En fin de contrat, avant un licenciement ou par convenance, les salariés d’une entreprise ou autre organisation qui utilisent Microsoft Outlook pour gérer leur messagerie électronique peuvent faire une copie de toute leur boite mail dans un simple fichier (export PST) qu’il leur suffira de copier sur une clé USB, vers un disque dur externe ou l’uploader sur un site de transfert de fichiers. C’est donc un problème de sécurité majeur pour les départements des systèmes d’information et les dirigeants face à de faciles fuites de données.
Pour lutter contre ce risque bien réel, il est heureusement possible d’empêcher la sauvegarde en fichier PST à partir du logiciel Outlook. Ce tutoriel montre comment interdire l’export en PST depuis Outlook, sur un système de messagerie Exchange Online de Microsoft 365. Ce guide utilise des commandes PowerShell pour consulter et modifier les stratégies de Exchange Online.
Cette procédure va s’appliquer aux clients Microsoft Outlook, donc le « nouvel Outlook » (« Outlook new ») qui envahit les postes de travail.
Empêcher l’export en PST depuis Outlook
1. Installer le module ExchangeOnlineManagement depuis une console PowerShell :
Install-Module ExchangeOnlineManagement -Force
2. Importer ce module dans la session PS :
Import-Module ExchangeOnlineManagement
3. Se connecter avec un compte « admin » à Exchange Online :
Connect-ExchangeOnline -UserPrincipalName useradmin@domaine.fr
4. L’authentification par MFA est prise en charge, si elle est configurée sur le domaine :
5. Lister la stratégie actuellement configurée de OWA :
Get-OwaMailboxPolicy | Select-Object Name, Identity, IsDefault
Par défaut, la stratégie OwaMailboxPolicy-Default est appliquée.
6. Vérifier l’état de la valeur « OutlookDataFile » avec cette commande :
Get-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" | Select-Object OutlookDataFile
7. Il est fort probable que le résultat soit celui-ci, ce qui signifie que l’export en PST est autorisé :
8. Modifier la valeur de OutlookDataFile pour le passer à « NoExport » et ne bloquer que les exports :
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -OutlookDataFile NoExport
Si par contre, on souhaite empêcher toute utilisation des fichiers PST, on modifie la valeur sur « Deny » :
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -OutlookDataFile Deny
9. Vérifier la prise en compte de la modification de la stratégie en l’affichant à nouveau :
Get-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" | Select-Object OutlookDataFile
10. Le résultat doit être « NoExport » ou « Deny » selon ce qui a été demandé.
11. Les postes utilisateurs avec Outlook / Outlook new ne peuvent désormais plus exporter leur boite aux lettres dans un fichier PST.
