Les stratégies de rétention existent depuis Exchange 2000 et ont évoluées de version en version.
Elles permettent de gérer le cycle de vie des messages afin d’être en conformité avec les différentes législations et permettent également de « nettoyer » automatiquement le contenu des boites aux lettres des utilisateurs.
Ces stratégies fonctionnent à l’aide de « balises de rétention » et à l’aide du service de gestion des enregistrements (MRM)
L’ensemble est basé sur l’association de stratégies et de balises de rétention qui s’appliquent sur les boites aux lettres et leurs dossiers.
Les stratégies sont mises à disposition et visibles par les utilisateurs.
Il existe trois types de balise de rétention
Elles s’appliquent à tous les éléments auxquels aucune balise de rétention n’est appliquée, qu’elle soit héritée ou explicite.
Elles sont créées pour les dossiers par défaut tels que les boites de rétention, éléments supprimés, etc.
Elles permettent aux utilisateurs de Outlook et Outlook Web App d’appliquer des paramètres de rétention à des dossiers personnalisés et des éléments individuels tels que des messages électroniques.
L’action de rétention permet :
La période de rétention :
Il est également possible de mettre des commentaires sur les balises de rétention, ce qui facilite la visibilité de leurs actions.
Pour fonctionner, les balises de rétention doivent être associées à des stratégies de rétention.
Les différentes étapes sont les suivantes :
Mise en place depuis l’EAC :
Se connecter à l’EAC et cliquer sur « gestion de la conformité » puis sur « balises de rétention ».
La liste des balises par défaut sera visible. Il est possible de les modifier soit en double cliquant dessus soit avec l’icône d'édition
Pour créer une nouvelle balise, cliquer sur l’icône + et remplir les informations nécessaires.
La liste des stratégie de rétention est disponible dans « gestion de la conformité » puis « stratégies de rétention »
Pour créer une nouvelle stratégie, cliquer sur l’icône + et remplir les informations nécessaires.
Il est également possible de les modifier soit en double cliquant dessus soit avec l’icône . Ces modifications permettrons d’ajouter de nouvelles balises de rétention.
Pour appliquer une stratégie sur une boite aux lettres, cliquer sur « destinataires » puis faire un double clic sur la boite aux lettres ciblée.
Dans la partie « fonctionnalités de boite aux lettres » de choisir la stratégie désirée dans la section « stratégie de rétention »
Mise en place depuis l’EMS :
New-RetentionPolicyTag «nom_de_la_balise» -Type «choix_du_type» -AgeLimitForRetention «nb_de_jours» -retentionAction «action_a_effectuer» -RetentionEnabled $True
Pour cet exemple, la rétention des éléments supprimés est de 7 jours. Tout ce qui aura plus de 7 jours sera définitivement effacé.
Pour cet exemple, tous les éléments de plus d’un an seront déplacé automatiquement dans l’archive
New-RetentionPolicy «nom_de_la_stratégie» -RetentionPolicyTagLinks «nom_de_la_balise»
Dans cet exemple, la stratégie « compta » est créée et on lui associé les deux balises précédemment créées.
Set-Mailbox «adresse_email» -RetentionPolicy «nom_de_la_stratégie»
Dans cet exemple, la stratégie « compta » est appliquée sur une boite aux lettres.
Si l’on souhaite forcer l’application de la stratégie il suffit de faire la commande suivante :
Start-ManagedFolderAssistant -Identity «adresse_email»
Les règles de transport de Exchange sont plus généralement connues sous le nom de règles de flux de messagerie.
Elles sont semblables aux règles du client Outlook mais :
Via l’EAC
Se connecter à l’EAC puis cliquer sur « flux de messagerie » puis « règles »
Il existe de nombreuses règles prédéfinies via des Templates mais il est possible de créer ses propres règles personnalisées.
Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.
Via l’EMS
New-TransportRule -Name «nom_de_la_règle» -SenderADAttributeContainWords «DisplayName:nom_du_groupe_de_users_AD» -SentToScope «nom_du_périmètre_d’action» -RejectMessageEnhancedSatusCode «N°_d’erreur» -RejectMessageReasonText «text_explicatif_du_rejet»
Exemple :
Get-TransportRule
Get-TransportRule | Disable-TransportRule
Get-TransportRule | Enable-TransportRule
Les règles de journalisation existent depuis Exchange 2007.
Elles permettent d’enregistrer les échanges de messages et leurs contenus.
Elles ont été conçues afin de respecter un cadre légal et éventuellement faire des diagnostiques.
Ces règles se basent sur les règles de transport.
Les règles de journalisation sont applicables à un ou plusieurs destinataires tels que :
Elles s’appliquent à un ou plusieurs périmètres tels que :
Le résultat d’une règle est toujours envoyé à un destinataire de messagerie
Via l’EAC
Dans la partie « Gestion de la conformité » puis dans l’onglet « règles de journal »
Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.
Via l’EMS
New-JournalRule -Name «nom_dela_règle» -JournalEmailAddress «adresse_email_du_journal» -Scope «type_de_scope» -Recipient «adresse_mail_qui_sera_journalisée» -Enabled $True
Attention :
Type de scope : Internal ou External.
JournalEmailAddress : il s’agit d’une adresse email créée pour le journal elle est indispensable pour la journalisation. Les emails seront journalisés dans cette boite
Ces règles de conformités sont créées pour éviter la divulgation de données sensibles ou confidentielles.
Elles sont connues sout les nm de « DLP » pour « Data Lost Prevention » et se basent sur des règles de transport.
Leur but est d’analyser les messages et réagissent en fonction de différents critères tels que :
Ces règles informent les utilisateurs AVANT l’envoi des messages et sont, depuis Exchange 2013 SP1, affichées via OWA et OWA Mobile. Elles intègrent également la création d’empreintes numériques de documents.
Via l’EAC
Dans la partie « Gestion de la conformité » puis dans l’onglet « prévention de pertes de données ».
Il est possible d’utiliser des templates de règles prédéfinies ou d’en créer manuellement.
Pour créer une règle, cliquer sur l’icône + , choisir le type de règles puis remplir les informations nécessaires.
Via l’EMS
Exemple de commandes disponibles :
L’audit de Exchange est une fonction qui permet de générer des rapports.
Il y a deux types d’audits :
Ils permettent d’enregistrer et de rechercher les différentes cmdlets Exchange lancées sur toutes l’organisation Exchange.
Ils sont basés sur des droits Active Directory (RBAC) et leur configuration s’applique au niveau de l’organisation.
Ils permettent d’enregistrer et de rechercher les différents accès aux boites aux lettres et sont également basés sur les droits Active Directory.
Leur configuration s’applique au niveau d’une boite aux lettres.
Pour la vérification de l’activation par défaut
Get-AdminAuditlogConfig | FL AdminAudotLogEnabled
Pour l’activation
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
Dans la partie « Gestion de la conformité » puis dans « audit » cliquer sur « Exécuter le rapport du journal d’audit administrateur »
Search-AdminAuditLog
Permet d’afficher le résultat dans la console EMS
New-SearchAdminAuditLog
Permet d’envoyer le résultat sous forme XML dans une boite aux lettres spécifique.
Dans un premier temps il est nécessaire de l’activer sur les boites aux lettres à surveiller et ceci uniquement en PowerShell via l’EMS
Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditEnabled $True
Par défaut, seuls les enregistrements ci-dessous sont journalisés :
Pour activer plus d’enregistrements comme la suppression de message, la copie de messages, etc., il est possible d’utiliser ce type de commande :
Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditDelegate SendAs,SendOnBehalf,Move,SoftDelete,HardDelete -AuditAdmin MessageBind,FolderBind,copy,move -AuditOwner HardDelete -AuditEnabled $True
Pour consulter les journaux via l’EAC il faut se rendre dans la section « Gestion de la conformité » puis « audit » puis « Exécuter un rapport d’accès aux boites aux lettres par des non-propriétaires »
Pour consulter les journaux depuis l’EMS
Search-MailboxAuditlog
Permet d’effectuer une recherche synchrone dans les entrées du journal d’une seule boite aux lettres et affichera le résultat directement dans la console
New-MailboxAugitlogSearch
Permet d’effectuer une recherche asynchrone dans les entrées d’une ou plusieurs boites aux lettres et enverra le résultat sous forme XML dans une boite aux lettres spécifiée.
Ce sont des services Exchange qui apportent de l’aide aux administrateurs afin de maintenir la sécurité et afin de respecter la législation en cas de litige en prévenant par exemple la suppression définitive d’éléments de messagerie.
Le nom anglais est « InPlace Hold eDiscovery »
Il s’agit d’une recherche qui s’applique au niveau d’une boite aux lettres.
Cela permet d’effectuer une recherche d’éléments dans une boite aux lettres (utilisateurs ou dossiers publics), que ce soit des éléments supprimés ou non.
Il est également possible de retrouver les versions originales d’éléments qui ont été modifiés.
Par défaut, il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et « Gestion de la détection » pour pouvoir effectuer ces recherches.
Cela permet également de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics et de son archive.
Les éléments suivants sont conservés
Le nom anglais est « Litigation-Hold »
Cela permet de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics (et de son archive) en conservant :
La configuration d’applique au niveau d’une boite aux lettres.
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et il faut compter 60 minutes avant que la mise en place ne prenne effet.
Le nom anglais est « Retention-Hold »
Il s’agit d’une configuration qui permet de suspendre le traitement des stratégies de rétention d’une boite aux lettres.
Ce blocage est principalement utilisé en cas d’absence momentanée d’un utilisateur
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion des enregistrements ».
Via l’EAC
Dans la section « Gestion de la conformité » cliquer sur « découverte électronique et conservation ».
Pour créer une règle de blocage, cliquer sur l’icône + puis remplir les informations nécessaires.
Via l’EMS
New-MailboxSearch «mettre_un_nom_au_blocage» -SourceMailboxes «adresse_email_ciblée» -InplaceHoldEnabled $True
Set-MailboxSearch «nom_du_blocage» -InplaceHoldEnabled $False
Remove-MailboxSearch «nom_du_blocage»
Via l’EAC
Dans la section « Destinataires » puis cliquer sur l’onglet « boite aux lettres ».
Cliquer sur la boite aux lettres concernée pour la sélectionner
Cliquer sur « modifier » ou faire un double clic dessus.
Puis dans « fonctionnalité de boites aux lettres » chercher l’option « conservation pour litige » puis cliquer sur « activer ».
Via l’EMS
Set-mailbox «adresse_email_dela_boite_ciblée» -LitigationHoldEnabled $True -LitigationHoldDuration 2555
Attention : Le nombre après « LitigationHoldDuration » correspond à un nombre de jour.
Set-mailbox «adresse_email_dela_boite_ciblée» -LitigationHoldEnabled $False
La configuration se fait UNIQUEMENT via l’EMS
Set-Mailbox «adresse_email_ciblée» -RetentionHoldEnabled $True
Set-Mailbox «adresse_email_ciblée» -RetentionHoldEnabled $False
Get-Mailbox «adresse_email_ciblée» | Select RetentionHoldEnabled