Utilisation de PowerShell pour l’audit des rapports dans Exchange Online

Remarque

Le centre d’administration Exchange classique est en train d’être déprécié dans le déploiement mondial et la prise en charge de l’interface utilisateur pour l’audit sera supprimée dans le nouveau centre d’administration Exchange. Au lieu de cela, les administrateurs peuvent utiliser les applets de commande PowerShell mentionnées dans cet article pour répondre à leurs exigences d’audit.

La protection contre la perte de données Exchange Online héritée dans le Centre d’administration Exchange est en train d’être dépréciée.

Utilisez la journalisation d’audit pour résoudre les problèmes de configuration en suivant les modifications spécifiques apportées par les administrateurs et pour vous aider à répondre aux exigences réglementaires, de conformité et de litige. Exchange Online ou Exchange Online Protection autonome (EOP) sans boîtes aux lettres Exchange Online fournit deux types de journalisation d’audit :

  • Journalisation de l’audit de gestion : enregistre toute action, basée sur une Exchange Online PowerShell ou une applet de commande PowerShell autonome Exchange Online Protection, effectuée par un administrateur. Ces enregistrements peuvent vous aider à résoudre les problèmes de configuration ou à identifier la cause des problèmes liés à la sécurité ou à la conformité. Les actions effectuées par les administrateurs de centre de données Microsoft et les administrateurs délégués sont également enregistrées dans Exchange Online.

  • Journalisation d’audit de boîte aux lettres (Exchange Online uniquement) : enregistre lorsqu’un administrateur, un utilisateur délégué ou la personne propriétaire de la boîte aux lettres accède à une boîte aux lettres. Cela peut vous aider à identifier les personnes ayant accédé à une boîte aux lettres et ce qu'elles y ont fait.

Exporter des journaux d’audit

Les fonctionnalités d’audit complètes seront supprimées dans le nouveau centre d’administration Exchange, mais vous pouvez toujours exporter le journal de gestion et le journal d’audit de boîte aux lettres à l’aide des applets de commande PowerShell.

Remarque

La journalisation d’audit de boîte aux lettres n’est pas disponible dans EOP autonome. L’exportation du journal de gestion à partir du CAE n’est pas disponible dans EOP autonome, mais dans PowerShell à l’aide de l’applet de commande New-AdminAuditLogSearch . Pour obtenir des instructions, consultez Utiliser PowerShell pour rechercher des entrées de journal d’audit et envoyer des résultats à un destinataire.

  • Exporter le journal d’audit de gestion : toute action effectuée par un administrateur basée sur un Exchange Online PowerShell ou une applet de commande PowerShell autonome Exchange Online Protection qui ne commence pas par les verbes Obtenir, Rechercher ou Tester est enregistrée dans le journal de gestion. Les entrées de journal d’audit incluent l’applet de commande exécutée, le paramètre et les valeurs utilisées avec l’applet de commande, et quand l’opération a réussi. Vous pouvez exporter des enregistrements de modifications de configuration dans votre organization à partir des journaux de gestion. Les entrées de journal sont enregistrées dans un fichier XML et le fichier est envoyé sous forme de pièce jointe aux utilisateurs spécifiés dans les 24 heures par e-mail. Pour plus d’informations, consultez l’article suivant :

    Pour exporter le journal de gestion, exécutez l’applet de commande suivante :

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
    
  • Exporter les journaux d’audit de boîte aux lettres : lorsque la journalisation d’audit de boîte aux lettres est activée pour une boîte aux lettres, Exchange Online stocke un enregistrement des actions effectuées sur les données de boîte aux lettres par des non-propriétaires dans le journal d’audit de la boîte aux lettres, qui est stocké dans un dossier masqué de la boîte aux lettres auditée. Les entrées de ce journal indiquent qui a accédé à la boîte aux lettres et quand l’action a été effectuée, et si l’action a réussi. Vous pouvez exporter des entrées d’accès non propriétaire à partir des journaux de boîte aux lettres. Les entrées de journal sont enregistrées dans un fichier XML et jointes à un e-mail et envoyées aux utilisateurs spécifiés dans les 24 heures. Pour plus d'informations, consultez la rubrique Exporter les journaux d'audit de boîte aux lettres.

    Pour exporter le journal d’audit de la boîte aux lettres, utilisez l’applet de commande suivante :

    Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
    

Configurer Outlook sur le web pour autoriser les pièces jointes XML

Lorsque vous exportez le journal d’audit ou le journal de gestion de la boîte aux lettres, le journal est joint sous forme de fichier XML dans un e-mail. Toutefois, Outlook sur le web (autrefois appelé Outlook Web App) bloque les pièces jointes XML par défaut. Si vous souhaitez utiliser Outlook sur le web pour accéder aux journaux d’audit exportés, vous devez configurer Outlook sur le web pour autoriser les pièces jointes XML.

Dans Exchange Online PowerShell ou autonome Exchange Online Protection PowerShell, exécutez la commande suivante pour autoriser les pièces jointes XML dans Outlook sur le web :

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-OwaMailboxPolicy.

Exécuter des rapports d’audit

Les administrateurs peuvent gérer et surveiller efficacement les activités du système, et s’assurer que les normes de conformité et de sécurité sont respectées à l’aide d’applets de commande spécifiques. Ces applets de commande fournissent aux administrateurs le contrôle et la visibilité nécessaires, ce qui leur permet de suivre et de gérer efficacement les actions des utilisateurs au sein du système.

  • Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire : utilisez ce rapport pour rechercher dans les journaux d’administration les boîtes aux lettres qui ont été ouvertes par une personne autre que le propriétaire de la boîte aux lettres. Pour plus d’informations, consultez Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire.

    Importante

    Vous devez activer l’audit pour chaque boîte aux lettres pour laquelle vous souhaitez signaler l’ouverture non propriétaire. Lorsque vous exécutez le rapport, vous ne pouvez pas voir les résultats des boîtes aux lettres pour lesquelles la journalisation n’est pas activée.

    Utilisez l’applet de commande suivante pour exécuter un rapport d’accès aux boîtes aux lettres non propriétaire :

    Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
    
  • Exécuter un rapport de groupe de rôles administrateur : utilisez ce rapport pour rechercher les modifications apportées aux groupes de rôles dans le journal d’administration (les groupes de rôles sont utilisés pour attribuer des autorisations d’administration aux utilisateurs). Pour plus d’informations, consultez Rechercher les modifications apportées aux groupes de rôles.

    Utilisez l’applet de commande suivante pour exécuter un rapport de groupe de rôles d’administrateur :

    Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
    
  • Exécuter un rapport eDiscovery et rétention local : utilisez ce rapport pour rechercher dans le journal de gestion les recherches de découverte locale et les modifications apportées à la conservation sur place. Pour plus d'informations, voir :

    Utilisez l’applet de commande suivante pour exécuter un rapport eDiscovery et rétention local :

    Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
    
  • Exécuter un rapport de conservation procédurale rompue aux boîtes aux lettres : utilisez ce rapport pour déterminer si la conservation procédurale est activée ou non pour la boîte aux lettres d’un utilisateur à partir du journal de gestion. Pour plus d’informations, consultez Exécuter un rapport de conservation procédurale rompue aux boîtes aux lettres.

    Utilisez l’applet de commande suivante pour exécuter un rapport de conservation procédurale rompue aux boîtes aux lettres :

    Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
    
  • Exécuter le rapport du journal de gestion : utilisez ce rapport pour afficher les entrées dans le journal de gestion qui indiquent les modifications apportées à la configuration par les administrateurs de votre organization. Pour plus d’informations, consultez Afficher le journal de gestion.

    Utilisez l’applet de commande suivante pour exécuter le rapport du journal de gestion :

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
    
  • Exécuter le rapport du journal de gestion externe : utilisez ce rapport pour afficher les entrées dans le journal d’administration qui indiquent les modifications apportées par Microsoft ou un administrateur délégué à la configuration des services Exchange Online. Pour plus d’informations, consultez Afficher et exporter le journal de gestion externe.

    Utilisez l’applet de commande suivante pour exécuter le rapport du journal de gestion externe :

    Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
    

* Ce rapport est disponible dans les organisations EOP autonomes.

Configurer l’enregistrement d’audit de boîte aux lettres

Remarque

La journalisation d’audit de boîte aux lettres n’est pas disponible dans EOP autonome.

Depuis janvier 2019, la journalisation d’audit des boîtes aux lettres activée par défaut est activée pour toutes les organisations Exchange Online. Pour plus d’informations, voir Gérer l’audit de boîte aux lettres.

Donner aux utilisateurs l’accès aux rapports d’audit

Par défaut, les administrateurs peuvent accéder aux rapports d’audit et les exécuter à l’aide des applets de commande mentionnées ci-dessus. Toutefois, les autres utilisateurs, tels qu’un gestionnaire d’enregistrements ou le personnel juridique, doivent avoir les autorisations nécessaires.

  • Le rôle Journaux d’audit permet aux utilisateurs d’afficher la page Audit pour exécuter les rapports disponibles, exporter le journal d’audit de boîte aux lettres et exporter et afficher le journal de gestion. Par défaut, ce rôle est attribué aux groupes de rôles Gestion de l’organisation, Gestion de la conformité et Gestion des enregistrements .
  • Le rôle Afficher uniquement les journaux d’audit permet à l’utilisateur d’exécuter des rapports d’audit, mais pas d’exporter les journaux d’audit. Par défaut, ce rôle est attribué aux groupes de rôles Gestion de l’organisation et Gestion de la conformité .

Le moyen le plus simple de donner aux utilisateurs l’accès aux rapports consiste à les ajouter au groupe de rôles Gestion des enregistrements , auquel est attribué le rôle Journaux d’audit .

Utiliser le Centre d’administration Exchange pour ajouter des utilisateurs au groupe de rôles Gestion des enregistrements

  1. Dans la nouvelle page d’accueil du CAE, sélectionnez Rôles à développer, puis cliquez sur Administration Rôles.

  2. Dans la liste des groupes de rôles, cliquez sur Gestion des enregistrements. Cela ouvre le volet d’informations gestion des enregistrements .

  3. Cliquez sur Affecté , puis sur Ajouter uneicône Ajouter. Pour ajouter de nouveaux membres.

  4. Dans la boîte de dialogue Sélectionner des membres, sélectionnez l’utilisateur. Vous pouvez rechercher un utilisateur en tapant tout ou partie d’un nom d’affichage, puis en cliquant sur l’icône Rechercher dans la recherche. Vous pouvez également trier la liste en cliquant sur l’en-tête de colonne Nom ou Nom complet.

  5. Cliquez sur Ajouter uneicône Ajouter, puis sur OK pour revenir à la page du groupe de rôles.

  6. Cliquez sur Enregistrer pour enregistrer la modification apportée au groupe de rôles.

Utiliser PowerShell pour ajouter des utilisateurs au groupe de rôles Gestion des enregistrements

Dans Exchange Online PowerShell ou autonome Exchange Online Protection PowerShell, remplacez Identity> par <le nom, l’alias, l’adresse e-mail ou le nom de compte de l’utilisateur ou du groupe, puis exécutez la commande suivante pour attribuer le rôle Journaux d’audit à l’utilisateur :

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Add-RoleGroupMember.