La délégation de boîte aux lettres est pratique pour partager un agenda ou déléguer une partie de votre messagerie ; mal configurée ou oubliée, elle peut pourtant ouvrir une porte à la consultation ou à l’envoi d’e‑mails à votre insu. Découvrez comment vérifier, comprendre et retirer ces accès en toute autonomie ou avec l’aide de votre administrateur.
Pourquoi vérifier les délégations ?
Dans Exchange Online et Microsoft 365, chaque permission accordée — qu’il s’agisse d’un assistant qui gère votre calendrier ou d’un collègue qui signe des messages à votre place — laisse une trace technique. Or, les rôles évoluent : un départ d’employé, une mutation de service ou un changement d’équipe de projet peuvent rendre une autorisation obsolète, voire risquée. Contrôler régulièrement ces délégations permet :
- de préserver la confidentialité et l’intégrité des messages ;
- d’éviter les envois frauduleux (usurpation d’identité interne) ;
- d’être conforme aux exigences RGPD et aux politiques internes de sécurité ;
- de réduire la surface d’attaque en cas de compromission de compte.
Panorama des types d’autorisations Exchange
Accès complet (« Full Access »)
Permet au délégué d’ouvrir la totalité de la boîte, de lire, déplacer, supprimer ou archiver n’importe quel message et d’accéder à tous les dossiers (éléments envoyés, supprimés, archive…). Il ne donne toutefois pas le droit d’envoyer des e‑mails en tant que le propriétaire.
Envoyer en tant que (« Send As »)
Autorisation à haut risque car le délégué signe les messages avec votre identité. Pour l’interlocuteur externe, impossible de distinguer l’expéditeur réel. Cette délégation est souvent gérée par les administrateurs car elle s’applique au niveau du destinataire (recipient).
Envoyer de la part de (« Send On Behalf Of »)
Plus transparent : le champ De indique « X au nom de Y ». Pratique pour les assistants exécutifs, mais potentiellement source de confusion si la mention passe inaperçue.
Autorisations de dossier (« Folder‑level »)
Spécifiques à un ou plusieurs dossiers (Calendrier, Boîte de réception, Tâches…). Un collègue peut être Relecteur de votre calendrier sans voir vos e‑mails personnels.
| Objectif | Cmdlet | Paramètres clés | Résultat |
|---|---|---|---|
| Lister accès complet | Get-MailboxPermission | -Identity user@domaine | Affiche les comptes disposant du droit FullAccess |
| Lister « Send As » | Get-RecipientPermission | -Identity user@domaine | Identifie les délégués pouvant envoyer en tant que |
| Lister droits dossier | Get-MailboxFolderPermission | user@domaine:\Calendrier | Retourne le rôle (Lecture, Éditeur, etc.) attribué à chaque compte |
| Supprimer délégation | Remove-MailboxPermission | -User délégué -AccessRights FullAccess | Révoque l’accès complet d’un utilisateur |
Identifier les délégations côté utilisateur
Nouveau Outlook pour Windows
- Clic droit sur votre adresse dans le volet gauche.
- Sélectionnez Partage et autorisations.
- Une boîte de dialogue liste chaque personne et son niveau (Lecture, Envoyer au nom de, etc.).
- Choisissez le délégué à supprimer ou ajustez le niveau via le menu déroulant.
- Cliquez sur Supprimer ou Enregistrer.
Outlook classique (Win32)
- Ouvrez Fichier › Paramètres du compte › Délégués.
- Toute personne listée possède une forme d’accès. Utilisez Supprimer pour retirer un délégué ou Autorisations pour changer le rôle.
Outlook sur le Web (OWA)
- Cliquez sur l’icône d’engrenage › Courrier › Boîtes aux lettres partagées.
- La rubrique se divise en :
- Boîtes aux lettres auxquelles j’ai accès
- Personnes ayant accès à ma boîte
- Sélectionnez le délégué et choisissez Supprimer l’autorisation.
Contrôles avancés côté administrateur
Centre d’administration Exchange (EAC)
Dans le portail, accédez à Destinataires › Boîtes aux lettres, ouvrez la fiche de l’utilisateur, puis l’onglet Autorisations de boîte. Les sections Accès complet et Envoyer en tant que affichent la liste des délégués actifs. Un clic sur l’icône X suffit à révoquer.
Exchange Online PowerShell
Les cmdlets fournissent une vision exhaustive, particulièrement utile pour :
- Auditer en masse : lister toutes les boîtes où un même compte possède l’accès complet ;
- Automatiser la suppression à l’échelle (scripts de sortie d’employés) ;
- Documenter l’état des délégations avant un audit.
# Exemple : lister qui peut envoyer en tant que « Direction »
Get-RecipientPermission -Identity direction@entreprise.com |
Where-Object {$_.AccessRights -contains "SendAs"} |
Select-Object Trustee, IsInheritedExploiter l’audit et Purview pour confirmer l’usage
Connaître les droits est un premier pas ; savoir s’ils sont effectivement utilisés renforce la sécurité. Avec la journalisation d’audit (activée par défaut depuis 2020), les administrateurs peuvent :
- Rechercher l’événement MailboxLogin pour détecter l’ouverture d’une boîte par un délégué ;
- Filtrer sur SendOnBehalf ou SendAs pour tracer les envois.
Dans Microsoft Purview › Audit, combinez UserIds (délégué) et Operations pour générer un rapport. Vous pouvez ensuite automatiser une alerte (« nouveau droit Send As détecté ») afin de réagir avant qu’une utilisation malveillante ne survienne.
Révoquer ou modifier un accès
Depuis Outlook (utilisateur autonome)
- Retirez le délégué via les menus décrits plus haut, puis redémarrez Outlook pour forcer la prise en compte.
- Informez la personne concernée afin d’éviter des tentatives d’accès provoquant des messages d’erreur.
Depuis PowerShell (administrateur)
# Suppression de l’accès complet
Remove-MailboxPermission -Identity user@domaine.com `
-User ancien.collaborateur@domaine.com `
-AccessRights FullAccess
# Suppression du droit « Send As »
Remove-RecipientPermission -Identity [user@domaine.com](mailto:user@domaine.com) ` -Trustee ancien.collaborateur@domaine.com`
-AccessRights SendAsPensez à exécuter Update-Recipient pour accélérer la réplication ou laissez le service propager la mise à jour (15 min à 2 h).
Bonnes pratiques de gouvernance
- Principe du moindre privilège : accordez l’accès minimum nécessaire (souvent « Relecteur » pour un calendrier suffit).
- Revue périodique : planifiez un audit semestriel des délégations de toutes les boîtes à privilèges (direction, RH, finance, IT).
- Validation double pour les droits élevés : exigez l’approbation du propriétaire et du responsable sécurité avant d’ajouter un Send As.
- Journalisation conservée : retenez les journaux au moins 90 jours (voire 1 an) pour reconstruire une chronologie en cas d’incident.
- Automatisation du cycle de vie : intégrez la suppression d’autorisations dans le processus off‑boarding (évite l’oubli lors du départ d’un prestataire).
FAQ – questions courantes
Une délégation supprimée dans Outlook disparaît‑elle instantanément ?
Le changement est appliqué côté serveur Exchange ; Outlook peut toutefois garder un cache local. Fermez puis relancez Outlook pour forcer la synchronisation, ou patientez quelques minutes.
Un délégué peut‑il lire mes e‑mails chiffrés S/MIME ?
Non, sauf si vous lui fournissez également votre certificat et votre clé privée, ce qui est déconseillé.
Comment savoir si un délégué a effectivement ouvert ma boîte ?
Demandez à l’administrateur de consulter le journal MailboxLogin ; chaque accès est horodaté et tracé par adresse IP.
La suppression d’un droit « Send On Behalf Of » bloque‑t‑elle aussi l’accès calendrier ?
Non ; ces autorisations sont indépendantes. Vérifiez les rôles dossier par dossier pour un verrouillage complet.
Conclusion
Maîtriser les droits de délégation de votre boîte aux lettres Exchange / Microsoft 365 est un geste de cybersécurité simple mais souvent négligé. En quelques clics ou lignes de PowerShell, vous protégez vos données, prévenez l’usurpation d’identité interne et restez conforme aux exigences réglementaires. N’attendez pas qu’un incident survienne : intégrez la revue des délégations dans vos contrôles récurrents et mettez en place les alertes automatisées qui vous signaleront toute nouvelle permission élevée.