Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez cet article pour examiner les messages électroniques manquants dans Exchange Online et identifier qui les a supprimés. Il guide les administrateurs tout au long de l’utilisation du journal d’audit Microsoft Purview et Exchange Online PowerShell pour localiser les événements de suppression, analyser les configurations de boîte aux lettres, case activée l’activité de rétention et de migration, et déterminer si les règles de boîte aux lettres ou l’accès aux boîtes aux lettres partagées ont provoqué la perte.
Utilisez ces méthodes pour examiner :
- E-mails supprimés par des utilisateurs ou des administrateurs
- E-mails manquants après des problèmes de migration ou de synchronisation
- E-mails supprimés par des règles de boîte aux lettres ou des stratégies de rétention
- E-mails supprimés des boîtes aux lettres partagées
- Les e-mails n’apparaissent pas dans les dossiers attendus
Avant de commencer
Pour examiner les e-mails supprimés et les messages manquants, vous avez besoin des éléments suivants :
- Rôle Journaux d’audit attribué dans Microsoft Purview
- Pour vous connecter à Exchange Online PowerShell à l’aide de Connect-ExchangeOnline
Comment identifier les e-mails supprimés
Utilisez les méthodes suivantes pour examiner les e-mails manquants et identifier les activités de suppression. Choisissez la méthode en fonction du type de suppression que vous examinez.
Rechercher des e-mails supprimés par type d’opération
Utilisez cette méthode pour rechercher les opérations suivantes :
- SoftDelete : éléments déplacés vers le dossier Éléments supprimés.
- HardDelete : éléments supprimés définitivement de la boîte aux lettres.
- MoveToDeletedItems : éléments déplacés vers le dossier Éléments supprimés par action de l’utilisateur.
Pour rechercher des enregistrements d’audit des suppressions d’e-mails à l’aide d’opérations de suppression spécifiques, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Remplacez par <user1,user2> les adresses e-mail des utilisateurs. Spécifiez plusieurs utilisateurs en séparant les noms d’utilisateur par des virgules.
Rechercher des suppressions de boîtes aux lettres partagées
Pour examiner les suppressions de boîtes aux lettres partagées, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Remarque
L’audit de boîte aux lettres partagée n’est peut-être pas activé par défaut. Si cette recherche ne retourne aucun résultat, consultez Audit de boîte aux lettres partagée non configuré pour activer l’audit.
Rechercher les e-mails manquants à l’aide de mots clés
Cette méthode permet d’identifier les enregistrements de suppression pour les e-mails avec des sujets ou du contenu spécifiques.
Pour rechercher des enregistrements d’audit liés à des e-mails manquants spécifiques, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Rechercher des activités de messagerie complètes
Cette recherche plus large inclut des déplacements et des mises à jour qui peuvent expliquer les e-mails manquants.
Pour rechercher toutes les activités qui affectent la visibilité des e-mails, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
Présentation des résultats de la recherche
L’obtention d’aucun résultat des recherches d’audit peut fournir des insights importants sur ce qui n’a pas causé les e-mails manquants :
- Opérations de suppression introuvables : exclut les suppressions lancées par l’utilisateur pendant la période.
- Aucune action de stratégie de rétention : indique que les stratégies automatisées n’ont pas supprimé les e-mails.
- Aucune activité de migration : indique que les processus de migration n’ont pas supprimé les e-mails.
- Aucune action de l’administrateur : confirme que les administrateurs n’ont pas effectué d’opérations en bloc.
Remarque
Document dont les recherches ne retournent aucun résultat. Ces informations permettent d’affiner la cause racine en éliminant les causes potentielles.
Résultats de recherche manquants
Si vos recherches dans les journaux d’audit ne trouvent pas d’enregistrements de suppression pour les e-mails manquants, essayez les étapes suivantes.
E-mails manquants sans enregistrement d’audit de suppression
Procédez comme suit pour déterminer si des e-mails sont manquants, mais qu’aucun enregistrement d’audit de suppression n’est trouvé.
Vérifiez si l’audit a été activé au moment de la suppression.
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreatedActivez l’audit complet pour une surveillance ultérieure.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}Recherchez les actions de stratégie de rétention susceptibles de supprimer des e-mails.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000Si cette commande ne retourne aucun résultat, elle indique que les stratégies de rétention n’ont pas supprimé automatiquement les e-mails pendant la période spécifiée. Ces informations vous aident à exclure les suppressions automatisées basées sur des stratégies comme cause d’e-mails manquants.
Audit de boîte aux lettres partagée non configuré
Procédez comme suit pour activer l’audit des boîtes aux lettres partagées lorsque les enregistrements de suppression sont introuvables.
Vérifiez la configuration d’audit actuelle pour la boîte aux lettres partagée.
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdminActivez l’audit complet pour la boîte aux lettres partagée.
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}Recherchez les activités des utilisateurs disposant d’un accès aux boîtes aux lettres partagé.
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
Examen de la perte d’e-mail lié à la migration
Les étapes suivantes montrent comment examiner les e-mails perdus pendant les processus de migration.
Recherchez les activités liées à la migration pendant la période de migration.
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
Procédures d’investigation avancées
Les procédures suivantes montrent comment effectuer une analyse détaillée lorsque les recherches standard ne révèlent pas la cause des e-mails manquants.
Analyser les règles de boîte aux lettres susceptibles de supprimer des e-mails
Si vous pensez que les règles de boîte aux lettres entraînent la suppression ou le déplacement d’e-mails vers des dossiers inattendus, utilisez les procédures d’examen des règles de boîte aux lettres dédiées suivantes.
Conseil
Pour une investigation complète des règles de boîte aux lettres, consultez Identifier qui a modifié les règles de boîte aux lettres pour obtenir des instructions détaillées sur l’identification des règles de boîte aux lettres créées, modifiées ou supprimées susceptibles d’affecter la remise des e-mails.
Examiner les stratégies de rétention et de conformité
Pour case activée si les stratégies de conformité provoquent la suppression des e-mails, exécutez les commandes suivantes :
Vérifiez les stratégies de rétention appliquées à la boîte aux lettres.
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsForRecherchez les suppressions liées à la conformité.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
Rechercher les actions de l’administrateur
Pour case activée si les administrateurs ont effectué des actions affectant les e-mails, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
Informations de référence rapides
Opérations clés pour l’examen des suppressions
| Opération | Description | Cas d’usage |
|---|---|---|
| ApplyRetentionTag | Stratégie de rétention appliquée aux éléments | Actions de stratégie automatisées |
| HardDelete | Éléments supprimés définitivement de la boîte aux lettres | Suppressions définitives, examen de second niveau |
| Déplacer | Éléments déplacés entre les dossiers | Examiner les modifications apportées aux dossiers |
| MoveToDeletedItems | Éléments déplacés vers Éléments supprimés par action utilisateur | Déplacement initié par l’utilisateur vers des éléments supprimés |
| SoftDelete | Éléments déplacés vers le dossier Éléments supprimés | Suppressions d’utilisateurs, examen de premier niveau |
| TaggedAsRecord | Éléments marqués pour la rétention | Actions liées à la conformité |
Paramètres de recherche pour l’examen des suppressions
| Paramètre | Description | Exemple |
|---|---|---|
| -FreeText | Rechercher des identificateurs d’e-mail spécifiques | <email subject or unique identifier> |
| -Operations | Filtrer par types d’activités de suppression | SoftDelete,HardDelete,MoveToDeletedItems |
| -ResultSize | Nombre de résultats à retourner | 1 000 (standard), 5 000 (complet) |
| -StartDate/-EndDate | Définir la période d’investigation | En fonction de la date de disparition des e-mails |
| -UserIds | Filtrer en fonction de la personne qui a effectué l’action | <user1@domain.com,user2@domain.com> |
Étapes suivantes
- Utilisez MailItemsAccessed pour examiner les comptes compromis : déterminez si les suppressions font partie d’une compromission de compte plus large.
- Identifier les personnes qui ont modifié les règles de boîte aux lettres : vérifiez si les règles de boîte aux lettres suppriment ou transfèrent automatiquement des messages.
- Exporter, configurer et afficher les enregistrements du journal d’audit : exportez vos résultats d’investigation pour la création de rapports ou la conservation des preuves.