Configuration de la gestion de la conformité

Gestion de la rétention de la messagerie

Présentation

Les stratégies de rétention existent depuis Exchange 2000 et ont évoluées de version en version.
Elles permettent de gérer le cycle de vie des messages afin d’être en conformité avec les différentes législations et permettent également de « nettoyer » automatiquement le contenu des boites aux lettres des utilisateurs.
Ces stratégies fonctionnent à l’aide de « balises de rétention » et à l’aide du service de gestion des enregistrements (MRM)

L’ensemble est basé sur l’association de stratégies et de balises de rétention qui s’appliquent sur les boites aux lettres et leurs dossiers.
Les stratégies sont mises à disposition et visibles par les utilisateurs.

Les balises de rétention

Il existe trois types de balise de rétention

• Balises de stratégie par défaut

Elles s’appliquent à tous les éléments auxquels aucune balise de rétention n’est appliquée, qu’elle soit héritée ou explicite.

• Balises de stratégie de rétention

Elles sont créées pour les dossiers par défaut tels que les boites de rétention, éléments supprimés, etc.

• Balises personnelles

Elles permettent aux utilisateurs de Outlook et Outlook Web App d’appliquer des paramètres de rétention à des dossiers personnalisés et des éléments individuels tels que des messages électroniques.

L’action de rétention permet :

• De supprimer et autoriser la récupération
• De supprimer définitivement
• De déplacer des éléments vers une archive

La période de rétention :

• Jamais
• Une période

Il est également possible de mettre des commentaires sur les balises de rétention, ce qui facilite la visibilité de leurs actions.

Le fonctionnement

Pour fonctionner, les balises de rétention doivent être associées à des stratégies de rétention.
Les différentes étapes sont les suivantes :

1. Création de balises de rétention avec différents critères
2. Création de stratégies de rétention
3. Association des balises de rétentions aux stratégies de rétention (il est possible d’avoir plusieurs balises par stratégie)
4. Application des stratégies de rétention aux boites aux lettres
5. Mécanisme de traitement des boites aux lettres par l’Assistant dossier géré
6. Mécanisme de traitement des boites aux lettres

Mise en place depuis l’EAC :

Se connecter à l’EAC et cliquer sur « gestion de la conformité » puis sur « balises de rétention ».
La liste des balises par défaut sera visible. Il est possible de les modifier soit en double cliquant dessus soit avec l’icône d'édition

Pour créer une nouvelle balise, cliquer sur l’icône + et remplir les informations nécessaires.
La liste des stratégie de rétention est disponible dans « gestion de la conformité » puis « stratégies de rétention »

Pour créer une nouvelle stratégie, cliquer sur l’icône + et remplir les informations nécessaires.
Il est également possible de les modifier soit en double cliquant dessus soit avec l’icône . Ces modifications permettrons d’ajouter de nouvelles balises de rétention.
Pour appliquer une stratégie sur une boite aux lettres, cliquer sur « destinataires » puis faire un double clic sur la boite aux lettres ciblée.
Dans la partie « fonctionnalités de boite aux lettres » de choisir la stratégie désirée dans la section « stratégie de rétention »

Mise en place depuis l’EMS :

• Création d’une balise de rétention 

New-RetentionPolicyTag «nom_de_la_balise» -Type «choix_du_type» -AgeLimitForRetention «nb_de_jours» -retentionAction «action_a_effectuer» -RetentionEnabled $True

Pour cet exemple, la rétention des éléments supprimés est de 7 jours. Tout ce qui aura plus de 7 jours sera définitivement effacé.

Pour cet exemple, tous les éléments de plus d’un an seront déplacé automatiquement dans l’archive

• Création d’une stratégie de rétention et association d’une ou plusieurs balises de rétention

New-RetentionPolicy «nom_de_la_stratégie» -RetentionPolicyTagLinks «nom_de_la_balise»

Dans cet exemple, la stratégie « compta » est créée et on lui associé les deux balises précédemment créées.

• Application d’une stratégie de rétention sur une boite aux lettres

Set-Mailbox «adresse_email» -RetentionPolicy «nom_de_la_stratégie»

Dans cet exemple, la stratégie « compta » est appliquée sur une boite aux lettres.
Si l’on souhaite forcer l’application de la stratégie il suffit de faire la commande suivante : 

Start-ManagedFolderAssistant -Identity «adresse_email»

Les règles de transport de Exchange

Présentation

Les règles de transport de Exchange sont plus généralement connues sous le nom de règles de flux de messagerie.

Elles sont semblables aux règles du client Outlook mais :

• Elles s’appliquent à toute l’organisation Exchange
• Elles sont consommatrices de ressources 
• Elles permettent d’enregistrer les échanges de messages et le contenu
• Elles permettent de rechercher des messages qui correspondent à certains critères et y effectuent une action voulue.(un très grand nombre de choses peut être effectué)
• Elles agissent pendant le transport du message et avant la remise aux boites aux lettres

Création d’une règle de transport

Via l’EAC

Se connecter à l’EAC puis cliquer sur « flux de messagerie » puis « règles »
Il existe de nombreuses règles prédéfinies via des Templates mais il est possible de créer ses propres règles personnalisées.
Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.

Via l’EMS

• Création d’une règle de transport rejetant les messages émis par un groupe d’utilisateurs vers l’extérieur de l’organisation

New-TransportRule -Name «nom_de_la_règle» -SenderADAttributeContainWords «DisplayName:nom_du_groupe_de_users_AD» -SentToScope «nom_du_périmètre_d’action» -RejectMessageEnhancedSatusCode «N°_d’erreur» -RejectMessageReasonText «text_explicatif_du_rejet»

Exemple :

• Pour afficher toutes les règles de transport :

Get-TransportRule

• Pour toutes les désactiver 

Get-TransportRule | Disable-TransportRule

• Pour toutes les activer

Get-TransportRule | Enable-TransportRule

Les règles de journalisation

Présentation

Les règles de journalisation existent depuis Exchange 2007.
Elles permettent d’enregistrer les échanges de messages et leurs contenus.
Elles ont été conçues afin de respecter un cadre légal et éventuellement faire des diagnostiques.
Ces règles se basent sur les règles de transport.

Le fonctionnement

Les règles de journalisation sont applicables à un ou plusieurs destinataires tels que :

• Les boites aux lettres Exchange
• Les groupes de distribution
• Les utilisateurs de messagerie
• Les contacts

Elles s’appliquent à un ou plusieurs périmètres tels que :

• Les messages internes seulement (Scope Interne – Internal Scope)
• Les messages externes seulement (Scope Externe – External Scope)
• Tous les messages (Scope Global – Global Scope)

Le résultat d’une règle est toujours envoyé à un destinataire de messagerie

Configuration des règles

Via l’EAC

Dans la partie « Gestion de la conformité » puis dans l’onglet « règles de journal »

Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.

Via l’EMS

New-JournalRule -Name «nom_dela_règle» -JournalEmailAddress «adresse_email_du_journal» -Scope «type_de_scope» -Recipient «adresse_mail_qui_sera_journalisée» -Enabled $True

Attention : 
Type de scope : Internal ou External.
JournalEmailAddress : il s’agit d’une adresse email créée pour le journal elle est indispensable pour la journalisation. Les emails seront journalisés dans cette boite

Prévention des pertes de données « DLP »

Présentation

Ces règles de conformités sont créées pour éviter la divulgation de données sensibles ou confidentielles.
Elles sont connues sout les nm de « DLP » pour « Data Lost Prevention » et se basent sur des règles de transport.
Leur but est d’analyser les messages et réagissent en fonction de différents critères tels que :

• Des mots clés
• Correspondance de dictionnaire
• Evaluation d’expressions
• Etc.

Ces règles informent les utilisateurs AVANT l’envoi des messages et sont, depuis Exchange 2013 SP1, affichées via OWA et OWA Mobile. Elles intègrent également la création d’empreintes numériques de documents.

Création d’une règle

Via l’EAC

Dans la partie « Gestion de la conformité » puis dans l’onglet « prévention de pertes de données ».
Il est possible d’utiliser des templates de règles prédéfinies ou d’en créer manuellement.

Pour créer une règle, cliquer sur l’icône + , choisir le type de règles puis remplir les informations nécessaires.

Via l’EMS

Exemple de commandes disponibles :

• Get-ClassificationRuleCollection
• New-ClassificationRuleCollection
• Remove- ClassificationRuleCollection
• Set- ClassificationRuleCollection
• Get-DataClassification
• New-DataClassification
• Remove-DataClassification
• Set-DataClassification
• Get-DlpPolicy
• New-DlpPolicy
• Remove-DlpPolicy
• Set-DlpPolicy
• Export-DlpPolicyCollection
• Import—DlpPolicyCollection
• Get-DlpPolicyTemplate
• Import-DlpPolicyTemplate
• Remove-DlpPolicyTemplate
• New-Fingerprint
• Get-PolicyTipConfig
• New-PolicyTipConfig
• Remove-PolicyTipConfig
• Set-PolicyTipConfig

L’audit

Présentation

L’audit de Exchange est une fonction qui permet de générer des rapports.

Il y a deux types d’audits : 

• Les journaux d’audit des administrateurs

Ils permettent d’enregistrer et de rechercher les différentes cmdlets Exchange lancées sur toutes l’organisation Exchange.
Ils sont basés sur des droits Active Directory (RBAC) et leur configuration s’applique au niveau de l’organisation.

• Les journaux d’audit de boites aux lettres

Ils permettent d’enregistrer et de rechercher les différents accès aux boites aux lettres et sont également basés sur les droits Active Directory.
Leur configuration s’applique au niveau d’une boite aux lettres.

Les journaux d’audit administrateur

• Administration des journaux via EMS

Pour la vérification de l’activation par défaut 

Get-AdminAuditlogConfig | FL AdminAudotLogEnabled

Pour l’activation

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

• Consultation des journaux depuis l’EAC

Dans la partie « Gestion de la conformité » puis dans « audit » cliquer sur « Exécuter le rapport du journal d’audit administrateur »

• Consultation des journaux depuis l’EMS

Search-AdminAuditLog 

Permet d’afficher le résultat dans la console EMS

New-SearchAdminAuditLog

Permet d’envoyer le résultat sous forme XML dans une boite aux lettres spécifique.

Les journaux d’audit de boites aux lettres

Dans un premier temps il est nécessaire de l’activer sur les boites aux lettres à surveiller et ceci uniquement en PowerShell via l’EMS

Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditEnabled $True

Par défaut, seuls les enregistrements ci-dessous sont journalisés : 

• Les actions des administrateurs
• Les actions des délégués
• Les actions des propriétaires spécifiés

Pour activer plus d’enregistrements comme la suppression de message, la copie de messages, etc., il est possible d’utiliser ce type de commande :

Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditDelegate SendAs,SendOnBehalf,Move,SoftDelete,HardDelete -AuditAdmin MessageBind,FolderBind,copy,move -AuditOwner HardDelete -AuditEnabled $True

Pour consulter les journaux via l’EAC il faut se rendre dans la section « Gestion de la conformité » puis « audit » puis « Exécuter un rapport d’accès aux boites aux lettres par des non-propriétaires »

Pour consulter les journaux depuis l’EMS

Search-MailboxAuditlog 

Permet d’effectuer une recherche synchrone dans les entrées du journal d’une seule boite aux lettres et affichera le résultat directement dans la console

New-MailboxAugitlogSearch

Permet d’effectuer une recherche asynchrone dans les entrées d’une ou plusieurs boites aux lettres et enverra le résultat sous forme XML dans une boite aux lettres spécifiée.

La découverte électronique et le blocage sur place

Présentation

Ce sont des services Exchange qui apportent de l’aide aux administrateurs afin de maintenir la sécurité et afin de respecter la législation en cas de litige en prévenant par exemple la suppression définitive d’éléments de messagerie.

• Qu’est-ce que le « blocage sur place » d’une boite aux lettres 

Le nom anglais est « InPlace Hold eDiscovery »
Il s’agit d’une recherche qui s’applique au niveau d’une boite aux lettres.
Cela permet d’effectuer une recherche d’éléments dans une boite aux lettres (utilisateurs ou dossiers publics), que ce soit des éléments supprimés ou non.
Il est également possible de retrouver les versions originales d’éléments qui ont été modifiés.
Par défaut, il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et « Gestion de la détection » pour pouvoir effectuer ces recherches.
Cela permet également de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics et de son archive.
Les éléments suivants sont conservés 

1. Le contenu
2. Les éléments supprimés
3. Les versions originales des éléments modifiés

• Qu’est-ce que la conservation d’une boite aux lettres

Le nom anglais est « Litigation-Hold »
Cela permet de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics (et de son archive) en conservant :

1. Le contenu
2. Les éléments supprimés
3. Les versions originales des éléments modifiés

La configuration d’applique au niveau d’une boite aux lettres.
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et il faut compter 60 minutes avant que la mise en place ne prenne effet.

• Qu’est-ce que le blocage de rétention

Le nom anglais est « Retention-Hold »
Il s’agit d’une configuration qui permet de suspendre le traitement des stratégies de rétention d’une boite aux lettres.
Ce blocage est principalement utilisé en cas d’absence momentanée d’un utilisateur
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion des enregistrements ».

La configuration

Le blocage sur place (InPlace Hold eDiscovery)

Via l’EAC 

Dans la section « Gestion de la conformité » cliquer sur « découverte électronique et conservation ».

Pour créer une règle de blocage, cliquer sur l’icône + puis remplir les informations nécessaires.

Via l’EMS 

• Activation :

New-MailboxSearch «mettre_un_nom_au_blocage» -SourceMailboxes «adresse_email_ciblée» -InplaceHoldEnabled $True

• Désactivation : 

Set-MailboxSearch «nom_du_blocage» -InplaceHoldEnabled $False

• Suppression :

Remove-MailboxSearch «nom_du_blocage»

Conservation de boite aux lettres (Litigation-Hold)

Via l’EAC 

Dans la section « Destinataires » puis cliquer sur l’onglet « boite aux lettres ».
Cliquer sur la boite aux lettres concernée pour la sélectionner

Cliquer sur « modifier » ou faire un double clic dessus.
Puis dans « fonctionnalité de boites aux lettres » chercher l’option « conservation pour litige » puis cliquer sur « activer ».

Via l’EMS 

• Activation :

Set-mailbox «adresse_email_dela_boite_ciblée» -LitigationHoldEnabled $True -LitigationHoldDuration 2555

Attention : Le nombre après « LitigationHoldDuration » correspond à un nombre de jour.

• Désactivation : 

Set-mailbox «adresse_email_dela_boite_ciblée» -LitigationHoldEnabled $False

Le blocage de rétention (Retention-Hold)

La configuration se fait UNIQUEMENT via l’EMS

• Activation : 

Set-Mailbox «adresse_email_ciblée» -RetentionHoldEnabled $True

• Désactivation :

Set-Mailbox «adresse_email_ciblée» -RetentionHoldEnabled $False

• Vérification :

Get-Mailbox «adresse_email_ciblée» | Select RetentionHoldEnabled