Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment examiner l’activité de boîte aux lettres partagée à l’aide du journal d’audit Microsoft Purview et Exchange Online PowerShell. Il décrit les modèles de recherche pratiques et les étapes de correction pour rechercher les suppressions, l’activité envoyée en tant que, la navigation dans les dossiers, les modifications de règle de boîte aux lettres et de transfert, ainsi que d’autres actions déléguées.
Utilisez ces méthodes pour examiner :
- Email suppressions de boîtes aux lettres partagées
- Qui a envoyé des e-mails à partir de boîtes aux lettres partagées
- Déléguer des activités d’accès
- Email se déplace entre les dossiers
- Configurations de transfert et de règle
- E-mails manquants dans les boîtes aux lettres partagées
Avant de commencer
Pour examiner les activités de boîte aux lettres partagées, vous avez besoin des éléments suivants :
- Rôle Journaux d’audit attribué dans Microsoft Purview
- Pour vous connecter à Exchange Online PowerShell à l’aide de Connect-ExchangeOnline
Comment examiner les activités de boîte aux lettres partagées
Utilisez ces méthodes pour examiner les activités dans les boîtes aux lettres partagées. Choisissez la méthode en fonction du type d’activité que vous examinez.
Rechercher des e-mails supprimés dans des boîtes aux lettres partagées
Pour rechercher les enregistrements d’audit des suppressions d’e-mails d’une boîte aux lettres partagée, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Cette commande recherche :
- SoftDelete : éléments déplacés vers le dossier Éléments supprimés.
- HardDelete : éléments supprimés définitivement de la boîte aux lettres.
- MoveToDeletedItems : éléments déplacés vers Éléments supprimés par action utilisateur.
Rechercher les e-mails envoyés à partir de boîtes aux lettres partagées
Pour identifier qui a envoyé des e-mails à partir d’une boîte aux lettres partagée à l’aide d’autorisations déléguées, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Rechercher les déplacements d’e-mails entre les dossiers
Pour rechercher des opérations de déplacement dans une boîte aux lettres partagée, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Surveiller l’accès aux dossiers délégués (FolderBind)
Pour suivre quand les délégués parcourent des dossiers spécifiques dans des boîtes aux lettres partagées, procédez comme suit :
Vérifiez la configuration de FolderBind :
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Activer l’audit FolderBind :
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Rechercher les activités de navigation dans les dossiers :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Importante
FolderBind effectue le suivi de l’accès aux dossiers délégué et administrateur uniquement. Il n’enregistre pas les dossiers de navigation des propriétaires de boîtes aux lettres partagées. Activez-la de manière proactive pour la surveillance de la conformité et de la sécurité.
Cas d’usage courants :
- Surveiller l’accès aux dossiers confidentiels dans les boîtes aux lettres partagées de l’exécutif
- Pistes d’audit de conformité pour les exigences réglementaires
- Enquêtes de sécurité sur la navigation de dossiers non autorisés
- Déléguer l’analyse du comportement pour la gouvernance
Examiner les activités d’accès délégué
Pour identifier les utilisateurs disposant d’autorisations déléguées sur une boîte aux lettres partagée, exécutez la commande suivante :
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Pour rechercher des activités effectuées par un délégué spécifique, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Importante
Utilisez -UserIds pour rechercher les activités effectuées par un utilisateur délégué spécifique. N’utilisez -UserIds pas avec l’adresse de boîte aux lettres partagée, car cette action ne retourne pas les activités déléguées effectuées dans la boîte aux lettres partagée. Pour les activités effectuées dans la boîte aux lettres partagée par tout utilisateur (y compris les délégués), utilisez le -FreeText paramètre comme indiqué dans d’autres sections.
Surveiller les activités d’accès aux e-mails
Pour rechercher des activités d’accès aux e-mails dans des boîtes aux lettres partagées, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Remarque
Cette commande nécessite Microsoft 365 E5 licences pour capturer MailItemsAccessed les opérations.
Rechercher la configuration du transfert d’e-mails
Pour trouver qui a configuré le transfert d’e-mails sur une boîte aux lettres partagée, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Rechercher des modifications de règle de boîte aux lettres
Pour rechercher des activités de création ou de modification de règles de boîte de réception, exécutez la commande suivante :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Conseil
Pour une investigation complète des règles de boîte aux lettres, consultez Identifier qui a modifié les règles de boîte aux lettres pour obtenir des instructions détaillées sur l’identification des règles de boîte aux lettres créées, modifiées ou supprimées susceptibles d’affecter la remise des e-mails.
Que faire quand les recherches ne retournent aucun résultat
Si vos recherches dans le journal d’audit ne trouvent pas d’enregistrements d’activité de boîte aux lettres partagées, essayez ces étapes pour vérifier la configuration de l’audit.
- Vérifiez si l’audit est activé au niveau organization.
Get-OrganizationConfig | Select AuditDisabled
- Vérifiez si l’audit est activé pour la boîte aux lettres partagée spécifique.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Activez l’audit s’il est désactivé.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Procédures avancées
Les procédures suivantes montrent comment exporter les résultats d’audit et appliquer des correctifs de boîte aux lettres partagées courants :
Pour activer la copie des éléments envoyés dans une boîte aux lettres partagée (afin que les e-mails envoyés apparaissent dans les éléments envoyés de boîte aux lettres partagées), exécutez la commande suivante :
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Pour supprimer le transfert de courrier d’une boîte aux lettres partagée, exécutez la commande suivante :
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Informations de référence rapides
Opérations d’audit courantes pour les boîtes aux lettres partagées
| Opération | Description | Focus d’investigation |
|---|---|---|
| Créer | E-mails créés ou envoyés | Email activités de création |
| FolderBind | Déléguer l’accès/la navigation aux dossiers | Surveiller qui a accédé à des dossiers spécifiques |
| HardDelete | Éléments supprimés définitivement | Suppressions définitives d’une boîte aux lettres partagée |
| MailItemsAccessed | Éléments de boîte aux lettres consultés | suivi des accès Email (E5 obligatoire) |
| Déplacer | Éléments déplacés entre les dossiers | Modifications apportées organization dossier |
| New-InboxRule | Règles de boîte de réception créées | Investigation de création de règle |
| SendAs | E-mails envoyés à l’aide d’autorisations de délégué | Identifier les personnes envoyées à partir de la boîte aux lettres partagée |
| Set-Mailbox | Paramètres de boîte aux lettres modifiés | Modifications de transfert et de configuration |
| SoftDelete | Éléments déplacés vers le dossier Éléments supprimés | Suppressions d’utilisateurs d’une boîte aux lettres partagée |
Paramètres de recherche clés
| Paramètre | Description | Exemple |
|---|---|---|
| -FreeText | Activités effectuées dans une boîte aux lettres spécifique | <shared-mailbox@domain.com> |
| -Operations | Filtrer par type d’opération | SoftDelete,HardDelete,SendAs |
| -ResultSize | Limiter les résultats (max 5000) | 500 (standard), 1000 (complet) |
| -StartDate/-EndDate | Définir la période d’investigation | 01/06/2020, 01/20/2020 |
| -UserIds | Activités effectuées par un utilisateur spécifique | <delegate@domain.com> |
Importante
Remplacez et <delegate@domain.com> par <shared-mailbox@domain.com> des adresses e-mail réelles avant d’exécuter les commandes.
Étapes suivantes
- Gérer l’audit des boîtes aux lettres : ajustez les actions de boîte aux lettres partagées auditées pour capturer les activités dont vous avez besoin.
- Identifier qui a supprimé un message électronique ou pourquoi un e-mail est manquant : examinez les suppressions d’e-mails spécifiques découvertes dans l’activité de boîte aux lettres partagée.
- Exporter, configurer et afficher les enregistrements du journal d’audit : exportez les résultats de l’examen de votre boîte aux lettres partagée pour la préservation des preuves.