Rapports d'audit ExchangeExchange auditing reports

Utilisez l'enregistrement d'audit pour résoudre des problèmes de configuration en suivant les modifications spécifiques effectuées par les administrateurs et vous aider à respecter les exigences réglementaires, de conformité et en matière de litiges. Microsoft Exchange fournit deux types d'enregistrements d'audit :Use audit logging to troubleshoot configuration issues by tracking specific changes made by administrators and to help you meet regulatory, compliance, and litigation requirements. Microsoft Exchange provides two types of audit logging:

  • Enregistrement d'audit d'administrateur enregistre toute action, basée sur une cmdlet d'Exchange Management Shell, effectuée par un administrateur. Cela peut vous aider à résoudre des problèmes de configuration ou à identifier la cause de problèmes de sécurité ou de conformité. Dans Exchange Online, les actions effectuées par les administrateurs Microsoft et les administrateurs délégués sont également enregistrées.Administrator audit logging records any action, based on an Exchange Management Shell cmdlet, performed by an administrator. This can help you troubleshoot configuration issues or identify the cause of security-related or compliance-related problems. In Exchange Online, actions performed by Microsoft administrators and delegated administrators, are also recorded.

  • Enregistrement d'audit des boîtes aux lettres enregistre chaque accès à une boîte aux lettres par un administrateur, un utilisateur délégué ou son propriétaire. Vous pouvez ainsi identifier les personnes ayant accédé à une boîte aux lettres et ce qu'elles y ont fait.Mailbox audit logging records when a mailbox is accessed by an administrator, a delegated user, or the person who owns the mailbox. This can help you determine who has accessed a mailbox and what they've done.

Exporter des journaux d'auditExport audit logs

Dans la page Gestion de la conformité > Audit du Centre d'administration Exchange (CAE), vous pouvez rechercher et exporter des entrées à partir du journal d'audit de l'administrateur et du journal d'audit de la boîte aux lettres.On the Compliance Management > Auditing page in the Exchange admin center (EAC), you can search for and export entries from the administrator audit log and the mailbox audit log.

  • Exporter le journal d'audit de l'administrateur Toute action exécutée par un administrateur qui est basée sur une cmdlet de l'environnement de ligne de commande Exchange Management Shell et qui ne commence pas par les verbes Get, Search ou Test est enregistrée dans le journal d'audit de l'administrateur. Les entrées de journal d'audit incluent l'applet de commande exécutée, le paramètre et les valeurs utilisées avec l'applet de commande, et quand l'opération a réussi. Vous pouvez rechercher et exporter des entrées à partir du journal d'audit de l'administrateur. Lorsque vous exportez vos résultats de la recherche, Microsoft Exchange les enregistre dans un fichier XML et l'inclut en pièce jointe dans un message électronique. Pour plus d'informations, consultez :Export the administrator audit log Any action performed by an administrator that's based on a Shell cmdlet and doesn't begin with the verbs Get, Search, or Test is logged in the administrator audit log. Audit log entries include the cmdlet that was run, the parameter and values used with the cmdlet, and when the operation was successful. You can search for and export entries from the administrator audit log. When you export your search results, Microsoft Exchange saves them in an XML file and attaches it to an email message. For more information, see:

  • Exporter les journaux d'audit de boîte aux lettres Lorsque l'enregistrement d'audit des boîtes aux lettres est activé pour une boîte aux lettres, Microsoft Exchange stocke un enregistrement des actions effectuées sur les données de la boîte aux lettres par les non-propriétaires, dans le journal d'audit de la boîte aux lettres stocké dans un dossier caché dans la boîte aux lettres faisant l'objet de l'audit. L'enregistrement d'audit des boîtes aux lettres peut également être configuré pour enregistrer les actions du propriétaire. Les entrées de ce journal indiquent qui a accédé à la boîte aux lettres et quand, les actions effectuées et si l'action a réussi. Lorsque vous recherchez des entrées dans le journal d'audit de la boîte aux lettres et que vous les exportez, Microsoft Exchange enregistre les résultats de la recherche dans un fichier XML et l'inclut en pièce jointe dans un message électronique. Pour plus d'informations, consultez la rubrique Exporter les journaux d'audit de boîte aux lettres.Export mailbox audit logs When mailbox audit logging is enabled for a mailbox, Microsoft Exchange stores a record of actions performed on mailbox data by non-owners in the mailbox audit log, which is stored in a hidden folder in the mailbox being audited. Mailbox audit logging can also be configure to log owner actions. Entries in this log indicate who accessed the mailbox and when, the actions performed, and whether the action was successful. When you search for entries in the mailbox audit log and export them, Microsoft Exchange saves the search results in an XML file and attaches it to an email message. For more information, see Export mailbox audit logs.

Exécuter des rapports d'auditRun auditing reports

Lorsque vous exécutez l'un des rapports suivants sous l'onglet Audit du CAE, les résultats sont affichés dans le volet d'informations du rapport.When you run any of the following reports on the Auditing page in the EAC, the results are displayed in the details pane of the report.

  • Exécuter un rapport d'accès aux boîtes aux lettres par des non-propriétaires Utilisez ce rapport pour rechercher les boîtes aux lettres auxquelles une personne autre que le propriétaire de la boîte aux lettres a accédé. Pour plus d'informations, consultez la rubrique Exécuter un rapport d'accès aux boîtes aux lettres par des non-propriétaires.Run a non-owner mailbox access report Use this report to find mailboxes that have been accessed by someone other than the person who owns the mailbox. For more information, see Run a non-owner mailbox access report.

  • Exécuter un administrateur de rapport de groupe de rôles Utilisez ce rapport pour rechercher des modifications apportées aux groupes de rôles d’administrateur. Pour plus d’informations, voir les modifications de groupe de rôles de recherche ou des journaux d’audit administrateur.Run an administrator role group report Use this report to search for changes made to administrator role groups. For more information, see Search the role group changes or administrator audit logs.

  • Exécuter un rapport de découverte et de blocage sur place Utilisez ce rapport pour rechercher les boîtes aux lettres pour lesquelles un blocage sur place a été activé ou annulé. Pour plus d'informations, voir :Run an in-place discovery and hold report Use this report to find mailboxes that have been put on, or removed from, In-Place Hold. For more information, see:

  • Rapport de mise en attente pour litige par boîte aux lettres Utilisez ce rapport pour rechercher les boîtes aux lettres pour lesquelles une mise en attente pour litige a été activée ou annulée. Pour plus d'informations, consultez :Run a per-mailbox litigation hold report Use this report to find mailboxes that were put on, or removed from, litigation hold. For more information, see.

  • Exécuter le rapport du journal d'audit de l'administrateur Utilisez ce rapport pour afficher les entrées du journal d'audit de l'administrateur. Au lieu d'exporter le journal d'audit de l'administrateur, dont la réception par courrier électronique peut prendre jusqu'à 24 heures, vous pouvez exécuter ce rapport dans le CAE. Ce rapport enregistre les modifications de configuration apportées par les administrateurs de votre organisation. Jusqu'à 5 000 entrées peuvent s'afficher sur plusieurs pages. Pour affiner la recherche, vous pouvez spécifier une plage de dates. Pour plus d'informations, consultez :Run the admin audit log report Use this report to view entries from the administrator audit log. Instead of exporting the administrator audit log, which can take up to 24 hours to receive in an email message, you can run this report in the EAC. This report records configuration changes made by administrators in your organization. Up to 5000 entries will be displayed on multiple pages. To narrow the search, you can specify a date range. For more information, see:

  • Exécutez le rapport du journal d’audit administrateur externe Ce rapport est uniquement disponible dans Exchange Online et Exchange Online Protection. Actions effectuées par les administrateurs de Microsoft ou administrateurs délégués sont consignés dans le journal d’audit de l’administrateur. Utilisez le rapport du journal d’audit administrateur externe pour rechercher et afficher les actions effectuées par les administrateurs à l’extérieur de votre organisation de la configuration de votre organisation Exchange Online. Pour plus d’informations, voir Afficher et exporter l’audit d’administrateur externe se connecter.Run the external admin audit log report This report is only available in Exchange Online and Exchange Online Protection. Actions performed by Microsoft administrators or delegated administrators are logged in the administrator audit log. Use the external admin audit log report to search for and view the actions that administrators outside your organization performed on the configuration of your Exchange Online organization. For more information, see View and export the external admin audit log.

Configurer l'enregistrement d'auditConfigure audit logging

Avant de pouvoir exécuter des rapports d'audit et exporter des journaux d'audit, vous devez configurer l'enregistrement d'audit pour votre organisation.Before you can run auditing reports and export audit logs, you have to configure audit logging for your organization.

Activer l'enregistrement d'audit de boîte aux lettresEnable mailbox audit logging

Vous devez activer l'enregistrement d'audit de boîte aux lettres pour chaque boîte aux lettres pour laquelle vous souhaitez exécuter un rapport d'accès aux boîtes aux lettres par un non-propriétaire. Si l'enregistrement d'audit de boîte aux lettres n'est pas activé pour une boîte aux lettres, vous n'obtiendrez pas de résultats lorsque vous exécuterez un rapport ou exporterez le journal d'audit de la boîte aux lettres.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results when you run a report for it or export the mailbox audit log.

Pour activer l’enregistrement d’audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell.To enable mailbox audit logging for a single mailbox, run the following command in the Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Pour activer l'audit de boîte aux lettres pour toutes les boîtes aux lettres des utilisateurs de votre organisation, exécutez les commandes suivantes.To enable mailbox auditing for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Pour plus d'informations sur la configuration des actions enregistrées, voir :For more information about configuring which actions are logged, see:

Donner aux utilisateurs l'accès aux rapports d'auditGive users access to Auditing reports

Par défaut, les administrateurs peuvent accéder et exécuter tous les rapports dans la page Audit du CAE. Toutefois, les autres utilisateurs, tels qu'un gestionnaire d'enregistrements ou le personnel juridique, doivent avoir les autorisations nécessaires.By default, administrators can access and run any of the reports on the Auditing page in the EAC. However, other users, such as a records manager or legal staff, have to be assigned the necessary permissions.

La façon la plus facile pour donner l'accès aux utilisateurs consiste à les ajouter au groupe de rôles Gestion des enregistrements. Vous pouvez également utiliser l'environnement de ligne de commande Exchange Management Shell pour donner à un utilisateur l'accès à la page Audit dans le CAE en lui attribuant le rôle Journaux d'audit.The easiest way to give users access is to add them to the Records Management role group. You can also use the Shell to give a user access to the Auditing page in the EAC by assigning the Audit Logs role to the user.

Ajouter un utilisateur au groupe de rôles Gestion des enregistrementsAdd a user to the Records Management role group

  1. Accédez à Autorisations> Rôles d'administrateur.Go to Permissions > Admin Roles.

  2. Dans la liste des groupes de rôles, cliquez sur Gestion des enregistrements, puis sur ModifierIcône Modifier.In the list of role groups, click Records Management, and then click EditEdit icon.

  3. Sous Membres, cliquez sur AjouterIcône Ajouter.Under Members, click AddAdd Icon.

  4. Dans la boîte de dialogue Sélectionner des membres, sélectionnez l'utilisateur. Vous pouvez rechercher un utilisateur en tapant une partie ou la totalité d'un nom complet, puis en cliquant sur RechercherIcône Recherche. Vous pouvez également trier la liste en cliquant sur l'en-tête de colonne Nom ou Nom complet.In the Select Members dialog box, select the user. You can search for a user by typing all or part of a display name, and then clicking SearchSearch icon. You can also sort the list by clicking the Name or Display Name column headings.

  5. Cliquez sur AjouterIcône Ajouter, puis sur OK pour revenir à la page du groupe de rôles.Click AddAdd Icon and then click OK to return to the role group page.

  6. Cliquez sur Enregistrer pour enregistrer la modification apportée au groupe de rôles.Click Save to save the change to the role group.

Dans le volet d'informations, l'utilisateur est répertorié sous Membres et peut accéder à la page Audit dans le CAE, exécuter des rapports d'audit et exporter des journaux d'audit.In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Attribuer le rôle Journaux d'audit à un utilisateurAssign the Audit Logs role to a user

Exécutez la commande suivante pour attribuer le rôle Journaux d'audit à un utilisateur.Run the following command to assign the Audit Logs role to a user.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Ceci permet à l'utilisateur de sélectionner Gestion de la conformité > Audit dans le CAE pour exécuter l'un des rapports. L'utilisateur peut également exporter le journal d'audit de la boîte aux lettres, et exporter et afficher le journal d'audit de l'administrateur.This enables the user to select Compliance Management > Auditing in the EAC to run any of the reports. The user can also export the mailbox audit log, and export and view the administrator audit log.

Note

Pour permettre à un utilisateur d'exécuter des rapports d'audit mais pas d'exporter des journaux d'audit, utilisez la commande précédente pour attribuer le rôle Journaux d'audit en affichage seul.To allow a user to run auditing reports but not to export audit logs, use the preceding command to assign the View-Only Audit Logs role.

Configurer Outlook Web App pour autoriser les pièces jointes XMLConfigure Outlook Web App to allow XML attachments

Lorsque vous exportez le journal d'audit de la boîte aux lettres ou le journal d'audit de l'administrateur, Microsoft Exchange joint le journal d'audit, qui est un fichier XML à un message électronique. Cependant, Outlook Web App bloque les pièces jointes XML par défaut. Si vous voulez utiliser Outlook Web App pour accéder à ces journaux d'audit, vous devez configurer Outlook Web App pour autoriser les pièces jointes XML.When you export the mailbox audit log or administrator audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments.

Exécutez la commande suivante pour autoriser les pièces jointes XML dans Outlook Web App.Run the following command to allow XML attachments in Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'