Configuration de la gestion de la conformité

Gestion de la rétention de la messagerie

Présentation

Les stratégies de rétention existent depuis Exchange 2000 et ont évoluées de version en version.
Elles permettent de gérer le cycle de vie des messages afin d’être en conformité avec les différentes législations et permettent également de « nettoyer » automatiquement le contenu des boites aux lettres des utilisateurs.
Ces stratégies fonctionnent à l’aide de « balises de rétention » et à l’aide du service de gestion des enregistrements (MRM)

L’ensemble est basé sur l’association de stratégies et de balises de rétention qui s’appliquent sur les boites aux lettres et leurs dossiers.
Les stratégies sont mises à disposition et visibles par les utilisateurs.

Les balises de rétention

Il existe trois types de balise de rétention

Elles s’appliquent à tous les éléments auxquels aucune balise de rétention n’est appliquée, qu’elle soit héritée ou explicite.

Elles sont créées pour les dossiers par défaut tels que les boites de rétention, éléments supprimés, etc.

Elles permettent aux utilisateurs de Outlook et Outlook Web App d’appliquer des paramètres de rétention à des dossiers personnalisés et des éléments individuels tels que des messages électroniques.

L’action de rétention permet :

La période de rétention :

Il est également possible de mettre des commentaires sur les balises de rétention, ce qui facilite la visibilité de leurs actions.

Le fonctionnement

Pour fonctionner, les balises de rétention doivent être associées à des stratégies de rétention.
Les différentes étapes sont les suivantes :

  1. Création de balises de rétention avec différents critères
  2. Création de stratégies de rétention
  3. Association des balises de rétentions aux stratégies de rétention (il est possible d’avoir plusieurs balises par stratégie)
  4. Application des stratégies de rétention aux boites aux lettres
  5. Mécanisme de traitement des boites aux lettres par l’Assistant dossier géré
  6. Mécanisme de traitement des boites aux lettres

Mise en place depuis l’EAC :

Se connecter à l’EAC et cliquer sur « gestion de la conformité » puis sur « balises de rétention ».
La liste des balises par défaut sera visible. Il est possible de les modifier soit en double cliquant dessus soit avec l’icône d'édition

Pour créer une nouvelle balise, cliquer sur l’icône + et remplir les informations nécessaires.
La liste des stratégie de rétention est disponible dans « gestion de la conformité » puis « stratégies de rétention »

Pour créer une nouvelle stratégie, cliquer sur l’icône + et remplir les informations nécessaires.
Il est également possible de les modifier soit en double cliquant dessus soit avec l’icône . Ces modifications permettrons d’ajouter de nouvelles balises de rétention.
Pour appliquer une stratégie sur une boite aux lettres, cliquer sur « destinataires » puis faire un double clic sur la boite aux lettres ciblée.
Dans la partie « fonctionnalités de boite aux lettres » de choisir la stratégie désirée dans la section « stratégie de rétention »

Mise en place depuis l’EMS :

New-RetentionPolicyTag «nom_de_la_balise» -Type «choix_du_type» -AgeLimitForRetention «nb_de_jours» -retentionAction «action_a_effectuer» -RetentionEnabled $True

Pour cet exemple, la rétention des éléments supprimés est de 7 jours. Tout ce qui aura plus de 7 jours sera définitivement effacé.

Pour cet exemple, tous les éléments de plus d’un an seront déplacé automatiquement dans l’archive

New-RetentionPolicy «nom_de_la_stratégie» -RetentionPolicyTagLinks «nom_de_la_balise»

Dans cet exemple, la stratégie « compta » est créée et on lui associé les deux balises précédemment créées.

Set-Mailbox «adresse_email» -RetentionPolicy «nom_de_la_stratégie»

Dans cet exemple, la stratégie « compta » est appliquée sur une boite aux lettres.
Si l’on souhaite forcer l’application de la stratégie il suffit de faire la commande suivante : 

Start-ManagedFolderAssistant -Identity «adresse_email»

Les règles de transport de Exchange

Présentation

Les règles de transport de Exchange sont plus généralement connues sous le nom de règles de flux de messagerie.

Elles sont semblables aux règles du client Outlook mais :

Création d’une règle de transport

Via l’EAC

Se connecter à l’EAC puis cliquer sur « flux de messagerie » puis « règles »
Il existe de nombreuses règles prédéfinies via des Templates mais il est possible de créer ses propres règles personnalisées.
Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.

Via l’EMS

New-TransportRule -Name «nom_de_la_règle» -SenderADAttributeContainWords «DisplayName:nom_du_groupe_de_users_AD» -SentToScope «nom_du_périmètre_d’action» -RejectMessageEnhancedSatusCode «N°_d’erreur» -RejectMessageReasonText «text_explicatif_du_rejet»

Exemple :

Get-TransportRule
Get-TransportRule | Disable-TransportRule
Get-TransportRule | Enable-TransportRule

Les règles de journalisation

Présentation

Les règles de journalisation existent depuis Exchange 2007.
Elles permettent d’enregistrer les échanges de messages et leurs contenus.
Elles ont été conçues afin de respecter un cadre légal et éventuellement faire des diagnostiques.
Ces règles se basent sur les règles de transport.

Le fonctionnement

Les règles de journalisation sont applicables à un ou plusieurs destinataires tels que :

Elles s’appliquent à un ou plusieurs périmètres tels que :

Le résultat d’une règle est toujours envoyé à un destinataire de messagerie

Configuration des règles

Via l’EAC

Dans la partie « Gestion de la conformité » puis dans l’onglet « règles de journal »

Pour créer une règle, cliquer sur l’icône + et remplir les informations nécessaires.

Via l’EMS

New-JournalRule -Name «nom_dela_règle» -JournalEmailAddress «adresse_email_du_journal» -Scope «type_de_scope» -Recipient «adresse_mail_qui_sera_journalisée» -Enabled $True

Attention : 
Type de scope : Internal ou External.
JournalEmailAddress : il s’agit d’une adresse email créée pour le journal elle est indispensable pour la journalisation. Les emails seront journalisés dans cette boite

Prévention des pertes de données « DLP »

Présentation

Ces règles de conformités sont créées pour éviter la divulgation de données sensibles ou confidentielles.
Elles sont connues sout les nm de « DLP » pour « Data Lost Prevention » et se basent sur des règles de transport.
Leur but est d’analyser les messages et réagissent en fonction de différents critères tels que :

Ces règles informent les utilisateurs AVANT l’envoi des messages et sont, depuis Exchange 2013 SP1, affichées via OWA et OWA Mobile. Elles intègrent également la création d’empreintes numériques de documents.

Création d’une règle

Via l’EAC

Dans la partie « Gestion de la conformité » puis dans l’onglet « prévention de pertes de données ».
Il est possible d’utiliser des templates de règles prédéfinies ou d’en créer manuellement.

Pour créer une règle, cliquer sur l’icône + , choisir le type de règles puis remplir les informations nécessaires.

Via l’EMS

Exemple de commandes disponibles :

L’audit

Présentation

L’audit de Exchange est une fonction qui permet de générer des rapports.

Il y a deux types d’audits : 

Ils permettent d’enregistrer et de rechercher les différentes cmdlets Exchange lancées sur toutes l’organisation Exchange.
Ils sont basés sur des droits Active Directory (RBAC) et leur configuration s’applique au niveau de l’organisation.

Ils permettent d’enregistrer et de rechercher les différents accès aux boites aux lettres et sont également basés sur les droits Active Directory.
Leur configuration s’applique au niveau d’une boite aux lettres.

Les journaux d’audit administrateur

Pour la vérification de l’activation par défaut 

Get-AdminAuditlogConfig | FL AdminAudotLogEnabled

Pour l’activation

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

Dans la partie « Gestion de la conformité » puis dans « audit » cliquer sur « Exécuter le rapport du journal d’audit administrateur »

Search-AdminAuditLog 

Permet d’afficher le résultat dans la console EMS

New-SearchAdminAuditLog

Permet d’envoyer le résultat sous forme XML dans une boite aux lettres spécifique.

Les journaux d’audit de boites aux lettres

Dans un premier temps il est nécessaire de l’activer sur les boites aux lettres à surveiller et ceci uniquement en PowerShell via l’EMS

Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditEnabled $True

Par défaut, seuls les enregistrements ci-dessous sont journalisés : 

Pour activer plus d’enregistrements comme la suppression de message, la copie de messages, etc., il est possible d’utiliser ce type de commande :

Set-Mailbox -Identity «adresse_mail_de_la_boite_auditée» -AuditDelegate SendAs,SendOnBehalf,Move,SoftDelete,HardDelete -AuditAdmin MessageBind,FolderBind,copy,move -AuditOwner HardDelete -AuditEnabled $True

Pour consulter les journaux via l’EAC il faut se rendre dans la section « Gestion de la conformité » puis « audit » puis « Exécuter un rapport d’accès aux boites aux lettres par des non-propriétaires »

Pour consulter les journaux depuis l’EMS

Search-MailboxAuditlog 

Permet d’effectuer une recherche synchrone dans les entrées du journal d’une seule boite aux lettres et affichera le résultat directement dans la console

New-MailboxAugitlogSearch

Permet d’effectuer une recherche asynchrone dans les entrées d’une ou plusieurs boites aux lettres et enverra le résultat sous forme XML dans une boite aux lettres spécifiée.

La découverte électronique et le blocage sur place

Présentation

Ce sont des services Exchange qui apportent de l’aide aux administrateurs afin de maintenir la sécurité et afin de respecter la législation en cas de litige en prévenant par exemple la suppression définitive d’éléments de messagerie.

Le nom anglais est « InPlace Hold eDiscovery »
Il s’agit d’une recherche qui s’applique au niveau d’une boite aux lettres.
Cela permet d’effectuer une recherche d’éléments dans une boite aux lettres (utilisateurs ou dossiers publics), que ce soit des éléments supprimés ou non.
Il est également possible de retrouver les versions originales d’éléments qui ont été modifiés.
Par défaut, il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et « Gestion de la détection » pour pouvoir effectuer ces recherches.
Cela permet également de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics et de son archive.
Les éléments suivants sont conservés 

  1. Le contenu
  2. Les éléments supprimés
  3. Les versions originales des éléments modifiés

Le nom anglais est « Litigation-Hold »
Cela permet de conserver l’état du contenu d’une boite aux lettres ou de dossiers publics (et de son archive) en conservant :

  1. Le contenu
  2. Les éléments supprimés
  3. Les versions originales des éléments modifiés

La configuration d’applique au niveau d’une boite aux lettres.
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion de l’organisation » et il faut compter 60 minutes avant que la mise en place ne prenne effet.

Le nom anglais est « Retention-Hold »
Il s’agit d’une configuration qui permet de suspendre le traitement des stratégies de rétention d’une boite aux lettres.
Ce blocage est principalement utilisé en cas d’absence momentanée d’un utilisateur
Par défaut il est nécessaire d’être membre du groupe de sécurité RBAC « Gestion des enregistrements ».

La configuration

Le blocage sur place (InPlace Hold eDiscovery)

Via l’EAC 

Dans la section « Gestion de la conformité » cliquer sur « découverte électronique et conservation ».

Pour créer une règle de blocage, cliquer sur l’icône + puis remplir les informations nécessaires.

Via l’EMS 

New-MailboxSearch «mettre_un_nom_au_blocage» -SourceMailboxes «adresse_email_ciblée» -InplaceHoldEnabled $True
Set-MailboxSearch «nom_du_blocage» -InplaceHoldEnabled $False
Remove-MailboxSearch «nom_du_blocage»

Conservation de boite aux lettres (Litigation-Hold)

Via l’EAC 

Dans la section « Destinataires » puis cliquer sur l’onglet « boite aux lettres ».
Cliquer sur la boite aux lettres concernée pour la sélectionner

Cliquer sur « modifier » ou faire un double clic dessus.
Puis dans « fonctionnalité de boites aux lettres » chercher l’option « conservation pour litige » puis cliquer sur « activer ».