Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Pourquoi c'est important
Si un contournement de l'audit de boîte aux lettres est activé pour un compte, ce compte peut accéder à n'importe quelle boîte aux lettres sur laquelle il dispose d'autorisations sans générer aucune entrée dans le journal d'audit. Cela signifie que des actions comme la suppression de messages ou l'accès non autorisé ne sont absolument pas enregistrées, ce qui rend impossible la détection des menaces internes ou des activités malveillantes. Pour les administrateurs informatiques, cela crée une zone d'ombre qui compromet la réponse aux incidents et les enquêtes médico-légales.
Ce que Aether365 vérifie
Aether365 vérifie que la propriété AuditBypassEnabled n'est pas activée sur les comptes de boîte aux lettres de votre organisation Microsoft 365. Cette vérification apparaît dans le tableau de bord Aether365 sous la section microsoft-365 et signale les comptes pour lesquels le contournement de l'audit est actif.
Comment corriger
- Connectez-vous à Exchange Online PowerShell en utilisant un compte disposant du rôle d'administration approprié (par exemple, Organization Management).
- Exécutez l'applet de commande suivant pour identifier tous les comptes avec le contournement d'audit activé :
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Pour chaque compte qui ne doit pas avoir de contournement d'audit, supprimez ce contournement en exécutant :
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Pour les comptes pour lesquels une exception écrite existe (par exemple, pour les comptes de service ou les outils de surveillance qui nécessitent un contournement), documentez l'exception et assurez-vous que des examens réguliers sont effectués.
Conformité
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- S'aligne sur les bonnes pratiques de journalisation d'audit pour la réponse aux incidents et la préparation aux enquêtes médico-légales