Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Effectuer des actions en fonction des résultats de recherche

Outil d'investigation de sécurité
Après avoir effectué une recherche dans l'outil d'investigation, vous avez la possibilité d'effectuer diverses actions en fonction de celle-ci. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, marquer des messages comme spam ou hameçonnage, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs.

Pour obtenir des détails et des instructions concernant les nombreuses actions que vous pouvez effectuer dans l'outil d'investigation, reportez-vous aux sections ci-dessous.

Remarque :

  • Les sources de données disponibles varient en fonction de votre édition Google Workspace.
  • Une option permet aux administrateurs de votre organisation de consigner au préalable les raisons de leurs actions sur les résultats de recherche. Si vous êtes un super-administrateur, vous pouvez activer cette option en réglant les paramètres de l'outil d'investigation. Pour savoir comment procéder, consultez Configurer les paramètres de vos enquêtes.
  • En restreignant la plage de dates de votre recherche, les résultats apparaîtront plus rapidement dans l'outil d'investigation. Par exemple, si vous limitez la recherche aux événements survenus au cours de la semaine passée, les résultats s'affichent plus rapidement que si vous effectuez une recherche sans restreindre la période.
  • Si le délai expire lorsque vous effectuez une action groupée, restreignez la plage de dates de la recherche, puis réessayez.

Comment accéder à l'outil d'investigation de sécurité

  • Les éditions compatibles avec l'outil d'investigation de sécurité incluent Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus.
  • Les administrateurs disposant de Cloud Identity Premium, Frontline Standard, Enterprise Standard et Education Standard peuvent également utiliser l'outil d'investigation pour un sous-ensemble de sources de données.
  • La possibilité d'effectuer une recherche dans l'outil d'investigation dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Si vous ne parvenez pas à effectuer de recherche dans l'outil d'investigation pour une source de données spécifique, vous pouvez utiliser la page d'audit et d'enquête à la place. Pour en savoir plus, consultez Expérience d'audit et d'investigation améliorée.
  • Vous pouvez effectuer une recherche dans l'outil d'investigation pour tous les utilisateurs, quelle que soit l'édition de Google dont ils disposent.

Types d'actions disponibles dans l'outil d'investigation 

Actions associées aux appareils

Lorsque vous effectuez une recherche basée sur des appareils ou des événements de journaux d'appareils, vous pouvez sélectionner des appareils dans les résultats, puis effectuer les actions suivantes :

  • Approuver l'appareil : permet d'approuver l'appareil. Si vous avez coché l'option Autoriser l'activation des appareils, vous devez approuver les appareils enregistrés après l'activation de ce paramètre pour qu'ils puissent se synchroniser avec votre domaine. L'activation de ce paramètre oblige l'utilisateur de l'appareil à installer l'application Device Policy pour permettre la synchronisation avec Google Workspace.
  • Bloquer l'appareil : bloque l'accès aux données Google Workspace (Gmail, Agenda et contacts) sur l'appareil. L'utilisateur peut continuer à accéder à Gmail, à Agenda et à ses contacts depuis un ordinateur de bureau ou un navigateur mobile.
  • Effacer les données de compte administrateur sur cet appareil : efface, à distance, uniquement les données Google Workspace de l'appareil. Pour en savoir plus, consultez Supprimer les données professionnelles d'un appareil mobile.
  • Effacer les données à distance sur cet appareil : efface à distance toutes les données de l'appareil. Pour en savoir plus, consultez Supprimer les données professionnelles d'un appareil mobile.
  • Annuler l'effacement des données à distance sur cet appareil : annule l'effacement à distance des données d'un appareil.
Actions relatives aux événements de journaux Drive

Lorsque vous effectuez une recherche basée sur des événements de journaux Drive, vous pouvez sélectionner des fichiers dans les résultats, vérifier leurs autorisations et plus encore.

Procédez comme suit :

  1. Après avoir lancé une recherche basée sur les événements des journaux Drive dans l'outil d'investigation, cochez les cases correspondant aux fichiers qui vous intéressent dans les résultats.
  2. Cliquez sur Actions > Vérifier les autorisations des fichiers pour ouvrir la page Autorisations.
    L'onglet Fichiers, visible par défaut, affiche les fichiers correspondant aux résultats de recherche. Vous pouvez gérer l'accès à ces fichiers à partir de cet onglet. Les fichiers contenus dans des Drive partagés sont actuellement indisponibles dans cet affichage.
  3. Cliquez sur Contacts pour afficher les utilisateurs et groupes qui ont accès aux fichiers.
    Les personnes figurant dans cette liste ont accès à un ou plusieurs éléments des résultats de recherche. Cette vue vous permet de gérer l'accès des personnes (utilisateurs et groupes).
  4. Cliquez sur Liens pour afficher ou modifier les paramètres de partage de liens pour les fichiers sélectionnés.
  5. Cliquez sur Ajouter des utilisateurs si vous souhaitez accorder l'accès aux fichiers à davantage d'utilisateurs. Vous pouvez ajouter plusieurs utilisateurs à l'aide d'une liste d'éléments séparés par une virgule, puis sélectionner leur niveau d'accès.

    Remarque : Les actions disponibles dans l'onglet "Drive partagé" ne vous permettent de modifier l'accès que des fichiers stockés dans un Drive partagé. Ceux qui ne figurent pas dans un Drive partagé ne s'affichent pas dans cet onglet.
     
  6. Cliquez sur Modifications en attente pour passer en revue vos modifications avant de les enregistrer.

Actions relatives aux Drive partagés

Si vous disposez du droit Outil d'investigation de sécurité puis Modifier ou supprimer des LCA de fichiers dans Drive, vous pouvez également modifier les Drive partagés et les fichiers qui y sont stockés :

  • Vous pouvez modifier, supprimer ou ajouter un niveau d'accès pour un membre d'un Drive partagé.
  • Vous pouvez modifier, supprimer ou ajouter l'accès à un ou plusieurs fichiers d'un Drive partagé quand celui-ci a été accordé directement à des utilisateurs.

Remarque : Google Drive permet de partager des dossiers et d'en modifier la propriété, ce que les administrateurs ne peuvent pas faire dans l'outil d'investigation.

Actions liées aux messages et événements de journaux Gmail

Lorsque vous effectuez une recherche basée sur des messages ou des événements de journaux Gmail, vous pouvez sélectionner des messages dans les résultats de recherche, puis effectuer les actions suivantes (les actions disponibles s'appliquent uniquement aux messages Gmail, et non aux messages Google Groupes) :

  • Afficher l'en-tête
  • Afficher les messages
  • Supprimer les messages
  • Restaurer les messages
  • Marquer les messages comme spam
  • Marquer les messages comme hameçonnage
  • Envoyer les messages à la boîte de réception (supprime également la classification comme spam ou hameçonnage)
  • Envoyer les messages en quarantaine (les messages sont envoyés vers la zone de quarantaine par défaut)

    Important : Les messages envoyés en quarantaine sont automatiquement supprimés lorsque votre règle de conservation Vault se déclenche. Par conséquent, si ces messages sont plus anciens que vos règles de conservation Vault, ils sont supprimés au lieu d'être placés en quarantaine. La durée de conservation par défaut est fixée à 30 jours après l'envoi ou la réception de l'e-mail. Vous pouvez également définir des règles de conservation personnalisées à l'aide de Vault.

Par exemple, pour envoyer un message vers la boîte de réception d'un utilisateur, procédez comme suit :

  1. Après avoir effectué une recherche dans l'outil d'investigation, cochez les cases correspondant aux messages qui vous intéressent dans les résultats.
  2. Cliquez sur Actions.
  3. Sélectionnez Envoyer le message dans la boîte de réception.
  4. Pour confirmer, cliquez sur Envoyer dans la boîte de réception.
  5. Pour afficher le résultat de l'action, cliquez sur Afficher au bas de la page.
    Dans la colonne "Résultat", vous pouvez afficher l'état de l'action, par exemple Le message a bien été envoyé dans la boîte de réception.

Remarque : Vous pouvez également afficher le contenu des messages Gmail. Pour en savoir plus, consultez Afficher le contenu des messages Gmail.

Actions relatives aux utilisateurs

Lorsque vous effectuez une recherche basée sur des utilisateurs, vous pouvez sélectionner des utilisateurs dans les résultats, puis effectuer les actions suivantes :

  • Restaurer les comptes utilisateur
  • Suspendre les comptes utilisateur

Par exemple, pour suspendre des comptes utilisateur spécifiques dans les résultats de la recherche, procédez comme suit :

  1. Après avoir effectué une recherche dans l'outil d'investigation, cochez les cases correspondant aux utilisateurs souhaités dans les résultats.
  2. Cliquez sur Actions.
  3. Sélectionnez Suspendre le compte utilisateur.
  4. Pour confirmer, cliquez sur Suspendre des comptes utilisateur.

Vous pouvez suivre la même procédure pour restaurer des comptes utilisateur.

Actions relatives aux événements de journaux d'utilisateurs

Lorsque vous effectuez une recherche basée sur des événements de journaux d'utilisateurs, vous pouvez sélectionner des utilisateurs dans les résultats, puis effectuer les actions suivantes :

  • Forcer le changement de mot de passe
  • Restaurer un utilisateur
  • Suspendre les comptes utilisateur

Par exemple, pour suspendre des comptes utilisateur spécifiques dans les résultats de la recherche, procédez comme suit :

  1. Après avoir effectué une recherche dans l'outil d'investigation, cochez les cases correspondant aux utilisateurs souhaités dans les résultats.
  2. Cliquez sur Actions.
  3. Sélectionnez Suspendre le compte utilisateur.
  4. Pour confirmer, cliquez sur Suspendre des comptes utilisateur.

Vous pouvez suivre la même procédure pour restaurer des comptes utilisateur.

Actions pour les événements de journaux Meet

Lorsque vous effectuez une recherche basée sur des événements de journaux Meet, l'action Mettre fin à la réunion pour tout le monde vous permet de supprimer tous les utilisateurs de certaines réunions au sein de votre organisation. Par exemple, vous pouvez empêcher les utilisateurs d'organiser des réunions non supervisées en l'absence d'organisateur ou après la tenue d'un événement.

Pour en savoir plus, consultez Mettre fin à des réunions à l'aide de l'outil d'investigation.

Actions groupées sur les résultats de recherche

En plus de pouvoir sélectionner des éléments spécifiques dans les résultats de recherche et de prendre des mesures adaptées, vous pouvez réaliser des actions groupées sur une page entière ou sur les résultats de toutes les pages.

Remarque : Si le délai expire lorsque vous effectuez une action groupée, restreignez la plage de dates de la recherche, puis réessayez.

Pour effectuer des actions groupées sur les résultats de recherche de la page que vous êtes en train de consulter :

  1. Cochez la case en haut de la colonne située tout à gauche.
    Cette action coche toutes les cases de la page actuelle.
  2. Cliquez sur Actions dans la barre d'en-tête.

Pour effectuer des actions groupées sur les résultats de recherche de toutes les pages :

  1. Cochez la case en haut de la colonne située tout à gauche.
  2. Cliquez sur Sélectionner tous les résultats.
    Cette action coche l'ensemble des cases de toutes les pages de résultats de recherche.
  3. Cliquez sur Actions dans la barre d'en-tête.

    Remarque : Si vous cliquez sur la page de résultats de recherche suivante au cours du processus, l'ensemble des cases de toutes les pages de résultats sont décochées, et vous devez recommencer.

Vérifier l'état des actions groupées

Vous pouvez vérifier l'état de vos tâches importantes dans la console d'administration Google pour voir si elles sont terminées ou toujours en cours.

Par exemple, si l'une de vos actions groupées dans l'outil d'investigation prend beaucoup de temps, vous pouvez quitter la console d'administration et y revenir ultérieurement pour vérifier l'état de l'action. 

En haut de la console d'administration, cliquez sur Tâches  pour afficher l'état de vos tâches importantes.

  Où cliquer pour afficher les tâches.

Pour en savoir plus, consultez Vérifier l'état de tâches importantes.

Colonnes dynamiques dans les résultats de recherche

Vous pouvez utiliser les tableaux de colonnes dynamiques dans les résultats de recherche de l'outil d'investigation pour afficher les données sur un élément lié à une autre source de données. Vous pouvez par exemple lancer une recherche basée sur des événements de journaux Gmail, puis cliquer sur un destinataire dans la colonne "Destinataire" pour créer une requête d'événement Drive basée sur le propriétaire. Il vous est ainsi possible d'analyser des données concernant un utilisateur spécifique à partir de deux sources de données différentes : les événements de journaux Gmail et les événements de journaux Drive.

Pour passer des résultats de recherche d'un événement de journal Gmail à ceux d'un événement de journal Drive, procédez comme suit :

  1. Après avoir effectué une recherche dans l'outil d'investigation, passez la souris sur l'utilisateur qui vous intéresse dans la colonne "Destinataire".
  2. Cliquez sur l'icône de menu (trois points verticaux) correspondant à cet utilisateur.
  3. Sélectionnez Événements de journaux Drive puis Propriétaire.
    Le critère de recherche est automatiquement saisi pour une recherche d'événements de journaux Drive.
  4. Ajoutez des conditions à votre recherche, par exemple Titre ou Visibilité.
  5. Cliquez sur Rechercher.

Vous pouvez utiliser la fonction dynamique des tableaux pour de nombreux autres éléments issus des résultats de recherche. Vous pouvez par exemple croiser les données pour toute une colonne ou l'objet d'un message, l'identifiant du message, l'expéditeur, etc.

Annuler des actions

Vous pouvez annuler des actions dans l'outil d'investigation avant qu'elles ne soient terminées. Par exemple, si vous avez lancé la suspension de plusieurs comptes utilisateur, vous pouvez cliquer sur Annuler au bas de la page d'investigation.

Si vous annulez une action groupée en cours, vous obtiendrez un résultat partiel.

Remarque : Pour les actions d'exportation, seul l'administrateur qui a lancé une exportation peut l'annuler. Pour toutes les autres actions, les administrateurs qui disposent de droits spécifiques leur permettant de gérer les données concernées par l'action, tels que les droits Drive, Gmail ou Mobile, peuvent annuler cette dernière.

Réessayer d'effectuer des actions

Lorsque vous effectuez une action groupée, il est possible que vous rencontriez des erreurs de recherche, par exemple si certains utilisateurs ne figurent pas dans les résultats. Dans ce cas, vous pouvez réessayer d'effectuer des actions en procédant comme suit :

  1. Après avoir effectué une action dans l'outil d'investigation, cliquez sur Afficher les détails.
  2. Dans le panneau contenant les détails de l'action, cliquez sur Réessayer.
  3. Dans la fenêtre de nouvelle tentative, cliquez sur l'action, par exemple Marquer comme spam.

Exporter les résultats d'action vers un fichier Sheets dans votre dossier Mon Drive

Pour enregistrer les résultats d'une action dans votre dossier Mon Drive :

  1. Cliquez sur le bouton Exporter file_download_grey600_24dp.png en haut du tableau des résultats de l'action.
  2. Saisissez un nom pour l'exportation.
  3. Cliquez sur Exporter.

Afficher les résultats d'action exportés

Prenez en compte les informations suivantes lorsque les résultats exportés s'affichent :

  • Lorsque vous cliquez sur le bouton Exporter file_download_grey600_24dp.png en haut du tableau, une feuille de calcul Google Sheets comprenant les résultats de l'action est créée dans le dossier Mon Drive. En fonction du nombre de résultats, le processus d'exportation peut prendre un certain temps et plusieurs feuilles de calcul Google peuvent être créées. Le total de résultats de l'exportation est limité à 30 millions de lignes.
  • Pendant l'exportation, chaque feuille de calcul Google Sheets est créée avec un nom provisoire, par exemple TMP-1-<titre>. Si plusieurs feuilles sont créées, les fichiers successifs sont nommés TMP-2-<titre>, TMP-3-<titre>, et ainsi de suite. Lorsque le processus d'exportation est terminé, les fichiers sont automatiquement renommés <titre> [1 de N], <titre> [2 de N], et ainsi de suite. Si les données exportées sont contenues dans une seule feuille de calcul Google Sheets, le fichier est renommé <titre>.
  • Les autorisations de partage des fichiers contenant les résultats d'action exportés correspondent à celles configurées pour votre domaine. Par exemple, si les fichiers créés sont partagés par défaut avec toute l'entreprise, les données exportées le seront également. 

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
6845932522562009503
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false