Afficher et exporter le journal d'audit de l'administrateur externeView and export the external admin audit log

Dans Exchange Online, les actions effectuées par les administrateurs Microsoft et les administrateurs délégués sont enregistrées dans le journal d'audit de l'administrateur. Vous pouvez utiliser le CAE ou l'Environnement de ligne de commande Exchange Management Shell pour rechercher et afficher des entrées du journal d'audit afin de déterminer si les administrateurs externes ont effectué des actions sur votre organisation Exchange Online ou s'ils ont modifié celle-ci. Vous pouvez également utiliser l'Environnement de ligne de commande Exchange Management Shell pour exporter ces entrées du journal d'audit.In Exchange Online, actions performed by Microsoft and delegated administrators are logged in the administrator audit log. You can use the EAC or the Exchange Management Shell to search for and view audit log entries to determine if external administrators performed any actions on or changed the configuration of your Exchange Online organization. You can also use the Exchange Management Shell to export these audit log entries.

Que faut-il savoir avant de commencer ?What do you need to know before you begin?

  • Durée d'exécution estimée : elle peut varier selon que vous affichez ou que vous exportez les entrées du journal d'audit de l'administrateur. Consultez chaque procédure pour connaître sa durée estimée.Estimated time to complete: This will vary based on whether you view or export entries from the admin audit log. See each procedure for its estimated time to complete.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d'audit de l'administrateur en affichage seul » dans la rubrique Exchange and Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Exchange and Shell Infrastructure Permissions topic.

  • Lorsque vous exportez le journal d'audit de l'administrateur, Microsoft Exchange joint le journal d'audit, qui est un fichier XML, à un message électronique envoyé aux destinataires spécifiés. Toutefois, Outlook Web App bloque les pièces jointes au format XML par défaut. Si vous voulez utiliser Outlook Web App pour accéder à ces journaux d'audit, vous devez configurer Outlook Web App de sorte qu'il autorise les pièces jointes au format XML. Exécutez la commande suivante pour autoriser les pièces jointes au format XML dans Outlook Web App.When you export the admin audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message that is sent to the specified recipients. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments. Run the following command to allow XML attachments in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez les forums sur les pages Exchange Server,Exchange Online, et Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Que souhaitez-vous faire ?What do you want to do?

Utiliser le CAE pour afficher le rapport du journal d'audit de l'administrateur externeUse the EAC to view the external admin audit log report

Durée d'exécution estimée : 3 minutesEstimated time to complete: 3 minutes

  1. Accédez à Gestion de la conformité > Audit, puis cliquez sur Afficher le journal d'audit de l'administrateur externe. Toutes les modifications de configuration apportées par les administrateurs du centre de données Microsoft et les administrateurs délégués pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :Go to Compliance management > Auditing and click View the external admin audit log report. All configuration changes made by Microsoft datacenter administrators and delegated administrators during the specified time period are displayed, and can be sorted, using the following information:
  • Date Date et heure auxquelles la modification de configuration a été effectuée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).Date The date and time that the configuration change was made. The date and time are stored in Coordinated Universal Time (UTC) format.

  • Cmdlet Nom de la cmdlet utilisée pour la modification de configuration.Cmdlet The name of the cmdlet that was used to make the configuration change.

    Si vous sélectionnez un seul résultat de recherche, l'information suivante s'affiche dans le volet de détails :If you select an individual search result, the following information is displayed in the details pane:

  • La date et l'heure d'exécution de la cmdlet.The date and time that the cmdlet was run.

  • L'utilisateur ayant exécuté la cmdlet. Pour toutes les entrées du rapport du journal d'audit de l'administrateur externe, l'utilisateur est identifié comme Administrateur, ce qui désigne un administrateur du centre de données Microsoft ou un administrateur externe.The user who ran the cmdlet. For all entries in the external admin audit log report, the user is identified as Administrator, which indicates a Microsoft datacenter administrator or an external administrator.

  • Les paramètres de la cmdlet utilisée, ainsi que toute valeur spécifiée dans le paramètre, au format Paramètre:Valeur.The cmdlet parameters that were used, and any value specified with the parameter, in the format Parameter:Value.

  1. Si vous souhaitez imprimer une entrée spécifique du journal d'audit, sélectionnez-la dans le volet des résultats de recherche, puis cliquez sur Imprimer dans le volet de détails.If you want to print a specific audit log entry, select it in the search results pane and then click Print in the details pane.

  2. Pour affiner la recherche, choisissez des dates dans les menus déroulants Date de début et Date de fin, puis cliquez sur Rechercher.To narrow the search, choose dates in the Start date and End date drop-down menus, and then click Search.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour afficher les entrées du rapport du journal d'audit de l'administrateur externeUse the Exchange Management Shell to view entries in the external admin audit log report

Durée d'exécution estimée : 3 minutesEstimated time to complete: 3 minutes

Vous pouvez utiliser la cmdlet Search-AdminAuditLog avec le paramètre ExternalAccess pour afficher les entrées du journal d'audit de l'administrateur relatives aux actions effectuées par les administrateurs du centre de données Microsoft et les administrateurs délégués.You can use the Search-AdminAuditLog cmdlet with the ExternalAccess parameter to view entries from the administrator audit log for actions performed by Microsoft datacenter administrators and delegated administrators.

Cette commande renvoie toutes les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes.This command returns all entries in the administrator audit log for cmdlets run by external administrators.

Search-AdminAuditLog -ExternalAccess $true

Cette commande renvoie les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes entre le 17 septembre 2013 et le 2 octobre 2013.This command returns entries in the administrator audit log for cmdlets run by external administrators between September 17, 2013 and October 2, 2013.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Pour plus d'informations, consultez la rubrique Search-AdminAuditLog.For more information, see Search-AdminAuditLog.

Utiliser le Environnement de ligne de commande Exchange Management Shell pour exporter le journal d'audit de l'administrateurUse the Exchange Management Shell to export the admin audit log

Durée d'exécution estimée : 24 heures environEstimated time to complete: Approximately 24 hours

Vous pouvez utiliser la cmdlet New-AdminAuditLogSearch avec le paramètre ExternalAccess pour exporter les entrées du journal d'audit de l'administrateur relatives aux actions effectuées par les administrateurs du centre de données Microsoft ou les administrateurs délégués. Microsoft Exchange récupère les entrées du journal d'audit de l'administrateur effectuées par des administrateurs externes et les enregistre dans un fichier nommé SearchResult.xml. Ce fichier XML est joint à un message électronique envoyé aux destinataires spécifiés dans les 24 heures.You can use the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter to export entries from the administrator audit log for actions performed by Microsoft datacenter administrators or delegated administrators. Microsoft Exchange retrieves entries in the administrator audit log that were performed by external administrators and saves them to a file named SearchResult.xml. This XML file is attached to an email message that is sent to the specified recipients within 24 hours.

La commande suivante renvoie les entrées du journal d'audit de l'administrateur pour les cmdlets exécutées par des administrateurs externes entre le 25 septembre 2013 et le 24 octobre 2013. Les résultats de la recherche sont envoyés aux adresses SMTP admin@contoso.com et pilarp@contoso.com, et le texte « Journal d'audit de l'administrateur externe » est ajouté à la ligne d'objet du message.The following command returns entries in the administrator audit log for cmdlets run by external administrators between September 25, 2013 and October 24, 2013. The search results are sent to the admin@contoso.com and pilarp@contoso.com SMTP addresses and the text "External admin audit log" is added to the subject line of the message.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Note

Si vous incluez le paramètre ExternalAccess, seules les entrées relatives aux actions effectuées par l'administrateur du centre de données Microsoft ou les administrateurs délégués sont incluses dans le journal d'audit exporté. Si vous n'incluez pas le paramètre ExternalAccess, le journal d'audit contient des entrées pour les actions effectuées par les administrateurs de votre organisation et par les administrateurs externes.When you include the ExternalAccess parameter, only entries for actions performed by Microsoft datacenter administrator or delegated administrators are included in the audit log that is exported. If you don't include the ExternalAccess parameter, the audit log will contain entries for actions performed by the administrators in your organization and by external administrators.

Pour vérifier la réussite de la commande d'export des entrées du journal d'audit de l'administrateur effectuées par des administrateurs externes, et pour afficher des informations sur les recherches actuelles dans le journal d'audit de l'administrateur, exécutez la commande suivante :To verify that the command to export the admin audit log entries performed by external administrators was successful, and to display information about current administrator audit log searches, run the following command:

Get-AuditLogSearch | FL

Plus d'informationsMore information

  • Dans Office 365, vous pouvez déléguer la possibilité d’effectuer certaines tâches administratives pour un partenaire agréé de Microsoft. Ces tâches d’administration incluent la création ou modification d’utilisateurs, réinitialiser les mots de passe utilisateur, gestion des licences utilisateur, la gestion des domaines et affectation d’autorisations d’administrateur à d’autres utilisateurs dans votre organisation. Lorsque vous autorisez un partenaire à ce rôle, le partenaire est appelé à un administrateur délégué. Les tâches exécutées par un administrateur délégué sont consignés dans le journal d’audit d’administration. Comme décrit précédemment, les actions effectuées par les administrateurs délégués peuvent être affichées en exécutant le rapport du journal d’audit administrateur externe ou exportées à l’aide de l’applet de commande New-AdminAuditLogSearch avec le paramètre ExternalAccess .In Office 365, you can delegate the ability to perform certain administrative tasks to an authorized partner of Microsoft. These admin tasks include creating or editing users, resetting user passwords, managing user licenses, managing domains, and assigning admin permissions to other users in your organization. When you authorize a partner to take on this role, the partner is referred to as a delegated admin. The tasks performed by a delegated admin are logged in the admin audit log. As previously described, actions performed by delegated admins can be viewed by running the external admin audit log report or exported by using the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter.

  • Le journal d'audit de l'administrateur enregistre des actions spécifiques, basées sur les cmdlets Environnement de ligne de commande Exchange Management Shell, effectuées par les administrateurs et les utilisateurs disposant de privilèges d'administration. Les actions effectuées par les administrateurs externes sont également enregistrées. Les entrées du journal d'audit de l'administrateur vous fournissent des informations sur la cmdlet qui a été exécutée, sur les paramètres utilisés, sur l'utilisateur qui a exécuté la cmdlet et sur les objets concernés.The administrator audit log records specific actions, based on Exchange Management Shell cmdlets, performed by administrators and users who have been assigned administrative privileges. Actions performed by external administrators are also logged. Entries in the admin audit log provide you with information about the cmdlet that was run, which parameters were used, and what objects were affected.

  • Le journal d'audit de l'administrateur n'enregistre aucune action basée sur une cmdlet Environnement de ligne de commande Exchange Management Shell qui commence avec le verbe Get, Search ou Test.The administrator audit log doesn't record any action that is based on an Exchange Management Shell cmdlet that begins with the verbs Get, Search, or Test.

  • Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.Audit log entries are kept for 90 days. When an entry is older than 90 days, it's deleted.