Rechercher des modifications de groupe de rôles ou des journaux d’audit d’administrateur dans Exchange Online

Dans les organisations Exchange Online ou les organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez utiliser les options suivantes pour rechercher dans les journaux d’audit d’administration afin de découvrir qui a apporté des modifications à l’organisation et à la configuration du destinataire :

• Exécutez un rapport de groupe de rôles d’administrateur dans le Centre d’administration Exchange (EAC).
• Utilisez PowerShell pour rechercher les entrées du journal d’audit de l’administrateur et envoyer les résultats à un destinataire.

Ces options peuvent être utiles lorsque vous essayez de suivre la cause d’un comportement inattendu, d’identifier un administrateur malveillant ou de vérifier que les exigences de conformité sont remplies. Ces deux options sont décrites dans cet article.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée de chaque procédure : moins de 5 minutes

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Affichage seul de la journalisation de l’audit de l’administrateur » dans la rubrique Autorisations des fonctionnalités dans Exchange Online rubrique.

• Pour ouvrir le Centre d’administration Exchange (EAC), consultez Centre d’administration Exchange dans Exchange Online.

• Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à Exchange Online Protection PowerShell autonome, consultez Se connecter à Exchange Online Protection PowerShell.

• Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, consultez Raccourcis clavier pour le Centre d’administration Exchange.

Utiliser le Centre d'administration Exchange (CAE) pour exécuter un rapport de groupe de rôles d'administrateur

Utilisez le rapport de groupe de rôles administrateur pour voir les modifications apportées à l’appartenance aux rôles de gestion.

1. Dans le CENTRE d’administration Exchange, accédez àAuditde gestion de> la conformité, puis choisissez Exécuter un rapport de groupe de rôles d’administrateur.

2. Dans la page Rechercher les modifications apportées aux groupes de rôles d’administrateur qui s’ouvre, configurez les paramètres suivants :

   • Date de début et Date de fin : entrez une plage de dates. Par défaut, le rapport recherche toutes les modifications apportées aux groupes de rôles d'administrateur au cours des deux semaines passées.

   • Sélectionner des groupes de rôles : par défaut, tous les groupes de rôles font l’objet d’une recherche. Pour filtrer les résultats par groupes de rôles spécifiques, cliquez sur Sélectionner des groupes de rôles. Dans la boîte de dialogue qui s’affiche, sélectionnez un groupe de rôles, puis cliquez sur Ajouter ->. Répétez cette étape autant de fois que nécessaire, puis cliquez sur OK lorsque vous avez terminé.

3. Lorsque vous avez terminé, cliquez sur Rechercher.

Si des modifications sont détectées à l’aide des critères spécifiés, elles s’affichent dans le volet de résultats. Cliquez sur un groupe de rôles dans les résultats de la recherche pour afficher les modifications dans le volet d'informations.

Surveillances des modifications apportées à l'appartenance à des groupes de rôles

Lorsque des membres sont ajoutés à ou supprimés d’un groupe de rôles, les résultats de la recherche affichés dans le volet d’informations indiquent que l’appartenance à un groupe de rôles a été mise à jour et répertorient les membres actuels. Les résultats n'indiquent pas explicitement quel utilisateur a été ajouté ou supprimé.

Pour déterminer si un utilisateur a été ajouté ou supprimé, vous devez comparer deux entrées séparées dans le rapport. Par exemple, examinons les entrées de journal suivantes pour le groupe de rôles Support technique:

27/1/2021 16:43
Administrateur
Membres mis à jour : Administrateur;annb,florencef;pilarp
06/02/2018 10:09 AM
Administrateur
Membres mis à jour : Administrator;annb;florencef;pilarp;tonip
19/02/2021 14:12
Administrateur
Membres mis à jour : Administrator;annb;florencef;tonip

Dans cet exemple, le compte d'utilisateur Administrateur a apporté les modifications suivantes :

• Le 06/02/2021, ils ont ajouté le tonip utilisateur.
• Le 19/02/2021, ils ont supprimé l’utilisateur pilarp.

Utiliser le CAE pour exporter le journal d’audit de l’administrateur

L’exportation du journal d’audit de l’administrateur écrit les informations dans un fichier XML et vous les envoie sous forme de pièce jointe dans un e-mail. La taille maximale du fichier XML est de 10 mégaoctets (Mo).

1. Dans le CENTRE d’administration Exchange, sélectionnezAuditde gestion de la> conformité, puis cliquez sur Exporter le journal d’audit de l’administrateur.
2. Sélectionnez une plage de dates à l'aide des champs Date de début et Date de fin.
3. Dans le champ Envoyer le rapport d'audit à, cliquez sur Sélectionner des utilisateurs, puis sélectionnez le destinataire auquel vous voulez envoyer le rapport.
4. Cliquez sur Exporter.

Si des entrées du journal sont retrouvées selon les critères que vous avez spécifiés, un fichier XML est créé et envoyé sous forme de pièce jointe à un message électronique au destinataire que vous avez précisé.

Utiliser PowerShell pour rechercher des entrées de journal d’audit

Vous pouvez utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell autonome pour rechercher des entrées de journal d’audit qui répondent aux critères que vous spécifiez. Pour obtenir la liste des critères de recherche, consultez Applet de commande Search-AdminAuditLog. Cette procédure utilise l’applet de commande Search-AdminAuditLog et affiche les résultats de la recherche dans PowerShell. Vous pouvez utiliser cette applet de commande lorsque vous devez retourner un ensemble de résultats qui dépasse les limites définies dans l’applet de commande New-AdminAuditLogSearch ou dans les rapports d’audit du CAE.

Pour effectuer une recherche dans le journal d'audit d'après les critères que vous avez définis, utilisez la syntaxe suivante.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :

• Date de début : 04/08/2020
• Date de fin : 03/10/2020
• ID d’utilisateur : davids, chrisd, kima
• Applets de commande : Set-Mailbox
• Paramètres : ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

Cet exemple recherche les modifications apportées à une boîte aux lettres spécifique. Ceci est utile si vous effectuez des opérations de dépannage ou devez fournir des informations à des fins d'investigation. Les critères suivants sont définis :

• Date de début : 01/05/2020
• Date de fin : 03/10/2020
• ID d’objet : contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Si vos recherches renvoient de nombreuses entrées de journal, nous vous recommandons d’utiliser la procédure fournie dans Utiliser PowerShell pour rechercher des entrées de journal d’audit et envoyer les résultats à un destinataire plus loin dans cet article. La procédure décrite dans cette section a pour objet d'envoyer aux destinataires que vous spécifiez un fichier XML sous forme de pièce jointe à un message électronique, ce qui vous permet d'extraire plus aisément les données qui vous intéressent.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Search-AdminAuditLog.

Afficher le détail des entrées du journal d’audit

L’applet de commande Search-AdminAuditLog retourne les champs décrits dans Contenu du journal d’audit. Parmi les champs renvoyés par la cmdlet, deux champs ( CmdletParameters et ModifiedProperties ) comportent des données supplémentaires qu'il est impossible de visualiser par défaut.

Pour afficher le contenu des champs CmdletParameters et ModifiedProperties, suivez la procédure ci-après. Vous pouvez également utiliser la procédure décrite dans Utiliser PowerShell pour rechercher des entrées de journal d’audit et envoyer les résultats à un destinataire plus loin dans cet article afin de créer un fichier XML.

Cette procédure exploite les concepts suivants :

• Tableaux PowerShell
• Variables PowerShell

1. Déterminez les critères sur lesquels doivent porter vos recherches, exécutez la cmdlet Search-AdminAuditLog et stockez les résultats dans une variable au moyen de la commande suivante.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Chaque entrée de journal d’audit est stockée en tant qu’élément de tableau dans la variable $Results. Vous pouvez sélectionner un élément de tableau en précisant son index. Les index des éléments de tableau commencent à zéro (0) pour le premier élément du tableau. Par exemple, pour extraire le cinquième élément de tableau dont l'index est 4, utilisez la commande suivante.

   $Results[4]
   

3. La commande précédente renvoie l'entrée du journal stockée dans l'élément de tableau 4. Pour afficher le contenu des champs CmdletParameters et ModifiedProperties pour cette entrée du journal, utilisez les commandes suivantes.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Pour afficher le contenu des champs CmdletParameters ou ModifiedParameters dans une autre entrée du journal, modifiez l'index de l'élément de tableau.

Utiliser PowerShell pour rechercher des entrées de journal d’audit et envoyer les résultats à un destinataire

Vous pouvez utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell autonome pour rechercher des entrées de journal d’audit qui répondent aux critères que vous spécifiez, puis envoyer ces résultats à un destinataire que vous spécifiez en tant que pièce jointe XML. Les résultats sont envoyés au destinataire dans un délai de 15 minutes. Pour obtenir la liste des critères de recherche, consultez Critères d’applet de commande Search-AdminAuditLog.

Pour effectuer une recherche dans le journal d'audit d'après les critères que vous avez définis, utilisez la syntaxe suivante.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :

• Date de début : 04/08/2020
• Date de fin : 03/10/2020
• ID d'utilisateur davids, chrisd, kima
• Applets de commande : Set-Mailbox
• Paramètres : ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

La commande envoie les résultats à l’adresse davids@contoso.com SMTP avec les « modifications de la limite de boîte aux lettres » incluses dans la ligne d’objet du message.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Pour plus d’informations sur le format du fichier XML, consultez Structure du journal d’audit de l’administrateur.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-AdminAuditLogSearch.