Exécuter un rapport d’accès aux boîtes aux lettres par des non-propriétaires

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Online, Exchange Server 2016

Résumé : Découvrez comment activer l’enregistrement d’audit de boîtes aux lettres dans Exchange pour exécuter des rapports sur l’accès aux boîtes aux lettres par des non-propriétaires.

Le rapport d’accès aux boîtes aux lettres par des non-propriétaires dans le Centre d’administration Exchange (CAE) répertorie les boîtes aux lettres auxquelles un individu autre que la personne qui possède la boîte aux lettres a accédé. Lorsqu’un non-propriétaire accède à une boîte aux lettres, Exchange enregistre les informations à propos de cette action dans un journal. Exchange stocke ce journal d’audit de la boîte aux lettres comme un message électronique dans un dossier caché dans la boîte aux lettres qui est auditée. Le rapport affiche les entrées de ce journal comme résultats de la recherche et incluent des informations sur les boîtes aux lettres auxquelles un non-propriétaire a accédé, qui a accédé à la boîte aux lettres et quand, les actions exécutées par les non-propriétaires et si l’action a réussi.

Exchange enregistre dans un journal les actions spécifiques exécutées par les non-propriétaires, y compris les administrateurs et les utilisateurs qui ont reçu des autorisations pour accéder à une boîte aux lettres (que l’on appelle utilisateurs délégués). Vous pouvez également limiter la recherche aux utilisateurs à l’intérieur ou à l’extérieur de votre organisation. Par défaut, Exchange conserve les entrées du journal d’audit de boîtes aux lettres pendant 90 jours.

Vous activez la journalisation d’audit de boîte aux lettres dans l’Environnement de ligne de commande Exchange Management Shell.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Vous devez activer l’enregistrement d’audit des boîte aux lettres pour chaque boîte aux lettres à inclure dans un rapport d’accès aux boîtes aux lettres par un non-propriétaire. Si l’enregistrement d’audit de boîte aux lettres n’est pas activé, vous n’obtiendrez pas de résultats lorsque vous exécuterez un rapport.

Pour activer l’enregistrement d’audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande suivante dans l’Environnement de ligne de commande Exchange Management Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Par exemple, pour activer l’audit de la boîte aux lettres pour un utilisateur nommé Florence Flipo, exécutez la commande suivante.

Set-Mailbox "Florence Flipo" -AuditEnabled $true

Pour activer l’audit de boîte aux lettres pour toutes les boîtes aux lettres des utilisateurs de votre organisation, exécutez les commandes suivantes.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Exécutez la commande suivante pour vérifier que vous avez correctement configuré l’enregistrement d’audit des boîtes aux lettres.

Get-Mailbox | FL Name,AuditEnabled

Une valeur de True pour la propriété AuditEnabled vérifie que la journalisation d'audit est activée.

  1. Dans le Centre d’administration Exchange, rendez-vous sur Gestion de la conformité > Audit.

  2. Cliquez sur Exécuter un rapport d’accès aux boîtes aux lettres par des non-propriétaires.

    Par défaut, Exchange exécute le rapport pour l’accès par des non-propriétaires à toutes les boîtes aux lettres de l’organisation au cours des deux dernières semaines. L’enregistrement d’audit a été activé pour les boîtes aux lettres répertoriées dans les résultats de la recherche.

  3. Pour afficher l’accès par des non-propriétaires à une boîte aux lettres spécifique, sélectionnez la boîte aux lettres dans la liste de boîtes aux lettres. Consultez les résultats de la recherche dans le volet d’informations.

tipConseil :
Souhaitez-vous affiner les résultats de la recherche ? Sélectionnez la date de début, la date de fin, ou les deux, et sélectionnez des boîtes aux lettres spécifiques dans lesquelles effectuer la recherche. Cliquez sur Rechercher pour réexécuter le rapport.

Vous pouvez aussi spécifier que vous souhaitez rechercher le type d’accès non-propriétaire, également appelé le type d’ouverture de session. Voici vos options :

  • Tous les non-propriétaires   Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation. Cette option comprend également l’utilisateur d’accès qui ne fait pas partie de votre organisation.

  • Utilisateurs externes   Recherchez les accès par des utilisateurs qui ne font pas partie de votre organisation.

  • Administrateurs et utilisateurs délégués   Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation.

  • Administrateurs   Recherchez les accès par les administrateurs au sein de votre organisation.

Lorsque vous exécutez un rapport d’accès aux boîtes aux lettres par des non-propriétaires, les résultats de la recherche du Centre d’administration Exchange affichent les entrées du journal d’audit de la boîte aux lettres. Chaque entrée de rapport contient ces informations :

  • Qui a accédé à la boîte aux lettres et quand.

  • Actions exécutées par le non-propriétaire.

  • Message affecté et l’emplacement de son dossier.

  • Si l’action a réussi.

Le tableau suivant décrit les types d’actions enregistrées, et si ces actions sont enregistrées par défaut pour l’accès par les administrateurs et pour l’accès par les utilisateurs délégués. Si vous souhaitez suivre des actions qui ne sont pas enregistrées par défaut, vous devez utiliser l’Environnement de ligne de commande Exchange Management Shell pour activer l’enregistrement de ces actions.

 

Action Description Administrateurs Utilisateurs délégués

Mettre à jour

Un message a été modifié.

Oui

Oui

Copier

Un message a été copié dans un autre dossier.

Non

Non

Déplacer

Un message a été déplacé vers un autre dossier.

Oui

Non

Déplacer vers les éléments supprimés

Un message a été déplacé vers le dossier Éléments supprimés.

Oui

Non

Supprimer (récupération possible)

Un message a été supprimé du dossier Éléments supprimés.

Oui

Oui

Suppression définitive

Un message a été purgé du dossier Éléments récupérables.

Oui

Oui

FolderBind

Un dossier de boîte aux lettres a été accédé.

Oui

Non

Envoyer en tant que

Un message a été envoyé à l’aide de l’autorisation SendAs. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres.

Oui

Oui

Envoyer de la part de

Un message a été envoyé à l’aide de l’autorisation SendOnBehalf. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Le message indiquera au destinataire de la part de qui le message a été envoyé et qui a envoyé réellement le message.

Oui

Non

MessageBind

Un message a été affiché dans le volet de visualisation ou ouvert.

Non

Non

Pour vérifier que vous avez bien exécuté un rapport d’accès aux boîtes aux lettres par des non-propriétaires, vérifiez le volet des résultats de la recherche. Le volet Résultats affiche les boîtes aux lettres pour lesquelles vous avez exécuté le rapport, qu’il s’agisse d’un utilisateur ou d’un groupe de boîtes aux lettres. Si aucun résultat ne s’affiche pour une boîte aux lettres spécifique, il est possible qu’aucun accès par un non-propriétaire ne se soit produit ou qu’aucun accès par un non-propriétaire n’ait eu lieu dans l’intervalle de dates spécifié. Comme précédemment recommandé, vérifiez que vous avez activé l’enregistrement d’audit pour les boîtes aux lettres dont vous souhaitez vérifier l’accès par des non-propriétaires.

 
Afficher: