Activer l’audit de boîte aux lettres dans Office 365

Office 365 vous permet d’activer l’enregistrement d'audit de boîte aux lettres pour enregistrer les accès à une boîte aux lettres par les propriétaires, les délégués et les administrateurs de celle-ci. Par défaut, l’audit de la boîte aux lettres n’est pas activé dans Office 365. Cela signifie que les événements de l’audit de la boîte aux lettres n’apparaitront pas dans les résultats lorsque vous recherchez le journal d’audit Office 365 pour l’activité de la boîte aux lettres. Mais après avoir activé l’enregistrement d'audit pour une boîte aux lettres, vous pouvez rechercher les activités exécutées sur cette boîte aux lettres dans le journal d’audit Office 365. En outre, lorsque l’enregistrement d’audit de boîte aux lettres est activé, les actions effectuées par les administrateurs et par les délégués sont enregistrées par défaut. Toutefois, les actions effectuées par le propriétaire de la boîte aux lettres ne sont pas auditées par défaut. Pour enregistrer (puis rechercher) les actions effectuées par le propriétaire de la boîte aux lettres, vous devez spécifier les actions du propriétaire à auditer (voir l’étape 3).

Étape 1 : Connexion à Exchange Online PowerShell

Étape 2 : activation de la journalisation d’audit de boîte aux lettres

Étape 3 : indication des actions de propriétaire à auditer

Comment vérifier que l’opération a fonctionné ?

Pour plus d’informations, voir Enregistrement d'audit de boîte aux lettres

Étape 1 : Connexion à Exchange Online PowerShell

  1. Sur votre ordinateur local, ouvrez Windows PowerShell et exécutez la commande suivante.

    $UserCredential = Get-Credential

    Dans la boîte de dialogue Demande d’informations d’identification Windows PowerShell, saisissez le nom d’utilisateur et le mot de passe d’un compte d’administrateur global Office 365, puis cliquez sur OK.

  2. Exécutez la commande suivante.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Exécutez la commande suivante.

    Import-PSSession $Session
  4. Pour vérifier que vous êtes connecté à votre organisation Exchange Online, exécutez la commande suivante pour obtenir la liste de toutes les boîtes aux lettres de votre organisation.

    Get-Mailbox

Pour plus d’informations ou si vous avez des problèmes de connexion à votre organisation Exchange Online, voir Connexion à Exchange Online à l’aide de Remote PowerShell.

Revenir au début

Étape 2 : activation de la journalisation d’audit de boîte aux lettres

Une fois que vous êtes connecté à votre organisation Exchange Online, utilisez PowerShell pour activer la journalisation d’audit de boîte aux lettres pour une boîte aux lettres donnée. Vous pouvez également activer la journalisation d’audit pour toutes les boîtes aux lettres de votre organisation.

Dans cet exemple, la journalisation d’audit est activée pour la boîte aux lettres de Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Dans cet exemple, la journalisation d’audit est activée pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Revenir au début

Étape 3 : indication des actions de propriétaire à auditer

Lorsque vous activez l’audit d’une boîte aux lettres, les actions effectuées par le propriétaire de celle-ci ne sont pas auditées par défaut. Vous devez indiquer les actions de propriétaire à auditer. Consultez le tableau de la section « Actions de boîtes aux lettres » pour obtenir la liste et la description des actions de propriétaire pouvant être auditées.

Cet exemple précise que les actions MailboxLogin et HardDelete effectuées par le propriétaire de la boîte aux lettres seront enregistrées pour la boîte aux lettres de Pilar Pinilla. Cet exemple suppose que l’enregistrement d’audit de boîte aux lettres a déjà été activé pour cette boîte aux lettres.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

Cet exemple active l’enregistrement d’audit pour la boîte aux lettres de Don Hall et précise que seule l’action MailboxLogin effectuée par le propriétaire de la boîte aux lettres sera enregistrée.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

Cet exemple précise que les actions MailboxLogin, HardDelete et SoftDelete effectuées par le propriétaire de la boîte aux lettres seront enregistrées pour toutes les boîtes aux lettres de l’organisation. Cet exemple suppose que l’enregistrement d’audit de boîte aux lettres a déjà été activé pour toutes les boîtes aux lettres.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

Revenir au début

Comment vérifier que l’opération a fonctionné ?

Pour vérifier que vous avez bien activé l’enregistrement d'audit de boîte aux lettres pour une boîte aux lettres donnée, utilisez l’applet de commande Get-Mailbox afin de récupérer les paramètres d’audit de cette boîte aux lettres.

Dans cet exemple, les paramètres d’audit sont récupérés pour Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dans cet exemple, les paramètres d’audit sont récupérés pour toutes les boîtes aux lettres d’utilisateur de votre organisation.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

La valeur True de la propriété AuditEnabled vérifie que l’enregistrement d'audit de boîte aux lettres est activé.

Revenir au début

  • Une fois l’enregistrement d’audit activé pour une boîte aux lettres, l’accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer les actions à auditer. Consultez la section « Plus d’infos » pour accéder à la liste des actions enregistrées après l’activation de l’enregistrement d’audit, ainsi qu’aux actions disponibles pour chaque type de connexion utilisateur.

  • Vous devez utiliser Exchange Online PowerShell pour activer l’enregistrement d’audit de boîte aux lettres. Vous ne pouvez pas utiliser le Centre de sécurité et conformité Office 365 ou le Centre d’administration Exchange.

  • Un administrateur disposant de l’autorisation Accès complet sur la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.

Le tableau suivant répertorie les actions pouvant être enregistrées à l’aide de l’enregistrement d’audit de boîte aux lettres. Il indique les actions qui peuvent être enregistrées pour les différents types de connexion utilisateur. Dans ce tableau, l’indication Non indique que l’action ne peut pas être enregistrée pour ce type de connexion. Un astérisque (*) indique que l’action est enregistrée par défaut lorsque l’enregistrement d’audit est activée pour la boîte aux lettres. Comme indiqué précédemment, aucune action de propriétaire n’est auditée par défaut lorsque vous activez l’audit de boîte aux lettres. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer les actions à auditer. Pour ce faire, voir l’étape 3 de la section « Instructions détaillées » de cette rubrique.

Action

Description

Administrateur

Délégué***

Propriétaire

Copy

Un message a été copié dans un autre dossier.

Oui

Non

Non

Create

Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création, l’envoi ou la réception d’un message ne sont pas auditées. De même, la création d’un dossier de boîte aux lettres n’est pas auditée.

Oui*

Oui*

Oui

FolderBind

Un utilisateur a accédé au dossier de boîte aux lettres. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres.

Oui*

Oui**

Non

HardDelete

Un message a été purgé du dossier Éléments récupérables.

Oui*

Oui*

Oui

MailboxLogin

L’utilisateur s’est connecté à sa boîte aux lettres.

Non

Non

Oui

MessageBind

Un message a été affiché dans le volet de visualisation ou ouvert.

Oui

Non

Non

Déplacer

Un message a été déplacé vers un autre dossier.

Oui*

Oui

Oui

MoveToDeletedItems

Un message a été supprimé et déplacé vers le dossier Éléments supprimés.

Oui*

Oui

Oui

SendAs

Un message a été envoyé à l’aide de l’autorisation SendAs. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres.

Oui*

Oui*

Non

SendOnBehalf

Un courrier a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le courrier de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le courrier a été envoyé et qui a réellement envoyé le courrier.

Oui*

Oui

Non

SoftDelete

Un message a été définitivement supprimé ou supprimé (récupérable) du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables.

Oui*

Oui*

Oui

Mettre à jour

Un message ou ses propriétés ont été modifiés.

Oui*

Oui*

Oui

Remarques : 

  • * Enregistré par défaut si l’enregistrement d’audit est activé pour une boîte aux lettres.

  • ** Les entrées correspondant aux actions de liaison des dossiers effectuées par des délégués sont consolidées. Une entrée de journal est générée pour chaque accès aux dossiers sur une période de 24 heures.

  • *** Un administrateur disposant de l’autorisation Accès complet sur la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.

Si vous ne souhaitez plus que certains types d’actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d’enregistrement d’audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas effacées tant que l’âge limite des entrées du journal d’audit (90 jours) n’est pas atteint.

  • Utilisez le journal d’audit Office 365 pour rechercher des activités de boîte aux lettres qui ont été enregistrées. Vous pouvez rechercher les activités d’une boîte aux lettres d’utilisateur spécifique. La capture d’écran suivante illustre une liste d’activités de boîte aux lettres que vous pouvez rechercher dans le journal d’audit Office 365. Notez que ces activités correspondent aux actions décrites à la section « Actions d’audit de boîte aux lettres » de cette rubrique.

    Vous pouvez utiliser le journal d’audit Office 365 pour rechercher des actions d’audit de boîte aux lettres en sélectionnant « Activités de boîte aux lettres Exchange » dans la liste déroulante Activités

    Le tableau suivant décrit chacune des activités de boîte aux lettres dans lesquelles vous pouvez effectuer des recherches, et affiche l’action d’audit de boîte aux lettres correspondante.

    Activité du journal d’audit

    Action d’audit de boîte aux lettres

    Élément de boîte aux lettres créé

    Create

    Messages copiés vers un autre dossier

    Copy

    Utilisateur connecté à la boîte aux lettres

    MailboxLogin

    Message envoyé à l’aide d’autorisations Envoyer de la part de

    SendOnBehalf

    Messages supprimés définitivement de la boîte aux lettres

    HardDelete

    Messages déplacés vers le dossier Éléments supprimés

    MoveToDeletedItems

    Messages déplacés vers un autre dossier

    Move

    Message envoyé à l’aide d’autorisations Envoyer en tant que

    SendAs

    Message mis à jour

    Update

    Messages supprimés du dossier Éléments supprimés

    SoftDelete

    Notez que les activités Autorisations de boîtes aux lettres de délégué ajoutées et Autorisations de boîtes aux lettres de délégué supprimées présentées dans la capture d’écran précédente ne sont pas liées aux actions d’audit de boîte aux lettres. Elles indiquent si un administrateur a attribué ou supprimé l’autorisation de boîte aux lettres FullAccess.

    Pour plus d’informations sur le journal d’audit Office 365, voir Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365.

  • On considère qu’un administrateur accède aux boîtes aux lettres uniquement dans les cas suivants :

    • La fonctionnalité de découverte électronique inaltérable d’Exchange Online ou la fonctionnalité de recherche de contenu d’Office 365 est utilisée pour effectuer une recherche dans une boîte aux lettres.

    • Éditeur MAPI Microsoft Exchange Server sert à accéder à la boîte aux lettres.

  • Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez également indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour chaque type de connexion (administrateur, délégué ou propriétaire).

  • Pour désactiver la journalisation d’audit de boîte aux lettres, exécutez la commande suivante :

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Les actions qui sont auditées pour chaque type d’utilisateur ne sont pas affichées lorsque vous exécutez l’applet de commande Get-Mailbox. Toutefois, vous pouvez exécuter les commandes suivantes pour afficher toutes les actions auditées pour un type de connexion utilisateur spécifique.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Vous pouvez également exporter un journal d’audit de boîte aux lettres et spécifier les entrées à inclure pour un ou plusieurs utilisateurs. Chaque entrée du rapport et du journal d’audit inclut des informations concernant la personne ayant effectué l’action, le moment où l’action a été exécutée et si l’action a réussi. Pour plus d’informations, voir Exporter les journaux d’audit de boîte aux lettres.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×