I. Présentation
Dans ce tutoriel, nous allons apprendre à configurer un tenant Microsoft 365 pour empêcher les utilisateurs d’exporter des données de messagerie vers un fichier de données PST. Ceci va tout simplement masquer cette possibilité au sein de l’interface d’Outlook, alors que Microsoft a récemment annoncé l’arrivée de la possibilité d’exporter en PST avec le Nouvel Outlook.
Dans un environnement Microsoft 365, et dans le but de conserver la maîtrise des données de son entreprise, il peut être pertinent d’empêcher les utilisateurs d’exporter des fichiers PST depuis Outlook. Autrement dit, c’est une manière d’éviter les fuites de données via les comptes de messagerie. Cette action se configure au niveau de la stratégie OWA associée aux boîtes aux lettres. Voici comment procéder pas à pas avec PowerShell.
Nous verrons que cette stratégie permet de brider, de façon plus ou moins stricte, cette fonctionnalité. Suite à cette opération, l’option “Fichiers de données Outlook” ne sera plus visible dans les paramètres d’Outlook.
II. Prérequis : le module PowerShell Exchange Online
Avant toute chose, il faut s’assurer que le module ExchangeOnlineManagement de PowerShell est installé sur votre poste. Si besoin, vous pouvez l’installer via cette commande :
Install-Module ExchangeOnlineManagement -Force
Une fois le module installé, importez-le dans votre session PowerShell avec la commande suivante (ça reste facultatif, mais ça valide l’installation).
Import-Module ExchangeOnlineManagement
Ensuite, vous devez vous connecter à Exchange Online (sur Microsoft 365) à partir de la ligne de commande PowerShell. Utilisez la commande suivante en adaptant le -UserPrincipalName avec un compte disposant des droits d’administration. Si le compte est protégé par MFA, ce n’est pas gênant.
Connect-ExchangeOnline -UserPrincipalName [email protected]
III. Modifier la stratégie OWA
Cette action de configuration s’effectue via une modification de la stratégie OWA. Toujours via PowerShell, puisque nous allons effectuer toutes les actions via la console, commencez par lister les stratégies OWA disponibles. Repérez celle utilisée par défaut :
Get-OwaMailboxPolicy | Select-Object Name, Identity, IsDefault
La sortie ci-dessous montre une seule stratégie nommée OwaMailboxPolicy-Default et qui est donc celle par défaut.
Name Identity IsDefault
—- ——– ———
OwaMailboxPolicy-Default OwaMailboxPolicy-Default True
Notre objectif sera désormais d’analyser cette stratégie pour vérifier la valeur du paramètre OutlookDataFile. Ce paramètre détermine notamment si les utilisateurs peuvent exporter ou non les fichiers de données Outlook (.PST). Pour consulter l’état actuel :
Get-OwaMailboxPolicy -Identity “OwaMailboxPolicy-Default” | Select-Object OutlookDataFile
La sortie indique Allow, ce qui signifie que c’est autorisé. C’est logique, car il s’agit de la configuration par défaut. Cela signifie que les utilisateurs peuvent actuellement exporter des fichiers PST.
OutlookDataFile
—————
Allow
Pour interdire l’exportation des fichiers PST, il faut passer la valeur de OutlookDataFile à Deny en modifiant la stratégie (ce n’est pas la seule valeur autorisée) :
Set-OwaMailboxPolicy -Identity “OwaMailboxPolicy-Default” -OutlookDataFile Deny
Le paramètre -OutlookDataFile détermine les actions autorisées pour les utilisateurs avec les fichiers .pst dans le nouvel Outlook pour Windows. Voici les différentes valeurs utilisables pour ce paramètre et qui sont plus ou moins restrictives (informations issues de la documentation Microsoft) :
ValeurDescription (comportement utilisateur)AllowValeur par défaut, visible via la commande Get-OwaMailboxPolicy. L’utilisateur peut ouvrir des fichiers .pst, importer/exporter des données depuis/vers un fichier .pst, et copier des éléments.NoExportL’utilisateur ne peut pas exporter des données depuis sa boîte aux lettres vers un fichier .pst.NoExportNoGrowL’utilisateur ne peut ni exporter, ni copier des éléments depuis sa boîte aux lettres vers un fichier .pst.NoExportNoOpenL’utilisateur ne peut ni exporter, ni ouvrir de nouveaux fichiers .pst.NoExportNoOpenNoGrowL’utilisateur ne peut ni exporter, ni ouvrir, ni copier des éléments depuis sa boîte aux lettres vers un fichier .pst.DenyL’utilisateur ne peut rien faire avec les fichiers .pst : pas d’ouverture, d’import, d’export ni de copie.
Pour confirmer que l’export est désormais bloqué, vérifiez l’état du paramètre en question :
Get-OwaMailboxPolicy -Identity “OwaMailboxPolicy-Default” | Select-Object OutlookDataFile
Cette fois-ci, nous avons bien le résultat attendu :
OutlookDataFile
—————
Deny
IV. Tester la configuration
Lorsque la configuration sera effective, la section “Fichiers de données Outlook” n’apparaîtra même plus dans les paramètres de l’application Outlook. De plus, la section “Fichiers”, donne seulement accès à l’import de données, donc l’option pour exporter sera, elle aussi, invisible.
Attention, le changement opéré dans la stratégie n’est pas effectif immédiatement. La prise en compte peut prendre plusieurs heures… Personnellement, j’ai dû attendre le lendemain pour voir la différence.
V. Conclusion
Grâce à cette configuration, vous avez restreint l’exportation des fichiers PST dans Outlook, renforçant ainsi la sécurité et la maîtrise des données (e-mail, contacts, calendrier) de votre organisation. Cette mesure peut s’inscrire dans une politique plus large de prévention contre la fuite de données (DLP).
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.