Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La journalisation d’audit de boîte aux lettres est activée par défaut dans toutes les organisations. Ce paramètre enregistre automatiquement certaines actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs. Les administrateurs peuvent rechercher dans le journal d’audit des boîtes aux lettres les enregistrements d’audit correspondants.
Voici quelques avantages de l’audit de boîte aux lettres activé par défaut :
- L’audit est automatiquement activé lorsque vous créez une boîte aux lettres. Vous n’avez pas besoin d’activer manuellement l’audit de boîte aux lettres pour les nouveaux utilisateurs.
- Vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées. Un ensemble prédéfini d’actions de boîte aux lettres est audité par défaut pour chaque type de connexion (Administration, Délégué et Propriétaire).
- Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l’action peut être ajoutée automatiquement à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l’utilisateur dispose de la licence appropriée). Ce résultat signifie que vous n’avez pas besoin d’ajouter de nouvelles actions sur les boîtes aux lettres à mesure qu’elles sont publiées.
- Vous disposez d’une stratégie d’audit de boîte aux lettres cohérente dans votre organization, car vous auditez les mêmes actions pour toutes les boîtes aux lettres.
Vérifier l’audit des boîtes aux lettres activé par défaut est activé
Pour vérifier que l’audit de boîte aux lettres activé par défaut est activé pour votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Get-OrganizationConfig | Format-List AuditDisabled
La valeur False indique que l’audit de boîte aux lettres activé par défaut est activé pour le organization. L’audit de boîte aux lettres activé par défaut dans le organization remplace les paramètres d’audit de boîte aux lettres sur les boîtes aux lettres individuelles. Par exemple, si l’audit de boîte aux lettres est désactivé pour une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur False), les actions de boîte aux lettres par défaut sont toujours auditées pour la boîte aux lettres, car l’audit de boîte aux lettres activé par défaut est activé pour le organization.
Pour conserver l’audit des boîtes aux lettres désactivé pour des boîtes aux lettres spécifiques, configurez le contournement de l’audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs disposant d’un accès délégué à la boîte aux lettres. Pour plus d’informations, consultez la section Ignorer la journalisation d’audit de boîte aux lettres plus loin dans cet article.
Vérifier les status d’audit au niveau de la boîte aux lettres
Importante
Lorsque vous exécutez Get-Mailbox -Identity <MailboxIdentity> | Format-List AuditEnabled, la AuditEnabled propriété s’affiche toujours sous la forme True. Cette valeur d’affichage codée en dur ne reflète pas la configuration d’audit réelle au niveau de la boîte aux lettres.
Pour vérifier la status d’audit de boîte aux lettres réelle, utilisez le Filter paramètre dans la commande suivante :
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'True'"| Format-List
Si la commande retourne l’objet de boîte aux lettres, l’audit au niveau de la boîte aux lettres est activé. Si la commande retourne une erreur indiquant que l’objet est introuvable, l’audit au niveau de la boîte aux lettres est désactivé.
Vous pouvez confirmer ce résultat en exécutant la commande suivante :
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'False'"| Format-List
Si cette commande retourne l’objet de boîte aux lettres, elle confirme que l’audit au niveau de la boîte aux lettres est désactivé.
Remarque
Lorsque vous activez l’audit de boîte aux lettres par défaut pour le organization, la propriété AuditEnabled pour les boîtes aux lettres affectées ne passe pas de False à True. En d’autres termes, l’audit de boîte aux lettres par défaut ignore la propriété AuditEnabled sur les boîtes aux lettres.
Types de boîtes aux lettres pris en charge
Le tableau suivant décrit les types de boîtes aux lettres pris en charge par défaut par l’audit de boîte aux lettres :
| Type de boîte aux lettres | Audit pris en charge | Activé par défaut pris en charge |
|---|---|---|
| Boîtes aux lettres de groupe Microsoft 365 | ✔ | ✔ |
| Boîtes aux lettres de dossiers publics | ||
| Boîtes aux lettres de ressources | ✔ | |
| Boîtes aux lettres partagées | ✔ | ✔ |
| Boîtes aux lettres utilisateur | ✔ | ✔ |
Types de connexion et actions de boîte aux lettres
Les types de connexion classent les responsables des actions auditées sur la boîte aux lettres. La liste suivante décrit les types de connexion utilisés par la journalisation d’audit de boîte aux lettres :
- Propriétaire : propriétaire de la boîte aux lettres (le compte associé à la boîte aux lettres).
-
Déléguer :
- Un utilisateur a affecté l’autorisation SendAs, SendOnBehalf ou FullAccess à une autre boîte aux lettres.
- Un administrateur a attribué l’autorisation FullAccess à la boîte aux lettres d’un utilisateur.
-
Administration :
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
- eDiscovery dans le portail Microsoft Purview.
- In-Place eDiscovery dans Exchange Online.
- La boîte aux lettres est accessible à l’aide de l’éditeur MAPI Microsoft Exchange Server.
- La boîte aux lettres est accessible par un compte qui emprunte l’identité d’un autre utilisateur. Cet accès se produit lorsque le rôle ApplicationImpersonation est attribué à un compte, tel qu’une application, qui accède désormais activement aux données. Pour plus d’informations, consultez Configurer l’emprunt d’identité.
- La boîte aux lettres fait l’objet d’une recherche avec l’un des outils Microsoft eDiscovery suivants :
Actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées
Le tableau suivant décrit les actions de boîte aux lettres que vous pouvez utiliser dans la journalisation d’audit des boîtes aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées.
- Une marque case activée (✔) indique l’action de boîte aux lettres que vous pouvez enregistrer pour le type de connexion (toutes les actions ne sont pas disponibles pour tous les types de connexion).
- Un astérisque ( * ) après la marque case activée indique que l’action de boîte aux lettres est enregistrée par défaut pour le type de connexion.
- N’oubliez pas qu’un administrateur disposant de l’autorisation Accès total à une boîte aux lettres est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| AddFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| ApplyRecord | Un élément est étiqueté en tant qu’enregistrement. | ✔* | ✔* | ✔* |
| AttachmentAccess | Une pièce jointe de message a été consultée. | ✔ | ✔ | ✔ |
| Copy | Un message a été copié vers un autre dossier. | ✔ | ||
| Create | Un élément a été créé dans le dossier Calendrier, Contacts, Brouillon, Notes ou Tâches de la boîte aux lettres (par exemple, une demande de réunion est créée). Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée. | ✔* | ✔* | ✔ |
| FolderBind | Un dossier de boîte aux lettres a été accédé. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres. Remarque : Les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures. |
✔ | ✔ | |
| HardDelete | Message vidé du dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| MailboxLogin | L’utilisateur s’est connecté à sa boîte aux lettres. | ✔ | ||
| MailItemsAccessed | Se produit lorsque les protocoles de messagerie et les clients accèdent aux données de messagerie. | ✔* | ✔* | ✔* |
| MessageBind |
Remarque : Cette valeur est disponible uniquement pour les utilisateurs sans licence E5/A5/G5. Un message a été affiché dans le volet d’aperçu ou ouvert par un administrateur. |
✔ | ||
| ModifyFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| Move | Un message a été déplacé vers un autre dossier. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | ✔* | ✔* | ✔* |
| RecordDelete | Un élément étiqueté en tant qu’enregistrement a été supprimé de manière réversible (déplacé vers le dossier Éléments récupérables). Les éléments étiquetés en tant qu’enregistrements ne peuvent pas être supprimés définitivement (vidés du dossier Éléments récupérables). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Bien que cette valeur soit acceptée en tant qu’action de boîte aux lettres, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément. En d’autres termes, n’utilisez pas cette valeur. | |||
| SearchQueryInitiated | Une personne utilise Outlook (Windows, Mac, iOS, Android ou Outlook sur le web) ou l’application Courrier pour Windows 10 rechercher des éléments dans une boîte aux lettres. | ✔ | ||
| Send | L’utilisateur envoie un e-mail, répond à un e-mail ou transfère un e-mail. | ✔* | ✔* | |
| SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cette autorisation permet à un autre utilisateur d’envoyer le message comme s’il provenait du propriétaire de la boîte aux lettres. | ✔* | ✔* | |
| SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cette autorisation permet à un autre utilisateur d’envoyer le message au nom du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le message a été envoyé et qui a réellement envoyé le message. | ✔* | ✔* | |
| SoftDelete | Message définitivement supprimé ou supprimé du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| Mettre à jour | Un message ou l’une de ses propriétés a changé. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Une délégation de calendrier a été affectée à une boîte aux lettres. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres. | ✔* | ✔* | |
| UpdateFolderPermissions | Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Une règle de boîte de réception a été ajoutée, supprimée ou modifiée. Les règles de boîte de réception traitent les messages dans la boîte de réception de l’utilisateur en fonction des conditions. Les actions spécifient ce qu’il faut faire aux messages qui correspondent aux conditions de la règle. Par exemple, déplacez le message vers un dossier spécifié ou supprimez le message. | ✔* | ✔* | ✔* |
Importante
Si vous personnalisez les actions de boîte aux lettres à auditer avant que l’audit de boîte aux lettres activé par défaut soit activé dans votre organization, les paramètres d’audit de boîte aux lettres personnalisés sont conservés sur la boîte aux lettres et ne sont pas remplacés par les actions de boîte aux lettres par défaut décrites dans cette section. Pour rétablir les valeurs par défaut des actions de boîte aux lettres d’audit (ce que vous pouvez faire à tout moment), consultez la section Restaurer les actions de boîte aux lettres par défaut plus loin dans cet article.
Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365
Lorsque vous activez l’audit des boîtes aux lettres, les boîtes aux lettres de groupe Microsoft 365 commencent à journaliser les données d’audit de boîte aux lettres. Toutefois, vous ne pouvez pas personnaliser les données journalisées, ni ajouter ou supprimer des actions de boîte aux lettres pour n’importe quel type de connexion.
Le tableau suivant décrit les actions de boîte aux lettres journalisant par défaut les boîtes aux lettres de groupe Microsoft 365 pour chaque type de connexion.
N’oubliez pas qu’un administrateur disposant d’une autorisation d’accès total à une boîte aux lettres de groupe Microsoft 365 est considéré comme un délégué.
| Action de boîte aux lettres | Description | Administrateur | Délégué | Propriétaire |
|---|---|---|---|---|
| Create | Création d’un élément de calendrier. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. | ✔* | ✔* | |
| HardDelete | Message vidé du dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. | ✔* | ✔* | ✔* |
| SendAs | Message envoyé à l’aide de l’autorisation SendAs. | ✔* | ✔* | |
| SendOnBehalf | Message envoyé à l’aide de l’autorisation SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Message définitivement supprimé ou supprimé du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables. | ✔* | ✔* | ✔* |
| Mettre à jour | Un message ou l’une de ses propriétés a changé. | ✔* | ✔* | ✔* |
Vérifiez que les actions de boîte aux lettres par défaut sont journalisées pour chaque type de connexion
Lorsque vous activez l’audit de boîte aux lettres par défaut, le système ajoute une propriété DefaultAuditSet à toutes les boîtes aux lettres. La valeur de cette propriété indique si les actions de boîte aux lettres par défaut (gérées par Microsoft) sont auditées sur la boîte aux lettres.
Pour afficher la valeur des boîtes aux lettres utilisateur ou des boîtes aux lettres partagées, remplacez MailboxIdentity> par <le nom, l’alias, l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres, puis exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Pour afficher la valeur des boîtes aux lettres de groupe Microsoft 365, remplacez MailboxIdentity> par <le nom, l’alias ou l’adresse e-mail de la boîte aux lettres partagée et exécutez la commande suivante dans Exchange Online PowerShell :
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
La valeur Admin, Delegate, Owner signifie :
- Le système audite les actions de boîte aux lettres par défaut pour les trois types de connexion. Cette valeur est la seule valeur que vous voyez sur les boîtes aux lettres de groupe Microsoft 365.
- Un administrateur n’a pas modifié les actions de boîte aux lettres auditées pour un type de connexion sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée.
Si un administrateur modifie les actions de boîte aux lettres auditées pour un type de connexion (à l’aide des paramètres AuditAdmin, AuditDelegate ou AuditOwner sur l’applet de commande Set-Mailbox ), la valeur de propriété est différente.
Par exemple, la valeur Owner de la propriété DefaultAuditSet sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée signifie :
- Les actions de boîte aux lettres par défaut pour le propriétaire de la boîte aux lettres sont auditées.
- Les actions de boîte aux lettres auditées pour les
Delegatetypes de connexion etAdminsont remplacées par les actions par défaut.
Une valeur vide pour la propriété DefaultAuditSet signifie que les actions de boîte aux lettres pour les trois types de connexion sont modifiées sur la boîte aux lettres utilisateur ou une boîte aux lettres partagée.
Pour plus d’informations, consultez la section Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut dans cet article.
Afficher les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres
Pour afficher les actions de boîte aux lettres actuellement connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, remplacez MailboxIdentity par <le nom, l’alias> , l’adresse e-mail ou le nom d’utilisateur principal (nom d’utilisateur) de la boîte aux lettres. Exécutez ensuite une ou plusieurs des commandes suivantes dans Exchange Online PowerShell.
Remarque
Bien que vous puissiez ajouter le -GroupMailbox commutateur aux commandes Get-Mailbox suivantes pour les boîtes aux lettres de groupe Microsoft 365, n’approuvez pas les valeurs retournées. Les actions de boîte aux lettres statiques et par défaut auditées pour les boîtes aux lettres de groupe Microsoft 365 sont décrites dans la section Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365 plus haut dans cet article.
Actions du propriétaire
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Déléguer des actions
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
actions Administration
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut
Comme expliqué précédemment, l’un des principaux avantages de l’audit de boîte aux lettres activé par défaut est que vous n’avez pas besoin de gérer les actions de boîte aux lettres auditées. Microsoft gère les actions pour vous et ajoute automatiquement de nouvelles actions de boîte aux lettres à auditer par défaut à mesure qu’elles sont publiées.
Toutefois, votre organization peut être nécessaire pour auditer un ensemble différent d’actions de boîte aux lettres pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées. Les procédures de cette section vous montrent comment modifier les actions de boîte aux lettres auditées pour chaque type de connexion et comment revenir aux actions par défaut gérées par Microsoft.
Importante
Si vous utilisez les procédures suivantes pour personnaliser les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, toutes les nouvelles actions de boîte aux lettres par défaut publiées par Microsoft ne sont pas automatiquement auditées sur ces boîtes aux lettres. Vous devez ajouter manuellement toutes les nouvelles actions de boîte aux lettres à votre liste personnalisée d’actions.
Modifier les actions de boîte aux lettres pour auditer
Utilisez les paramètres AuditAdmin, AuditDelegate ou AuditOwner de l’applet de commande Set-Mailbox pour modifier les actions de boîte aux lettres que Microsoft audite pour les boîtes aux lettres utilisateur et les boîtes aux lettres partagées. Vous ne pouvez pas personnaliser les actions auditées pour les boîtes aux lettres de groupe Microsoft 365.
Utilisez deux méthodes différentes pour spécifier les actions de boîte aux lettres :
-
Remplacez (remplacez ) les actions de boîte aux lettres existantes à l’aide de la syntaxe suivante :
action1,action2,...actionN. -
Ajoutez ou supprimez des actions de boîte aux lettres sans affecter d’autres valeurs existantes à l’aide de la syntaxe suivante :
@{Add="action1","action2",..."actionN"}ou@{Remove="action1","action2",..."actionN"}.
L’exemple suivant modifie les actions de boîte aux lettres d’administration pour la boîte aux lettres nommée « Gabriela Laureano » en remplaçant les actions par défaut par SoftDelete et HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
L’exemple suivant ajoute l’action propriétaire MailboxLogin à la boîte aux lettres laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
L’exemple suivant supprime l’action déléguée MoveToDeletedItems pour la boîte aux lettres Discussion d’équipe.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Quelle que soit la méthode que vous utilisez, la personnalisation des actions de boîte aux lettres auditées sur les boîtes aux lettres utilisateur ou les boîtes aux lettres partagées a les résultats suivants :
- Microsoft ne gère plus les actions de boîte aux lettres auditées pour le type de connexion que vous avez personnalisé.
- Le type de connexion que vous avez personnalisé n’apparaît plus dans la valeur de propriété DefaultAuditSet pour la boîte aux lettres, comme décrit précédemment.
Restaurer les actions de boîte aux lettres par défaut
Remarque
Les procédures suivantes ne s’appliquent pas aux boîtes aux lettres de groupe Microsoft 365. Ces boîtes aux lettres sont limitées aux actions par défaut décrites ici.
Si vous personnalisez les actions de boîte aux lettres auditées sur une boîte aux lettres utilisateur ou une boîte aux lettres partagée, vous pouvez restaurer les actions de boîte aux lettres par défaut pour un ou tous les types de connexion à l’aide de la syntaxe suivante :
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Vous pouvez spécifier plusieurs valeurs DefaultAuditSet séparées par des virgules.
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour tous les types de connexion sur la boîte aux lettres mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Cet exemple restaure les actions de boîte aux lettres auditées par défaut pour le type de connexion Administration sur la boîte aux lettres chris@contoso.onmicrosoft.com, mais conserve les actions de boîte aux lettres auditées personnalisées pour les types de connexion Délégué et Propriétaire.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
La restauration des actions de boîte aux lettres auditées par défaut pour un type de connexion entraîne les résultats suivants :
- La liste actuelle des actions de boîte aux lettres est remplacée par les actions de boîte aux lettres par défaut pour le type de connexion.
- Toutes les nouvelles actions de boîte aux lettres que Microsoft publie sont automatiquement ajoutées à la liste des actions auditées pour le type de connexion.
- La valeur de la propriété DefaultAuditSet de la boîte aux lettres est mise à jour pour inclure le type de connexion restauré.
Désactivez l’audit de boîte aux lettres activé par défaut pour votre organization
Pour désactiver l’audit de boîte aux lettres par défaut pour l’ensemble de votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $true
Lorsque vous désactivez l’audit de boîte aux lettres activé par défaut, vous apportez les modifications suivantes :
- L’audit de boîte aux lettres est désactivé pour votre organization.
- À partir du moment où vous désactivez l’audit de boîte aux lettres activé par défaut, aucune action de boîte aux lettres n’est auditée, même si l’audit de boîte aux lettres est activé sur une boîte aux lettres (la propriété AuditEnabled sur la boîte aux lettres a la valeur True).
- L’audit de boîte aux lettres n’est pas activé pour les nouvelles boîtes aux lettres et la définition de la propriété AuditEnabled sur une boîte aux lettres nouvelle ou existante sur True est ignorée.
- Tous les paramètres d’association de contournement d’audit de boîte aux lettres (configurés à l’aide de l’applet de commande Set-MailboxAuditBypassAssociation ) sont ignorés.
- Les enregistrements d’audit de boîte aux lettres existants sont conservés jusqu’à l’expiration de la limite d’âge du journal d’audit pour l’enregistrement.
Activer l’audit des boîtes aux lettres par défaut
Pour réactiver l’audit de boîte aux lettres pour votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Set-OrganizationConfig -AuditDisabled $false
Ignorer l’enregistrement d’audit de boîte aux lettres :
Pour l’instant, vous ne pouvez pas désactiver l’audit de boîte aux lettres pour les boîtes aux lettres spécifiques lorsque l’audit de boîte aux lettres activé par défaut est activé dans votre organisation. Par exemple, le système ignore la définition de la propriété de boîte aux lettres AuditEnabled sur False.
Toutefois, vous pouvez utiliser l’applet de commande Set-MailboxAuditBypassAssociation dans Exchange Online PowerShell pour empêcher la journalisation de toutes les actions de boîte aux lettres effectuées par les utilisateurs spécifiés, quel que soit l’endroit où les actions se produisent. Par exemple :
- Les actions du propriétaire de boîte aux lettres effectuées par les utilisateurs contournés ne sont pas journalisées.
- Les actions déléguées que les utilisateurs contournés effectuent sur les boîtes aux lettres d’autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas journalisées.
- Administration actions effectuées par les utilisateurs contournés ne sont pas journalisées.
Pour ignorer la journalisation d’audit de boîte aux lettres pour un utilisateur spécifique, remplacez <MailboxIdentity> par le nom, l’adresse de courrier, l’alias ou le nom d’utilisateur principal (nom d’utilisateur) de l’utilisateur, puis exécutez la commande suivante :
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Pour vérifier que l’audit est contourné pour l’utilisateur spécifié, exécutez la commande suivante :
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
La valeur True indique que la journalisation d’audit de boîte aux lettres est ignorée pour l’utilisateur.
Plus d’informations
Par défaut, les enregistrements du journal d’audit de boîte aux lettres sont conservés pendant 90 jours avant d’être supprimés. Vous pouvez modifier la limite d’âge des enregistrements du journal d’audit à l’aide du paramètre AuditLogAgeLimit sur l’applet de commande Set-Mailbox dans Exchange Online PowerShell. Toutefois, l’augmentation de cette valeur ne vous permet pas de rechercher des événements datant de plus de 90 jours dans le journal d’audit.
Si vous modifiez la propriété AuditLogAgeLimit d’une boîte aux lettres avant d’activer l’audit de boîte aux lettres par défaut pour la organization, la limite d’âge du journal d’audit existante de la boîte aux lettres reste inchangée. En d’autres termes, l’audit de boîte aux lettres par défaut n’affecte pas la limite d’âge actuelle pour les enregistrements d’audit de boîte aux lettres.
Pour modifier la valeur AuditLogAgeLimit sur une boîte aux lettres de groupe Microsoft 365, incluez le
-GroupMailboxcommutateur dans la commande Set-Mailbox .Les enregistrements du journal d’audit de boîte aux lettres sont stockés dans un sous-dossier (nommé Audits) dans le dossier Éléments récupérables de la boîte aux lettres de chaque utilisateur. Gardez à l’esprit les éléments suivants concernant les enregistrements d’audit de boîte aux lettres et le dossier Éléments récupérables :
Les enregistrements d’audit de boîte aux lettres sont comptabilisés par rapport au quota de stockage du dossier Éléments récupérables, qui est de 30 Go par défaut (le quota d’avertissement est de 20 Go). Le quota de stockage passe automatiquement à 100 Go (avec un quota d’avertissement de 90 Go) dans les cas suivants :
- Vous placez une mise en attente sur une boîte aux lettres.
- Vous affectez la boîte aux lettres à une stratégie de rétention dans le portail Microsoft Purview.
Les enregistrements d’audit de boîte aux lettres sont également comptabilisés dans la limite de dossiers pour le dossier Éléments récupérables. Un maximum de 3 millions d’éléments (enregistrements d’audit) peuvent être stockés dans le sous-dossier Audits.
Remarque
Il est peu probable que l’audit de boîte aux lettres par défaut affecte le quota de stockage ou la limite de dossiers pour le dossier Éléments récupérables.
Vous pouvez exécuter la commande suivante dans Exchange Online PowerShell pour afficher la taille et le nombre d’éléments dans le sous-dossier Audits du dossier Éléments récupérables :
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderVous ne pouvez pas accéder directement à un enregistrement de journal d’audit dans le dossier Éléments récupérables. Utilisez plutôt l’applet de commande Search-UnifiedAuditLog ou recherchez dans le journal d’audit pour rechercher et afficher les enregistrements d’audit de boîte aux lettres.
Si vous placez une boîte aux lettres en attente ou que vous l’affectez à une stratégie de rétention, les enregistrements du journal d’audit sont conservés pendant la durée définie par la propriété AuditLogAgeLimit de la boîte aux lettres (90 jours par défaut). Pour conserver plus longtemps les enregistrements du journal d’audit pour les boîtes aux lettres en attente, augmentez la valeur AuditLogAgeLimit de la boîte aux lettres.
Dans un environnement multigéographique, l’audit de boîte aux lettres intergéographique n’est pas pris en charge. Par exemple, si vous attribuez à un utilisateur des autorisations pour accéder à une boîte aux lettres partagée dans un autre emplacement géographique, les actions de boîte aux lettres effectuées par l’utilisateur ne sont pas enregistrées dans le journal d’audit de la boîte aux lettres partagée. Les événements d’audit d’administrateur Exchange sont disponibles pour tous les emplacements via Microsoft Purview et l’applet de commande Search-UnifiedAuditLog .