Gérer l’audit de boîte aux lettresManage mailbox auditing

À compter de janvier 2019, Microsoft démarre l’enregistrement d’audit des boîtes aux lettres par défaut pour toutes les organisations.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Cela signifie que certaines actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs sont automatiquement enregistrées et que les enregistrements d’audit de boîte aux lettres correspondants sont disponibles lorsque vous les recherchez dans le journal d’audit de la boîte aux lettres.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Avant que l’audit de boîte aux lettres ne soit activé par défaut, vous deviez l’activer manuellement pour chaque boîte aux lettres utilisateur de votre organisation.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Voici quelques avantages de l’audit de boîte aux lettres par défaut :Here are some benefits of mailbox auditing on by default:

  • L’audit est automatiquement activé lorsque vous créez une boîte aux lettres.Auditing is automatically enabled when you create a new mailbox. Vous n’avez pas besoin de l’activer manuellement pour les nouveaux utilisateurs.You don't need to manually enable it for new users.

  • Vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées.You don't need to manage the mailbox actions that are audited. Un ensemble prédéféré d’actions de boîte aux lettres est audité par défaut pour chaque type d’accès (administrateur, délégué et propriétaire).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l’action peut être automatiquement ajoutée à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l’utilisateur puisse disposer de la licence appropriée).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Cela signifie que vous n’avez pas besoin de surveiller l’ajout de nouvelles actions sur les boîtes aux lettres.This means you don't need to monitor add new actions on mailboxes.

  • Vous avez une stratégie d’audit de boîte aux lettres cohérente au sein de votre organisation (car vous auditez les mêmes actions pour toutes les boîtes aux lettres).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Notes

  • Par défaut, il est important de se souvenir de la publication de l’audit de boîte aux lettres : vous n’avez rien à faire pour gérer l’audit des boîtes aux lettres.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Toutefois, pour en savoir plus, personnalisez l’audit de boîte aux lettres à partir des paramètres par défaut ou le désactiver complètement, cette rubrique peut vous aider.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • Par défaut, seuls les événements d’audit de boîte aux lettres pour les utilisateurs E5 sont disponibles dans les recherches du journal d’audit dans le Centre de sécurité & conformité ou via l’API Activité de gestion Office 365.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Pour plus d’informations, consultez la section Plus d’informations de cette rubrique.For more information, see the More information section in this topic.

Vérifier l’audit des boîtes aux lettres activé par défaut est activéVerify mailbox auditing on by default is turned on

Pour vérifier que l’audit de boîte aux lettres est allumé par défaut pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

La valeur False indique que l’audit de boîte aux lettres activé par défaut est activé pour l’organisation.The value False indicates that mailbox auditing on by default is enabled for the organization. Cette valeur d’organisation remplace par défaut le paramètre d’audit de boîte aux lettres sur des boîtes aux lettres spécifiques.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Par exemple, si l’audit de boîte aux lettres est désactivé pour une boîte aux lettres (la propriété AuditEnabled a la valeur False sur la boîte aux lettres), les actions de boîte aux lettres par défaut seront toujours auditées pour la boîte aux lettres, car l’audit de boîte aux lettres activé par défaut est activé pour l’organisation.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Pour que l’audit de boîte aux lettres reste désactivé pour des boîtes aux lettres spécifiques, vous configurez le contournement d’audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs qui ont reçu un accès délégué à la boîte aux lettres.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Pour plus d’informations, consultez la section d’enregistrement d’audit de la boîte aux lettres de contournement dans cette rubrique.For more information, see the Bypass mailbox audit logging section in this topic.

Notes

Lorsque l’audit de boîte aux lettres est désactivé par défaut pour l’organisation, la propriété AuditEnabled des boîtes aux lettres concernées ne passe pas de False à True.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. En d’autres termes, l’audit de boîte aux lettres par défaut ignore la propriété AuditEnabled sur les boîtes aux lettres.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Types de boîtes aux lettres pris en chargeSupported mailbox types

Le tableau suivant indique les types de boîtes aux lettres actuellement pris en charge par l’audit de boîte aux lettres par défaut :The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

Type de boîte aux lettresMailbox type Pris en chargeSupported Non pris en chargeNot supported
Boîtes aux lettres utilisateurUser mailboxes Coche
Boîtes aux lettres partagéesShared mailboxes Coche
Microsoft 365 Boîtes aux lettres de groupeMicrosoft 365 Group mailboxes Coche
Boîtes aux lettres de ressourcesResource mailboxes Coche
Boîtes aux lettres de dossiers publicsPublic folder mailboxes Coche

Types d’logon et actions de boîte aux lettresLogon types and mailbox actions

Les types de logo classifient l’utilisateur qui a fait les actions auditées sur la boîte aux lettres.Logon types classify the user that did the audited actions on the mailbox. La liste suivante décrit les types d’ouverture de session utilisés dans l’enregistrement d’audit des boîtes aux lettres :The following list describes the logon types that are used in mailbox audit logging:

  • Propriétaire: propriétaire de la boîte aux lettres (compte associé à la boîte aux lettres).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Déléguer:Delegate:

    • Un utilisateur qui a reçu l’autorisation EnvoyerAs, SendOnBehalf ou FullAccess sur une autre boîte aux lettres.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Un administrateur qui a reçu l’autorisation Autorisation totale sur la boîte aux lettres d’un utilisateur.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Administrateur:Admin:

    • La boîte aux lettres est recherché à l’aide de l’un des outils eDiscovery Microsoft suivants :The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Recherche de contenu dans le Centre de conformité.Content Search in the Compliance center.

      • eDiscovery ou Advanced eDiscovery dans le centre de conformité.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place eDiscovery dans Exchange Online.In-Place eDiscovery in Exchange Online.

    • La boîte aux lettres est accessible à l’aide Microsoft Exchange Server’éditeur MAPI.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagéesMailbox actions for user mailboxes and shared mailboxes

Le tableau suivant décrit les actions de boîte aux lettres disponibles dans l’enregistrement d’audit des boîtes aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Une coche (A check mark ( Coche) indique que l’action de boîte aux lettres peut être enregistrée pour le type de session (toutes les actions ne sont pas disponibles pour tous les types de session).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Un astérisque ( ) après la coche indique que l’action de boîte aux lettres est consignée par défaut pour * le type de session.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • N’oubliez pas qu’un administrateur ayant une autorisation d’accès total à une boîte aux lettres est considéré comme délégué.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

Action de boîte aux lettresMailbox action DescriptionDescription AdministrateurAdmin DéléguéDelegate OwnerOwner
AddFolderPermissionsAddFolderPermissions Remarque: bien que cette valeur soit acceptée comme action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. En d’autres termes, n’utilisez pas cette valeur.In other words, don't use this value.
ApplyRecordApplyRecord Un élément est étiqueté en tant qu’enregistrement.An item is labeled as a record. Coche*Check mark* Coche*Check mark* Coche*Check mark*
CopierCopy Un message a été copié dans un autre dossier.A message was copied to another folder. Coche
CreateCreate Un élément a été créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres (par exemple, une nouvelle demande de réunion est créée).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Notez que la création, l’envoi ou la réception d’un message ne sont pas audités.Creating, sending, or receiving a message isn't audited. De même, la création d’un dossier de boîte aux lettres n’est pas auditée.Also, creating a mailbox folder is not audited. Coche*Check mark* Coche*Check mark* Coche
Par défautDefault Coche Coche Coche
FolderBindFolderBind Un utilisateur a accédé au dossier de boîte aux lettres. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Remarque: les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés.Note: Audit records for folder bind actions performed by delegates are consolidated. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures.One audit record is generated for individual folder access within a 24-hour period.
Coche Coche
HardDeleteHardDelete Un message a été purgé du dossier Éléments récupérables.A message was purged from the Recoverable Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
MailItemsAccessedMailItemsAccessed Les données de messagerie sont accessibles par les protocoles et clients de messagerie.Mail data is accessed by mail protocols and clients. Cette valeur est uniquement disponible pour les utilisateurs de l’abonnement au module de conformité E5 ou E5.This value is only available for E5 or E5 Compliance add-on subscription users. Pour plus d’informations, voir Configurer l’audit avancé. For more information, see Set up Advanced Audit . Coche*Check mark* Coche*Check mark* Coche*Check mark*
MailboxLoginMailboxLogin L’utilisateur s’est inscrit à sa boîte aux lettres.The user signed into their mailbox. Coche
MessageBindMessageBind Un message a été vu dans le volet d’aperçu ou ouvert par un administrateur. Remarque : bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, ces actions ne sont plus enregistrées.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Coche
ModifyFolderPermissionsModifyFolderPermissions Remarque: bien que cette valeur soit acceptée comme action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. En d’autres termes, n’utilisez pas cette valeur.In other words, don't use this value.
DéplacerMove Un message a été déplacé vers un autre dossier.A message was moved to another folder. Coche Coche Coche
MoveToDeletedItemsMoveToDeletedItems Un message a été supprimé et déplacé vers le dossier Éléments supprimés.A message was deleted and moved to the Deleted Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
RecordDeleteRecordDelete Un élément étiqueté en tant qu’enregistrement a été supprimé (déplacé vers le dossier Éléments récupérables).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Les éléments étiquetés en tant qu’enregistrements ne peuvent pas être supprimés définitivement (purgés du dossier Éléments récupérables).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Coche Coche Coche
RemoveFolderPermissionsRemoveFolderPermissions Remarque: bien que cette valeur soit acceptée comme action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. En d’autres termes, n’utilisez pas cette valeur.In other words, don't use this value.
SendSend L’utilisateur envoie un message électronique, répond à un message électronique ou le renvoie.The user sends an email message, replies to an email message, or forwards an email message. Cette valeur est uniquement disponible pour les utilisateurs de l’abonnement au module de conformité E5 ou E5.This value is only available for E5 or E5 Compliance add-on subscription users. Pour plus d’informations, voir Configurer l’audit avancé pour les utilisateurs.For more information, see Set up Advanced Audit for users. Coche*Check mark* Coche*Check mark* Coche*Check mark*
SendAsSendAs Un message a été envoyé à l’aide de l’autorisation SendAs. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Coche*Check mark* Coche*Check mark*
SendOnBehalfSendOnBehalf Un message a été envoyé à l’aide de l’autorisation SendOnBehalf. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a envoyé réellement le message.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Coche*Check mark* Coche*Check mark*
SoftDeleteSoftDelete Un message a été définitivement supprimé ou supprimé (récupérable) du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
Mettre à jourUpdate Un message ou ses propriétés ont été modifiés.A message or its properties was changed. Coche*Check mark* Coche*Check mark* Coche*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation Une délégation de calendrier a été attribuée à une boîte aux lettres.A calendar delegation was assigned to a mailbox. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Coche*Check mark* Coche*Check mark*
UpdateComplianceTagUpdateComplianceTag Une étiquette de rétention différente est appliquée à un élément de courrier (une étiquette de rétention ne peut être affectée qu’à un élément).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Coche Coche Coche
UpdateFolderPermissionsUpdateFolderPermissions Une autorisation de dossier a été modifiée.A folder permission was changed. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Coche*Check mark* Coche*Check mark* Coche*Check mark*
UpdateInboxRulesUpdateInboxRules Une règle de boîte de réception a été ajoutée, supprimée ou modifiée.An inbox rule was added, removed, or changed. Les règles de boîte de réception sont utilisées pour traiter les messages dans la boîte de réception de l’utilisateur en fonction des conditions spécifiées et prendre des mesures lorsque les conditions d’une règle sont remplies, telles que le déplacement d’un message vers un dossier spécifié ou la suppression d’un message.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Coche*Check mark* Coche*Check mark* Coche*Check mark*

Important

Si vous avez personnalisé les actions de boîte aux lettres à auditer pour n’importe quel type d’accès avant que l’audit de boîte aux lettres ne soit activé par défaut dans votre organisation, les paramètres personnalisés sont conservés sur la boîte aux lettres et ne sont pas remplacés par les actions de boîte aux lettres par défaut, comme décrit dans cette section.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Pour rétablir les valeurs par défaut des actions de boîte aux lettres d’audit (ce que vous pouvez faire à tout moment), consultez la section Restaurer les actions de boîte aux lettres par défaut plus loin dans cette rubrique.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Actions de boîte aux lettres Microsoft 365 boîtes aux lettres de groupeMailbox actions for Microsoft 365 Group mailboxes

L’audit de boîte aux lettres est mis en place par défaut pour les boîtes aux lettres de groupe Microsoft 365, mais vous ne pouvez pas personnaliser ce qui est journalisé (vous ne pouvez pas ajouter ou supprimer des actions de boîte aux lettres enregistrées pour n’importe quel type d’ouverture de session).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

Le tableau suivant décrit les actions de boîte aux lettres qui sont enregistrées par défaut sur Microsoft 365 boîtes aux lettres de groupe pour chaque type de session.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

N’oubliez pas qu’un administrateur ayant une autorisation d’accès total Microsoft 365 boîte aux lettres de groupe est considéré comme délégué.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

Action de boîte aux lettresMailbox action DescriptionDescription AdministrateurAdmin DéléguéDelegate OwnerOwner
CreateCreate Création d’un élément de calendrier.Creation of a calendar Item. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités.Creating, sending, or receiving a message isn't audited. Coche*Check mark* Coche*Check mark*
HardDeleteHardDelete Un message a été purgé du dossier Éléments récupérables.A message was purged from the Recoverable Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
MoveToDeletedItemsMoveToDeletedItems Un message a été supprimé et déplacé vers le dossier Éléments supprimés.A message was deleted and moved to the Deleted Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
SendAsSendAs Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que.A message was sent using the SendAs permission. Coche*Check mark* Coche*Check mark*
SendOnBehalfSendOnBehalf Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de.A message was sent using the SendOnBehalf permission. Coche*Check mark* Coche*Check mark*
SoftDeleteSoftDelete Un message a été définitivement supprimé ou supprimé (récupérable) du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Coche*Check mark* Coche*Check mark* Coche*Check mark*
Mettre à jourUpdate Un message ou ses propriétés ont été modifiés.A message or its properties was changed. Coche*Check mark* Coche*Check mark* Coche*Check mark*

Vérifier que les actions de boîte aux lettres par défaut sont enregistrées pour chaque type de sessionVerify that default mailbox actions are being logged for each logon type

L’audit de boîte aux lettres par défaut ajoute une nouvelle propriété DefaultAuditSet à toutes les boîtes aux lettres.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. La valeur de cette propriété indique si les actions de boîte aux lettres par défaut (gérées par Microsoft) sont en cours d’audit sur la boîte aux lettres.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Pour afficher la valeur sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez-la par le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres et exécutez la commande suivante dans <MailboxIdentity> Exchange Online PowerShell :To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Pour afficher la valeur sur Microsoft 365 boîtes aux lettres de groupe, remplacez-la par le nom, l’alias ou l’adresse e-mail de la boîte aux lettres partagée et exécutez la commande suivante dans <MailboxIdentity> Exchange Online PowerShell :To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

La valeur Admin, Delegate, Owner indique :The value Admin, Delegate, Owner indicates:

  • Les actions de boîte aux lettres par défaut pour les trois types de logo sont en cours d’audit.The default mailbox actions for all three logon types are being audited. Il s’agit de la seule valeur que vous verrez sur Microsoft 365 boîtes aux lettres de groupe.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • Un administrateur n’a pas modifié les actions de boîte aux lettres auditées pour tout type de logo sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Notez qu’il s’agit de l’état par défaut une fois que l’audit de boîte aux lettres est initialement allumé dans votre organisation.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Si un administrateur a déjà modifié les actions de boîte aux lettres auditées pour un type de logo (à l’aide des paramètres AuditAdmin, AuditDelegate ou AuditOwner sur la cmdlet Set-Mailbox), la valeur de la propriété sera différente.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Par exemple, la valeur de la Owner propriété DefaultAuditSet sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée indique :For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Les actions de boîte aux lettres par défaut pour le propriétaire de la boîte aux lettres sont en cours d’audit.The default mailbox actions for the mailbox owner are being audited.

  • Les actions de boîte aux lettres auditées pour les types d’adresses et de logo ont été modifiées Delegate par rapport aux actions par Admin défaut.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Une valeur vide pour la propriété DefaultAuditSet indique que les actions de boîte aux lettres pour les trois types d’ouverture de page ont été modifiées sur la boîte aux lettres utilisateur ou une boîte aux lettres partagée.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Pour plus d’informations, consultez la section Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut dans cette rubrique.For more information, see the Change or restore mailbox actions logged by default section in this topic

Afficher les actions de boîte aux lettres qui sont en cours de journal sur les boîtes aux lettresDisplay the mailbox actions that are being logged on mailboxes

Pour voir les actions de boîte aux lettres actuellement enregistrées dans les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées, remplacez-les par le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez une ou plusieurs des commandes suivantes dans <MailboxIdentity> Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Notes

Bien que vous pouvez ajouter le commutateur aux commandes -GroupMailbox Get-Mailbox suivantes pour Microsoft 365 boîtes aux lettres de groupe, ne pensez pas aux valeurs renvoyées.Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Les actions de boîte aux lettres statiques et par défaut auditées pour les boîtes aux lettres de groupe Microsoft 365 sont décrites dans la section Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365 plus tôt dans cette rubrique.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

Actions du propriétaireOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Actions déléguéesDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Actions de l’administrateurAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Modifier ou restaurer les actions de boîte aux lettres enregistrées par défautChange or restore mailbox actions logged by default

Comme indiqué précédemment, l’un des principaux avantages de l’audit des boîtes aux lettres est par défaut : vous n’avez pas besoin de gérer les actions de boîtes aux lettres auditées.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft le fait pour vous et nous ajouterons automatiquement de nouvelles actions de boîte aux lettres à auditer par défaut à mesure qu’elles sont publiées.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Toutefois, votre organisation peut être tenue d’auditer un ensemble différent d’actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Les procédures de cette section vous montrent comment modifier les actions de boîte aux lettres qui sont auditées pour chaque type d’accès et comment revenir aux actions par défaut gérées par Microsoft.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Important

Si vous utilisez les procédures suivantes pour personnaliser les actions de boîte aux lettres qui sont enregistrées sur des boîtes aux lettres utilisateur ou des boîtes aux lettres partagées, les nouvelles actions de boîte aux lettres par défaut publiées par Microsoft ne seront pas automatiquement auditées sur ces boîtes aux lettres.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Vous devez ajouter manuellement toutes les nouvelles actions de boîte aux lettres à votre liste personnalisée d’actions.You'll need to manually add any new mailbox actions to your customized list of actions.

Modifier les actions de boîte aux lettres en auditChange the mailbox actions to audit

Vous pouvez utiliser les paramètres AuditAdmin, AuditDelegate ou AuditOwner sur la cmdlet Set-Mailbox pour modifier les actions de boîte aux lettres auditées pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées (les actions auditées pour les boîtes aux lettres de groupe Microsoft 365 ne peuvent pas être personnalisées).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

Vous pouvez utiliser deux méthodes différentes pour spécifier les actions de boîte aux lettres :You can use two different methods to specify the mailbox actions:

  • Remplacez (remplacer) les actions de boîte aux lettres existantes à l’aide de la syntaxe suivante : action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Ajoutez ou supprimez des actions de boîte aux lettres sans affecter les autres valeurs existantes à l’aide de cette syntaxe : @{Add="action1","action2",..."actionN"} ou @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

Cet exemple modifie les actions de la boîte aux lettres d’administration pour la boîte aux lettres nommée « Queta Laureano » en overwritant les actions par défaut avec SoftDelete et HardDelete.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

Cet exemple ajoute l’action propriétaire MailboxLogin à la boîte aux lettres laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

Cet exemple supprime l’action de délégué MoveToDeletedItems pour la boîte aux lettres de discussion d’équipe.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Quelle que soit la méthode que vous utilisez, la personnalisation des actions de boîte aux lettres auditées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées a les résultats suivants :Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Pour le type de logo que vous avez personnalisé, les actions de boîte aux lettres auditées ne sont plus gérées par Microsoft.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Le type de logo que vous avez personnalisé n’est plus affiché dans la valeur de propriété DefaultAuditSet de la boîte aux lettres, comme décrit précédemment.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Restaurer les actions de boîte aux lettres par défautRestore the default mailbox actions

Si vous avez personnalisé les actions de boîte aux lettres qui sont auditées sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée, vous pouvez restaurer les actions de boîte aux lettres par défaut pour un ou tous les types d’personnalisation à l’aide de la syntaxe suivante :If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Vous pouvez spécifier plusieurs valeurs DefaultAuditSet séparées par des virgulesYou can specify multiple DefaultAuditSet values separated by commas

Remarque: les procédures suivantes ne s’appliquent pas Microsoft 365 boîtes aux lettres de groupe (elles sont limitées aux actions par défaut décrites ici).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour tous les types d’mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour le type d’chris@contoso.onmicrosoft.com de boîte aux lettres admin, mais laisse les actions de boîte aux lettres auditées personnalisées pour les types d’accès délégué et propriétaire.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

La restauration des actions de boîte aux lettres auditées par défaut pour un type d’utilisateur a les résultats suivants :Restoring he default audited mailbox actions for a logon type has the following results:

  • La liste actuelle des actions de boîte aux lettres est remplacée par les actions de boîte aux lettres par défaut pour le type d’logo.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Toutes les nouvelles actions de boîte aux lettres publiées par Microsoft sont automatiquement ajoutées à la liste des actions auditées pour le type d’accès.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • La valeur de la propriété DefaultAuditSet de la boîte aux lettres est mise à jour pour inclure le type d’ouverture de boîte aux lettres restauré.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Désactiver l’audit des boîtes aux lettres par défaut pour votre organisationTurn off mailbox auditing on by default for your organization

Vous pouvez désactiver l’audit des boîtes aux lettres par défaut pour l’ensemble de votre organisation en exécutant la commande suivante dans Exchange Online PowerShell :You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

La fonction d’audit des boîtes aux lettres est par défaut éteinte et présente les résultats suivants :Turning off mailbox auditing on by default has the following results:

  • L’audit de boîte aux lettres est désactivé pour votre organisation.Mailbox auditing is disabled for your organization.

  • À partir du moment où vous avez désactivé l’audit de boîte aux lettres par défaut, aucune action de boîte aux lettres n’est auditée, même si l’audit est activé sur une boîte aux lettres (la propriété AuditEnabled de la boîte aux lettres a la valeur True).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • L’audit de boîte aux lettres n’est pas activé pour les nouvelles boîtes aux lettres et la définition de la propriété AuditEnabled sur une boîte aux lettres nouvelle ou existante sur True sera ignorée.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Tous les paramètres d’association de contournement d’audit de boîte aux lettres (configurés à l’aide de la cmdlet Set-MailboxAuditBypassAssociation) sont ignorés.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Les enregistrements d’audit de boîte aux lettres existants sont conservés jusqu’à l’expiration de la durée de vie du journal d’audit de l’enregistrement.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Activer l’audit des boîtes aux lettres par défautTurn on mailbox auditing on by default

Pour activer de nouveau l’audit de boîte aux lettres pour votre organisation, exécutez la commande suivante dans Exchange Online PowerShell :To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Ignorer l’enregistrement d’audit de boîte aux lettres :Bypass mailbox audit logging

Pour l’instant, vous ne pouvez pas désactiver l’audit de boîte aux lettres pour les boîtes aux lettres spécifiques lorsque l’audit de boîte aux lettres activé par défaut est activé dans votre organisation.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Par exemple, la définition de la propriété de boîte aux lettres AuditEnabled sur False est ignorée.For example, setting the AuditEnabled mailbox property to False is ignored.

Toutefois, vous pouvez toujours utiliser la cmdlet Set-MailboxAuditBypassAssociation dans Exchange Online PowerShell pour empêcher la journalisation de toutes les actions de boîte aux lettres des utilisateurs spécifiés, quel que soit l’endroit où elles se produisent.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Par exemple :For example:

  • Les actions du propriétaire de boîte aux lettres effectuées par les utilisateurs contourné ne sont pas enregistrées.Mailbox owner actions performed by the bypassed users aren't logged.

  • Les actions de délégation effectuées par les utilisateurs contourné sur les boîtes aux lettres d’autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas enregistrées.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Les actions d’administration effectuées par les utilisateurs contourné ne sont pas enregistrées.Admin actions performed by the bypassed users aren't logged.

Pour contourner l’enregistrement d’audit de boîte aux lettres pour un utilisateur spécifique, remplacez-le par le nom, l’adresse e-mail, l’alias ou le nom d’utilisateur principal (nom d’utilisateur) de l’utilisateur et exécutez la <MailboxIdentity> commande suivante :To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Pour vérifier que l’audit est contourné pour l’utilisateur spécifié, exécutez la commande suivante :To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

La valeur True indique que l’enregistrement d’audit de boîte aux lettres est contourné pour l’utilisateur.The value True indicates that mailbox audit logging is bypassed for the user.

Plus d’informationsMore information

  • Bien que l’enregistrement d’audit de boîte aux lettres activé par défaut soit activé pour toutes les organisations, seuls les utilisateurs titulaires d’une licence E5 retourneront les événements du journal d’audit des boîtes aux lettres dans les recherches du journal d’audit dans le Centre de sécurité & conformité ou via l’API activité de gestion Office 365 par défaut.Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Pour récupérer les entrées du journal d’audit des boîtes aux lettres pour les utilisateurs sans licence E5, vous pouvez :To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Activez manuellement l’audit des boîtes aux lettres sur des boîtes aux lettres individuelles (exécutez la commande, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Après cela, vous pouvez utiliser les recherches dans le journal d’audit dans le Centre de sécurité et conformité & ou via l’API Activité de gestion Office 365 de sécurité.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Notes

      Si l’audit de boîte aux lettres semble déjà être activé sur la boîte aux lettres, mais que vos recherches ne retournent aucun résultat, modifiez la valeur du paramètre AuditEnabled de et revenir à $false $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Utilisez les cmdlets suivantes dans Exchange Online PowerShell :Use the following cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog pour rechercher des utilisateurs spécifiques dans le journal d’audit de la boîte aux lettres.Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • New-MailboxAuditLogSearch pour rechercher des utilisateurs spécifiques dans le journal d’audit de la boîte aux lettres et envoyer les résultats par courrier électronique à des destinataires spécifiés.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Utilisez le Exchange d’administration Centrale (EAC) Exchange Online pour les actions suivantes :Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Par défaut, les enregistrements du journal d’audit de boîte aux lettres sont conservés pendant 90 jours avant leur suppression.By default, mailbox audit log records are retained for 90 days before they're deleted. Vous pouvez modifier la limite d’âge pour les enregistrements du journal d’audit à l’aide du paramètre AuditLogAgeLimit de la cmdlet Set-Mailbox dans Exchange Online PowerShell.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Toutefois, l’augmentation de cette valeur ne vous permet pas de rechercher des événements qui sont plus anciens que 90 jours dans le journal d’audit.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Si vous augmentez la limite d’âge, vous devez utiliser la cmdlet Search-MailboxAuditLog dans Exchange Online PowerShell pour rechercher dans le journal d’audit de la boîte aux lettres de l’utilisateur les enregistrements qui ont plus de 90 jours.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Si vous avez modifié la propriété AuditLogAgeLimit d’une boîte aux lettres avant que l’audit de boîte aux lettres soit désactivé par défaut pour l’organisation, la durée de vie du journal d’audit existante de la boîte aux lettres n’est pas modifiée.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. En d’autres termes, l’audit de boîte aux lettres par défaut n’affecte pas la limite d’âge actuelle pour les enregistrements d’audit de boîte aux lettres.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Pour modifier la valeur AuditLogAgeLimit sur une boîte aux lettres Microsoft 365 groupe, vous devez inclure le commutateur dans la commande -GroupMailbox Set-Mailbox.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Les enregistrements du journal d’audit de boîte aux lettres sont stockés dans un sous-dossier (appelé Audits) dans le dossier Éléments récupérables de la boîte aux lettres de chaque utilisateur.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Gardez les éléments suivants à l’esprit concernant les enregistrements d’audit de boîte aux lettres et le dossier Éléments récupérables :Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Les enregistrements d’audit de boîte aux lettres sont comptabilisés par rapport au quota de stockage du dossier Éléments récupérables, qui est de 30 Go par défaut (le quota d’avertissement est de 20 Go).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). Le quota de stockage est automatiquement augmenté jusqu’à 100 Go (avec un quota d’avertissement de 90 Go) lorsque :The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Une mise en attente est placée sur une boîte aux lettres.A hold is placed on a mailbox.

      • La boîte aux lettres est affectée à une stratégie de rétention dans le Centre de conformité.The mailbox is assigned to a retention policy in the Compliance Center.

    • Les enregistrements d’audit de boîte aux lettres sont également comptabilisés dans la limite de dossier pour le dossier Éléments récupérables.Mailbox audit records also count against the folder limit for the Recoverable Items folder. Un maximum de 3 millions d’éléments (enregistrements d’audit) peuvent être stockés dans le sous-dossier Audits.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Notes

      Il est peu probable que l’audit de boîte aux lettres sur par défaut aura un impact sur le quota de stockage ou la limite de dossier pour le dossier Éléments récupérables.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Vous pouvez exécuter la commande suivante dans Exchange Online PowerShell pour afficher la taille et le nombre d’éléments dans le sous-dossier Audits dans le dossier Éléments récupérables :You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Vous ne pouvez pas accéder directement à un enregistrement de journal d’audit dans le dossier Éléments récupérables ; Utilisez plutôt la cmdlet Search-MailboxAuditLog ou recherchez dans le journal d’audit pour rechercher et afficher les enregistrements d’audit de boîte aux lettres.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Si une boîte aux lettres est placée en conservation ou affectée à une stratégie de rétention dans le Centre de conformité, les enregistrements du journal d’audit sont conservés pendant la durée définie par la propriété AuditLogAgeLimit de la boîte aux lettres (90 jours par défaut).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Pour conserver les enregistrements du journal d’audit plus longtemps pour les boîtes aux lettres en attente, vous devez augmenter la valeur AuditLogAgeLimit de la boîte aux lettres.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • Dans un environnement multi-géographique, l’audit de boîte aux lettres inter-géographique n’est pas pris en charge.In a multi-geo environment, cross-geo mailbox auditing is not supported. Par exemple, si un utilisateur se voit attribuer les autorisations d’accès à une boîte aux lettres partagée dans un autre emplacement géographique, les actions de boîte aux lettres effectuées par cet utilisateur ne sont pas enregistrées dans le journal d’audit de la boîte aux lettres partagée.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.