Gérer l’audit de boîte aux lettres
La journalisation d’audit de boîte aux lettres est activée par défaut dans toutes les organisations. Cela signifie que certaines actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs sont automatiquement journalisées. Les enregistrements d’audit de boîte aux lettres correspondants peuvent être recherchés par les administrateurs dans le journal d’audit de la boîte aux lettres.
Voici quelques avantages de l’audit de boîte aux lettres activé par défaut :
- L’audit est automatiquement activé lorsque vous créez une boîte aux lettres. Vous n’avez pas besoin d’activer manuellement l’audit de boîte aux lettres pour les nouveaux utilisateurs.
- Vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées. Un ensemble prédéfini d’actions de boîte aux lettres est audité par défaut pour chaque type de connexion (Administration, Délégué et Propriétaire).
- Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l’action peut être ajoutée automatiquement à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l’utilisateur dispose de la licence appropriée). Ce résultat signifie que vous n’avez pas besoin d’ajouter de nouvelles actions sur les boîtes aux lettres à mesure qu’elles sont publiées.
- Vous disposez d’une stratégie d’audit de boîte aux lettres cohérente dans votre organization (car vous auditez les mêmes actions pour toutes les boîtes aux lettres).
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Vérifier l’audit des boîtes aux lettres activé par défaut est activé
Pour vérifier que l’audit de boîte aux lettres activé par défaut est activé pour votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Get-OrganizationConfig | Format-List AuditDisabled
La valeur False indique que l’audit de boîte aux lettres activé par défaut est activé pour le organization. L’audit de boîte aux lettres activé par défaut dans le organization remplace les paramètres d’audit de boîte aux lettres sur les boîtes aux lettres individuelles. Par exemple, si l’audit de boîte aux lettres est désactivé pour une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur False), les actions de boîte aux lettres par défaut sont toujours auditées pour la boîte aux lettres, car l’audit de boîte aux lettres activé par défaut est activé pour le organization.
Pour conserver l’audit des boîtes aux lettres désactivé pour des boîtes aux lettres spécifiques, vous configurez le contournement de l’audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs disposant d’un accès délégué à la boîte aux lettres. Pour plus d’informations, consultez la section Ignorer la journalisation d’audit de boîte aux lettres plus loin dans cet article.
Remarque
Lorsque l’audit de boîte aux lettres activé par défaut est activé pour le organization, la propriété AuditEnabled des boîtes aux lettres concernées ne passe pas de False à True. En d’autres termes, l’audit de boîte aux lettres activé par défaut ignore la propriété AuditEnabled sur les boîtes aux lettres.
Types de boîtes aux lettres pris en charge
Les types de boîtes aux lettres pris en charge par l’audit de boîte aux lettres activé par défaut sont décrits dans le tableau suivant :
| Type de boîte aux lettres | Pris en charge |
|---|---|
| Boîtes aux lettres utilisateur | ✔ |
| Boîtes aux lettres partagées | ✔ |
| Boîtes aux lettres de groupe Microsoft 365 | ✔ |
| Boîtes aux lettres de ressources | |
| Boîtes aux lettres de dossiers publics |
Types de connexion et actions de boîte aux lettres
Les types de connexion classent les responsables des actions auditées sur la boîte aux lettres. La liste suivante décrit les types de connexion utilisés dans la journalisation d’audit de boîte aux lettres :
- Propriétaire : propriétaire de la boîte aux lettres (le compte associé à la boîte aux lettres).
- Déléguer :
- Un utilisateur à qui l’autorisation SendAs, SendOnBehalf ou FullAccess a été attribuée à une autre boîte aux lettres.
- Administrateur à qui l’autorisation FullAccess a été attribuée à la boîte aux lettres d’un utilisateur.
- Administration :
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
- eDiscovery dans le portail Microsoft Purview ou le portail de conformité.
- In-Place eDiscovery dans Exchange Online.
- La boîte aux lettres est accessible à l’aide de l’Rédacteur MAPI Microsoft Exchange Server.
- La boîte aux lettres est accessible par un compte qui emprunte l’identité d’un autre utilisateur. Cela se produit lorsque le rôle ApplicationImpersonation est attribué à un compte, tel qu’une application, qui accède désormais activement aux données. Pour plus d’informations, consultez Configurer l’emprunt d’identité.
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
Actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées
Le tableau suivant décrit les actions de boîte aux lettres disponibles dans la journalisation d’audit de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.
- Une marque case activée (✔) indique que l’action de boîte aux lettres peut être journalisée pour le type de connexion (toutes les actions ne sont pas disponibles pour tous les types de connexion).
- Un astérisque ( * ) après la marque case activée indique que l’action de boîte aux lettres est enregistrée par défaut pour le type de connexion.
- N’oubliez pas qu’un administrateur disposant de l’autorisation Accès total à une boîte aux lettres est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| AddFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| ApplyRecord | Un élément est étiqueté en tant qu’enregistrement. | ✔* | ✔* | ✔* |
| Copy | Un message a été copié vers un autre dossier. | ✔ | ||
| Create | Un élément a été créé dans le dossier Calendrier, Contacts, Brouillon, Notes ou Tâches de la boîte aux lettres (par exemple, une demande de réunion est créée). Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée. | ✔* | ✔* | ✔ |
| FolderBind | Un dossier de boîte aux lettres a été accédé. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres. Remarque : Les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures. |
✔ | ✔ | |
| HardDelete | Un message a été purgé du dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| MailboxLogin | L’utilisateur s’est connecté à sa boîte aux lettres. | ✔ | ||
| MailItemsAccessed | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). Se produit lorsque les protocoles de messagerie et les clients accèdent aux données de messagerie. |
✔* | ✔* | ✔* |
| MessageBind | Remarque : Cette valeur est disponible uniquement pour les utilisateurs sans licence E5/A5/G5. Un message a été affiché dans le volet d’aperçu ou ouvert par un administrateur. |
✔ | ||
| ModifyFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| Déplacer | Un message a été déplacé vers un autre dossier. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | ✔* | ✔* | ✔* |
| RecordDelete | Un élément étiqueté en tant qu’enregistrement a été supprimé de manière réversible (déplacé vers le dossier Éléments récupérables). Les éléments étiquetés en tant qu’enregistrements ne peuvent pas être supprimés définitivement (vidés du dossier Éléments récupérables). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| SearchQueryInitiated | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). Une personne utilise Outlook (Windows, Mac, iOS, Android ou Outlook sur le web) ou l’application Courrier pour Windows 10 rechercher des éléments dans une boîte aux lettres. |
✔ | ||
| Send | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). L’utilisateur envoie un e-mail, répond à un e-mail ou transfère un e-mail. |
✔* | ✔* | |
| SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cette autorisation permet à un autre utilisateur d’envoyer le message comme s’il provenait du propriétaire de la boîte aux lettres. | ✔* | ✔* | |
| SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cette autorisation permet à un autre utilisateur d’envoyer le message au nom du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a réellement envoyé le message. | ✔* | ✔* | |
| SoftDelete | Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| Mettre à jour | Un message ou l’une de ses propriétés a été modifié. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Une délégation de calendrier a été affectée à une boîte aux lettres. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres. | ✔* | ✔* | |
| UpdateFolderPermissions | Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Une règle de boîte de réception a été ajoutée, supprimée ou modifiée. Les règles de boîte de réception traitent les messages dans la boîte de réception de l’utilisateur en fonction des conditions. Les actions spécifient ce qu’il faut faire aux messages qui correspondent aux conditions de la règle. Par exemple, déplacez le message vers un dossier spécifié ou supprimez le message. | ✔* | ✔* | ✔* |
Importante
Si vous avez personnalisé les actions de boîte aux lettres à auditer avant que l’audit de boîte aux lettres activé par défaut soit activé dans votre organization, les paramètres d’audit de boîte aux lettres personnalisés sont conservés sur la boîte aux lettres et ne sont pas remplacés par les actions de boîte aux lettres par défaut, comme décrit dans cette section. Pour rétablir les valeurs par défaut des actions de boîte aux lettres d’audit (ce que vous pouvez faire à tout moment), consultez la section Restaurer les actions de boîte aux lettres par défaut plus loin dans cet article.
Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365
L’audit de boîte aux lettres activé par défaut apporte la journalisation d’audit de boîte aux lettres aux boîtes aux lettres de groupe Microsoft 365, mais vous ne pouvez pas personnaliser ce qui est journalisé (vous ne pouvez pas ajouter ou supprimer des actions de boîte aux lettres enregistrées pour n’importe quel type de connexion).
Le tableau suivant décrit les actions de boîte aux lettres enregistrées par défaut sur les boîtes aux lettres de groupe Microsoft 365 pour chaque type de connexion.
N’oubliez pas qu’un administrateur disposant d’une autorisation d’accès total à une boîte aux lettres de groupe Microsoft 365 est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| Create | Création d’un élément de calendrier. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. | ✔* | ✔* | |
| HardDelete | Un message a été purgé du dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | ✔* | ✔* | ✔* |
| SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. | ✔* | ✔* | |
| SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. | ✔* | ✔* | |
| SoftDelete | Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| Mettre à jour | Un message ou l’une de ses propriétés a été modifié. | ✔* | ✔* | ✔* |
Vérifiez que les actions de boîte aux lettres par défaut sont journalisées pour chaque type de connexion
L’audit de boîte aux lettres activé par défaut ajoute une nouvelle propriété DefaultAuditSet à toutes les boîtes aux lettres. La valeur de cette propriété indique si les actions de boîte aux lettres par défaut (gérées par Microsoft) sont auditées sur la boîte aux lettres.
Pour afficher la valeur sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Pour afficher la valeur sur les boîtes aux lettres de groupe Microsoft 365, remplacez MailboxIdentity> par <le nom, l’alias ou l’adresse e-mail de la boîte aux lettres partagée, puis exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
La valeur Admin, Delegate, Owner indique :
- Les actions de boîte aux lettres par défaut pour les trois types de connexion sont en cours d’audit. Cette valeur est la seule valeur que vous voyez sur les boîtes aux lettres de groupe Microsoft 365.
- Un administrateur n’a pas modifié les actions de boîte aux lettres auditées pour un type de connexion sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée.
Si un administrateur a déjà modifié les actions de boîte aux lettres auditées pour un type de connexion (à l’aide des paramètres AuditAdmin, AuditDelegate ou AuditOwner sur l’applet de commande Set-Mailbox ), la valeur de la propriété est différente.
Par exemple, la valeur Owner de la propriété DefaultAuditSet sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée indique :
- Les actions de boîte aux lettres par défaut pour le propriétaire de la boîte aux lettres sont en cours d’audit.
- Les actions de boîte aux lettres auditées pour les
Delegatetypes de connexion etAdminont été modifiées par rapport aux actions par défaut.
Une valeur vide pour la propriété DefaultAuditSet indique que les actions de boîte aux lettres pour les trois types de connexion ont été modifiées sur la boîte aux lettres utilisateur ou une boîte aux lettres partagée.
Pour plus d’informations, consultez la section Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut dans cet article.
Afficher les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres
Pour afficher les actions de boîte aux lettres actuellement enregistrées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez <MailboxIdentity> par le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez une ou plusieurs des commandes suivantes dans Exchange Online PowerShell.
Remarque
Bien que vous puissiez ajouter le -GroupMailbox commutateur aux commandes Get-Mailbox suivantes pour les boîtes aux lettres de groupe Microsoft 365, ne croyez pas les valeurs retournées. Les actions de boîte aux lettres statiques et par défaut auditées pour les boîtes aux lettres de groupe Microsoft 365 sont décrites dans la section Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365 plus haut dans cet article.
Actions du propriétaire
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Déléguer des actions
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
actions Administration
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut
Comme expliqué précédemment, l’un des principaux avantages de l’audit de boîte aux lettres activé par défaut est : vous n’avez pas besoin de gérer les actions de boîtes aux lettres auditées. Microsoft gère les actions pour vous, et nous ajoutons automatiquement de nouvelles actions de boîte aux lettres à auditer par défaut à mesure qu’elles sont publiées.
Toutefois, votre organization peut être nécessaire pour auditer un ensemble différent d’actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées. Les procédures de cette section vous montrent comment modifier les actions de boîte aux lettres auditées pour chaque type de connexion et comment revenir aux actions par défaut gérées par Microsoft.
Importante
Si vous utilisez les procédures suivantes pour personnaliser les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouvelles actions de boîte aux lettres par défaut publiées par Microsoft ne seront pas automatiquement auditées sur ces boîtes aux lettres. Vous devez ajouter manuellement toutes les nouvelles actions de boîte aux lettres à votre liste d’actions personnalisée.
Modifier les actions de boîte aux lettres pour auditer
Vous pouvez utiliser les paramètres AuditAdmin, AuditDelegate ou AuditOwner de l’applet de commande Set-Mailbox pour modifier les actions de boîte aux lettres auditées pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées (les actions auditées pour les boîtes aux lettres de groupe Microsoft 365 ne peuvent pas être personnalisées).
Vous pouvez utiliser deux méthodes différentes pour spécifier les actions de boîte aux lettres :
- Remplacez (remplacez ) les actions de boîte aux lettres existantes à l’aide de la syntaxe suivante :
action1,action2,...actionN. - Ajoutez ou supprimez des actions de boîte aux lettres sans affecter d’autres valeurs existantes à l’aide de la syntaxe suivante :
@{Add="action1","action2",..."actionN"}ou@{Remove="action1","action2",..."actionN"}.
Cet exemple montre comment modifier les actions de boîte aux lettres d’administration pour la boîte aux lettres nommée « Gabriela Laureano » en remplaçant les actions par défaut par SoftDelete et HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
Cet exemple ajoute l’action propriétaire MailboxLogin à la boîte aux lettres laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
Cet exemple supprime l’action déléguée MoveToDeletedItems pour la boîte aux lettres Discussion d’équipe.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Quelle que soit la méthode que vous utilisez, la personnalisation des actions de boîte aux lettres auditées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées a les résultats suivants :
- Pour le type de connexion que vous avez personnalisé, les actions de boîte aux lettres auditées ne sont plus gérées par Microsoft.
- Le type de connexion que vous avez personnalisé n’est plus affiché dans la valeur de propriété DefaultAuditSet pour la boîte aux lettres, comme décrit précédemment.
Restaurer les actions de boîte aux lettres par défaut
Remarque
Les procédures suivantes ne s’appliquent pas aux boîtes aux lettres de groupe Microsoft 365 (elles sont limitées aux actions par défaut décrites ici).
Si vous avez personnalisé les actions de boîte aux lettres auditées sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée, vous pouvez restaurer les actions de boîte aux lettres par défaut pour un ou tous les types de connexion à l’aide de la syntaxe suivante :
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Vous pouvez spécifier plusieurs valeurs DefaultAuditSet séparées par des virgules.
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour tous les types de connexion sur la boîte aux lettres mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour le type de connexion Administration sur la boîte aux lettres chris@contoso.onmicrosoft.com, mais laisse les actions de boîte aux lettres auditées personnalisées pour les types de connexion Délégué et Propriétaire.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
La restauration des actions de boîte aux lettres auditées par défaut pour un type de connexion a les résultats suivants :
- La liste actuelle des actions de boîte aux lettres est remplacée par les actions de boîte aux lettres par défaut pour le type de connexion.
- Toutes les nouvelles actions de boîte aux lettres publiées par Microsoft sont automatiquement ajoutées à la liste des actions auditées pour le type de connexion.
- La valeur de la propriété DefaultAuditSet de la boîte aux lettres est mise à jour pour inclure le type de connexion restauré.
Désactivez l’audit de boîte aux lettres activé par défaut pour votre organization
Vous pouvez désactiver l’audit de boîte aux lettres par défaut pour l’ensemble de votre organization en exécutant la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $true
La désactivation de l’audit de boîte aux lettres activée par défaut a les résultats suivants :
- L’audit de boîte aux lettres est désactivé pour votre organization.
- À partir du moment où vous désactivez l’audit de boîte aux lettres activé par défaut, aucune action de boîte aux lettres n’est auditée, même si l’audit de boîte aux lettres est activé sur une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur True).
- L’audit de boîte aux lettres n’est pas activé pour les nouvelles boîtes aux lettres et la définition de la propriété AuditEnabled sur une boîte aux lettres nouvelle ou existante sur True est ignorée.
- Tous les paramètres d’association de contournement d’audit de boîte aux lettres (configurés à l’aide de l’applet de commande Set-MailboxAuditBypassAssociation ) sont ignorés.
- Les enregistrements d’audit de boîte aux lettres existants sont conservés jusqu’à l’expiration de la limite d’âge du journal d’audit pour l’enregistrement.
Activer l’audit des boîtes aux lettres par défaut
Pour réactiver l’audit de boîte aux lettres pour votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $false
Ignorer l’enregistrement d’audit de boîte aux lettres :
Pour l’instant, vous ne pouvez pas désactiver l’audit de boîte aux lettres pour les boîtes aux lettres spécifiques lorsque l’audit de boîte aux lettres activé par défaut est activé dans votre organisation. Par exemple, la définition de la propriété de boîte aux lettres AuditEnabled sur False est ignorée.
Toutefois, vous pouvez toujours utiliser l’applet de commande Set-MailboxAuditBypassAssociation dans Exchange Online PowerShell pour empêcher la journalisation de toutes les actions de boîte aux lettres effectuées par les utilisateurs spécifiés, quel que soit l’endroit où les actions se produisent. Par exemple :
- Les actions du propriétaire de boîte aux lettres effectuées par les utilisateurs contournés ne sont pas journalisées.
- Les actions déléguées effectuées par les utilisateurs contournés sur les boîtes aux lettres d’autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas journalisées.
- Administration actions effectuées par les utilisateurs contournés ne sont pas journalisées.
Pour ignorer la journalisation d’audit de boîte aux lettres pour un utilisateur spécifique, remplacez <MailboxIdentity> par le nom, l’adresse de courrier, l’alias ou le nom d’utilisateur principal (nom d’utilisateur) de l’utilisateur, puis exécutez la commande suivante :
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Pour vérifier que l’audit est contourné pour l’utilisateur spécifié, exécutez la commande suivante :
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
La valeur True indique que la journalisation d’audit de boîte aux lettres est ignorée pour l’utilisateur.
Plus d’informations
Par défaut, les enregistrements du journal d’audit de boîte aux lettres sont conservés pendant 90 jours avant d’être supprimés. Vous pouvez modifier la limite d’âge des enregistrements du journal d’audit à l’aide du paramètre AuditLogAgeLimit sur l’applet de commande Set-Mailbox dans Exchange Online PowerShell. Toutefois, l’augmentation de cette valeur ne vous permet pas de rechercher des événements datant de plus de 90 jours dans le journal d’audit.
Si vous augmentez la limite d’âge, vous devez utiliser l’applet de commande Recherche-MailboxAuditLog dans Exchange Online PowerShell pour rechercher dans le journal d’audit de la boîte aux lettres de l’utilisateur les enregistrements datant de plus de 90 jours.
Si vous avez modifié la propriété AuditLogAgeLimit d’une boîte aux lettres avant que l’audit de boîte aux lettres soit activé par défaut pour organization, la limite d’âge du journal d’audit existante de la boîte aux lettres n’est pas modifiée. En d’autres termes, l’audit de boîte aux lettres activé par défaut n’affecte pas la limite d’âge actuelle pour les enregistrements d’audit de boîte aux lettres.
Pour modifier la valeur AuditLogAgeLimit sur une boîte aux lettres de groupe Microsoft 365, vous devez inclure le
-GroupMailboxcommutateur dans la commande Set-Mailbox .Les enregistrements du journal d’audit de boîte aux lettres sont stockés dans un sous-dossier (nommé Audits) dans le dossier Éléments récupérables de la boîte aux lettres de chaque utilisateur. Gardez à l’esprit les éléments suivants concernant les enregistrements d’audit de boîte aux lettres et le dossier Éléments récupérables :
Les enregistrements d’audit de boîte aux lettres sont comptabilisés par rapport au quota de stockage du dossier Éléments récupérables, qui est de 30 Go par défaut (le quota d’avertissement est de 20 Go). Le quota de stockage est automatiquement augmenté à 100 Go (avec un quota d’avertissement de 90 Go) dans les cas suivants :
- Une conservation est placée sur une boîte aux lettres.
- La boîte aux lettres est affectée à une stratégie de rétention dans le portail Microsoft Purview ou le portail de conformité.
Les enregistrements d’audit de boîte aux lettres sont également comptabilisés dans la limite de dossiers pour le dossier Éléments récupérables. Un maximum de 3 millions d’éléments (enregistrements d’audit) peuvent être stockés dans le sous-dossier Audits.
Remarque
Il est peu probable que l’audit de boîte aux lettres activé par défaut affecte le quota de stockage ou la limite de dossiers pour le dossier Éléments récupérables.
Vous pouvez exécuter la commande suivante dans Exchange Online PowerShell pour afficher la taille et le nombre d’éléments dans le sous-dossier Audits du dossier Éléments récupérables :
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderVous ne pouvez pas accéder directement à un enregistrement de journal d’audit dans le dossier Éléments récupérables . à la place, vous utilisez l’applet de commande Recherche-MailboxAuditLog ou effectuez une recherche dans le journal d’audit pour rechercher et afficher les enregistrements d’audit de boîte aux lettres.
Si une boîte aux lettres est mise en attente ou affectée à une stratégie de rétention, les enregistrements du journal d’audit sont conservés pendant la durée définie par la propriété AuditLogAgeLimit de la boîte aux lettres (90 jours par défaut). Pour conserver plus longtemps les enregistrements du journal d’audit pour les boîtes aux lettres en attente, vous devez augmenter la valeur AuditLogAgeLimit de la boîte aux lettres.
Dans un environnement multigéographique, l’audit de boîte aux lettres intergéographique n’est pas pris en charge. Par exemple, si un utilisateur se voit attribuer des autorisations pour accéder à une boîte aux lettres partagée dans un autre emplacement géographique, les actions de boîte aux lettres effectuées par cet utilisateur ne sont pas enregistrées dans le journal d’audit de la boîte aux lettres partagée. Les événements d’audit de l’administrateur Exchange sont disponibles pour tous les emplacements via Microsoft Purview et l’applet de commande Recherche-UnifiedAuditLog.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour