre d’administration Exchange.

Si possible, nous vous recommandons d’utiliser la rétention Microsoft 365 pour archiver et gérer les données sur place afin de répondre à vos exigences de conformité. Toutefois, certaines organisations peuvent avoir besoin d’utiliser une solution tierce pour recevoir une copie des e-mails pour le stockage ou d’autres scénarios. Configurez la journalisation pour stocker ces données en dehors d’Exchange.

Considérations relatives à la journalisation

La journalisation est une fonctionnalité plus ancienne d’Exchange qui déplace les données en dehors de Microsoft 365. Vous devez donc prendre des précautions supplémentaires pour les sécuriser et également résoudre toute duplication qui pourrait résulter de cette solution. Il vous incombera de surveiller et de suivre les accusés de réception de non-remise dans la boîte aux lettres de journalisation qui peuvent se produire en raison de services externes et dépendants.

Vous n’avez pas ces frais administratifs supplémentaires lorsque vous utilisez la rétention Microsoft 365 et d’autres solutions de conformité Microsoft Purview qui conservent les données au sein de votre locataire. En tant que solution de conformité plus moderne, ils ne sont pas limités à la messagerie, mais peuvent également gérer la gamme d’applications de communication et de productivité d’aujourd’hui, telles que Microsoft Teams.

Règles de journalisation

Voici les principaux aspects des règles de journal :

• Étendue de la règle de journal : définit les messages qui sont journalisé par l’agent de journalisation.
• Destinataire du journal : spécifie l’adresse SMTP du destinataire que vous souhaitez journaliser.
• Boîte aux lettres de journalisation : spécifie une ou plusieurs boîtes aux lettres utilisées pour collecter des rapports de journal.

Dans Exchange Online, le nombre de règles de journal que vous pouvez créer est limité. Pour plus d’informations, consultez Limites des règles de journal, de transport et de boîte de réception.

Étendue d'une règle de journal

Vous pouvez utiliser une règle de journal pour journaliser uniquement les messages internes, uniquement les messages externes ou les deux. La liste suivante décrit ces étendues :

• Messages internes uniquement : règles de journal avec l’étendue définie pour journaliser les messages internes envoyés entre les destinataires à l’intérieur de votre organization Exchange.
• Messages externes uniquement¹ : règles de journal dont l’étendue est définie pour journaliser les messages externes envoyés aux destinataires ou reçus d’expéditeurs en dehors de votre organization Exchange.
• Tous les messages : règles de journalisation avec l’étendue définie pour journaliser tous les messages qui transitent par votre organization, quelle que soit l’origine ou la destination. Ces entrées incluent les messages qui ont déjà été traités par des règles de journal de portées interne et externe.

¹ Si l’expéditeur et les destinataires se trouvent tous les deux dans des domaines acceptés du même organization, les messages ne sont pas respectés comme externes, même si l’en-tête x-ms-exchange-crosstenant-authas dans les messages a la valeur anonymous. Par conséquent, ces messages ne sont pas journalisé comme étant externes.

Destinataire du journal

Vous pouvez mettre en place des règles de journal ciblées en spécifiant l'adresse SMTP du destinataire que vous voulez journaliser. Le destinataire peut être une boîte aux lettres, un groupe de distribution, un groupe de distribution dynamique, un utilisateur de messagerie ou un contact. Ces destinataires peuvent être soumis à des exigences réglementaires ou être impliqués dans des actions judiciaires dans le cadre desquels les messages électroniques ou d'autres communications sont collectés à des fins de preuve. En ciblant des destinataires ou des groupes de destinataires spécifiques, vous pouvez aisément configurer un environnement de journalisation conforme aux processus ainsi qu'aux exigences légales et réglementaires de votre organisation. En ciblant uniquement des destinataires spécifiques devant être journalisés, vous réduisez aussi les frais de stockage et les autres coûts associés à la conservation de grandes quantités de données.

Tous les messages échangés avec des destinataires de journalisation spécifiés dans une règle de journal sont journalisés. Si vous spécifiez un groupe de distribution comme destinataire de la journalisation, tous les messages échangés avec les membres du groupe de distribution sont journalisés. Si vous ne spécifiez pas de destinataire de journalisation, tous les messages échangés avec les destinataires correspondant à l'étendue de la règle de journal sont journalisés.

Remarque

L’adresse SMTP spécifiée pour le destinataire de journalisation ne peut pas contenir de caractère générique. Par exemple, l’adresse SMTP ne peut pas être répertoriée en tant que *@contoso.com.

Boîte aux lettres de journalisation

La boîte aux lettres de la journalisation sert à collecter les états de journal. La manière dont vous configurez la boîte aux lettres de journalisation dépend des stratégies de l'organisation, ainsi que des exigences légales et réglementaires. Vous pouvez spécifier une boîte aux lettres de journalisation que vous pouvez utiliser pour collecter les messages correspondant à toutes les règles de journal configurées dans l'organisation ou utiliser différentes boîtes aux lettres de journalisation pour différentes règles ou groupes de règles de journal.

Vous ne pouvez pas désigner une boîte aux lettres Exchange Online comme boîte aux lettres de journalisation. Vous pouvez fournir des états de journal à un système d'archivage local ou à un service d'archivage tiers. Si vous exécutez un déploiement exchange hybride avec vos boîtes aux lettres réparties entre des serveurs locaux et des Exchange Online, vous pouvez désigner une boîte aux lettres locale comme boîte aux lettres de journalisation pour vos boîtes aux lettres Exchange Online et locales.

Les boîtes aux lettres de journalisation contiennent des informations sensibles. Vous devez sécuriser les boîtes aux lettres de journalisation parce qu'elles collectent des messages échangés avec des destinataires au sein de votre organisation. Ces messages peuvent être visés par des actes de procédure ou faire l'objet d'exigences réglementaires. Diverses lois exigent que les messages soient conservés à l'abri de toute falsification avant leur présentation à une autorité de vérification. Il est souhaitable que votre organisation élabore des stratégies définissant qui peut accéder aux boîtes aux lettres de journalisation en son sein, en limitant cet accès aux personnes ayant un besoin direct d'y accéder. Consultez vos représentants légaux pour vous assurer que votre solution de journalisation est conforme à l'ensemble des lois et réglementations applicables à votre organisation.

Importante

Si vous avez configuré une règle de journalisation pour envoyer les états de journal à une boîte aux lettres de journalisation qui n'existe pas ou qui constitue une destination non valide, l'état de journal reste dans la file d'attente de transport sur les serveurs du centre de données Microsoft. Si cela se produit, le personnel du centre de données Microsoft tentera de contacter votre organisation et vous demandera de résoudre le problème afin que les états de journal puissent être remis à une boîte aux lettres de journalisation. Si vous n’avez pas résolu le problème deux jours après avoir été contacté, Microsoft désactivera la règle de journalisation problématique.

Autre boîte aux lettres de journalisation

Si la boîte aux lettres de journalisation est indisponible, vous ne souhaiterez peut-être pas autoriser la collecte des états de journal rejetés dans les files d'attente des messages sur les serveurs de boîtes aux lettres. Dans ce cas, vous pouvez configurer une autre boîte aux lettres de journalisation afin de stocker ces états de journal. La boîte aux lettres de journalisation de remplacement reçoit les rapports de journal en tant que pièces jointes dans les rapports de non-remise (également appelés NDR ou messages de rebond) générés lorsque la boîte aux lettres de journalisation ou le serveur sur lequel elle se trouve refuse la remise du rapport de journal ou devient indisponible. Comme avec la boîte aux lettres de journalisation, vous ne pouvez pas désigner une boîte aux lettres Exchange Online comme une autre boîte aux lettres de journalisation.

Lorsque la boîte aux lettres de journalisation redevient disponible, vous pouvez utiliser la fonctionnalité Envoyer à nouveau dans Outlook pour envoyer des rapports de journalisation à remettre à la boîte aux lettres de journalisation.

Lorsque vous configurez une autre boîte aux lettres de journalisation, tous les états de journal rejetés ou qui n'ont pas pu être remis dans toute votre organisation Exchange sont remis à l'autre boîte aux lettres de journalisation. Par conséquent, il est important de s'assurer que l'autre boîte aux lettres de journalisation et le serveur de boîtes aux lettres qui l'héberge peuvent prendre en charge plusieurs états de journal.

Attention

Si vous configurez une boîte aux lettres de journalisation alternative, vous devez veiller à ce qu'elle ne soit pas indisponible en même temps que les boîtes aux lettres de journalisation. Si l'autre boîte aux lettres de journalisation devient indisponible ou rejette des états de journal, ceux-ci sont perdus et irrécupérables. En raison des limites existantes de réception des e-mails pour les boîtes aux lettres Exchange Online, la configuration de la boîte aux lettres de journalisation secondaire comme une boîte aux lettres Exchange Online n’est pas prise en charge.

Étant donné que la boîte aux lettres de journalisation de remplacement collecte tous les rapports de journal rejetés pour l’ensemble de la Exchange Online organization, vous devez vous assurer que cela n’enfreint pas les lois ou réglementations qui s’appliquent à votre organization. Si des règles ou règlements empêchent votre organisation d'autoriser le stockage d'états de journal envoyés à différentes boîtes aux lettres de journalisation dans la même autre boîte aux lettres de journalisation, il se peut que vous ne puissiez pas configurer une autre boîte aux lettres de journalisation. Consultez vos représentants légaux afin de déterminer si vous pouvez utiliser une autre boîte aux lettres de journalisation.

Lorsque vous configurez une autre boîte aux lettres de journalisation, vous devez spécifier les mêmes critères que ceux utilisés lors de la configuration de la boîte aux lettres de journalisation.

Importante

L'autre boîte aux lettres de journalisation doit être traitée comme une boîte aux lettres dédiée spéciale. Les messages adressés directement à l'autre boîte aux lettres de journalisation ne sont pas journalisés.

États de journal

Un état de journal est le message que génère l'agent de journalisation quand un message correspond à une règle de journal et doit être envoyé à la boîte aux lettres de journalisation. Le message d'origine correspondant à la règle de journal est inclus, sans modification, en pièce jointe à l'état de journal. Le corps d'un état de journal contient des informations figurant dans le message d'origine, telles que l'adresse de messagerie de l'expéditeur, l'objet, l'ID de message et les adresses de messagerie des destinataires. Il s’agit de la seule méthode de journalisation prise en charge par Microsoft 365 et Office 365.

États de journal et messages protégés par IRM

Lors de l'implémentation de la journalisation, vous devez tenir compte des états de journalisation et des messages protégés par IRM. Les messages protégés par IRM affectent les fonctionnalités de recherche et de découverte des systèmes d’archivage tiers qui n’ont pas de prise en charge RMS intégrée. Dans Microsoft 365 et Office 365, vous pouvez configurer le déchiffrement du rapport de journal pour enregistrer une copie en texte clair du message dans un rapport de journal. Les messages et les pièces jointes sont déchiffrés si le chiffrement provient du organization. La journalisation ne déchiffre pas les éléments chiffrés par des organisations externes.

Pour activer le déchiffrement des rapports de journal pour le organization, procédez comme suit.

1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur général ou d’administrateur de conformité dans votre organization, connectez-vous à Exchange Online PowerShell.

2. Exécutez l’applet de commande pour activer le Set-IRMConfiguration déchiffrement du rapport de journal.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Définissez le JournalReportDecryptionEnabled paramètre sur true pour activer le déchiffrement. Définissez le paramètre sur false pour désactiver le déchiffrement.

Importante

Le déchiffrement de rapport de journal ne prend actuellement pas en charge l’utilisation explicite des modèles de personnalisation OME. Si vous utilisez une règle de flux de courrier (également appelée règle de transport) pour appliquer un modèle de personnalisation OME, le rapport de journal ne contient pas de copie déchiffrée du message. Actuellement, le déchiffrement de rapport de journal fonctionne uniquement avec le modèle de personnalisation OME par défaut qui est appliqué sans règle de flux de messagerie par Exchange Online. En d’autres termes, le modèle de personnalisation appliqué par OME implicitement aux messages.

Résolution des problèmes

Lorsqu’un message correspond à l’étendue de plusieurs règles de journal, toutes les règles correspondantes sont déclenchées.

• Si les règles de correspondance sont configurées avec différentes boîtes aux lettres de journal, un rapport de journal est envoyé à chaque boîte aux lettres de journal.
• Si les règles de correspondance sont toutes configurées avec la même boîte aux lettres de journal, un seul rapport de journal est envoyé à la boîte aux lettres du journal.

La journalisation identifie toujours les messages comme internes si l’adresse e-mail dans la commande SMTP MAIL FROM se trouve dans un domaine configuré comme domaine accepté dans Exchange Online. Ces messages incluent des messages usurpés provenant de sources externes (messages où la valeur d’en-tête X-MS-Exchange-Organization-AuthAs est également Anonyme). Par conséquent, les règles de journal qui sont limitées aux messages externes ne sont pas déclenchées par des messages usurpés avec des adresses e-mail SMTP MAIL FROM dans des domaines acceptés.

Scénarios de rapport de journal en double dans un environnement Exchange hybride

Dans un environnement Exchange hybride, les scénarios suivants sont connus pour entraîner des rapports de journal en double et sont pris en compte par conception :

1. Cloud à cloud : toutes les situations où le courrier électronique est dupliqué entraînent une journalisation en double, par exemple :

   • Transport chipping (trop de destinataires sur le message).
   • Les destinataires internes et externes existent sur le même message : deux duplications (forks) sont créées à des fins de courrier indésirable/hameçonnage (l’une dans laquelle des destinataires internes existent et l’autre dans laquelle des destinataires externes existent).
   • Tout futur a besoin où le cloud doit dupliquer le message.

2. Local vers le cloud : une fois lorsque les journaux locaux et une fois lorsque les journaux cloud. Cela peut être évité en implémentant la version d’évaluation PreventDupJournaling dans un locataire Exchange Online. Pour activer cette version d’évaluation, vous devez ouvrir un ticket de support auprès de Microsoft.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums à Exchange Online ou Exchange Online Protection.

Si vous rencontrez des problèmes avec la boîte aux lettres JournalingReportDNRTo, consultez Règles de transport et de boîtes aux lettres dans Exchange Online ne fonctionnent pas comme prévu.