Événement Office Protect - Accès à une boite de réception par un non-propriétaire

Cet événement se déclenche chaque fois qu'une personne qui n'est pas le propriétaire accède à une boîte de réception.


L'escalade des privilèges est une cible importante pour les pirates. L'une des raisons est qu'elle permet d'accéder à plusieurs comptes sans avoir à les pirater tous. Cet événement est le signe qu'un pirate est en train d'explorer vos données. Il peut également indiquer que des acteurs internes se comportent mal et abusent de leur accès. L'ouverture d'une boîte de réception partagée ne déclenchera pas cet événement.


Notez que cet événement, en fonction du nombre de personnes ayant délégué l'accès à votre organisation, génère beaucoup d'alertes. Voici quelques cas d'utilisation qui déclenchent l'événement : 


  • L'utilisateur délégué ouvre la boîte aux lettres d'un autre utilisateur
  • L'utilisateur délégué ouvre le calendrier d'un autre utilisateur
  • Le client Outlook Windows se resynchronise avec le serveur Exchange
  • L'utilisateur délégué ouvre le client Outlook à partir d'un nouvel ordinateur

 

Solution


Nous recommandons toujours d'utiliser des boîtes aux lettres partagées si plusieurs utilisateurs ont besoin d'accéder à certains courriels, et d'éviter autant que possible la délégation de boîtes aux lettres dans une organisation. Vous pouvez supprimer la délégation de boîte aux lettres d'une boîte aux lettres via le Centre d'administration Exchange.


Malheureusement, il n'y a aucun moyen d'empêcher les utilisateurs d'utiliser la délégation de boîtes aux lettres, mais nous vous recommandons de surveiller régulièrement la délégation de boîtes aux lettres. Un rapport complet sur la délégation des boîtes aux lettres est disponible dans Office Protect Advanced Reporting.


Documentation Microsoft sur la délégation de boîtes aux lettres : https://docs.microsoft.com/fr-ca/microsoft-365/admin/add-users/give-mailbox-permissions-to-another-user?view=o365-worldwide