Gérer l’audit de boîte aux lettres
À compter de janvier 2019, Microsoft activez la journalisation d’audit des boîtes aux lettres par défaut pour toutes les organisations. Cela signifie que certaines actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs sont automatiquement journalisées et que les enregistrements d’audit de boîte aux lettres correspondants sont disponibles lorsque vous les recherchez dans le journal d’audit de la boîte aux lettres. Avant que l’audit de boîte aux lettres soit activé par défaut, vous deviez l’activer manuellement pour chaque boîte aux lettres utilisateur de votre organisation.
Voici quelques avantages de l’audit de boîte aux lettres activé par défaut :
- L’audit est automatiquement activé lorsque vous créez une boîte aux lettres. Vous n’avez pas besoin de l’activer manuellement pour les nouveaux utilisateurs.
- Vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées. Un ensemble prédéfini d’actions de boîte aux lettres est audité par défaut pour chaque type d’ouverture de session (Administration, Délégué et Propriétaire).
- Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l’action peut être ajoutée automatiquement à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l’utilisateur dispose de la licence appropriée). Cela signifie que vous n’avez pas besoin de surveiller l’ajout de nouvelles actions sur les boîtes aux lettres.
- Vous disposez d’une stratégie d’audit de boîte aux lettres cohérente au sein de votre organisation (car vous auditez les mêmes actions pour toutes les boîtes aux lettres).
Remarque
- La chose importante à retenir concernant la publication de l’audit de boîte aux lettres par défaut est : vous n’avez rien à faire pour gérer l’audit des boîtes aux lettres. Toutefois, pour en savoir plus, personnaliser l’audit de boîte aux lettres à partir des paramètres par défaut ou le désactiver complètement, cet article peut vous aider.
- Par défaut, seuls les événements d’audit de boîte aux lettres pour les utilisateurs disposant de licences incluant Microsoft Purview Audit (Premium) sont disponibles dans les recherches dans les journaux d’audit dans le portail de conformité Microsoft Purview ou via l’API activité de gestion Office 365. Ces licences sont décrites ici. Par souci de concision, cet article fait collectivement référence aux licences qui incluent Audit (Premium) en tant que licences E5/A5/G5.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Vérifier l’audit des boîtes aux lettres activé par défaut est activé
Pour vérifier que l’audit de boîte aux lettres activé par défaut est activé pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell :
Get-OrganizationConfig | Format-List AuditDisabled
La valeur False indique que l’audit de boîte aux lettres activé par défaut est activé pour l’organisation. Cette valeur d’organisation activée par défaut remplace le paramètre d’audit de boîte aux lettres sur des boîtes aux lettres spécifiques. Par exemple, si l’audit de boîte aux lettres est désactivé pour une boîte aux lettres (la propriété AuditEnabled a la valeur False sur la boîte aux lettres), les actions de boîte aux lettres par défaut sont toujours auditées pour la boîte aux lettres, car l’audit de boîte aux lettres activé par défaut est activé pour l’organisation.
Pour conserver l’audit des boîtes aux lettres désactivé pour des boîtes aux lettres spécifiques, vous configurez le contournement de l’audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs qui ont été délégués à l’accès à la boîte aux lettres. Pour plus d’informations, consultez la section Ignorer la journalisation d’audit de boîte aux lettres plus loin dans cet article.
Remarque
Lorsque l’audit de boîte aux lettres activé par défaut est activé pour l’organisation, la propriété AuditEnabled des boîtes aux lettres concernées ne passe pas de False à True. En d’autres termes, l’audit de boîte aux lettres activé par défaut ignore la propriété AuditEnabled sur les boîtes aux lettres.
Types de boîtes aux lettres pris en charge
Le tableau suivant présente les types de boîtes aux lettres actuellement pris en charge par l’audit de boîte aux lettres activé par défaut :
| Type de boîte aux lettres | Pris en charge |
|---|---|
| Boîtes aux lettres utilisateur |  |
| Boîtes aux lettres partagées | |
| Boîtes aux lettres de groupe Microsoft 365 | |
| Boîtes aux lettres de ressources | |
| Boîtes aux lettres de dossiers publics |
Types d’ouverture de session et actions de boîte aux lettres
Les types d’ouverture de session classent l’utilisateur qui a effectué les actions auditées sur la boîte aux lettres. La liste suivante décrit les types d’ouverture de session utilisés dans la journalisation d’audit de boîte aux lettres :
- Propriétaire : propriétaire de la boîte aux lettres (le compte associé à la boîte aux lettres).
- Déléguer :
- Un utilisateur à qui l’autorisation SendAs, SendOnBehalf ou FullAccess a été attribuée à une autre boîte aux lettres.
- Administrateur à qui l’autorisation FullAccess a été attribuée à la boîte aux lettres d’un utilisateur.
- Administration :
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
- Recherche de contenu dans le portail de conformité.
- eDiscovery ou eDiscovery (Premium) dans le portail de conformité.
- In-Place eDiscovery dans Exchange Online.
- La boîte aux lettres est accessible à l’aide de l’éditeur MAPI Microsoft Exchange Server.
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
Actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées
Le tableau suivant décrit les actions de boîte aux lettres disponibles dans la journalisation d’audit de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.
- Une coche () indique que l’action de boîte aux lettres peut être journalisée pour le type d’ouverture de session (toutes les actions ne sont pas disponibles pour tous les types d’ouverture de session).
- Un astérisque ( * ) après la coche indique que l’action de boîte aux lettres est journalisée par défaut pour le type d’ouverture de session.
- N’oubliez pas qu’un administrateur disposant de l’autorisation Accès total à une boîte aux lettres est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| AddFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| ApplyRecord | Un élément est étiqueté en tant qu’enregistrement. | * |
* |
* |
| Copy | Un message a été copié vers un autre dossier. | |
||
| Create | Un élément a été créé dans le dossier Calendrier, Contacts, Brouillon, Notes ou Tâches de la boîte aux lettres (par exemple, une demande de réunion est créée). Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée. | * |
* |
|
| FolderBind | Un dossier de boîte aux lettres a été accédé. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres. Remarque : Les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures. |
|
|
|
| HardDelete | Un message a été purgé du dossier Éléments récupérables. | * |
* |
* |
| MailboxLogin | L’utilisateur s’est connecté à sa boîte aux lettres. | |
||
| MailItemsAccessed | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). Les protocoles de messagerie et les clients accèdent aux données de messagerie. |
* |
* |
* |
| MessageBind | Remarque : Cette valeur est disponible uniquement pour les utilisateurs sans licence E5/A5/G5. Un message a été affiché dans le volet d’aperçu ou ouvert par un administrateur. |
|
||
| ModifyFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| Déplacer | Un message a été déplacé vers un autre dossier. | |
|
|
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | * |
* |
* |
| RecordDelete | Un élément étiqueté en tant qu’enregistrement a été supprimé de manière réversible (déplacé vers le dossier Éléments récupérables). Les éléments étiquetés en tant qu’enregistrements ne peuvent pas être supprimés définitivement (vidés du dossier Éléments récupérables). | |
|
|
| RemoveFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| SearchQueryInitiated | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). Une personne utilise Outlook (Windows, Mac, iOS, Android ou Outlook sur le web) ou l’application Courrier pour Windows 10 rechercher des éléments dans une boîte aux lettres. |
|
||
| Send | Remarque : cette valeur est disponible uniquement pour les utilisateurs disposant de licences E5/A5/G5. Pour plus d’informations, consultez Configurer Microsoft Purview Audit (Premium). L’utilisateur envoie un e-mail, répond à un e-mail ou transfère un e-mail. |
* |
* |
|
| SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres. | * |
* |
|
| SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a réellement envoyé le message. | * |
* |
|
| SoftDelete | Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | * |
* |
* |
| Mettre à jour | Un message ou l’une de ses propriétés a été modifié. | * |
* |
* |
| UpdateCalendarDelegation | Une délégation de calendrier a été affectée à une boîte aux lettres. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres. | * |
* |
|
| UpdateFolderPermissions | Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. | * |
* |
* |
| UpdateInboxRules | Une règle de boîte de réception a été ajoutée, supprimée ou modifiée. Les règles de boîte de réception sont utilisées pour traiter les messages dans la boîte de réception de l’utilisateur en fonction des conditions spécifiées et prendre des mesures lorsque les conditions d’une règle sont remplies, telles que le déplacement d’un message vers un dossier spécifié ou la suppression d’un message. | * |
* |
* |
Importante
Si vous avez personnalisé les actions de boîte aux lettres pour auditer tout type d’ouverture de session avant que l’audit de boîte aux lettres activé par défaut ait été activé dans votre organisation, les paramètres personnalisés sont conservés sur la boîte aux lettres et ne sont pas remplacés par les actions de boîte aux lettres par défaut, comme décrit dans cette section. Pour rétablir les valeurs par défaut des actions de boîte aux lettres d’audit (ce que vous pouvez faire à tout moment), consultez la section Restaurer les actions de boîte aux lettres par défaut plus loin dans cet article.
Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365
L’audit de boîte aux lettres activé par défaut apporte la journalisation d’audit des boîtes aux lettres de groupe Microsoft 365, mais vous ne pouvez pas personnaliser ce qui est journalisé (vous ne pouvez pas ajouter ou supprimer des actions de boîte aux lettres journalisées pour n’importe quel type d’ouverture de session).
Le tableau suivant décrit les actions de boîte aux lettres enregistrées par défaut sur les boîtes aux lettres de groupe Microsoft 365 pour chaque type d’ouverture de session.
N’oubliez pas qu’un administrateur disposant d’une autorisation d’accès total à une boîte aux lettres de groupe Microsoft 365 est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| Create | Création d’un élément de calendrier. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. | * |
* |
|
| HardDelete | Un message a été purgé du dossier Éléments récupérables. | * |
* |
* |
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | * |
* |
* |
| SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. | * |
* |
|
| SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. | * |
* |
|
| SoftDelete | Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | * |
* |
* |
| Mettre à jour | Un message ou l’une de ses propriétés a été modifié. | * |
* |
* |
Vérifier que les actions de boîte aux lettres par défaut sont journalisées pour chaque type d’ouverture de session
L’audit de boîte aux lettres activé par défaut ajoute une nouvelle propriété DefaultAuditSet à toutes les boîtes aux lettres. La valeur de cette propriété indique si les actions de boîte aux lettres par défaut (gérées par Microsoft) sont auditées sur la boîte aux lettres.
Pour afficher la valeur sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Pour afficher la valeur sur les boîtes aux lettres de groupe Microsoft 365, remplacez MailboxIdentity> par <le nom, l’alias ou l’adresse e-mail de la boîte aux lettres partagée et exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
La valeur Admin, Delegate, Owner indique :
- Les actions de boîte aux lettres par défaut pour les trois types d’ouverture de session sont en cours d’audit. Il s’agit de la seule valeur que vous verrez sur les boîtes aux lettres de groupe Microsoft 365.
- Un administrateur n’a pas modifié les actions de boîte aux lettres auditées pour un type d’ouverture de session sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée. Notez qu’il s’agit de l’état par défaut après que l’audit de boîte aux lettres activé par défaut est initialement activé dans votre organisation.
Si un administrateur a déjà modifié les actions de boîte aux lettres auditées pour un type d’ouverture de session (à l’aide des paramètres AuditAdmin, AuditDelegate ou AuditOwner sur l’applet de commande Set-Mailbox ), la valeur de la propriété sera différente.
Par exemple, la valeur Owner de la propriété DefaultAuditSet sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée indique :
- Les actions de boîte aux lettres par défaut pour le propriétaire de la boîte aux lettres sont en cours d’audit.
- Les actions de boîte aux lettres auditées pour les
Delegatetypes d’ouverture de session etAdminont été modifiées par rapport aux actions par défaut.
Une valeur vide pour la propriété DefaultAuditSet indique que les actions de boîte aux lettres pour les trois types d’ouverture de session ont été modifiées sur la boîte aux lettres utilisateur ou une boîte aux lettres partagée.
Pour plus d’informations, consultez la section Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut dans cet article.
Afficher les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres
Pour afficher les actions de boîte aux lettres actuellement enregistrées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez une ou plusieurs des commandes suivantes dans Exchange Online PowerShell.
Remarque
Bien que vous puissiez ajouter le -GroupMailbox commutateur aux commandes Get-Mailbox suivantes pour les boîtes aux lettres de groupe Microsoft 365, ne croyez pas les valeurs retournées. Les actions de boîte aux lettres statiques et par défaut auditées pour les boîtes aux lettres de groupe Microsoft 365 sont décrites dans la section Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365 plus haut dans cet article.
Actions du propriétaire
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Déléguer des actions
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
actions Administration
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut
Comme expliqué précédemment, l’un des principaux avantages de l’audit de boîte aux lettres activé par défaut est : vous n’avez pas besoin de gérer les actions de boîtes aux lettres auditées. Microsoft le fait pour vous et nous ajouterons automatiquement de nouvelles actions de boîte aux lettres à auditer par défaut à mesure qu’elles seront publiées.
Toutefois, votre organisation peut être tenue d’auditer un autre ensemble d’actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées. Les procédures de cette section vous montrent comment modifier les actions de boîte aux lettres auditées pour chaque type d’ouverture de session et comment revenir aux actions par défaut gérées par Microsoft.
Importante
Si vous utilisez les procédures suivantes pour personnaliser les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouvelles actions de boîte aux lettres par défaut publiées par Microsoft ne seront pas automatiquement auditées sur ces boîtes aux lettres. Vous devez ajouter manuellement toutes les nouvelles actions de boîte aux lettres à votre liste d’actions personnalisée.
Modifier les actions de boîte aux lettres pour auditer
Vous pouvez utiliser les paramètres AuditAdmin, AuditDelegate ou AuditOwner de l’applet de commande Set-Mailbox pour modifier les actions de boîte aux lettres auditées pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées (les actions auditées pour les boîtes aux lettres de groupe Microsoft 365 ne peuvent pas être personnalisées).
Vous pouvez utiliser deux méthodes différentes pour spécifier les actions de boîte aux lettres :
- Remplacez (remplacez ) les actions de boîte aux lettres existantes à l’aide de la syntaxe suivante :
action1,action2,...actionN. - Ajoutez ou supprimez des actions de boîte aux lettres sans affecter d’autres valeurs existantes à l’aide de la syntaxe suivante :
@{Add="action1","action2",..."actionN"}ou@{Remove="action1","action2",..."actionN"}.
Cet exemple montre comment modifier les actions de boîte aux lettres d’administration pour la boîte aux lettres nommée « Gabriela Laureano » en remplaçant les actions par défaut par SoftDelete et HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
Cet exemple ajoute l’action propriétaire MailboxLogin à la boîte aux lettres laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
Cet exemple supprime l’action déléguée MoveToDeletedItems pour la boîte aux lettres Discussion d’équipe.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Quelle que soit la méthode que vous utilisez, la personnalisation des actions de boîte aux lettres auditées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées a les résultats suivants :
- Pour le type d’ouverture de session que vous avez personnalisé, les actions de boîte aux lettres auditées ne sont plus gérées par Microsoft.
- Le type d’ouverture de session que vous avez personnalisé n’est plus affiché dans la valeur de la propriété DefaultAuditSet pour la boîte aux lettres, comme décrit précédemment.
Restaurer les actions de boîte aux lettres par défaut
Remarque
Les procédures suivantes ne s’appliquent pas aux boîtes aux lettres de groupe Microsoft 365 (elles sont limitées aux actions par défaut décrites ici).
Si vous avez personnalisé les actions de boîte aux lettres auditées sur une boîte aux lettres utilisateur ou partagée, vous pouvez restaurer les actions de boîte aux lettres par défaut pour un ou tous les types d’ouverture de session à l’aide de la syntaxe suivante :
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Vous pouvez spécifier plusieurs valeurs DefaultAuditSet séparées par des virgules
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour tous les types d’ouverture de session sur la boîte aux lettres mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour le type d’ouverture de session Administration sur la boîte aux lettres chris@contoso.onmicrosoft.com, mais laisse les actions de boîte aux lettres auditées personnalisées pour les types d’ouverture de session Délégué et Propriétaire.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
La restauration des actions de boîte aux lettres auditées par défaut pour un type d’ouverture de session a les résultats suivants :
- La liste actuelle des actions de boîte aux lettres est remplacée par les actions de boîte aux lettres par défaut pour le type d’ouverture de session.
- Toutes les nouvelles actions de boîte aux lettres publiées par Microsoft sont automatiquement ajoutées à la liste des actions auditées pour le type d’ouverture de session.
- La valeur de la propriété DefaultAuditSet de la boîte aux lettres est mise à jour pour inclure le type d’ouverture de session restauré.
Désactiver l’audit des boîtes aux lettres par défaut pour votre organisation
Vous pouvez désactiver l’audit des boîtes aux lettres par défaut pour l’ensemble de votre organisation en exécutant la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $true
La désactivation de l’audit de boîte aux lettres activée par défaut a les résultats suivants :
- L’audit de boîte aux lettres est désactivé pour votre organisation.
- À partir du moment où vous avez désactivé l’audit de boîte aux lettres par défaut, aucune action de boîte aux lettres n’est auditée, même si l’audit est activé sur une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur True).
- L’audit de boîte aux lettres n’est pas activé pour les nouvelles boîtes aux lettres et la définition de la propriété AuditEnabled sur une boîte aux lettres nouvelle ou existante sur True sera ignorée.
- Tous les paramètres d’association de contournement d’audit de boîte aux lettres (configurés à l’aide de l’applet de commande Set-MailboxAuditBypassAssociation ) sont ignorés.
- Les enregistrements d’audit de boîte aux lettres existants sont conservés jusqu’à l’expiration de la limite d’âge du journal d’audit pour l’enregistrement.
Activer l’audit des boîtes aux lettres par défaut
Pour réactiver l’audit de boîte aux lettres pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $false
Ignorer l’enregistrement d’audit de boîte aux lettres :
Pour l’instant, vous ne pouvez pas désactiver l’audit de boîte aux lettres pour les boîtes aux lettres spécifiques lorsque l’audit de boîte aux lettres activé par défaut est activé dans votre organisation. Par exemple, la définition de la propriété de boîte aux lettres AuditEnabled sur False est ignorée.
Toutefois, vous pouvez toujours utiliser l’applet de commande Set-MailboxAuditBypassAssociation dans Exchange Online PowerShell pour empêcher la journalisation de toutes les actions de boîte aux lettres effectuées par les utilisateurs spécifiés, quel que soit l’endroit où les actions se produisent. Par exemple :
- Les actions du propriétaire de boîte aux lettres effectuées par les utilisateurs contournés ne sont pas journalisées.
- Les actions déléguées effectuées par les utilisateurs contournés sur les boîtes aux lettres d’autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas journalisées.
- Administration actions effectuées par les utilisateurs contournés ne sont pas journalisées.
Pour ignorer la journalisation d’audit de boîte aux lettres pour un utilisateur spécifique, remplacez <MailboxIdentity> par le nom, l’adresse de courrier, l’alias ou le nom d’utilisateur principal (nom d’utilisateur) de l’utilisateur, puis exécutez la commande suivante :
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Pour vérifier que l’audit est contourné pour l’utilisateur spécifié, exécutez la commande suivante :
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
La valeur True indique que la journalisation d’audit de boîte aux lettres est ignorée pour l’utilisateur.
Plus d’informations
Comme mentionné précédemment, bien que la journalisation d’audit de boîte aux lettres activée par défaut soit activée pour toutes les organisations, seuls les utilisateurs disposant de licences qui incluent Audit (Premium) (collectivement appelés licences E5/A5/G5 dans cet article) retournent les événements de journal d’audit de boîte aux lettres dans les recherches dans le journal d’audit dans le portail de conformité Microsoft Purview ou via le API d’activité de gestion Office 365par défaut.
Pour récupérer les entrées du journal d’audit de boîte aux lettres pour les utilisateurs sans licence E5/A5/G5, vous pouvez utiliser l’une des solutions de contournement suivantes :
Activez manuellement l’audit des boîtes aux lettres sur des boîtes aux lettres individuelles (exécutez la commande ).
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $trueAprès cela, vous pouvez utiliser les recherches dans les journaux d’audit dans le portail de conformité Microsoft Purview ou via l’API d’activité de gestion Office 365.Remarque
Si l’audit de boîte aux lettres semble déjà activé sur la boîte aux lettres, mais que vos recherches ne retournent aucun résultat, remplacez la valeur du paramètre
$falseAuditEnabled par , puis revenez à$true.Utilisez les applets de commande suivantes dans Exchange Online PowerShell :
- Search-MailboxAuditLog pour rechercher des utilisateurs spécifiques dans le journal d’audit de la boîte aux lettres.
- New-MailboxAuditLogSearch pour rechercher des utilisateurs spécifiques dans le journal d’audit de boîte aux lettres et envoyer les résultats par e-mail à des destinataires spécifiés.
Utilisez le Centre d’administration Exchange (EAC) dans Exchange Online pour effectuer les actions suivantes :
Par défaut, les enregistrements du journal d’audit de boîte aux lettres sont conservés pendant 90 jours avant d’être supprimés. Vous pouvez modifier la limite d’âge des enregistrements du journal d’audit à l’aide du paramètre AuditLogAgeLimit sur l’applet de commande Set-Mailbox dans Exchange Online PowerShell. Toutefois, l’augmentation de cette valeur ne vous permet pas de rechercher des événements datant de plus de 90 jours dans le journal d’audit.
Si vous augmentez la limite d’âge, vous devez utiliser l’applet de commande Search-MailboxAuditLog dans Exchange Online PowerShell pour rechercher les enregistrements antérieurs à 90 jours dans le journal d’audit de la boîte aux lettres de l’utilisateur.
Si vous avez modifié la propriété AuditLogAgeLimit d’une boîte aux lettres avant que l’audit de boîte aux lettres soit activé par défaut pour l’organisation, la limite d’âge du journal d’audit existante de la boîte aux lettres n’est pas modifiée. En d’autres termes, l’audit de boîte aux lettres activé par défaut n’affecte pas la limite d’âge actuelle pour les enregistrements d’audit de boîte aux lettres.
Pour modifier la valeur AuditLogAgeLimit sur une boîte aux lettres de groupe Microsoft 365, vous devez inclure le
-GroupMailboxcommutateur dans la commande Set-Mailbox .Les enregistrements du journal d’audit de boîte aux lettres sont stockés dans un sous-dossier (nommé Audits) dans le dossier Éléments récupérables de la boîte aux lettres de chaque utilisateur. Gardez à l’esprit les éléments suivants concernant les enregistrements d’audit de boîte aux lettres et le dossier Éléments récupérables :
Les enregistrements d’audit de boîte aux lettres sont comptabilisés par rapport au quota de stockage du dossier Éléments récupérables, qui est de 30 Go par défaut (le quota d’avertissement est de 20 Go). Le quota de stockage est automatiquement augmenté à 100 Go (avec un quota d’avertissement de 90 Go) dans les cas suivants :
- Une conservation est placée sur une boîte aux lettres.
- La boîte aux lettres est affectée à une stratégie de rétention dans le portail de conformité.
Les enregistrements d’audit de boîte aux lettres sont également comptabilisés dans la limite de dossiers pour le dossier Éléments récupérables. Un maximum de 3 millions d’éléments (enregistrements d’audit) peuvent être stockés dans le sous-dossier Audits.
Remarque
Il est peu probable que l’audit de boîte aux lettres activé par défaut affecte le quota de stockage ou la limite de dossiers pour le dossier Éléments récupérables.
Vous pouvez exécuter la commande suivante dans Exchange Online PowerShell pour afficher la taille et le nombre d’éléments dans le sous-dossier Audits du dossier Éléments récupérables :
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderVous ne pouvez pas accéder directement à un enregistrement de journal d’audit dans le dossier Éléments récupérables . à la place, vous utilisez l’applet de commande Search-MailboxAuditLog ou effectuez une recherche dans le journal d’audit pour rechercher et afficher les enregistrements d’audit de boîte aux lettres.
Si une boîte aux lettres est mise en attente ou affectée à une stratégie de rétention dans le portail de conformité, les enregistrements du journal d’audit sont conservés pendant la durée définie par la propriété AuditLogAgeLimit de la boîte aux lettres (90 jours par défaut). Pour conserver plus longtemps les enregistrements du journal d’audit pour les boîtes aux lettres en attente, vous devez augmenter la valeur AuditLogAgeLimit de la boîte aux lettres.
Dans un environnement multigéographique, l’audit de boîte aux lettres intergéographique n’est pas pris en charge. Par exemple, si un utilisateur se voit attribuer des autorisations pour accéder à une boîte aux lettres partagée dans un autre emplacement géographique, les actions de boîte aux lettres effectuées par cet utilisateur ne sont pas enregistrées dans le journal d’audit de la boîte aux lettres partagée. Les événements d’audit d’administrateur Exchange sont disponibles pour tous les emplacements via Microsoft Purview et l’applet de commande Search-UnifiedAuditLog .