Afficher et exporter le journal d’audit de l’administrateur externe

Exchange Online
 

Sapplique à :Exchange Online

Dernière rubrique modifiée :2016-12-09

Dans Exchange Online, les actions effectuées par les administrateurs Microsoft et les administrateurs délégués sont enregistrées dans le journal d’audit de l’administrateur. Vous pouvez utiliser le CAE ou l’Environnement de ligne de commande Exchange Management Shell pour rechercher et afficher des entrées du journal d’audit afin de déterminer si les administrateurs externes ont effectué des actions sur votre organisation Exchange Online ou s’ils ont modifié celle-ci. Vous pouvez également utiliser l’Environnement de ligne de commande Exchange Management Shell pour exporter ces entrées du journal d’audit.

  • Durée d’exécution estimée : elle peut varier selon que vous affichez ou que vous exportez les entrées du journal d’audit de l’administrateur. Consultez chaque procédure pour connaître sa durée estimée.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d’audit de l’administrateur en affichage seul » dans la rubrique Autorisations d’infrastructure Exchange et Shell.

  • Lorsque vous exportez le journal d’audit de l’administrateur, Microsoft Exchange joint le journal d’audit, qui est un fichier XML, à un message électronique envoyé aux destinataires spécifiés. Toutefois, Outlook Web App bloque les pièces jointes au format XML par défaut. Si vous voulez utiliser Outlook Web App pour accéder à ces journaux d’audit, vous devez configurer Outlook Web App de sorte qu’il autorise les pièces jointes au format XML. Exécutez la commande suivante pour autoriser les pièces jointes au format XML dans Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

Durée d’exécution estimée : 3 minutes

  1. Accédez à Gestion de la conformité > Audit, puis cliquez sur Afficher le journal d’audit de l’administrateur externe. Toutes les modifications de configuration apportées par les administrateurs du centre de données Microsoft et les administrateurs délégués pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :

    • Date   Date et heure auxquelles la modification de configuration a été effectuée. La date et l’heure sont enregistrées au format temps universel coordonné (UTC).

    • Cmdlet   Nom de la cmdlet utilisée pour la modification de configuration.

      Si vous sélectionnez un seul résultat de recherche, l’information suivante s’affiche dans le volet de détails :

      • La date et l’heure d’exécution de la cmdlet.

      • L’utilisateur ayant exécuté la cmdlet. Pour toutes les entrées du rapport du journal d’audit de l’administrateur externe, l’utilisateur est identifié comme Administrateur, ce qui désigne un administrateur du centre de données Microsoft ou un administrateur externe.

      • Les paramètres de la cmdlet utilisée, ainsi que toute valeur spécifiée dans le paramètre, au format Paramètre:Valeur.

  2. Si vous souhaitez imprimer une entrée spécifique du journal d’audit, sélectionnez-la dans le volet des résultats de recherche, puis cliquez sur Imprimer dans le volet de détails.

  3. Pour affiner la recherche, choisissez des dates dans les menus déroulants Date de début et Date de fin, puis cliquez sur Rechercher.

Durée d’exécution estimée : 3 minutes

Vous pouvez utiliser la cmdlet Search-AdminAuditLog avec le paramètre ExternalAccess pour afficher les entrées du journal d’audit de l’administrateur relatives aux actions effectuées par les administrateurs du centre de données Microsoft et les administrateurs délégués.

Cette commande renvoie toutes les entrées du journal d’audit de l’administrateur pour les cmdlets exécutées par des administrateurs externes.

Search-AdminAuditLog -ExternalAccess $true

Cette commande renvoie les entrées du journal d’audit de l’administrateur pour les cmdlets exécutées par des administrateurs externes entre le 17 septembre 2013 et le 2 octobre 2013.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Pour plus d’informations, consultez la rubrique Search-AdminAuditLog.

Durée d’exécution estimée : 24 heures environ

Vous pouvez utiliser la cmdlet New-AdminAuditLogSearch avec le paramètre ExternalAccess pour exporter les entrées du journal d’audit de l’administrateur relatives aux actions effectuées par les administrateurs du centre de données Microsoft ou les administrateurs délégués. Microsoft Exchange récupère les entrées du journal d’audit de l’administrateur effectuées par des administrateurs externes et les enregistre dans un fichier nommé SearchResult.xml. Ce fichier XML est joint à un message électronique envoyé aux destinataires spécifiés dans les 24 heures.

La commande suivante renvoie les entrées du journal d’audit de l’administrateur pour les cmdlets exécutées par des administrateurs externes entre le 25 septembre 2013 et le 24 octobre 2013. Les résultats de la recherche sont envoyés aux adresses SMTP admin@contoso.com et pilarp@contoso.com, et le texte « Journal d’audit de l’administrateur externe » est ajouté à la ligne d’objet du message.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
RemarqueRemarque :
Si vous incluez le paramètre ExternalAccess, seules les entrées relatives aux actions effectuées par l’administrateur du centre de données Microsoft ou les administrateurs délégués sont incluses dans le journal d’audit exporté. Si vous n’incluez pas le paramètre ExternalAccess, le journal d’audit contient des entrées pour les actions effectuées par les administrateurs de votre organisation et par les administrateurs externes.

Pour vérifier la réussite de la commande d’export des entrées du journal d’audit de l’administrateur effectuées par des administrateurs externes, et pour afficher des informations sur les recherches actuelles dans le journal d’audit de l’administrateur, exécutez la commande suivante :

Get-AuditLogSearch | FL

  • Dans Office 365, vous pouvez déléguer la capacité d’effectuer certaines tâches d’administration à un partenaire autorisé de Microsoft. Ces tâches d’administration comprennent la création ou la modification d’utilisateurs, la réinitialisation des mots de passe des utilisateurs, la gestion des licences des utilisateurs, la gestion des domaines et l’attribution d’autorisations d’administration à d’autres utilisateurs de votre organisation. Lorsque vous autorisez un partenaire à prendre ce rôle en charge, le partenaire est considéré comme un administrateur délégué. Les tâches effectuées par un administrateur délégué sont enregistrées dans le journal d’audit de l’administrateur. Comme indiqué précédemment, les actions effectuées par les administrateurs délégués peuvent être affichées en exécutant le rapport du journal d’audit de l’administrateur externe grâce à la cmdlet New-AdminAuditLogSearch avec le paramètre ExternalAccess. Pour plus d’informations, consultez la page Ajouter ou supprimer un administrateur délégué.

  • Le journal d’audit de l’administrateur enregistre des actions spécifiques, basées sur les cmdlets Environnement de ligne de commande Exchange Management Shell, effectuées par les administrateurs et les utilisateurs disposant de privilèges d’administration. Les actions effectuées par les administrateurs externes sont également enregistrées. Les entrées du journal d’audit de l’administrateur vous fournissent des informations sur la cmdlet qui a été exécutée, sur les paramètres utilisés, sur l’utilisateur qui a exécuté la cmdlet et sur les objets concernés.

  • Le journal d’audit de l’administrateur n’enregistre aucune action basée sur une cmdlet Environnement de ligne de commande Exchange Management Shell qui commence avec le verbe Get, Search ou Test.

  • Les entrées du journal d’audit sont conservées pendant 90 jours. Lorsqu’une entrée remonte à plus de 90 jours, elle est supprimée.

 
Afficher: