Konfigurieren Microsoft 365-Gruppen mit einer lokalen Exchange-Hybridbereitstellung

  • Artikel

Erfahren Sie, wie Sie lokalen Exchange-Benutzern die Verwendung Microsoft 365-Gruppen in einer Hybridbereitstellung ermöglichen.

Microsoft 365-Gruppen Dienst, mit dem Teams einfacher kommunizieren, Besprechungen planen und an Dokumenten zusammenarbeiten können. Alle mit einer Gruppe geteilten Informationen, von an die Gruppe gesendeten E-Mail-Nachrichten bis hin zu in den OneDrive for Business- oder SharePoint-Bibliotheken der Gruppe gespeicherten Dateien, stehen jedem Mitglied einer Gruppe zur Verfügung. Wenn Sie eine Hybridbereitstellung zwischen Ihrem lokalen Exchange-organization und Microsoft 365 oder Office 365 konfiguriert haben, können Sie Gruppen, die in Microsoft 365 oder Office 365 erstellt wurden, für Ihre lokalen Benutzer verfügbar machen, indem Sie die Schritte in diesem Thema ausführen.

Im Folgenden finden Sie Erfahrungen, die Benutzer des lokalen Postfachs erwarten können, nachdem alle Schritte in diesem Dokument ausgeführt wurden:

  • Erweitern Sie eine Microsoft 365-Gruppe, und zeigen Sie die Mitglieder wie in einer Verteilergruppe in Outlook im Web- und Outlook-Desktopclient an, während Sie eine neue E-Mail verfassen.
  • Senden und Empfangen von E-Mails und Kalender-Einladungen zu und von Microsoft 365-Gruppen.
  • Zusammenarbeiten an ODB-Dokumenten, die von Microsoft 365-Benutzern gesendet werden.
  • Greifen Sie auf eine SharePoint-Website, einen Planner und OneNote zu, die der Microsoft 365-Gruppe zugeordnet sind.

Wichtig

Nachdem die Schritte in diesem Artikel erfolgreich ausgeführt wurden, kann das lokale Postfach die zuvor genannten Aufgaben ausführen. Die Microsoft 365-Gruppe wird jedoch nicht in der Navigationsleiste von Outlook im Web oder Outlook-Desktopclient angezeigt. Für eine vollwertige Microsoft 365-Gruppen Erfahrung muss das Postfach in Microsoft 365 vorhanden sein.

Informationen zu bekannten Problemen finden Sie im Abschnitt Bekannte Probleme am Ende dieses Themas.

Voraussetzungen

Bevor Sie beginnen, sollten Sie unbedingt die folgenden Schritte ausgeführt haben:

  • Erworben Microsoft Entra ID P1- oder P2-Lizenzen für Ihren Mandanten. Dies ist erforderlich, um das Feature zum Rückschreiben von Gruppen in Microsoft Entra Connect zu aktivieren.

  • Sie haben eine Hybridbereitstellung zwischen Ihrer lokalen Exchange-organization und Microsoft 365 oder Office 365 konfiguriert und überprüft, ob sie ordnungsgemäß funktioniert. Weitere Informationen zu Exchange-Hybridbereitstellungen finden Sie in den folgenden Artikeln:

  • Eine unterstützte Version der lokalen Exchange-Integration mit Microsoft 365-Gruppen ist in CU1 und neueren Versionen von Exchange 2016 und CU11 und neueren Versionen von Exchange 2013 verfügbar. Exchange Hybrid erfordert jedoch, dass das neueste kumulative Exchange 2013- oder Exchange 2016-Update (CU) auf Ihren lokalen Exchange-Servern installiert ist. Wenn Sie das neueste CU nicht installieren können, kann das unmittelbar vor dem aktuellen CU veröffentlichte Update verwendet werden.

  • Einmaliges Anmelden mit Microsoft Entra Connect (Microsoft Entra Connect) konfiguriert. Dies ist erforderlich, um Benutzern zu erlauben, auf Gruppendateien anzeigen oder Links von Cloud-Anlagen in Gruppen-E-Mail-Nachrichten zu klicken.

    Beim Konfigurieren von Microsoft Entra Connect für einmaliges Anmelden in einer Exchange-Hybridbereitstellung empfiehlt es sich, die Kennwortsynchronisierung zu verwenden. Active Directory-Verbunddienste (AD FS) (AD FS) sollte nur verwendet werden, wenn Sie sich in einem großen organization befinden, wenn Sie über eine komplexe lokales Active Directory Bereitstellung (z. B. mehrere Active Directory-Gesamtstrukturen) verfügen; wenn ein anderes Microsoft-Produkt AD FS für die Zusammenarbeit mit Microsoft 365 erfordert oder Office 365 oder, wenn Sie aufgrund von Konformitätsrichtlinien Kennwörter außerhalb Ihres lokalen Netzwerks nicht synchronisieren können. Weitere Informationen zum einmaligen Anmelden finden Sie unter Auswählen einer Lösung für die Integration von lokales Active Directory in Azure.

Aktivieren des Gruppenrückschreibens in Microsoft Entra Connect

In diesem Schritt werden Microsoft 365-Gruppen von Exchange Online mit exchange lokal synchronisiert.

  1. Öffnen Sie den Microsoft Entra Connect-Assistenten, wählen Sie Konfigurieren aus, und klicken Sie dann auf Weiter.

  2. Wählen Sie Synchronisierungsoptionen anpassen aus, und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Verbindung mit Microsoft Entra ID herstellen Ihre Microsoft 365- oder Office 365-Anmeldeinformationen ein. Klicken Sie auf Weiter.

  4. Überprüfen Sie auf der Seite Optionale Features, ob die Optionen, die Sie zuvor konfiguriert haben, weiterhin ausgewählt sind. Die am häufigsten ausgewählten Optionen sind Exchange hybrid und Kennworthashsynchronisierung.

  5. Wählen Sie Gruppenrückschreiben aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Rückschreiben eine Active Directory-Organisationseinheit (OE) aus, um Objekte zu speichern, die von Microsoft 365 oder Office 365 mit Ihrem lokalen organization synchronisiert werden, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Bereit zur Konfiguration auf Konfigurieren.

  8. Wenn der Assistent abgeschlossen ist, klicken Sie auf der Seite Die Konfiguration ist abgeschlossen auf Beenden.

  9. Öffnen Sie Active Directory-Benutzer und -Computers auf einem Active Directory-Domänencontroller, und suchen Sie das Benutzerkonto, das mit AAD_ beginnt. Notieren Sie den Namen dieses Kontos. Sie können auch ein PowerShell-Cmdlet verwenden, um Ihr AD DS-Connectorkonto zu ermitteln.

  10. Öffnen Sie die Windows PowerShell auf dem Microsoft Entra Connect-Server, und führen Sie die folgenden Befehle aus.

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

Konfigurieren einer Gruppendomäne

Die primäre SMTP-Domäne einer Microsoft 365-Gruppe wird als Gruppendomäne bezeichnet. Standardmäßig wird die standardmäßig akzeptierte Domäne in Ihrem Exchange Online organization als Gruppendomäne ausgewählt. Für eine bessere Interaktion mit lokalen Servern wird das Hinzufügen einer dedizierten Gruppendomäne empfohlen. Sie können eine Domäne mit den folgenden Schritten hinzufügen. Weitere Informationen zur Unterstützung mehrerer Domänen für Microsoft 365-Gruppen finden Sie unter Unterstützung für mehrere Domänen für Microsoft 365-Gruppen.

  1. Fügen Sie Ihrer Microsoft 365- oder Office 365 organization Ihre neue Domäne hinzu. Wenn Sie Hilfe beim Hinzufügen einer Domäne zu Microsoft 365 oder Office 365 benötigen, lesen Sie Hinzufügen einer Domäne zu Microsoft 365.

  2. Erstellen Sie die folgenden öffentlichen DNS-Einträge bei Ihrem DNS-Anbieter.

    DNS-Eintragsname DNS-Eintragstyp DNS-Eintragswert
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 Das Format dieses DNS-Eintragswerts ist <Domänenschlüssel.mail.protection.outlook.com>. Um herauszufinden, was Ihr Domänenschlüssel ist, lesen Sie Sammeln der Informationen, die Sie zum Erstellen von DNS-Einträgen benötigen.

    Achtung

    Wenn der MX-DNS-Eintrag für die Gruppendomäne auf den lokalen Exchange-Server festgelegt ist, funktioniert der Nachrichtenfluss zwischen Benutzern im lokalen Exchange-organization und der Microsoft 365-Gruppe nicht ordnungsgemäß.

  3. Fügen Sie die Gruppendomäne mit dem folgenden Befehl als akzeptierte Domäne in der lokalen Exchange-Organisation hinzu. Dies ist erforderlich, damit der hybride Sendeconnector verwendet werden kann, um ausgehende E-Mails an die Gruppendomäne in Microsoft 365 oder Office 365 zu übermitteln.

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay

Wichtig

Stellen Sie sicher, dass lokale Server den MX-Eintrag auflösen können, der in Schritt 2 für die Domäne der Gruppe hinzugefügt wurde. Die Domäne der Gruppe muss als InternalRelay hinzugefügt werden, andernfalls verursacht dies Probleme beim Nachrichtenfluss.

  1. Fügen Sie die Gruppendomäne mit dem folgenden Befehl dem hybriden Sendeconnector hinzu, der vom Assistenten für die Hybridkonfiguration in der lokalen Exchange-Organisation erstellt wurde.

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"

    Hinweis

    Wenn der Sendeconnector nicht aktualisiert oder die Gruppendomäne nicht als akzeptierte Domäne in der lokalen Exchange-Organisation hinzugefügt wird, wird aus einem lokalen Postfach gesendete Mail nicht an die Gruppe übermittelt, sofern die Gruppe nicht für den Empfang von Mail von externen Absendern konfiguriert ist.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Um sicherzustellen, dass Gruppen mit Ihrer Exchange-Hybridbereitstellung arbeiten, sollten Sie sie mit einem lokalen Postfach und einem Postfach testen, das von Ihrem lokalen organization zu Microsoft 365 oder Office 365 verschoben wurde. Führen Sie die Schritte in den folgenden Abschnitten aus, um die einzelnen Test durchzuführen.

Test mit einem lokalen Postfach

  1. Hinzufügen eines lokalen Postfachs zu einer Microsoft 365-Gruppe.
  2. Fügen Sie der gleichen Microsoft 365-Gruppe ein Microsoft 365- oder Office 365-Postfach hinzu.
  3. Melden Sie sich mit Outlook im Web beim Microsoft 365- oder Office 365-Postfach an.
  4. Senden Sie eine Nachricht an die Gruppe, indem Sie das Microsoft 365- oder Office 365-Postfach verwenden.
  5. Öffnen Sie das lokale Postfach mithilfe von Outlook 2016 oder Outlook im Web.
  6. Vergewissern Sie sich, dass das Postfach eine E-Mail-Nachricht mit dem an die Microsoft 365-Gruppe gesendeten Beitrag erhalten hat.
  7. Verfassen Sie im selben Postfach eine Antwort auf die Nachricht, und senden Sie sie an die Gruppe.
  8. Überprüfen Sie, ob die Nachricht von allen Mitgliedern der Gruppe angezeigt werden kann.

Testen mithilfe eines Postfachs, das nach Microsoft 365 oder Office 365 verschoben wurde

  1. Verschieben Sie ein Postfach aus Ihrem lokalen Exchange-organization nach Microsoft 365 oder Office 365.
  2. Fügen Sie das Postfach einer Microsoft 365-Gruppe hinzu.
  3. Melden Sie sich in einer neuen Browsersitzung bei dem Postfach an, das zu Microsoft 365 oder Office 365 verschoben wurde.
  4. Überprüfen Sie in Outlook im Web, ob die Gruppe in der linken Navigationsleiste angezeigt wird.
  5. Posten Sie eine Nachricht an die Gruppe.
  6. Überprüfen Sie, ob die Nachricht von allen Mitgliedern der Gruppe angezeigt werden kann.

Bekannte Probleme

  • Ältere Versionen von Microsoft Entra Connect werden nicht DSACLS.exeinstalliert: Sie müssen RSAT oder die neueste Version von Microsoft Entra Connect installieren, um Berechtigungen für Gruppen zu verwalten (falls erforderlich).

  • Gruppen werden nicht für Postfächer angezeigt, die nach Microsoft 365 oder Office 365 verschoben werden: Wenn ein Benutzer von Ihrem lokalen Exchange-organization zu Microsoft 365 oder Office 365 verschoben wird, werden Gruppen nicht im linken Navigationsbereich in Outlook oder Outlook im Web angezeigt. Um das Problem zu beheben, entfernen Sie das Postfach aus allen Gruppen, denen es angehört, und fügen Sie es wieder zu jeder einzelnen Gruppe hinzu.

  • Neue Gruppen werden nicht in der lokalen globalen Exchange-Adressliste (GAL) angezeigt: Wenn eine neue Gruppe in Microsoft 365 oder Office 365 erstellt wird, wird sie nicht automatisch in der lokalen GAL angezeigt. Zur Behebung des Problems öffnen Sie die Exchange-Verwaltungsshell auf einem lokalen Exchange-Server, und führen Sie den folgenden Befehl aus.

    Update-Recipient -Identity "[group Distinguished Name]"

  • Wenn der Connector Für ausgehend zu Office 365 Senden einen Edge-Transportserver als Quellserver verwendet: Nachrichten an Microsoft 365-Gruppen enden in einer Schleife, was zu einem Nichtzustellbarkeitsbericht führt. Weitere Informationen finden Sie unter Akzeptierte Domänen in Exchange Server.

  • Lokale Benutzer können keine Links verwenden, die in Gruppennachrichtenfußzeilen enthalten sind: Lokale Benutzer können die Links Gruppenunterhaltungen anzeigen oder Abmelden nicht verwenden, die in der Fußzeile jeder an sie gesendeten Gruppennachricht enthalten sind. Um das Abonnement einer Gruppe zu kündigen, müssen sich lokale Benutzer an einen Gruppenadministrator wenden.

  • E-Mails, die an die sekundäre SMTP-Adresse einer Gruppe gesendet werden, können nicht zugestellt werden: Wenn einer Gruppe mehrere E-Mail-Adressen hinzugefügt werden, wird nur die primäre SMTP-Adresse in Ihre lokales Active Directory zurückgeschrieben. Wenn ein lokaler Benutzer versucht, eine Nachricht an die sekundäre SMTP-Adresse einer Gruppe zu senden, wird die Nachricht nicht übermittelt. Um dieses Problem zu vermeiden, konfigurieren Sie nur eine SMTP-Adresse für jede Gruppe.

  • Die Übermittlung externer E-Mails an eine Gruppe schlägt fehl, wenn Sie den zentralisierten Nachrichtenfluss aktiviert haben: Wenn der zentralisierte Nachrichtenfluss aktiviert ist, können von einem externen Benutzer an eine Gruppe gesendete E-Mails nicht zugestellt werden, obwohl die Gruppe E-Mails von externen Absendern zulässt.

  • Lokale Benutzer können keine E-Mails als Gruppe senden: Ein lokaler Benutzer, der versucht, eine Nachricht als Microsoft 365-Gruppe zu senden, erhält einen Berechtigungsverweigerungsfehler, auch wenn er die Berechtigungsberechtigung für die Gruppe erhält. Die Berechtigung „Senden als" in einer Gruppe funktioniert nur für Exchange Online-Postfachbenutzer.

  • Wenn eine E-Mail von einem lokalen Postfach an eine Outlook-Gruppe gesendet wird, in der der Benutzer Mitglied ist, erhält der Benutzer standardmäßig keine Kopie dieser E-Mail im Posteingang: Der Exchange Online Mandantenadministrator kann den folgenden befehl Exchange Online Shell verwenden, um sicherzustellen, dass der Benutzer des lokalen Postfachs eine Kopie der E-Mail in seinen Posteingang erhalten kann:

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true

  • Lokale Benutzer können keine E-Mails als Gruppe senden: Ein lokaler Benutzer, der versucht, eine Nachricht als Microsoft 365-Gruppe zu senden, erhält einen Berechtigungsverweigerungsfehler, auch wenn er die Berechtigungsberechtigung für die Gruppe erhält. Die Berechtigung „Senden als" in einer Gruppe funktioniert nur für Exchange Online-Postfachbenutzer.

  • Lokale Benutzer können eine Microsoft 365-Gruppe verwalten: Lokale Benutzer können als Besitzer einer Microsoft 365-Gruppe zugewiesen werden. Die lokalen Benutzer müssen jedoch das Microsoft Entra-Webportal verwenden, um die Gruppen zu verwalten, die sie besitzen. Der Microsoft Entra-Administrator muss die Self-Service-Verwaltung im Microsoft Entra Admin Center mithilfe der Schritte unter Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID aktivieren.

  • Wenn Sie eine Gruppe im linken Navigationsbereich von Outlook auswählen, wird das Postfach der Gruppe für einen Exchange Online Benutzer nicht geöffnet: Outlook verwendet die AutoErmittlungs-URL, um ein Gruppenpostfach zu öffnen. Wenn sich die primäre E-Mail-Adresse einer Gruppe in einer Domäne befindet, die nicht auf die Microsoft 365- oder Office 365 AutoErmittlungs-URL (autodiscover.outlook.com) verweist, kann Outlook das Postfach der Gruppe nicht öffnen. Um dieses Problem zu beheben, können Gruppen mit einer primären Adresse in einer Domäne bereitgestellt werden, die auf die Microsoft 365- oder Office 365 AutoErmittlungs-URL verweist. Sie können eine E-Mail-Adressrichtlinie konfigurieren, um jedem Gruppenpostfach eine primäre E-Mail-Adresse hinzuzufügen, die auf diese AutoErmittlungs-URL verweist. Weitere Informationen finden Sie unter Wählen Sie die Domäne aus, die beim Erstellen von Microsoft 365-Gruppen verwendet werden soll.

  • Im Posteingang folgen: In der Regel kann ein Microsoft 365-Gruppenmitglied auswählen, ob E-Mails empfangen werden sollen, die an die Gruppe in ihrem Posteingang gesendet werden, indem es in den Einstellungen der Gruppe die Option Im Posteingang folgen auswählt. Benutzer mit lokalen Postfächern haben jedoch keinen Zugriff auf die Gruppeneinstellung, um die Option Im Posteingang folgen auszuwählen. Daher sind lokale Benutzer, die der Microsoft 365-Gruppe hinzugefügt werden, bereits so konfiguriert, dass sie Gruppen-E-Mails und Kalender in ihrem Posteingang empfangen, unabhängig von der zugehörigen Einstellung für die Gruppe. Administratoren können das Abonnement für lokale Benutzer deaktivieren, indem sie den folgenden Befehl in Exchange Online PowerShell ausführen:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>

    Beispiel:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR