Journalisation d’audit de boîte aux lettres dans Exchange Server
Les boîtes aux lettres étant susceptibles de renfermer des informations confidentielles, des informations ayant un impact significatif sur l'activité et des informations d'identification personnelle, il est important de connaître le nom des personnes qui se connectent aux boîtes aux lettres de votre organisation et les actions qui sont effectuées. Ceci est particulièrement important si les utilisateurs qui se connectent ne sont pas les propriétaires des boîtes aux lettres. Ces utilisateurs sont appelés utilisateurs délégués.
Grâce à l’enregistrement d’audit des boîtes aux lettres, vous pouvez enregistrer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués (notamment les administrateurs disposant d’autorisations Accès total pour les boîtes aux lettres) et les administrateurs.
Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour un type de connexion (administrateur, utilisateur délégué ou propriétaire). Les entrées du journal d'audit comprennent également des informations importantes, telles que l'adresse IP du client, le nom d'hôte et le processus ou client utilisé pour accéder à la boîte aux lettres. En ce qui concerne les éléments déplacés, l’entrée inclut le nom du dossier de destination.
Journaux d’audit des boîtes aux lettres
Les journaux d’audit des boîtes aux lettres sont générés pour chaque boîte aux lettres pour laquelle l’enregistrement d’audit est activé. Les entrées de journal sont stockées dans le dossier Éléments récupérables dans la boîte aux lettres concernée, dans le sous-dossier Audits. Cela permet de s'assurer que toutes les entrées de journal d'audit sont disponibles dans un emplacement unique, quelle que soit la méthode d'accès au client utilisée pour accéder à la boîte aux lettres et quel que soit le serveur ou l'ordinateur utilisé par un administrateur pour accéder au journal d'audit de la boîte aux lettres. Si vous déplacez une boîte aux lettres vers un autre serveur, les journaux d'audit de cette boîte aux lettres sont également déplacés, car ils se trouvent dans la boîte aux lettres.
Par défaut, les entrées du journal d'audit des boîtes aux lettres sont conservées pendant 90 jours dans la boîte aux lettres, puis supprimées. Vous pouvez modifier cette période de rétention à l’aide du paramètre AuditLogAgeLimit avec l’applet de commande Set-Mailbox . Si une boîte aux lettres est en conservation inaltérable ou en conservation pour litige, les entrées du journal d'audit sont seulement conservées jusqu'à la fin de la période de rétention de journal d'audit de la boîte aux lettres. Pour conserver plus longtemps les entrées du journal d’audit, vous devez augmenter la période de rétention en modifiant la valeur du paramètre AuditLogAgeLimit . Vous pouvez également exporter les entrées du journal d'audit avant la fin de la période de rétention. Pour plus d’informations, voir :
Activation de l’enregistrement d’audit des boîtes aux lettres
L'enregistrement d'audit des boîtes aux lettres est activé pour chaque boîte aux lettres. Utilisez la cmdlet Set-Mailbox pour activer ou désactiver l'enregistrement d'audit des boîtes aux lettres. Pour plus d'informations, voir Activer ou désactiver l'enregistrement d'audit pour une boîte aux lettres.
Lorsque vous activez l'enregistrement d'audit pour une boîte aux lettres, l'accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer quelles actions doivent être enregistrées.
Actions consignées par l’enregistrement d’audit des boîtes aux lettres
Le tableau suivant répertorie les actions consignées par l’enregistrement d’audit des boîtes aux lettres et précise les types de connexion pour lesquels l’action est enregistrée. Notez qu’un administrateur auquel l’autorisation Accès total a été attribuée à la boîte aux lettres d’un utilisateur est considéré comme un utilisateur délégué.
Si vous ne souhaitez plus que certains types d'actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d'enregistrement d'audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas effacées tant que l'âge limite des entrées du journal d'audit n'est pas atteint.
| Opération | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| Copier | Un élément est copié dans un autre dossier. | Oui | Non | Non |
| Create | Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres . par exemple, une nouvelle demande de réunion est créée. Notez que la création de messages ou de dossiers n’est pas auditée. | Oui1 | Oui1 | Oui |
| FolderBind | Un utilisateur accède à un dossier de boîte aux lettres. | Oui1 | Oui2 | Non |
| HardDelete | Un élément est définitivement supprimé du dossier Éléments récupérables. | Oui1 | Oui1 | Oui |
| MailboxLogin | L'utilisateur s'est connecté à sa boîte aux lettres. | Non | Non | Oui3 |
| MessageBind | Un utilisateur accède à un élément dans le volet de lecture ou l'ouvre. | Oui | Non | Non |
| Déplacer | Un élément est déplacé vers un autre dossier. | Oui1 | Oui | Oui |
| MoveToDeletedItems | Un élément est déplacé vers le dossier Éléments supprimés. | Oui1 | Oui | Oui |
| SendAs | Un message est envoyé à l'aide des autorisations Envoyer en tant que. | Oui1 | Oui1 | Non |
| SendOnBehalf | Un message est envoyé à l'aide des autorisations Envoyer de la part de. | Oui1 | Oui | Non |
| SoftDelete | Un élément est supprimé du dossier Éléments supprimés. | Oui1 | Oui1 | Oui |
| Mettre à jour | Les propriétés d'un élément sont mises à jour. | Oui1 | Oui1 | Oui |
1 Audité par défaut si l’audit est activé pour une boîte aux lettres.
2 Les entrées pour les actions de liaison de dossier effectuées par les délégués sont consolidées. Une entrée de journal est générée pour chaque accès aux dossiers sur une période de 24 heures.
3 L’audit des connexions propriétaires à une boîte aux lettres fonctionne uniquement pour les connexions POP3, IMAP4 ou OAuth. Il ne fonctionne pas pour les connexions NTLM ou Kerberos à la boîte aux lettres.
Rechercher le journal d’audit de boîte aux lettres
Vous pouvez faire appel aux méthodes suivantes pour effectuer une recherche dans les entrées du journal d’audit des boîtes aux lettres :
Rechercher de manière synchrone une seule boîte aux lettres : vous pouvez utiliser l’applet de commande Search-MailboxAuditLog pour rechercher de manière synchrone les entrées du journal d’audit d’une boîte aux lettres pour une seule boîte aux lettres. La cmdlet affiche les résultats de la recherche dans la fenêtre Exchange Management Shell. Pour plus d'informations, consultez la rubrique Search Mailbox Audit Log for a Mailbox.
Rechercher de manière asynchrone une ou plusieurs boîtes aux lettres : vous pouvez créer une recherche de journal d’audit de boîte aux lettres pour rechercher de manière asynchrone les journaux d’audit des boîtes aux lettres pour une ou plusieurs boîtes aux lettres, puis envoyer les résultats de la recherche à une adresse e-mail spécifiée. Les résultats de la recherche sont envoyés sous forme de pièce jointe au format XML. Pour créer la recherche, utilisez la cmdlet New-MailboxAuditLogSearch. Pour plus d’informations, consultez Créer une recherche dans le journal d’audit de boîte aux lettres.
Utiliser des rapports d’audit dans le Centre d’administration Exchange (EAC) : vous pouvez utiliser l’onglet Audit dans le CAE pour exécuter un rapport d’accès aux boîtes aux lettres non propriétaire (contient des entrées pour les actions d’administration et de suppression) ou exporter des entrées non propriétaires à partir du journal d’audit de la boîte aux lettres. Pour obtenir des informations détaillées, voir :
Entrées de journal d’audit de boîte aux lettres
Le tableau suivant décrit les champs enregistrés dans une entrée de journal d’audit de boîte aux lettres.
| Field | Renseigné avec |
|---|---|
| Opération | Une des actions suivantes : Copy Create FolderBind HardDelete MailboxLogin MessageBind Move MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| OperationResult | Un des résultats suivants : Échec Partiellementuccé Réussite |
| LogonType | Type de connexion de l'utilisateur qui a réalisé l'opération. Les types de connexion sont les suivants : Propriétaire Délégué Administrateur |
| DestFolderId | GUID du dossier de destination pour les opérations de déplacement. |
| DestFolderPathName | Chemin d'accès au dossier de destination pour les opérations de déplacement. |
| FolderId | GUID du dossier. |
| FolderPathName | Chemin d'accès au dossier. |
| ClientInfoString | Détails permettant d'identifier le client ou le composant Exchange qui a effectué l'opération. |
| ClientIPAddress | Adresse IP de l'ordinateur client. |
| ClientMachineName | Nom de l'ordinateur client. |
| ClientProcessName | Nom du processus de l'application cliente. |
| ClientVersion | Version de l'application cliente. |
| InternalLogonType | Type d'utilisateur interne (il s'agit d'une personne de votre organisation) ayant effectué l'opération. Les valeurs possibles pour ce champ sont les mêmes que celles du champ LogonType. |
| MailboxOwnerUPN | Nom d'utilisateur principal (UPN) du propriétaire de la boîte aux lettres. |
| MailboxOwnerSid | Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres. |
| DestMailboxOwnerUPN | UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
| DestMailboxOwnerSid | SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
| DestMailboxOwnerGuid | GUID du propriétaire de la boîte aux lettres de destination. |
| CrossMailboxOperation | Informations permettant de savoir si l'opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres). |
| LogonUserDisplayName | Nom complet de l'utilisateur qui est connecté. |
| DelegateUserDisplayName | Nom complet de l'utilisateur délégué. |
| LogonUserSid | SID de l'utilisateur qui est connecté. |
| SourceItems | Identificateur des éléments de boîtes aux lettres sur lesquels l'action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d'une série d'éléments. |
| SourceFolders | GUID du dossier source. |
| ItemId | Identificateur de l'élément. |
| ItemSubject | Objet de l'élément. |
| MailboxGuid | GUID de la boîte aux lettres. |
| MailboxResolvedOwnerName | Nom résolu de l’utilisateur de la boîte aux lettres au format NOM_COMPTE_DOMAINE\ . |
| LastAccessed | Heure à laquelle l'opération a été effectuée. |
| Identity | ID d'entrée du journal d'audit. |
Informations supplémentaires
Accès administrateur aux boîtes aux lettres : les boîtes aux lettres sont considérées comme accessibles par un administrateur uniquement dans les scénarios suivants :
La découverte électronique inaltérable est utilisée pour effectuer une recherche dans une boîte aux lettres.
La cmdlet New-MailboxExportRequest est utilisée pour exporter une boîte aux lettres.
Microsoft Exchange Server client MAPI et les objets de données de collaboration sont utilisés pour accéder à la boîte aux lettres.
Contournement de la journalisation de l’audit des boîtes aux lettres : l’accès aux boîtes aux lettres par des processus automatisés autorisés, tels que les comptes utilisés par des outils tiers ou les comptes utilisés pour la surveillance légale, peut créer un grand nombre d’entrées de journal d’audit de boîte aux lettres et peut ne pas intéresser vos organization. Vous pouvez faire en sorte que l'enregistrement d'audit ne s'effectue pas dans les boîtes aux lettres de ces comptes. Pour plus d’informations, consultez Ignorer un compte d’utilisateur à partir de la journalisation d’audit de boîte aux lettres.
Journalisation des actions du propriétaire de boîte aux lettres : pour les boîtes aux lettres telles que la boîte aux lettres de recherche de découverte, qui peuvent contenir des informations plus sensibles, envisagez d’activer la journalisation d’audit de boîte aux lettres pour les actions de propriétaire de boîte aux lettres telles que la suppression de messages.