Activer l’audit de boîte aux lettres dans Office 365

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Dans Office 365, vous pouvez activer l’enregistrement d’audit boîte aux lettres afin de vous connecter accès aux boîtes aux lettres comme propriétaires de boîte aux lettres et les administrateurs délégués. Par défaut, l’audit de boîte aux lettres dans Office 365 n’est pas activée. Cela signifie que la boîte aux lettres de l’audit des événements n’apparaisse pas dans les résultats lorsque vous effectuez une recherche du journal d’audit Office 365 activité de boîte aux lettres. Mais après l’activation d’audit de boîte aux lettres journalisation pour une boîte aux lettres, vous pouvez rechercher le journal d’audit pour l’activité de boîte aux lettres. En outre, lors de la boîte aux lettres d’audit journalisation est activée, certaines actions effectuées par les administrateurs, les délégués, et propriétaires sont enregistrés par défaut. Pour ouvrir une session (, puis rechercher) actions supplémentaires, consultez l’étape 3.

Étape 1 : Connexion à Exchange Online PowerShell

Étape 2 : activation de la journalisation d’audit de boîte aux lettres

Étape 3 : indication des actions de propriétaire à auditer

Comment vérifier que l’opération a fonctionné ?

Pour plus d’informations, voir boîte aux lettres de l’enregistrement d’audit

Étape 1 : Connexion à Exchange Online PowerShell

  1. Sur votre ordinateur local, ouvrez Windows PowerShell et exécutez la commande suivante.

    $UserCredential = Get-Credential

    Dans la boîte de dialogue Demande d’informations d’identification Windows PowerShell, saisissez le nom d’utilisateur et le mot de passe d’un compte d’administrateur global Office 365, puis cliquez sur OK.

  2. Exécutez la commande suivante.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Exécutez la commande suivante.

    Import-PSSession $Session
  4. Pour vérifier que vous êtes connecté à votre organisation Exchange Online, exécutez la commande suivante pour obtenir la liste de toutes les boîtes aux lettres de votre organisation.

    Get-Mailbox

Pour plus d’informations ou si vous avez des problèmes de connexion à votre organisation Exchange Online, voir Connexion à Exchange Online à l’aide de Remote PowerShell.

Revenir au début

Étape 2 : activation de la journalisation d’audit de boîte aux lettres

Une fois que vous êtes connecté à votre organisation Exchange Online, utilisez PowerShell pour activer la journalisation d’audit de boîte aux lettres pour une boîte aux lettres donnée. Vous pouvez également activer l’audit de boîte aux lettres pour toutes les boîtes aux lettres de votre organisation.

Dans cet exemple, la journalisation d’audit est activée pour la boîte aux lettres de Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Dans cet exemple, la journalisation d’audit est activée pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Revenir au début

Étape 3 : indication des actions de propriétaire à auditer

Lorsque vous activez l’audit d’une boîte aux lettres, seule une action (UpdateFolderPermissions) effectuée par le propriétaire de celle-ci est auditée par défaut. Vous devez indiquer les autres actions de propriétaire à auditer. Consultez le tableau de la section « Actions de boîtes aux lettres » pour obtenir la liste et la description des actions de propriétaire pouvant être auditées.

Cet exemple ajoute les actions de propriétaire MailboxLogin et HardDelete à l’audit de boîte aux lettres pour la boîte aux lettres de Pilar Pinilla. Cet exemple suppose que l’audit de boîte aux lettres a déjà été activé pour cette boîte aux lettres.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

Cet exemple permet d’enregistrement de boîte aux lettres de Don Hall d’audit de boîte aux lettres et spécifie que seule l’action MailboxLogin effectuée par le propriétaire de la boîte aux lettres est enregistrée. Notez que cet exemple remplace l’action UpdateFolderPermissions par défaut.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

Cet exemple ajoute les actions de propriétaire MailboxLogin, HardDelete et SoftDelete à toutes les boîtes aux lettres de l’organisation. Cet exemple suppose que l’audit de boîte aux lettres a déjà été activé pour toutes les boîtes aux lettres.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

Revenir au début

Comment vérifier que l’opération a fonctionné ?

Pour vérifier que vous avez bien activé l’enregistrement d’audit de boîte aux lettres pour une boîte aux lettres donnée, utilisez l’applet de commande Get-Mailbox afin de récupérer les paramètres d’audit de cette boîte aux lettres.

Dans cet exemple, les paramètres d’audit sont récupérés pour Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dans cet exemple, les paramètres d’audit sont récupérés pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

La valeur True de la propriété AuditEnabled vérifie que l’enregistrement d’audit de boîte aux lettres est activé.

Revenir au début

  • Après avoir activé enregistrement pour une boîte aux lettres d’audit de boîte aux lettres, accès aux boîte aux lettres et certaines d’administration et délégué actions sont enregistrés par défaut. Pour vous connecter actions effectuées par le propriétaire de la boîte aux lettres, vous devez spécifier les actions de propriétaire à un audit. Consultez la section « Plus d’informations » pour afficher une liste d’actions qui sont enregistrés après la boîte aux lettres de l’enregistrement d’audit est activée, et les actions sont disponibles pour chaque type de connexion de l’utilisateur.

  • Vous devez utiliser Exchange Online PowerShell pour activer l’enregistrement d’audit de boîte aux lettres. Vous ne pouvez pas utiliser le Centre de sécurité et conformité Office 365 ou le Centre d’administration Exchange.

  • Un administrateur disposant de l’autorisation Accès complet sur la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.

Le tableau suivant répertorie les actions pouvant être enregistrées à l’aide de l’enregistrement d’audit de boîte aux lettres. Il indique les actions qui peuvent être enregistrées pour les différents types de connexion utilisateur. Dans ce tableau, l’indication Non indique que l’action ne peut pas être enregistrée pour ce type de connexion. Un astérisque (*) indique que l’action est enregistrée par défaut lorsque l’enregistrement d’audit de boîte aux lettres est activé pour la boîte aux lettres. Comme indiqué précédemment, la seule action de propriétaire auditée par défaut lorsque vous activez l’audit de boîte aux lettres est UpdateFolderPermissions. Pour enregistrer les autres actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer les autres actions à auditer. Pour ce faire, voir l’étape 3 de la section « Instructions détaillées » de cette rubrique.

Action

Description

Administrateur

Délégué***

Propriétaire

Copy

Un message a été copié dans un autre dossier.

Oui

Non

Non

Create

Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création, l’envoi ou la réception d’un message ne sont pas auditées. De même, la création d’un dossier de boîte aux lettres n’est pas auditée.

Oui*

Oui*

Oui

FolderBind

Un utilisateur a accédé au dossier de boîte aux lettres. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres.

Oui*

Oui**

Non

HardDelete

Un message a été purgé du dossier Éléments récupérables.

Oui*

Oui*

Oui

MailboxLogin

L’utilisateur s’est connecté à sa boîte aux lettres.

Non

Non

Oui

MessageBind

Un message a été affiché dans le volet de visualisation ou ouvert.

Oui

Non

Non

Déplacer

Un message a été déplacé vers un autre dossier.

Oui*

Oui

Oui

MoveToDeletedItems

Un message a été supprimé et déplacé vers le dossier Éléments supprimés.

Oui*

Oui

Oui

SendAs

Un message a été envoyé à l’aide de l’autorisation SendAs. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres.

Oui*

Oui*

Non

SendOnBehalf

Un courrier a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le courrier de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le courrier a été envoyé et qui a réellement envoyé le courrier.

Oui*

Oui

Non

SoftDelete

Un message a été définitivement supprimé ou supprimé (récupérable) du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables.

Oui*

Oui*

Oui

Mettre à jour

Un message ou ses propriétés ont été modifiés.

Oui*

Oui*

Oui

UpdateCalendarDelegation

Une délégation de calendrier a été affectée à une boîte aux lettres. Délégation de calendrier indique que quelqu'un d’autre les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres.

Oui*

Non

Oui*

UpdateFolderPermissions

Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers.

Oui*

Oui*

Oui*

Remarques : 

  • *  Audit par défaut si l’audit est activé pour une boîte aux lettres.

  • **  Entrées pour les actions de liaison dossier effectuées par les délégués sont consolidées. Une entrée de journal est générée pour accéder aux dossiers individuels dans un intervalle de temps de 24 heures.

  • ***  Un administrateur qui a été affecté l’autorisation d’accès complet à la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.

Si vous ne souhaitez plus que certains types d’actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d’enregistrement d’audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas effacées tant que l’âge limite des entrées du journal d’audit (90 jours) n’est pas atteint.

  • Utilisez le journal d’audit Office 365 pour rechercher des activités de boîte aux lettres qui ont été enregistrées. Vous pouvez rechercher les activités d’une boîte aux lettres d’utilisateur spécifique. La capture d’écran suivante illustre une liste d’activités de boîte aux lettres que vous pouvez rechercher dans le journal d’audit Office 365. Notez que ces activités correspondent aux actions décrites à la section « Actions d’audit de boîte aux lettres » de cette rubrique.

    Vous pouvez utiliser le journal d’audit Office 365 pour rechercher des actions d’audit de boîte aux lettres en sélectionnant « Activités de boîte aux lettres Exchange » dans la liste déroulante Activités

    Le tableau suivant décrit chacune des activités de boîte aux lettres dans lesquelles vous pouvez effectuer des recherches, et affiche l’action d’audit de boîte aux lettres correspondante.

    Activité du journal d’audit

    Action d’audit de boîte aux lettres

    Élément de boîte aux lettres créé

    Create

    Messages copiés vers un autre dossier

    Copy

    Utilisateur connecté à la boîte aux lettres

    MailboxLogin

    Message envoyé à l’aide d’autorisations Envoyer de la part de

    SendOnBehalf

    Messages supprimés définitivement de la boîte aux lettres

    HardDelete

    Messages déplacés vers le dossier Éléments supprimés

    MoveToDeletedItems

    Messages déplacés vers un autre dossier

    Move

    Message envoyé à l’aide d’autorisations Envoyer en tant que

    SendAs

    Message mis à jour

    Update

    Messages supprimés du dossier Éléments supprimés

    SoftDelete

    Notez que les activités ajoutée déléguer les autorisations de boîte aux lettres et les autorisations de boîte aux lettres de délégué supprimé indiquées dans la capture d’écran précédente ne sont pas liées à la boîte aux lettres audit des actions. Ils indiquent si un administrateur affecté ou supprimé l’autorisation de boîte aux lettres FullAccess.

    Pour plus d’informations sur le journal d’audit Office 365, voir Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365.

  • On considère qu’un administrateur accède aux boîtes aux lettres uniquement dans les cas suivants :

    • La fonctionnalité de découverte électronique inaltérable d’Exchange Online ou la fonctionnalité de recherche de contenu d’Office 365 est utilisée pour effectuer une recherche dans une boîte aux lettres.

    • Éditeur MAPI Microsoft Exchange Server sert à accéder à la boîte aux lettres.

  • Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez également indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour chaque type de connexion (administrateur, délégué ou propriétaire).

  • Pour désactiver la journalisation d’audit de boîte aux lettres, exécutez la commande suivante :

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Les actions qui sont auditées pour chaque type d’utilisateur ne sont pas affichées lorsque vous exécutez l’applet de commande Get-Mailbox. Toutefois, vous pouvez exécuter les commandes suivantes pour afficher toutes les actions auditées pour un type de connexion utilisateur spécifique.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Vous pouvez également exporter un journal d’audit de boîte aux lettres et spécifier les entrées à inclure pour un ou plusieurs utilisateurs. Chaque entrée dans le rapport et le journal d’audit inclut des informations sur qui a effectué l’action et lorsque l’action exécutée, et que l’action a réussi. Pour plus d’informations, voir Exporter les journaux d’audit de boîte aux lettres.

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×