Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Journalisation d’audit de boîte aux lettres dans Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez les types de connexion spécifiques et les actions de l’utilisateur qui peuvent être audités lorsque vous activez la journalisation d’audit de la boîte aux lettres pour les boîtes aux lettres de l’utilisateur dans Exchange 2016.

Les boîtes aux lettres étant susceptibles de renfermer des informations confidentielles, des informations ayant un impact significatif sur l’activité et des informations d’identification personnelle, il est important de connaître le nom des personnes qui se connectent aux boîtes aux lettres de votre organisation et les actions qui sont effectuées. Ceci est particulièrement important si les utilisateurs qui se connectent ne sont pas les propriétaires des boîtes aux lettres. Ces utilisateurs sont appelés utilisateurs délégués.

Grâce à l’enregistrement d’audit des boîtes aux lettres, vous pouvez enregistrer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués (notamment les administrateurs disposant d’autorisations Accès total pour les boîtes aux lettres) et les administrateurs.

Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour un type de connexion (administrateur, utilisateur délégué ou propriétaire). Les entrées du journal d’audit comprennent également des informations importantes, telles que l’adresse IP du client, le nom d’hôte et le processus ou client utilisé pour accéder à la boîte aux lettres. En ce qui concerne les éléments déplacés, l’entrée inclut le nom du dossier de destination.

Les journaux d’audit des boîtes aux lettres sont générés pour chaque boîte aux lettres pour laquelle l’enregistrement d’audit est activé. Les entrées de journal sont stockées dans le dossier Éléments récupérables dans la boîte aux lettres concernée, dans le sous-dossier Audits. Cela permet de s’assurer que toutes les entrées de journal d’audit sont disponibles dans un emplacement unique, quelle que soit la méthode d’accès au client utilisée pour accéder à la boîte aux lettres et quel que soit le serveur ou l’ordinateur utilisé par un administrateur pour accéder au journal d’audit de la boîte aux lettres. Si vous déplacez une boîte aux lettres vers un autre serveur, les journaux d’audit de cette boîte aux lettres sont également déplacés, car ils se trouvent dans la boîte aux lettres.

Par défaut, les entrées du journal d’audit des boîtes aux lettres sont conservées pendant 90 jours dans la boîte aux lettres, puis supprimées. Vous pouvez modifier cette période de rétention en utilisant le paramètre AuditLogAgeLimit avec la cmdlet Set-Mailbox. Si une boîte aux lettres est en conservation inaltérable ou en conservation pour litige, les entrées du journal d’audit sont seulement conservées jusqu’à la fin de la période de rétention de journal d’audit de la boîte aux lettres. Pour conserver les entrées du journal d’audit plus longtemps, vous devez augmenter la période de rétention en modifiant la valeur du paramètre AuditLogAgeLimit. Vous pouvez également exporter les entrées du journal d’audit avant la fin de la période de rétention. Pour plus d'informations, consultez les rubriques suivantes :

L’enregistrement d’audit des boîtes aux lettres est activé pour chaque boîte aux lettres. Utilisez la cmdlet Set-Mailbox pour activer ou désactiver l’enregistrement d’audit des boîtes aux lettres. Pour plus d’informations, voir Activer ou désactiver l’enregistrement d’audit pour une boîte aux lettres.

Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, l’accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer quelles actions doivent être enregistrées.

Retour au début

Le tableau suivant répertorie les actions consignées par boîte aux lettres enregistrement d’audit, y compris les types d’ouverture de session pour laquelle l’action peut être consignée. Notez qu’un administrateur qui a reçu l’autorisation accès complet à la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.

 

ActionDescriptionAdministrateurDéléguéPropriétaire

Copier

Un élément est copié dans un autre dossier.

Oui

Non

Non

Create

Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une demande de réunion est créée. Notez que la création de message ou de dossier n’est pas auditée.

Oui*

Oui*

Oui

FolderBind

Un utilisateur accède à un dossier de boîte aux lettres.

Oui*

Oui**

Non

HardDelete

Un élément est définitivement supprimé du dossier Éléments récupérables.

Oui*

Oui*

Oui

MailboxLogin

L’utilisateur s’est connecté à sa boîte aux lettres.

Non

Non

Oui ***

MessageBind

Un utilisateur accède à un élément dans le volet de lecture ou l’ouvre.

Oui

Non

Non

Déplacer

Un élément est déplacé vers un autre dossier.

Oui*

Oui

Oui

MoveToDeletedItems

Un élément est déplacé vers le dossier Éléments supprimés.

Oui*

Oui

Oui

SendAs

Un message est envoyé à l’aide des autorisations Envoyer en tant que.

Oui*

Oui*

Non

SendOnBehalf

Un message est envoyé à l’aide des autorisations Envoyer de la part de.

Oui*

Oui

Non

SoftDelete

Un élément est supprimé du dossier Éléments supprimés.

Oui*

Oui*

Oui

Mettre à jour

Les propriétés d’un élément sont mises à jour.

Oui*

Oui*

Oui

noteRemarque :
* Enregistré par défaut si l’enregistrement d’audit est activé pour une boîte aux lettres.
** Les entrées correspondant aux actions de liaison des dossiers effectuées par des délégués sont consolidées. Une entrée de journal est générée pour chaque accès aux dossiers sur une période de 24 heures.
L’audit d’un propriétaire de connexion à une boîte aux lettres fonctionne uniquement pour les connexions POP3, IMAP4 ou OAuth. Il ne fonctionne pas pour les logins Kerberos ou NTLM pour la boîte aux lettres.

Si vous ne souhaitez plus que certains types d’actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d’enregistrement d’audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas effacées tant que l’âge limite des entrées du journal d’audit n’est pas atteint.

Retour au début

Vous pouvez faire appel aux méthodes suivantes pour effectuer une recherche dans les entrées du journal d’audit des boîtes aux lettres :

Retour au début

Le tableau suivant décrit les champs enregistrés dans une entrée de journal d’audit de boîte aux lettres.

 

ChampRenseigné avec

Operation

Une des actions suivantes :

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MailboxLogin

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Un des résultats suivants :

  • Échec

  • Réussite partielle

  • Réussite

LogonType

Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :

  • Propriétaire

  • Délégué

  • Administrateur

DestFolderId

GUID du dossier de destination pour les opérations de déplacement.

DestFolderPathName

Chemin d’accès au dossier de destination pour les opérations de déplacement.

FolderId

GUID du dossier.

FolderPathName

Chemin d’accès au dossier.

ClientInfoString

Détails permettant d’identifier le client ou le composant Exchange qui a effectué l’opération.

ClientIPAddress

Adresse IP de l’ordinateur client.

ClientMachineName

Nom de l’ordinateur client.

ClientProcessName

Nom du processus de l’application cliente.

ClientVersion

Version de l’application cliente.

InternalLogonType

Type d’utilisateur interne (il s’agit d’une personne de votre organisation) ayant effectué l’opération. Les valeurs possibles pour ce champ sont les mêmes que celles du champ LogonType.

MailboxOwnerUPN

Nom d’utilisateur principal (UPN) du propriétaire de la boîte aux lettres.

MailboxOwnerSid

Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres.

DestMailboxOwnerUPN

UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.

DestMailboxOwnerSid

SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.

DestMailboxOwnerGuid

GUID du propriétaire de la boîte aux lettres de destination.

CrossMailboxOperation

Informations permettant de savoir si l’opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres).

LogonUserDisplayName

Nom complet de l’utilisateur qui est connecté.

DelegateUserDisplayName

Nom complet de l’utilisateur délégué.

LogonUserSid

SID de l’utilisateur qui est connecté.

SourceItems

Identificateur des éléments de boîtes aux lettres sur lesquels l’action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d’une série d’éléments.

SourceFolders

GUID du dossier source.

ItemId

Identificateur de l’élément.

ItemSubject

Objet de l’élément.

MailboxGuid

GUID de la boîte aux lettres.

MailboxResolvedOwnerName

Nom résolu de l’utilisateur de la boîte aux lettres, au format DOMAINE\SamAccountName.

LastAccessed

Heure à laquelle l’opération a été effectuée.

Identity

ID d’entrée du journal d’audit.

Retour au début

  • Accès administrateur aux boîtes aux lettres   On considère qu’un administrateur peut accéder à une boîte aux lettres uniquement dans les situations suivantes :

  • Contournement de l’enregistrement d’audit des boîtes aux lettres   L’accès aux boîtes aux lettres par des processus automatisés autorisés, tels que les comptes utilisés par des outils tiers ou à des fins de surveillance licite, peut entraîner la création d’un grand nombre d’entrées de journal d’audit de boîte aux lettres et s’avérer sans intérêt pour votre organisation. Vous pouvez faire en sorte que l’enregistrement d’audit ne s’effectue pas dans les boîtes aux lettres de ces comptes. Pour plus d’informations, voir Contournement d'un compte d'utilisateur lors de la journalisation d'audit des boîtes aux lettres.

  • Enregistrement des actions des propriétaires de boîte aux lettres   Pour les boîtes aux lettres, telles que la boîte aux lettres de détection, qui peuvent contenir des informations dont le niveau de confidentialité est plus élevé, il est conseillé d’activer l’enregistrement d’audit pour les actions réalisées par les propriétaires des boîtes aux lettres, telles que la suppression des messages.

Retour au début

 
Afficher: