Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez cet article pour examiner les modifications apportées aux règles de boîte aux lettres dans Exchange Online. Il montre comment afficher les règles actuelles de boîte de réception et de transfert d’une boîte aux lettres, et comment effectuer une recherche dans le journal d’audit Microsoft Purview pour identifier qui a créé, modifié ou supprimé ces règles.
Utilisez ces méthodes pour examiner :
- Modifications apportées aux règles de transfert de courrier électronique
- Règles qui font que les e-mails n’apparaissent pas dans les dossiers attendus
- Modifications de règle non autorisées
Avant de commencer
Pour examiner les modifications de règle de boîte aux lettres, vous avez besoin des éléments suivants :
- Rôle Journaux d’audit attribué dans Microsoft Purview
- Pour vous connecter à Exchange Online PowerShell à l’aide de Connect-ExchangeOnline
Comment identifier les modifications de règle de boîte aux lettres
Utilisez ces deux commandes essentielles pour examiner les modifications apportées aux règles de boîte aux lettres.
Vérifier les règles de boîte aux lettres actuelles
Ces informations montrent :
- Configuration de règle actuelle : Configuration de la règle
- Actions de règle : Déplacer, supprimer ou avancer
- Status de règle : activé ou désactivé
Pour voir quelles règles existent actuellement dans une boîte aux lettres, exécutez la commande suivante :
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Rechercher des enregistrements d’audit de modification de règle
Cette recherche recherche :
- New-InboxRule : nouvelles règles créées
- Set-InboxRule : règles existantes modifiées
- Remove-InboxRule : règles supprimées
Pour savoir qui a créé, modifié ou supprimé les règles de boîte aux lettres, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Que faire quand les recherches ne retournent aucun résultat
Si vos recherches d’audit ne trouvent pas d’enregistrements de modification de règle :
- Développez la plage de dates pour capturer les modifications plus anciennes :
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Activez l’audit pour les futures modifications de règle :
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Informations de référence rapides
Opérations clés pour l’investigation des règles
| Opération | Description |
|---|---|
| New-InboxRule | Nouvelle règle de boîte aux lettres créée. |
| Remove-InboxRule | Règle de boîte aux lettres supprimée. |
| Set-InboxRule | Règle de boîte aux lettres existante modifiée. |
Commandes essentielles
| Command | Objectif |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Vérifiez la configuration actuelle de la règle. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Recherchez les personnes qui ont apporté des modifications aux règles. |
Étapes suivantes
- Utilisez MailItemsAccessed pour examiner les comptes compromis : déterminez si les modifications de règle non autorisées indiquent un compte compromis.
- Identifier qui a supprimé un e-mail ou pourquoi un e-mail est manquant : déterminez si les règles modifiées ont provoqué des suppressions d’e-mails ou des messages manquants.
- Exporter, configurer et afficher les enregistrements du journal d’audit : exportez vos résultats de modification de règle pour la documentation de conformité.