Office 365 : activer l’audit de boites aux lettres
Office 365 : activer l’audit de boites aux lettres
Depuis Exchange 2007 SP2, il est possible d’utiliser l’audit des boites aux lettres pour suivre les opérations effectuées dans les boites aux lettres. Il est nécessaire d’activer l’audit sur une boite aux lettres puis de définir les actions surveillées sur cette boite.
Remarque : noter que l’action de l’audit des boites aux lettres s’effectue uniquement en Powershell.
Avant tout, connecter vous à office 365 en powershell (détails de la procédure de connexion à office 365 dans cet article)
Pour activer l’audit sur une boite aux lettres, utilisez la commande suivante (en spécifiant l’adresse email de la boite concernée) :
Set-Mailbox -Identity « votre@email.com » -AuditEnabled $true
Pour vérifier que l’audit est bien activé, utilisez la commande suivante :
Get-Mailbox -Identity « votre@email.com » | select audit*
Vous voyez que la propriété AuditEnabled est bien à True, l’audit est donc activé mais également que les logs sont conservés 90 jours.
Les propriétés AuditAdmin, AuditDelegate et AuditOwner montrent les différentes actions qui sont loggué par l’audit.
3 types d’accès sont possibles :
- Owner : Opérations ou actions effectuées par le propriétaire de la boite aux lettres
- Delegate : Opérations ou actions effectuées par un utilisateur qui dispose de droits d’accès délégué à une boite aux lettres
- Admin : Opérations ou actions effectuées par les programmes d’office 365 comme la migration de boite aux lettres
Voici l’ensemble des actions qu’il est possible d’avoir dans l’audit :
- Copy : Un message a été copié dans un autre dossier de la boite aux lettres.
- Create : Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres.
- FolderBind : Un utilisateur (Propriétaire, administrateur ou délégué) a accédé au dossier de boîte aux lettres.
- HardDelete : Un message a été purgé du dossier Éléments récupérables.
- MailboxLogin : L’utilisateur s’est connecté à sa boîte aux lettres.
- MessageBind : Un message a été affiché ou ouvert.
- Move : Un message a été déplacé vers un autre dossier
- MoveToDeletedItems : Un message a été supprimé et déplacé vers le dossier Éléments supprimés.
- SendAs : Un message a été envoyé à l’aide de l’autorisation SendAs.
- SendOnBehalf : Un courrier a été envoyé à l’aide de l’autorisation Envoyer de la part de.
- SoftDelete : Un message a été définitivement supprimé du dossier Éléments supprimés. Les éléments supprimés récupérables sont déplacés vers le dossier Éléments récupérables.
- Update : Un message ou ses propriétés ont été modifiés.
- UpdateFolderPermissions : Une autorisation de dossier a été modifiée (comme un partage de dossier).
Vous pouvez activer les actions à logguer avec la commande suivante :
Set-Mailbox « votre@email.com » -AuditOwner @{Add= »copy », »create », »FolderBind », »HardDelete », »Move », »MoveToDeletedItems », »SoftDelete », »Update »}
Indiquer l’adresse email de la boite aux lettres, indiquer le type d’accès qui sera loggué (ici AuditOwner) et les opérations qui seront loggués.
Vous pouvez vérifier le type d’opérations loggué pour une boite aux lettres via la commande :
Get-Mailbox -Identity « votre@email.com » | select -ExpandProperty AuditOwner
Pour modifier les opérations loggué, vous devez les supprimer via la commande :
Set-Mailbox -Identity « votre@email.com » -AuditOwner none
Ensuite vous ajouter uniquement les types d’opérations que vous souhaitez logguer
Rendez-vous ensuite sur le portail de sécurité d’Office 365 https://protection.office.com puis Search & Investigation puis Audit log search pour visualiser les logs d’audit. Cela vous donnera des informations comme celles-ci :
Vous n’avez plus qu’a filtrer en fonction de ce que vous recherchez !
1 réponse
[…] Pour activer l’audit sur une boite aux lettres, utilisez la commande suivante → Lire la suite […]