Exécuter un rapport d’accès aux boîtes aux lettres par des non-propriétaires
Le rapport d’accès aux boîtes aux lettres des non-propriétaires dans le Centre d’administration Exchange (EAC) répertorie les boîtes aux lettres auxquelles une personne autre que la personne propriétaire de la boîte aux lettres a accès. Lorsqu'un non-propriétaire accède à une boîte aux lettres, Exchange enregistre les informations à propos de cette action dans un journal. Exchange stocke ce journal d'audit de la boîte aux lettres comme un message électronique dans un dossier caché dans la boîte aux lettres qui est auditée. Le rapport affiche les entrées de ce journal comme résultats de la recherche et incluent des informations sur les boîtes aux lettres auxquelles un non-propriétaire a accédé, qui a accédé à la boîte aux lettres et quand, les actions exécutées par les non-propriétaires et si l'action a réussi.
Exchange journalise les actions spécifiques effectuées par des non-propriétaires, notamment les administrateurs et les utilisateurs auxquels des autorisations sont attribuées à une boîte aux lettres (appelés utilisateurs délégués). Vous pouvez également limiter la recherche aux utilisateurs à l'intérieur ou à l'extérieur de votre organisation. Par défaut, Exchange conserve les entrées du journal d'audit de boîtes aux lettres pendant 90 jours.
Vous activez la journalisation d'audit de boîte aux lettres dans l'Environnement de ligne de commande Exchange Management Shell.
Ce qu'il faut savoir avant de commencer
Durée d'exécution estimée : 5 minutes.
Pour ouvrir le Centre d’administration Exchange, consultez Centre d’administration Exchange dans Exchange Server. Pour ouvrir l’environnement de ligne de commande Exchange Management Shell, consultez Ouvrir l’environnement de ligne de commande Exchange Management Shell.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Journalisation de l’audit de boîte aux lettres » dans l’article Stratégie de messagerie et autorisations de conformité dans Exchange Server.
Pour plus d’informations sur les raccourcis clavier qui s’appliquent aux procédures décrites dans cet article, voir Raccourcis clavier dans le Centre d’administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.
Étape 1 : Utiliser Exchange Management Shell pour activer la journalisation d’audit de boîte aux lettres
Vous devez activer l'enregistrement d'audit des boîte aux lettres pour chaque boîte aux lettres à inclure dans un rapport d'accès aux boîtes aux lettres par un non-propriétaire. Si l'enregistrement d'audit de boîte aux lettres n'est pas activé, vous n'obtiendrez pas de résultats lorsque vous exécuterez un rapport.
Pour activer la journalisation d’audit de boîte aux lettres pour une seule boîte aux lettres, exécutez la commande suivante dans Exchange Management Shell :
Set-Mailbox <Identity> -AuditEnabled $true
Par exemple, pour activer l'audit de la boîte aux lettres pour un utilisateur nommé Florence Flipo, exécutez la commande suivante.
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Pour activer l’audit des boîtes aux lettres pour toutes les boîtes aux lettres utilisateur dans votre organization, exécutez les commandes suivantes :
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Comment savoir si cela a fonctionné ?
Exécutez la commande suivante pour vérifier que vous avez correctement configuré la journalisation d’audit de boîte aux lettres.
Get-Mailbox | Format-List Name,AuditEnabled
La valeur de True pour la propriété AuditEnabled vérifie que la journalisation d’audit est activée.
Étape 2 : Utiliser le Centre d’administration Exchange pour exécuter un rapport d’accès aux boîtes aux lettres non propriétaire
Dans le CENTREd’administration Exchange, accédez à Audit de gestion de la> conformité.
Sélectionnez Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire.
Par défaut, Exchange exécute le rapport pour l'accès par des non-propriétaires à toutes les boîtes aux lettres de l'organisation au cours des deux dernières semaines. L'enregistrement d'audit a été activé pour les boîtes aux lettres répertoriées dans les résultats de la recherche.
Pour afficher l'accès par des non-propriétaires à une boîte aux lettres spécifique, sélectionnez la boîte aux lettres dans la liste de boîtes aux lettres. Consultez les résultats de la recherche dans le volet d'informations.
Remarques :
Souhaitez-vous affiner les résultats de la recherche ? Sélectionnez la date de début, la date de fin, ou les deux, et sélectionnez des boîtes aux lettres spécifiques dans lesquelles effectuer la recherche. Sélectionnez Rechercher pour réexécuter le rapport.
Vous pouvez aussi spécifier que vous souhaitez rechercher le type d'accès non-propriétaire, également appelé le type d'ouverture de session. Voici vos options :
Tous les non-propriétaires : recherchez l’accès par les administrateurs et les utilisateurs délégués à l’intérieur de votre organization. Cette option comprend également l'utilisateur d'accès qui ne fait pas partie de votre organisation.
Utilisateurs externes : recherchez l’accès des utilisateurs en dehors de votre organization.
Administrateurs et utilisateurs délégués : recherchez l’accès par les administrateurs et les utilisateurs délégués à l’intérieur de votre organization.
Administrateurs : recherchez l’accès par les administrateurs dans votre organization.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien exécuté un rapport d'accès aux boîtes aux lettres par des non-propriétaires, vérifiez le volet des résultats de la recherche. Le volet Résultats affiche les boîtes aux lettres pour lesquelles vous avez exécuté le rapport, qu'il s'agisse d'un utilisateur ou d'un groupe de boîtes aux lettres. Si aucun résultat ne s'affiche pour une boîte aux lettres spécifique, il est possible qu'aucun accès par un non-propriétaire ne se soit produit ou qu'aucun accès par un non-propriétaire n'ait eu lieu dans l'intervalle de dates spécifié. Comme précédemment recommandé, vérifiez que vous avez activé l'enregistrement d'audit pour les boîtes aux lettres dont vous souhaitez vérifier l'accès par des non-propriétaires.
Qu’est-ce qui est enregistré dans le journal d’audit de boîte aux lettres ?
Lorsque vous exécutez un rapport d’accès aux boîtes aux lettres non propriétaire, les résultats de recherche du CAE affichent les entrées du journal d’audit de boîte aux lettres. Chaque entrée de rapport contient ces informations :
Qui a accédé à la boîte aux lettres et quand.
Actions exécutées par le non-propriétaire.
Message affecté et l'emplacement de son dossier.
Si l’action a réussi
Le tableau suivant décrit les types d'actions enregistrées, et si ces actions sont enregistrées par défaut pour l'accès par les administrateurs et pour l'accès par les utilisateurs délégués. Si vous souhaitez suivre des actions qui ne sont pas enregistrées par défaut, vous devez utiliser l'Environnement de ligne de commande Exchange Management Shell pour activer l'enregistrement de ces actions.
| Opération | Description | Administrateurs | Utilisateurs délégués |
|---|---|---|---|
| Mettre à jour | Un message a été modifié. | Oui | Oui |
| Copier | Un message a été copié dans un autre dossier. | Non | Non |
| Déplacer | Un message a été déplacé vers un autre dossier. | Oui | Non |
| Déplacer vers les éléments supprimés | Un message a été déplacé vers le dossier Éléments supprimés. | Oui | Non |
| Supprimer (récupération possible) | Un message a été supprimé du dossier Éléments supprimés. | Oui | Oui |
| Suppression définitive | Un message a été purgé du dossier Éléments récupérables. | Oui | Oui |
| FolderBind | Un dossier de boîte aux lettres a été accédé. | Oui | Non |
| Envoyer en tant que | Un message a été envoyé à l'aide de l'autorisation SendAs. Cela signifie qu'un autre utilisateur a envoyé le message comme s'il provenait du propriétaire de la boîte aux lettres. | Oui | Oui |
| Envoyer de la part de | Un message a été envoyé à l'aide de l'autorisation SendOnBehalf. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a réellement envoyé le message. | Oui | Non |
| MessageBind | Un message a été affiché dans le volet de visualisation ou ouvert. | Non | Non |