Partager via


OMEPortal

Chiffrement de messages Microsoft Purview est un service qui permet aux organisations d’envoyer des messages chiffrés à tous les destinataires.

OMEPortal est un type d’événement enregistré dans le journal d’audit unifié Office 365. Il représente toute activité permettant d’accéder à un message chiffré par un destinataire externe à l’aide du portail de messages chiffrés. Cet événement est utile pour déterminer quand et qui a accédé au portail.

  • Authentifier
  • ouvrir le message
  • afficher la pièce jointe
  • télécharger la pièce jointe
  • répondre/transférer un message

Accéder au journal d’audit unifié Office 365

Les journaux d’audit sont accessibles à l’aide des méthodes suivantes.

Outil de recherche dans les journaux d’audit

  1. Accédez au portail de conformité Microsoft Purview et connectez-vous.

  2. Dans le volet gauche du portail de conformité, sélectionnez Audit.

    Remarque

    Si vous ne voyez pas Audit dans le volet gauche, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et Conformité Microsoft Purview pour plus d’informations sur les autorisations.

  3. Sous l’onglet Nouvelle recherche , définissez Type d’enregistrement sur OMEPortal et configurez les autres paramètres. Boîte de dialogue Audit affichant les nouvelles options de recherche

Pour plus d’informations sur l’affichage des journaux d’audit dans le portail de conformité Microsoft Purview, consultez Activités du journal d’audit.

Rechercher dans le journal d’audit unifié dans PowerShell

Pour accéder au journal d’audit unifié à l’aide de PowerShell, commencez par ouvrir une fenêtre PowerShell et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

Cmdlet Search-UnifiedAuditLog.

L’applet de commande Search-UnifiedAuditLog est une commande PowerShell qui peut être utilisée pour rechercher dans le journal d’audit unifié Office 365. Le journal d’audit unifié est un enregistrement de l’activité de l’utilisateur et de l’administrateur dans Office 365 qui peut être utilisé pour suivre les événements. Pour connaître les meilleures pratiques relatives à l’utilisation de cette applet de commande, consultez Meilleures pratiques pour l’utilisation de Search-UnifiedAuditLog.

Pour extraire les événements OMEPortal du journal d’audit unifié à l’aide de PowerShell, vous pouvez utiliser la commande suivante. Cela permet de rechercher dans le journal d’audit unifié la plage de dates spécifiée et de renvoyer tous les événements avec le type d’enregistrement « OMEPortal ». Les résultats sont exportés vers un fichier CSV au chemin d’accès spécifié.

Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file> 

Voici un exemple d’événement OMEPortal de PowerShell, avec un message d’ouverture dans l’activité du portail de messages chiffrés.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:00:59 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : MessageAccess 

AuditData    : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 6 

ResultCount  : 7 

Identity     : a3500d45-6ab3-4971-a762-a01a846015d0 

IsValid      : True 

ObjectState  : Unchanged 

Utilisez la commande suivante pour rechercher spécifiquement le scénario dans lequel l’utilisateur affiche une pièce jointe. Un exemple du résultat de l’applet de commande PowerShell est également illustré ci-dessous.

Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Voici un exemple d’événement AipSensitivityLabelAction à partir de PowerShell, avec l’étiquette de confidentialité mise à jour.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:04:09 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : AttachmentReview 

AuditData    : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 4 

ResultCount  : 7 

Identity     : ef29c387-c81b-4812-9020-90b378d92cde 

IsValid      : True 

ObjectState  : Unchanged 

Les autres opérations qui peuvent être recherchées spécifiquement dans OMEPortal incluent AttachmentDownload, AuthenticationRequest, MessageAccess et MessageForward.

Attributs de l’événement OMEPortal

Le tableau suivant contient des informations relatives aux événements OMEPortal.

Événement Type Description
Activité String Type d’activité du journal d’audit. Pour OMEPortal, les opérations peuvent inclure :
- AttachmentDownload
- AttachmentReview
- AuthenticateRequest
- MessageAccess
- MessageForward
AttachmentName String Partie d’AuditData.
Nom de la pièce jointe dans le message.
AuditData String Détails du journal sur l’activité OMEPortal.
AuthenticationMethod String Partie d’AuditData.
Type d’authentification utilisé pour se connecter au portail. Les valeurs sont les suivantes :
-OTP
-Google
-Yahoo
-Microsoft
AuthenticationStatus Double Status de l’authentification.
0 = réussite
1= échec
CreationTime Date/heure Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a effectué l’activité.
ID GUID Identificateur unique d’un enregistrement d’audit.
MessageId String L'ID du message.
Opération String Même valeur que l’activité.
OperationProperties String Partie d’AuditData.
Contient l’objet de l’e-mail.
Destinataire String Partie d’AuditData.
Adresse e-mail de l’utilisateur accédant au message dans le portail des messages chiffrés.
RecordType Double Type d’opération indiqué par l’enregistrement. 154 représente un enregistrement OMEPortal.
ResultsStatus String L’opération a réussi ou a échoué.
Expéditeur String Partie d’AuditData.
Adresse e-mail de l’utilisateur qui a envoyé le message chiffré.
Charge de travail String Exchange pour indiquer le courrier électronique dans le portail des messages chiffrés.
UserId String Nom d’utilisateur principal (UPN) de l’utilisateur dans votre organization qui a envoyé le courrier chiffré l’action qui a entraîné la journaliser l’enregistrement.