Configurer la journalisation des audits pour les boîtes aux lettres Exchange (en ligne et sur site) est quasiment indispensable pour suivre les actions de chacun. C’est particulièrement vrai si votre équipe partage des boîtes aux lettres ou si vous craignez les erreurs de suppression d’e-mails. Franchement, on a parfois l’impression d’avoir besoin d’un détective pour découvrir qui supprime ou déplace un e-mail important. Heureusement, les serveurs Exchange Online et Exchange sur site intègrent des outils pour consigner ces activités, mais attention aux détails ! Si vous n’êtes pas familiarisé avec les commandes ou les configurations, vous risquez de rencontrer quelques difficultés. Voici donc un guide pratique qui pourrait vous sauver la mise lorsque vous devrez identifier l’auteur de la suppression accidentelle d’un e-mail.
Comment activer et consulter la journalisation d’audit des boîtes aux lettres dans Exchange
Activer la journalisation d’audit dans Microsoft 365 (Office 365)
Tout d’abord, si vous utilisez Microsoft 365, la journalisation des audits est activée par défaut depuis fin 2018. Toutefois, il est toujours conseillé de vérifier, car sur certains environnements, notamment si vous avez modifié des configurations ou s’il s’agit d’une nouvelle installation, elle peut ne pas être activée. Cette vérification vous évitera la frustration de constater ultérieurement que rien n’est enregistré.
- Connectez-vous via PowerShell avec le module Exchange Online V3. Si vous ne l’avez pas installé, téléchargez-le depuis la galerie PowerShell. Ensuite, exécutez :
Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true
Vous accédez ainsi à la session PowerShell d’Exchange Online. Une fois connecté, vérifiez si la journalisation d’audit est activée au niveau de l’organisation :
Get-OrganizationConfig | Format-List AuditDisabledSi la mention « AuditDisabled » apparaît False, la journalisation d’audit est activée pour le locataire. Sinon, vous pouvez l’activer, mais dans la plupart des cas, elle est déjà active.
Pour vérifier quelles boîtes aux lettres ont l’audit activé, exécutez :
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabledDans de nombreuses configurations, la réponse sera « oui », mais il est préférable de le confirmer avant d’examiner les journaux plus en détail. Pour activer ou désactiver l’audit d’une boîte aux lettres spécifique, utilisez :
Set-Mailbox [email protected] -AuditEnabled $trueou pour l’éteindre :
Set-Mailbox [email protected] -AuditEnabled $falseLes niveaux d’audit peuvent être personnalisés pour les actions du propriétaire, de l’administrateur ou des délégués ; il ne s’agit donc pas d’un choix binaire. Par exemple, pour configurer les actions enregistrées pour une boîte aux lettres :
Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItemsAinsi, seules certaines activités déclenchent des entrées d’audit, vous évitant d’être submergé par les journaux.
Vous souhaitez vérifier les paramètres d’audit actuels ? Exécutez :
Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwnerLes journaux sont stockés dans le dossier « Audits » de chaque boîte aux lettres, mais ces dossiers ne sont pas visibles dans Outlook ni dans Outlook Web App (OWA).Utilisez plutôt les commandes PowerShell pour obtenir des statistiques ou exporter les journaux.
Vous pouvez également vérifier la taille de vos journaux d’audit dans une boîte aux lettres avec :
Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –autoActivation de la journalisation d’audit des boîtes aux lettres dans Exchange Server (sur site)
Si vous utilisez encore une ancienne configuration Exchange locale (par exemple, 2010 SP1 ou une version ultérieure), vous devez l’activer manuellement car elle est désactivée par défaut. La première étape consiste à vous connecter à votre serveur Exchange via PowerShell.
$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $SessionUne fois connecté, activez la journalisation pour les boîtes aux lettres concernées. Pour une boîte aux lettres :
Set-Mailbox [email protected] -AuditEnabled $trueOu, pour l’activer pour toutes les boîtes aux lettres de votre organisation :
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $truePetit conseil : n’activez pas toutes les activités pour chaque boîte aux lettres, car cela peut vite devenir ingérable et les journaux volumineux peuvent saturer l’espace disque. Il est préférable de surveiller des actions spécifiques comme la suppression ou le déplacement d’éléments.
Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItemsAinsi, vous n’êtes pas submergé par les informations et vous obtenez celles dont vous avez réellement besoin.
Vous pouvez limiter la durée de conservation des enregistrements d’audit auprès de :
Set-Mailbox [email protected] -AuditLogAgeLimit 30La bonne gestion des journaux permet d’éviter les problèmes de stockage, notamment dans les environnements de grande taille.
Découvrir qui a supprimé ou déplacé un message dans une boîte aux lettres partagée
C’est là que ça devient pratique : si quelqu’un supprime un élément important d’une boîte mail partagée ou d’équipe. La Search-MailboxAuditLogcommande est là pour vous aider, mais son utilisation et le choix des filtres les plus pertinents ne sont pas toujours évidents.
Exemple de commande pour trouver qui a supprimé ou déplacé des éléments depuis le 1er février :
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathNameOui, cela peut prendre un certain temps selon l’activité, mais vous finirez par trouver le problème. Pour des recherches plus précises, filtrez par type d’opération, par HardDeleteexempleMoveToDeletedItems :
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ftSi vous devez effectuer des recherches régulières en arrière-plan sans monopoliser votre console, cette New-MailboxAuditLogSearchcommande vous permet de lancer des recherches qui s’exécutent en arrière-plan et vous envoient des rapports.
Vous pouvez également consulter les journaux d’audit depuis le Centre de conformité Microsoft 365. Son interface est plus visuelle et plus intuitive, surtout si vous n’êtes pas à l’aise avec l’interface de ligne de commande.
Dans tous les cas, l’audit nécessite une certaine préparation, mais il s’avère indispensable pour identifier les responsables. Parfois, un simple courriel supprimé ou un dossier déplacé peut révéler des problèmes de sécurité ou de conformité plus importants.
Résumé
- Vérifiez si la journalisation d’audit est activée pour votre locataire/vos boîtes aux lettres.
- Activez la journalisation d’audit sur les boîtes aux lettres individuelles si nécessaire.
- Personnalisez les niveaux d’audit pour éviter les journaux d’audit volumineux et vous concentrer sur l’essentiel.
- Utilisez des commandes comme
Search-MailboxAuditLogou le Centre de conformité pour les enquêtes.
Conclure
Configurer les journaux d’audit peut sembler complexe au premier abord (commandes PowerShell, paramètres, filtrage), mais c’est extrêmement pratique pour retrouver l’auteur d’un e-mail important supprimé. Une fois correctement configuré, ce système devient une véritable sécurité, vous permettant de savoir ce qui se passe dans vos boîtes mail, notamment les boîtes partagées. Difficile de comprendre son fonctionnement, mais sur une configuration donnée, c’est tout simplement magique. Espérons que cela permettra à d’autres d’éviter de longues heures de recherche !