Afficher et exporter le journal d'audit de l'administrateur externeView and export the external admin audit log

Dans Exchange Online, les actions effectuées par Microsoft et administrateurs délégués sont consignés dans le journal d’audit de l’administrateur. Vous pouvez utiliser le centre d’administration Exchange ou Exchange Online PowerShell pour rechercher et afficher entrées du journal d’audit pour déterminer si les administrateurs externes les actions effectuées sur ou modifié la configuration de votre organisation Exchange Online. Vous pouvez également utiliser Exchange Online PowerShell pour exporter ces entrées du journal d’audit.In Exchange Online, actions performed by Microsoft and delegated administrators are logged in the administrator audit log. You can use the EAC or Exchange Online PowerShell to search for and view audit log entries to determine if external administrators performed any actions on or changed the configuration of your Exchange Online organization. You can also use Exchange Online PowerShell to export these audit log entries.

Que faut-il savoir avant de commencer ?What do you need to know before you begin?

  • Durée d'exécution estimée : elle peut varier selon que vous affichez ou que vous exportez les entrées du journal d'audit de l'administrateur. Consultez chaque procédure pour connaître sa durée estimée.Estimated time to complete: This will vary based on whether you view or export entries from the admin audit log. See each procedure for its estimated time to complete.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d'audit de l'administrateur en affichage seul » dans la rubrique Exchange and Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Exchange and Shell Infrastructure Permissions topic.

  • Lorsque vous exportez le journal d'audit de l'administrateur, Microsoft Exchange joint le journal d'audit, qui est un fichier XML, à un message électronique envoyé aux destinataires spécifiés. Toutefois, Outlook Web App bloque les pièces jointes au format XML par défaut. Si vous voulez utiliser Outlook Web App pour accéder à ces journaux d'audit, vous devez configurer Outlook Web App de sorte qu'il autorise les pièces jointes au format XML. Exécutez la commande suivante pour autoriser les pièces jointes au format XML dans Outlook Web App.When you export the admin audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message that is sent to the specified recipients. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments. Run the following command to allow XML attachments in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Pour plus d’informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir raccourcis clavier pour le centre d’administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts for the Exchange admin center.

Conseil

Des problèmes ? Demander une assistance dans les forums Exchange. Consultez les forums à Exchange Online ou Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Online or Exchange Online Protection.

Utiliser le CAE pour afficher le rapport du journal d'audit de l'administrateur externeUse the EAC to view the external admin audit log report

Durée d'exécution estimée : 3 minutesEstimated time to complete: 3 minutes

  1. Accédez à Gestion de la conformité > Audit, puis cliquez sur Afficher le journal d'audit de l'administrateur externe. Toutes les modifications de configuration apportées par les administrateurs du centre de données Microsoft et les administrateurs délégués pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :Go to Compliance management > Auditing and click View the external admin audit log report. All configuration changes made by Microsoft datacenter administrators and delegated administrators during the specified time period are displayed, and can be sorted, using the following information:
  • Date: la date et l’heure de la modification de configuration a été effectuée. La date et l’heure sont stockés dans le format de temps universel coordonné (UTC).Date: The date and time that the configuration change was made. The date and time are stored in Coordinated Universal Time (UTC) format.

  • Applet de commande: le nom de l’applet de commande qui a été utilisé pour modifier la configuration.Cmdlet: The name of the cmdlet that was used to make the configuration change.

    Si vous sélectionnez un seul résultat de recherche, l'information suivante s'affiche dans le volet de détails :If you select an individual search result, the following information is displayed in the details pane:

  • La date et l'heure d'exécution de la cmdlet.The date and time that the cmdlet was run.

  • L'utilisateur ayant exécuté la cmdlet. Pour toutes les entrées du rapport du journal d'audit de l'administrateur externe, l'utilisateur est identifié comme Administrateur, ce qui désigne un administrateur du centre de données Microsoft ou un administrateur externe.The user who ran the cmdlet. For all entries in the external admin audit log report, the user is identified as Administrator, which indicates a Microsoft datacenter administrator or an external administrator.

  • Les paramètres de la cmdlet utilisée, ainsi que toute valeur spécifiée dans le paramètre, au format Paramètre:Valeur.The cmdlet parameters that were used, and any value specified with the parameter, in the format Parameter:Value.

  1. Si vous souhaitez imprimer une entrée spécifique du journal d'audit, sélectionnez-la dans le volet des résultats de recherche, puis cliquez sur Imprimer dans le volet de détails.If you want to print a specific audit log entry, select it in the search results pane and then click Print in the details pane.

  2. Pour affiner la recherche, choisissez des dates dans les menus déroulants Date de début et Date de fin, puis cliquez sur Rechercher.To narrow the search, choose dates in the Start date and End date drop-down menus, and then click Search.

Utiliser Exchange Online PowerShell pour afficher les entrées dans le rapport du journal d’audit administrateur externeUse Exchange Online PowerShell to view entries in the external admin audit log report

Durée d'exécution estimée : 3 minutesEstimated time to complete: 3 minutes

Vous pouvez utiliser l’applet de commande Search-AdminAuditLog avec le paramètre ExternalAccess pour afficher les entrées de l’administrateur de journal d’audit pour les actions effectuées par les administrateurs du centre de données Microsoft et les administrateurs délégués.You can use the Search-AdminAuditLog cmdlet with the ExternalAccess parameter to view entries from the administrator audit log for actions performed by Microsoft datacenter administrators and delegated administrators.

Cette commande renvoie toutes les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes.This command returns all entries in the administrator audit log for cmdlets run by external administrators.

Search-AdminAuditLog -ExternalAccess $true

Cette commande renvoie les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes entre le 17 septembre 2013 et le 2 octobre 2013.This command returns entries in the administrator audit log for cmdlets run by external administrators between September 17, 2013 and October 2, 2013.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Pour plus d'informations, consultez la rubrique Search-AdminAuditLog.For more information, see Search-AdminAuditLog.

Utiliser Exchange Online PowerShell pour exporter le journal d’audit d’administrationUse Exchange Online PowerShell to export the admin audit log

Durée d'exécution estimée : 24 heures environEstimated time to complete: Approximately 24 hours

Vous pouvez utiliser la cmdlet New-AdminAuditLogSearch avec le paramètre ExternalAccess pour exporter les entrées du journal d’audit de l’administrateur relatives aux actions effectuées par les administrateurs du centre de données Microsoft ou les administrateurs délégués. Microsoft Exchange récupère les entrées du journal d’audit de l’administrateur effectuées par des administrateurs externes et les enregistre dans un fichier nommé SearchResult.xml. Ce fichier XML est joint à un message électronique envoyé aux destinataires spécifiés dans les 24 heures.You can use the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter to export entries from the administrator audit log for actions performed by Microsoft datacenter administrators or delegated administrators. Microsoft Exchange retrieves entries in the administrator audit log that were performed by external administrators and saves them to a file named SearchResult.xml. This XML file is attached to an email message that is sent to the specified recipients within 24 hours.

La commande suivante renvoie les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes entre le 25 septembre 2013 et le 24 octobre 2013. Les résultats de la recherche sont envoyés aux adresses SMTP admin@contoso.com et pilarp@contoso.com, et le texte « Journal d'audit de l'administrateur externe » est ajouté à la ligne d'objet du message.The following command returns entries in the administrator audit log for cmdlets run by external administrators between September 25, 2013 and October 24, 2013. The search results are sent to the admin@contoso.com and pilarp@contoso.com SMTP addresses and the text "External admin audit log" is added to the subject line of the message.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Note

Lorsque vous incluez le paramètre ExternalAccess , seules des entrées pour les actions effectuées par l’administrateur du centre de données Microsoft ou administrateurs délégués sont inclus dans le journal d’audit qui est exporté. Si vous n’incluez pas le paramètre ExternalAccess , le journal d’audit contient les entrées pour les actions effectuées par les administrateurs de votre organisation et par les administrateurs externes.When you include the ExternalAccess parameter, only entries for actions performed by Microsoft datacenter administrator or delegated administrators are included in the audit log that is exported. If you don't include the ExternalAccess parameter, the audit log will contain entries for actions performed by the administrators in your organization and by external administrators.

Pour vérifier la réussite de la commande d'export des entrées du journal d'audit de l'administrateur effectuées par des administrateurs externes, et pour afficher des informations sur les recherches actuelles dans le journal d'audit de l'administrateur, exécutez la commande suivante :To verify that the command to export the admin audit log entries performed by external administrators was successful, and to display information about current administrator audit log searches, run the following command:

Get-AuditLogSearch | Format-List

Plus d’informationsMore information

  • Dans Office 365, vous pouvez déléguer la possibilité d’effectuer certaines tâches administratives pour un partenaire agréé de Microsoft. Ces tâches d’administration incluent la création ou modification d’utilisateurs, réinitialiser les mots de passe utilisateur, gestion des licences utilisateur, la gestion des domaines et affectation d’autorisations d’administrateur à d’autres utilisateurs dans votre organisation. Lorsque vous autorisez un partenaire à ce rôle, le partenaire est appelé à un administrateur délégué. Les tâches exécutées par un administrateur délégué sont consignés dans le journal d’audit d’administration. Comme décrit précédemment, les actions effectuées par les administrateurs délégués peuvent être affichées en exécutant le rapport du journal d’audit administrateur externe ou exportées à l’aide de l’applet de commande New-AdminAuditLogSearch avec le paramètre ExternalAccess .In Office 365, you can delegate the ability to perform certain administrative tasks to an authorized partner of Microsoft. These admin tasks include creating or editing users, resetting user passwords, managing user licenses, managing domains, and assigning admin permissions to other users in your organization. When you authorize a partner to take on this role, the partner is referred to as a delegated admin. The tasks performed by a delegated admin are logged in the admin audit log. As previously described, actions performed by delegated admins can be viewed by running the external admin audit log report or exported by using the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter.

  • Le journal d’audit administrateur enregistre des actions spécifiques, en fonction des applets de commande Exchange Online PowerShell, effectuées par les administrateurs et les utilisateurs qui ont été attribués les privilèges d’administrateur. Les actions effectuées par les administrateurs externes sont également consignées. Entrées dans le journal d’audit d’administration fournissent des informations sur l’applet de commande qui a été exécutée, les paramètres qui ont été utilisés et les objets qui ont été affectées.The administrator audit log records specific actions, based on Exchange Online PowerShell cmdlets, performed by administrators and users who have been assigned administrative privileges. Actions performed by external administrators are also logged. Entries in the admin audit log provide you with information about the cmdlet that was run, which parameters were used, and what objects were affected.

  • Le journal d’audit administrateur n’enregistre aucune action qui repose sur une applet de commande Exchange Online PowerShell qui commence avec le verbe Get, Searchou Test.The administrator audit log doesn't record any action that is based on an Exchange Online PowerShell cmdlet that begins with the verbs Get, Search, or Test.

  • Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.Audit log entries are kept for 90 days. When an entry is older than 90 days, it's deleted.