Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment utiliser l’outil de recherche dans les journaux d’audit pour vous aider à examiner les problèmes courants de support. Cela inclut l’utilisation du journal d’audit pour :
- Rechercher l’adresse IP de l’ordinateur utilisé pour accéder à un compte compromis
- Déterminer qui a configuré le transfert d’e-mail pour une boîte aux lettres
- Déterminer si un utilisateur a supprimé des éléments de courrier électronique dans sa boîte aux lettres
- Déterminer si un utilisateur a créé une règle de boîte de réception
- Recherchez la raison pour laquelle un utilisateur a réussi à se connecter en dehors de votre organization
- Rechercher les activités de boîte aux lettres effectuées par les utilisateurs avec des licences non E5
- Rechercher les activités de boîte aux lettres effectuées par les utilisateurs délégués
Conseil
Si vous n’êtes pas un client E5, utilisez l’essai des solutions Microsoft Purview de 90 jours pour découvrir comment des fonctionnalités Purview supplémentaires peuvent aider votre organisation à gérer ses besoins en matière de sécurité et de conformité des données. Commencez dès maintenant avec le Hub d’essai Microsoft Purview. Découvrez plus d’informations sur l’inscription et les conditions de la version d’évaluation.
Utilisation de l’outil de recherche dans les journaux d’audit
Chacun des scénarios de résolution des problèmes décrits dans cet article est basé sur l’utilisation de l’outil de recherche dans les journaux d’audit dans le portail Microsoft Purview. Cette section répertorie les autorisations requises pour rechercher dans le journal d’audit et décrit les étapes d’accès et d’exécution des recherches dans les journaux d’audit. Chaque section de scénario explique comment configurer une requête de recherche dans les journaux d’audit et ce qu’il faut rechercher dans les informations détaillées dans les enregistrements d’audit qui correspondent aux critères de recherche.
Autorisations requises pour utiliser l’outil de recherche dans le journal d’audit
Les rôles Journaux d’audit ou Journaux d’audit d’affichage uniquement doivent vous être attribués dans Purview pour effectuer une recherche dans le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Lecteur d’audit et Gestionnaire d’audit dans la page Groupes de rôles du portail Microsoft Purview.
Pour accéder aux applets de commande d’audit, vous devez avoir les rôles Journaux d’audit et Journaux d’audit afficher uniquement dans le Centre d’administration Exchange. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation dans la page Autorisations du Centre d’administration Exchange.
Pour plus d’informations, consultez Prise en main des solutions d’audit.
Exécution de recherches dans le journal d’audit
Pour obtenir des instructions détaillées sur la façon d’exécuter une recherche dans le journal d’audit, consultez Rechercher dans le journal d’audit.
Rechercher l’adresse IP de l’ordinateur utilisé pour accéder à un compte compromis
L’adresse IP correspondant à une activité effectuée par n’importe quel utilisateur est incluse dans la plupart des enregistrements d’audit. Les informations sur le client utilisé sont également incluses dans l’enregistrement d’audit.
Voici comment configurer une requête de recherche dans le journal d’audit pour ce scénario :
Activités: Si cela est pertinent pour votre cas, sélectionnez une activité spécifique à rechercher. Pour résoudre les problèmes liés aux comptes compromis, envisagez de sélectionner l’activité Utilisateur connecté à la boîte aux lettres sous Activités de boîte aux lettres Exchange. Cela renvoie les enregistrements d’audit montrant l’adresse IP utilisée lors de la connexion à la boîte aux lettres. Sinon, laissez ce champ vide pour renvoyer les enregistrements d’audit pour toutes les activités.
Conseil
Le fait de laisser ce champ vide renvoie les activités UserLoggedIn, qui est une activité Microsoft Entra qui indique qu’une personne s’est connectée à un compte d’utilisateur. Utilisez le filtrage dans les résultats de la recherche pour afficher les enregistrements d’audit UserLoggedIn .
Date de début et Date de fin : sélectionnez une plage de dates applicable à votre investigation.
Utilisateurs: Si vous examinez un compte compromis, sélectionnez l’utilisateur dont le compte a été compromis. Cela retourne les enregistrements d’audit pour les activités effectuées par ce compte d’utilisateur.
Fichier, dossier ou site : Laissez ce champ vide.
Après avoir exécuté la recherche, l’adresse IP de chaque activité s’affiche dans la colonne Adresse IP des résultats de la recherche. Sélectionnez l’enregistrement dans les résultats de la recherche pour afficher des informations plus détaillées sur la page de menu volant.
Déterminer qui a configuré le transfert d’e-mail pour une boîte aux lettres
Lorsque le transfert de courrier électronique est configuré pour une boîte aux lettres, les messages électroniques envoyés à la boîte aux lettres sont transférés vers une autre boîte aux lettres. Les messages peuvent être transférés aux utilisateurs à l’intérieur ou à l’extérieur de votre organization. Lorsque le transfert de courrier est configuré sur une boîte aux lettres, l’applet de commande Exchange Online sous-jacente utilisée est Set-Mailbox.
Voici comment configurer une requête de recherche dans le journal d’audit pour ce scénario :
Activités: Laissez ce champ vide afin que la recherche retourne des enregistrements d’audit pour toutes les activités. Cela est nécessaire pour retourner tous les enregistrements d’audit liés à l’applet de commande Set-Mailbox .
Date de début et Date de fin : sélectionnez une plage de dates applicable à votre investigation.
Utilisateurs: Sauf si vous examinez un problème de transfert d’e-mail pour un utilisateur spécifique, laissez ce champ vide. Cela vous permet d’identifier si le transfert d’e-mails a été configuré pour n’importe quel utilisateur.
Fichier, dossier ou site : Laissez ce champ vide.
Après avoir exécuté la recherche, sélectionnez Filtrer les résultats dans la page des résultats de la recherche. Dans la zone sous l’en-tête de colonne Activité , tapez Set-Mailbox afin que seuls les enregistrements d’audit liés à l’applet de commande Set-Mailbox s’affichent.
À ce stade, vous devez examiner les détails de chaque enregistrement d’audit pour déterminer si l’activité est liée au transfert de courrier électronique. Sélectionnez l’enregistrement d’audit pour afficher la page de menu volant Détails , puis sélectionnez Plus d’informations. La capture d’écran et les descriptions suivantes mettent en évidence les informations qui indiquent que le transfert de courrier a été défini sur la boîte aux lettres.
a. Dans le champ ObjectId , l’alias de la boîte aux lettres sur laquelle le transfert de courrier électronique a été défini s’affiche. Cette boîte aux lettres s’affiche également dans la colonne Élément de la page des résultats de la recherche.
b. Dans le champ Paramètres , la valeur ForwardingSmtpAddress indique que le transfert d’e-mail a été défini sur la boîte aux lettres. Dans cet exemple, le courrier est transféré à l’adresse mike@contoso.come-mail , qui se trouve en dehors du alpinehouse.onmicrosoft.com organization.
c. La valeur True du paramètre DeliverToMailboxAndForward indique qu’une copie du message est remise à sarad@alpinehouse.onmicrosoft.comet qu’elle est transférée à l’adresse e-mail spécifiée par le paramètre ForwardingSmtpAddress , qui est mike@contoso.comdans cet exemple . Si la valeur du paramètre DeliverToMailboxAndForward est définie sur Faux, le courrier électronique est uniquement transféré à l’adresse spécifiée par le paramètre ForwardingSmtpAddress . Il n’est pas remis à la boîte aux lettres spécifiée dans le champ ObjectId.
d. Le champ UserId indique l’utilisateur qui définit le transfert de courrier électronique sur la boîte aux lettres spécifiée dans le champ ObjectId . Cet utilisateur s’affiche également dans la colonne Utilisateur de la page des résultats de la recherche. Dans ce cas, il semble que le propriétaire de la boîte aux lettres a défini le transfert d’e-mail sur la boîte aux lettres.
Si vous déterminez que le transfert de courrier ne doit pas être défini sur la boîte aux lettres, vous pouvez le supprimer en exécutant la commande suivante dans Exchange Online PowerShell :
Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null
Pour plus d’informations sur les paramètres liés au transfert de courrier électronique, consultez l’article Set-Mailbox .
Déterminer si un utilisateur a supprimé des éléments de courrier électronique
À compter de janvier 2019, Microsoft activez la journalisation d’audit des boîtes aux lettres par défaut pour toutes les organisations Office 365 et Microsoft. Cela signifie que certaines actions effectuées par les propriétaires de boîtes aux lettres sont automatiquement journalisées et que les enregistrements d’audit de boîte aux lettres correspondants sont disponibles lorsque vous les recherchez dans le journal d’audit de la boîte aux lettres. Avant que l’audit de boîte aux lettres soit activé par défaut, vous deviez l’activer manuellement pour chaque boîte aux lettres utilisateur de votre organization.
Les actions de boîte aux lettres enregistrées par défaut incluent les actions de boîte aux lettres SoftDelete et HardDelete effectuées par les propriétaires de boîtes aux lettres. Cela signifie que vous pouvez utiliser les étapes suivantes pour rechercher dans le journal d’audit des événements liés aux éléments de courrier supprimés. Pour plus d’informations sur l’audit de boîte aux lettres activé par défaut, consultez Gérer l’audit de boîte aux lettres.
Voici comment configurer une requête de recherche dans le journal d’audit pour ce scénario :
Activités: Sous Activités de boîte aux lettres Exchange, sélectionnez l’une des activités suivantes ou les deux :
Messages supprimés du dossier Éléments supprimés : Cette activité correspond à l’action d’audit de boîte aux lettres SoftDelete . Cette activité est également enregistrée lorsqu’un utilisateur supprime définitivement un élément en le sélectionnant et en appuyant sur Maj+Supprimer. Après la suppression définitive d’un élément, l’utilisateur peut le récupérer jusqu’à ce que la période de rétention de l’élément supprimé expire.
Messages vidés de la boîte aux lettres : Cette activité correspond à l’action d’audit De la boîte aux lettres HardDelete . Il est journalisé lorsqu’un utilisateur vide un élément du dossier Éléments récupérables. Les administrateurs peuvent utiliser l’outil de recherche dans le portail Microsoft Purview pour rechercher et récupérer des éléments vidés jusqu’à l’expiration de la période de rétention des éléments supprimés ou plus longtemps si la boîte aux lettres de l’utilisateur est en attente.
Date de début et Date de fin : sélectionnez une plage de dates applicable à votre investigation.
Utilisateurs: Si vous sélectionnez un utilisateur dans ce champ, l’outil de recherche dans les journaux d’audit retourne des enregistrements d’audit pour les éléments d’e-mail qui ont été supprimés (supprimés de manière réversible ou supprimée en dur) par l’utilisateur que vous spécifiez. Parfois, l’utilisateur qui supprime un e-mail peut ne pas être le propriétaire de la boîte aux lettres.
Fichier, dossier ou site : Laissez ce champ vide.
Après avoir exécuté la recherche, vous pouvez filtrer les résultats de la recherche pour afficher les enregistrements d’audit pour les éléments supprimés de manière réversible ou pour les éléments supprimés définitivement. Sélectionnez l’enregistrement d’audit pour afficher la page de menu volant Détails , puis sélectionnez Plus d’informations. Des informations supplémentaires sur l’élément supprimé, telles que la ligne d’objet et l’emplacement de l’élément lors de sa suppression, sont affichées dans le champ AffectedItems . Les captures d’écran suivantes montrent un exemple du champ AffectedItems à partir d’un élément supprimé de manière réversible et d’un élément supprimé définitivement.
Exemple de champ AffectedItems pour l’élément supprimé de manière réversible
Exemple de champ AffectedItems pour un élément supprimé de manière définitive
Récupérer les éléments de courrier supprimés
Les utilisateurs peuvent récupérer des éléments supprimés de manière réversible si la période de rétention des éléments supprimés n’a pas expiré. Dans Exchange Online, la période de rétention des éléments supprimés par défaut est de 14 jours, mais les administrateurs peuvent augmenter ce paramètre à un maximum de 30 jours. Dirigez les utilisateurs vers l'articleRécupérer les éléments supprimés ou l’e-mail dans Outlook sur le web pour obtenir des instructions sur la récupération des éléments supprimés.
Comme expliqué précédemment, les administrateurs peuvent être en mesure de récupérer des éléments supprimés définitivement si la période de rétention des éléments supprimés n’a pas expiré ou si la boîte aux lettres est en attente, auquel cas les éléments sont conservés jusqu’à l’expiration de la durée de conservation. Lorsque vous exécutez une recherche de contenu, les éléments supprimés de manière réversible et définitivement supprimés dans le dossier Éléments récupérables sont retournés dans les résultats de la recherche s’ils correspondent à la requête de recherche. Pour plus d’informations sur l’exécution de recherches de contenu, consultez Recherche de contenu dans Office 365.
Conseil
Pour rechercher des éléments de courrier supprimés, recherchez tout ou partie de la ligne d’objet affichée dans le champ AffectedItems dans l’enregistrement d’audit.
Déterminer si un utilisateur a créé une règle de boîte de réception
Lorsque les utilisateurs créent une règle de boîte de réception pour leur boîte aux lettres Exchange Online, un enregistrement d’audit correspondant est enregistré dans le journal d’audit. Pour plus d’informations sur les règles de boîte de réception, consultez :
- Utiliser des règles de boîte de réception dans Outlook sur le web
- Gérer les messages électroniques dans Outlook à l’aide de règles
Voici comment configurer une requête de recherche dans le journal d’audit pour ce scénario :
Activités: Sous Activités de boîte aux lettres Exchange, sélectionnez l’une des activités suivantes ou les deux :
New-InboxRule Créez une règle de boîte de réception à partir d’Outlook Web App. Cette activité retourne des enregistrements d’audit lorsque des règles de boîte de réception sont créées à l’aide de l’application web Outlook ou Exchange Online PowerShell.
Mise à jour des règles de boîte de réception à partir du client Outlook. Cette activité retourne des enregistrements d’audit lorsque des règles de boîte de réception sont créées, modifiées ou supprimées à l’aide du client de bureau Outlook.
Date de début et Date de fin : sélectionnez une plage de dates applicable à votre investigation.
Utilisateurs: Sauf si vous recherchez un utilisateur spécifique, laissez ce champ vide. Cela vous permet d’identifier les nouvelles règles de boîte de réception configurées par n’importe quel utilisateur.
Fichier, dossier ou site : Laissez ce champ vide.
Après avoir exécuté la recherche, tous les enregistrements d’audit pour cette activité sont affichés dans les résultats de la recherche. Sélectionnez un enregistrement d’audit pour afficher la page de menu volant Détails , puis sélectionnez Plus d’informations. Des informations sur les paramètres de règle de boîte de réception sont affichées dans le champ Paramètres. La capture d’écran et les descriptions suivantes mettent en évidence les informations sur les règles de boîte de réception.
a. Dans le champ ObjectId , le nom complet de la règle de boîte de réception s’affiche. Ce nom inclut l’alias de la boîte aux lettres de l’utilisateur (par exemple, SaraD) et le nom de la règle de boîte de réception (par exemple, « Déplacer des messages de l’administrateur »).
b. Dans le champ Paramètres , la condition de la règle de boîte de réception s’affiche. Dans cet exemple, la condition est spécifiée par le paramètre De . La valeur définie pour le paramètre From indique que la règle de boîte de réception agit sur les e-mails envoyés par admin@alpinehouse.onmicrosoft.com. Pour obtenir la liste complète des paramètres qui peuvent être utilisés pour définir les conditions des règles de boîte de réception, consultez l’article New-InboxRule .
c. Le paramètre MoveToFolder spécifie l’action de la règle de boîte de réception. Dans cet exemple, les messages reçus de admin@alpinehouse.onmicrosoft.com sont déplacés vers le dossier nommé AdminSearch. Consultez également l’article New-InboxRule pour obtenir la liste complète des paramètres qui peuvent être utilisés pour définir l’action d’une règle de boîte de réception.
d. Le champ UserId indique l’utilisateur qui a créé la règle de boîte de réception spécifiée dans le champ ObjectId . Cet utilisateur s’affiche également dans la colonne Utilisateur de la page des résultats de la recherche.
Recherchez la raison pour laquelle un utilisateur a réussi à se connecter en dehors de votre organization
Lorsque vous examinez les enregistrements d’audit dans le journal d’audit, vous pouvez voir des enregistrements qui indiquent qu’un utilisateur externe a été authentifié par Microsoft Entra ID et s’est correctement connecté à votre organization. Par exemple, un administrateur dans contoso.onmicrosoft.com peut voir un enregistrement d’audit indiquant qu’un utilisateur d’un autre organization (par exemple, fabrikam.onmicrosoft.com) s’est correctement connecté à contoso.onmicrosoft.com. De même, vous pouvez voir des enregistrements d’audit qui indiquent que les utilisateurs disposant d’un compte Microsoft (MSA), tel qu’un Outlook.com ou un Live.com, se sont correctement connectés à votre organization. Dans ces situations, l’activité auditée est lU’ltilisateur connecté.
Ce comportement est inhérent au produit. Microsoft Entra ID, le service d’annuaire, autorise une authentification directe lorsqu’un utilisateur externe tente d’accéder à un site SharePoint ou à un emplacement OneDrive dans votre organization. Lorsque l’utilisateur externe tente de le faire, il est invité à entrer ses informations d’identification. Microsoft Entra ID utilise les informations d’identification pour authentifier l’utilisateur, ce qui signifie que seul Microsoft Entra ID vérifie que l’utilisateur est bien celui qu’il prétend être. L’indication de la connexion réussie dans l’enregistrement d’audit est le résultat de Microsoft Entra l’authentification de l’utilisateur. La connexion réussie ne signifie pas que l’utilisateur a pu accéder à des ressources ou effectuer d’autres actions dans votre organization. Elle indique uniquement que l’utilisateur a été authentifié par Microsoft Entra ID. Pour qu’un utilisateur direct accède aux ressources SharePoint ou OneDrive, un utilisateur de votre organization doit partager explicitement une ressource avec l’utilisateur externe en lui envoyant une invitation de partage ou un lien de partage anonyme.
Remarque
Microsoft Entra ID autorise l’authentification directe uniquement pour les applications internes, telles que SharePoint Online et OneDrive Entreprise. Elle n’est pas autorisée pour d’autres applications tierces.
Voici un exemple et des descriptions des propriétés pertinentes dans un enregistrement d’audit pour un événement utilisateur connecté qui est le résultat de l’authentification directe. Sélectionnez l’enregistrement d’audit pour afficher la page de menu volant Détails , puis sélectionnez Plus d’informations.
a. Ce champ indique que l’utilisateur qui a tenté d’accéder à une ressource dans votre organization est introuvable dans la Microsoft Entra ID de votre organization.
b. Ce champ affiche l’UPN de l’utilisateur externe qui a tenté d’accéder à une ressource dans votre organization. Cet ID d’utilisateur est également identifié dans les propriétés Utilisateur et UserId dans l’enregistrement d’audit.
c. La propriété ApplicationId identifie l’application qui a déclenché la demande de connexion. La valeur 00000003-0000-0ff1-ce00-0000000000 affichée dans la propriété ApplicationId de cet enregistrement d’audit indique SharePoint Online. OneDrive Entreprise a également ce même Id d’application.
d. Cela indique que l’authentification directe a réussi. En d’autres termes, l’utilisateur a été correctement authentifié par Microsoft Entra ID.
e. La valeur RecordType de 15 indique que l’activité auditée (UserLoggedIn) est un événement de connexion STS (Secure Token Service) dans Microsoft Entra ID.
Pour plus d’informations sur les autres propriétés affichées dans un enregistrement d’audit UserLoggedIn, consultez l’Microsoft Entra informations de schéma associées dans Office 365 Schéma de l’API Activité de gestion.
Voici deux exemples de scénarios qui aboutiraient à une activité d’audit réussie de l’utilisateur connecté en raison de l’authentification directe :
Un utilisateur disposant d’un compte Microsoft (tel que SaraD@outlook.com) a essayé d’accéder à un document dans un compte OneDrive Entreprise dans fourthcoffee.onmicrosoft.com et il n’existe pas de compte d’utilisateur invité correspondant pour SaraD@outlook.com dans fourthcoffee.onmicrosoft.com.
Un utilisateur disposant d’un compte professionnel ou scolaire dans un organization (tel que pilarp@fabrikam.onmicrosoft.com) a essayé d’accéder à un site SharePoint dans contoso.onmicrosoft.com et il n’existe pas de compte d’utilisateur invité correspondant pour pilarp@fabrikam.com dans contoso.onmicrosoft.com.
Conseils pour examiner les connexions réussies résultant de l’authentification directe
Recherchez dans le journal d’audit les activités effectuées par l’utilisateur externe identifié dans l’Utilisateur connecté dans l’enregistrement d’audit. Tapez l’UPN de l’utilisateur externe dans la zone Utilisateurs, puis utilisez une plage de dates si cela est pertinent pour votre scénario. Par exemple, vous pouvez créer une recherche à l’aide des critères de recherche suivants :
En plus des activités de connexion de l’utilisateur, d’autres enregistrements d’audit peuvent être retournés, tels que ceux qui indiquent qu’un utilisateur de votre organization des ressources partagées avec l’utilisateur externe et si l’utilisateur externe a accédé, modifié ou téléchargé un document qui a été partagé avec lui.
Recherchez les activités de partage SharePoint qui indiqueraient qu’un fichier a été partagé avec l’utilisateur externe identifié par un utilisateur connecté à l’enregistrement d’audit. Pour plus d’informations, voir Utiliser l’audit du partage dans le journal d’audit.
Exportez les résultats de recherche du journal d’audit qui contiennent des enregistrements pertinents pour votre investigation afin de pouvoir utiliser Excel pour rechercher d’autres activités liées à l’utilisateur externe. Pour plus d’informations, consultez Exporter, configurer et afficher des enregistrements du journal d’audit.
Rechercher les activités de boîte aux lettres effectuées par les utilisateurs avec des licences non E5
Même lorsque l’audit de boîte aux lettres activé par défaut est activé pour votre organization, vous remarquerez peut-être que les événements d’audit de boîte aux lettres pour certains utilisateurs ne sont pas trouvés dans les recherches dans les journaux d’audit à l’aide du portail Microsoft Purview, de l’applet de commande Search-UnifiedAuditLog ou de l’API activité de gestion Office 365. La raison en est que les événements d’audit de boîte aux lettres sont retournés uniquement pour les utilisateurs disposant de licences E5 lorsque vous utilisez l’une des méthodes précédentes pour rechercher dans le journal d’audit unifié.
Pour récupérer les enregistrements du journal d’audit de boîte aux lettres pour les utilisateurs non-E5, vous pouvez effectuer l’une des solutions de contournement suivantes :
Activez manuellement l’audit des boîtes aux lettres sur des boîtes aux lettres individuelles (exécutez la
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $truecommande dans Exchange Online PowerShell). Après cela, recherchez les activités d’audit de boîte aux lettres à l’aide du portail Microsoft Purview, de l’applet de commande Search-UnifiedAuditLog ou de l’API d’activité de gestion Office 365.Remarque
Si l’audit de boîte aux lettres semble déjà activé sur la boîte aux lettres, mais que vos recherches ne retournent aucun résultat, remplacez la valeur du paramètre
$falseAuditEnabled par , puis revenez à$true.
Rechercher les activités de boîte aux lettres effectuées dans une boîte aux lettres spécifique (y compris les boîtes aux lettres partagées)
Lorsque vous utilisez la liste déroulante Utilisateurs dans l’outil de recherche de journal d’audit du portail Microsoft Purview ou la commande Search-UnifiedAuditLog -UserIds dans Exchange Online PowerShell, vous pouvez rechercher des activités effectuées par un utilisateur spécifique. Pour les activités d’audit de boîte aux lettres, ce type de recherche recherche les activités effectuées par l’utilisateur spécifié. Cela ne garantit pas que toutes les activités effectuées dans la même boîte aux lettres sont retournées dans les résultats de la recherche. Par exemple, une recherche dans les journaux d’audit ne retourne pas d’enregistrements d’audit pour les activités effectuées par un utilisateur délégué, car la recherche d’activités de boîte aux lettres effectuées par un utilisateur spécifique ne retourne pas les activités effectuées par un utilisateur délégué auquel des autorisations ont été attribuées pour accéder à la boîte aux lettres d’un autre utilisateur. (Un utilisateur délégué est une personne à qui l’autorisation de boîte aux lettres SendAs, SendOnBehalf ou FullAccess a été attribuée à la boîte aux lettres d’un autre utilisateur.)
En outre, l’utilisation de la liste déroulante Utilisateur dans l’outil de recherche dans les journaux d’audit ou search-UnifiedAuditLog -UserIds ne retourne pas de résultats pour les activités effectuées dans une boîte aux lettres partagée.
Pour rechercher les activités effectuées dans une boîte aux lettres spécifique ou rechercher des activités effectuées dans une boîte aux lettres partagée, utilisez la syntaxe suivante lors de l’exécution de l’applet de commande Search-UnifiedAuditLog :
Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid
Par exemple, la commande suivante retourne des enregistrements d’audit pour les activités effectuées dans la boîte aux lettres partagée de l’équipe de conformité Contoso entre août 2020 et octobre 2020 :
Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid