Configuración de Grupos de Microsoft 365 con exchange híbrido local

Artículo
10/25/2023

Obtenga información sobre cómo habilitar a los usuarios de Exchange locales para que usen Grupos de Microsoft 365 en una implementación híbrida.

Grupos de Microsoft 365 servicio que permite a los equipos comunicarse, programar reuniones y colaborar en documentos más fácilmente. Toda la información compartida con un grupo, desde los mensajes de correo electrónico enviados hasta los archivos almacenados en las bibliotecas de OneDrive para la Empresa o SharePoint del grupo, está disponible para cualquier miembro del mismo. Si ha configurado una implementación híbrida entre la organización local de Exchange y Microsoft 365 o Office 365, puede hacer que los grupos creados en Microsoft 365 o Office 365 estén disponibles para los usuarios locales siguiendo los pasos descritos en este tema.

Las siguientes son experiencias que los usuarios de buzones de correo local pueden esperar después de que se hayan realizado todos los pasos de este documento:

Expanda un grupo de Microsoft 365 y vea los miembros, al igual que en un grupo de distribución, en Outlook en la Web y en el cliente de escritorio de Outlook mientras redacta un nuevo correo electrónico.
Enviar y recibir correos electrónicos y invitaciones de calendario hacia y desde Grupos de Microsoft 365.
Colabore en documentos de ODB enviados por usuarios de Microsoft 365.
Acceda a un sitio de SharePoint, Planner y OneNote asociados al grupo de Microsoft 365.

Importante

Después de que los pasos de este artículo se hayan realizado correctamente, el buzón local puede realizar las tareas mencionadas anteriormente. Sin embargo, el grupo de Microsoft 365 no aparecerá en la barra de navegación de Outlook en la Web ni en el cliente de escritorio de Outlook. Para una experiencia de Grupos de Microsoft 365 completa, el buzón debe estar presente en Microsoft 365.

Consulte la sección Problemas conocidos al final de este tema para ver las correcciones de problemas conocidos.

Requisitos previos

Antes de empezar, asegúrese de que ha hecho lo siguiente:

Ha adquirido Microsoft Entra ID licencias P1 o P2 para su inquilino. Esto es necesario para habilitar la característica de escritura diferida de grupos en Microsoft Entra Connect.
Ha configurado una implementación híbrida entre la organización local de Exchange y Microsoft 365 o Office 365 y ha comprobado que funciona correctamente. Para obtener más información sobre las implementaciones híbridas de Exchange, consulte los artículos siguientes:
- Implementaciones híbridas de Exchange Server
- Requisitos previos para la implementación híbrida
Instalada una versión compatible de la integración de Exchange local de Exchange con Grupos de Microsoft 365 está disponible en CU1 y versiones más recientes de Exchange 2016 y CU11 y versiones más recientes de Exchange 2013. En cambio, Exchange híbrido requiere que la actualización acumulativa (CU) más reciente de Exchange 2013 o Exchange 2016 esté instalada en los servidores de Exchange locales. Si no puede instalar la CU más reciente, puede usarse la actualización publicada inmediatamente antes de la CU actual.
Se ha configurado el inicio de sesión único con Microsoft Entra Connect (Microsoft Entra Connect). Esto es necesario para permitir que los usuarios hagan clic en los vínculos Ver archivos de grupo o datos adjuntos en la nube en los mensajes de correo electrónico del grupo.

Al configurar Microsoft Entra Connect para el inicio de sesión único en una implementación híbrida de Exchange, se recomienda usar la sincronización de contraseñas. Servicios de federación de Active Directory (AD FS) (AD FS) solo se debe usar si se encuentra en una organización grande; si tiene una implementación compleja de Active Directory local (por ejemplo, varios bosques de Active Directory); si otro producto de Microsoft requiere que AD FS funcione con Microsoft 365 o Office 365; o si, debido a las directivas de cumplimiento, no puede sincronizar contraseñas fuera de la red local. Para obtener más información sobre el inicio de sesión único, consulte Elegir una solución para integrar Active Directory local con Azure.

Habilitación de la escritura diferida de grupos en Microsoft Entra Connect

Este paso sincroniza Grupos de Microsoft 365 de Exchange Online a Exchange local.

Abra el Asistente para conectar Microsoft Entra, seleccione Configurar y, a continuación, haga clic en Siguiente.
Seleccione Personalizar opciones de sincronización y, a continuación, haga clic en Siguiente.
En la página Conectarse a Microsoft Entra ID, escriba sus credenciales de Microsoft 365 o Office 365. Haga clic en Siguiente.
En la página Características opcionales, compruebe que todavía están seleccionadas las opciones que configuró previamente. Las opciones seleccionados con mayor frecuencia son Exchange híbrido y Sincronización por hash de contraseñas.
Seleccione Escritura diferida del grupo y después haga clic en Siguiente.
En la página Escritura diferida, seleccione una unidad organizativa (OU) de Active Directory para almacenar objetos que se sincronicen desde Microsoft 365 o Office 365 con la organización local y, a continuación, haga clic en Siguiente.
En la página Listo para configurar, haga clic en Configurar.
Cuando el asistente haya finalizado, haga clic en Salir en la página Completar la configuración.
Abra Usuarios y equipos de Active Directory en un controlador de dominio de Active Directory y busque la cuenta de usuario que comienza por AAD_. Anote este nombre de cuenta. También puede usar un cmdlet de PowerShell para determinar la cuenta del conector de AD DS.

Abra el Windows PowerShell en el servidor de Microsoft Entra Connect y ejecute los comandos siguientes.

$AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

Configurar un dominio de grupo

El dominio SMTP principal de un grupo de Microsoft 365 se denomina dominio de grupo. De forma predeterminada, el dominio aceptado predeterminado en la organización de Exchange Online se elige como dominio de grupo. Para una mejor interoperación con servidores locales, se recomienda agregar un dominio de grupos dedicados. Puede agregar un dominio mediante los pasos siguientes. Para obtener más información sobre la compatibilidad con varios dominios para Grupos de Microsoft 365, consulte Compatibilidad con varios dominios para Grupos de Microsoft 365.

Agregue el nuevo dominio a su organización de Microsoft 365 o Office 365. Si necesita ayuda para agregar un dominio a Microsoft 365 o Office 365, consulte Agregar un dominio a Microsoft 365.

Cree los siguientes registros DNS públicos con su proveedor de DNS.

Nombre de registro de DNS	Tipo de registro de DNS	Valor de registro de DNS
groups.contoso.com	MX	groups-contoso-com.mail.protection.outlook.com¹
autodiscover.groups.contoso.com	CNAME	autodiscover.outlook.com

¹ El formato de este valor de registro DNS es <domain key.mail.protection.outlook.com>. Para averiguar cuál es la clave de dominio, consulte Recopilación de la información necesaria para crear registros DNS.

Precaución

Si el registro DNS MX del dominio de grupo está establecido en el servidor exchange local, el flujo de correo no funcionará correctamente entre los usuarios de la organización local de Exchange y el grupo de Microsoft 365.

Agregue el dominio de grupo como un dominio aceptado en su organización de Exchange local mediante el siguiente comando. Esto es necesario para que el conector de envío híbrido se pueda usar para entregar correo saliente al dominio de grupo en Microsoft 365 o Office 365.
```
New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay
```

Importante

Asegúrese de que los servidores locales puedan resolver la entrada MX agregada para el dominio del grupo en el paso 2. El dominio del grupo debe agregarse como InternalRelay; de lo contrario, provocará problemas de flujo de correo.

Agregue el dominio de grupo para el conector de envío híbrido, creado por el Asistente de configuración híbrida en la organización de Exchange local, usando el siguiente comando.
```
Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"
```
Nota:

Si el conector de envío no está actualizado o el dominio de grupo no está agregado como un dominio aceptado en la organización de Exchange local, el correo que se envíe de un buzón local no se entregará al grupo a menos que este se configure para recibir correo de remitentes externos.

¿Cómo saber si el proceso se ha completado correctamente?

Para asegurarse de que los grupos trabajan con la implementación híbrida de Exchange, debe probarlos con un buzón local y con un buzón que se haya movido de la organización local a Microsoft 365 o Office 365. Siga los pasos en las secciones siguientes para realizar cada prueba.

Realizar pruebas mediante un buzón local

Agregue un buzón local a un grupo de Microsoft 365.
Agregue un buzón de Microsoft 365 o Office 365 al mismo grupo de Microsoft 365.
Inicie sesión en el buzón de Microsoft 365 o Office 365 mediante Outlook en la Web.
Publique un mensaje en el grupo mediante el buzón de Microsoft 365 o Office 365.
Abra el buzón local mediante Outlook 2016 o Outlook en la web.
Compruebe que el buzón recibió un mensaje de correo electrónico que contiene la publicación enviada al grupo de Microsoft 365.
En el mismo buzón, redacte una respuesta al mensaje y envíelo al grupo.
Compruebe que todos los miembros del grupo pueden ver el mensaje.

Pruebe con un buzón movido a Microsoft 365 o Office 365

Mueva un buzón de correo de la organización local de Exchange a Microsoft 365 o Office 365.
Agregue el buzón a un grupo de Microsoft 365.
En una nueva sesión del explorador, inicie sesión en el buzón que se ha movido a Microsoft 365 o Office 365.
En Outlook en la web, compruebe que el grupo aparece en la barra de navegación de la izquierda.
Publique un mensaje en el grupo.
Compruebe que todos los miembros del grupo pueden ver el mensaje.

Problemas conocidos

Las versiones anteriores de Microsoft Entra Connect no instalarán DSACLS.exe: debe instalar RSAT o la versión más reciente de Microsoft Entra Connect para administrar permisos en grupos (si es necesario).
Los grupos no aparecen para los buzones movidos a Microsoft 365 o Office 365: cuando un usuario se mueve de la organización local de Exchange a Microsoft 365 o Office 365, los grupos no aparecerán en el panel de navegación izquierdo de Outlook ni en Outlook en la Web. Para corregir el problema, quite el buzón de todos los grupos de los que es miembro y vuelva a agregarlo a cada grupo.
Los nuevos grupos no aparecen en la lista global de direcciones (GAL) de Exchange local: cuando se crea un nuevo grupo en Microsoft 365 o Office 365, no aparecerá automáticamente en la GAL local. Para solucionar este problema, abra el Shell de administración de Exchange en un servidor de Exchange local y ejecute el siguiente comando.
```
Update-Recipient -Identity "[group Distinguished Name]"
```
Si el conector De salida a Office 365 envío usa un servidor de transporte perimetral como servidor de origen: los mensajes a Grupos de Microsoft 365 terminarán en un bucle, lo que dará lugar a un informe de no entrega. Consulte Dominios aceptados en Exchange Server para obtener más detalles.
Los usuarios locales no pueden usar los vínculos incluidos en los pies de página de mensajes de grupo: los usuarios locales no pueden usar los vínculos Ver conversaciones de grupo o Cancelar suscripción que se incluyen en el pie de página de cada mensaje de grupo que se les envía. To unsubscribe from a group, on-premises users need to contact a group administrator.
No se puede entregar el correo enviado a la dirección SMTP secundaria de un grupo: cuando se agregan varias direcciones de correo electrónico a un grupo, solo se escribe la dirección SMTP principal en el Active Directory local. Si un usuario local intenta enviar un mensaje a la dirección SMTP secundaria de un grupo, el mensaje no se entregará. Para evitar este problema, configure una dirección SMTP en cada grupo.
Se produce un error en la entrega de correo externo a un grupo si ha habilitado el flujo de correo centralizado: si el flujo de correo centralizado está habilitado, no se puede entregar el correo enviado por un usuario externo a un grupo, aunque el grupo permita el correo electrónico de remitentes externos.
Los usuarios locales no pueden enviar correo como grupo: un usuario local que intente enviar un mensaje como grupo de Microsoft 365 recibirá un error de permiso denegado incluso si se le conceden permisos de envío como en el grupo. Los permisos Enviar como de un grupo solo funcionan para los usuarios de buzón de correo de Exchange Online.
De forma predeterminada, cuando se envía un correo electrónico desde un buzón local a un grupo de Outlook del que el usuario es miembro, el usuario no recibe una copia de ese correo electrónico en su Bandeja de entrada: el administrador de inquilinos de Exchange Online puede usar el siguiente comando de shell de Exchange Online para asegurarse de que el usuario del buzón local puede recibir una copia del correo electrónico en su Bandeja de entrada:
```
Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true
```
Los usuarios locales no pueden enviar correo como grupo: un usuario local que intente enviar un mensaje como grupo de Microsoft 365 recibirá un error de permiso denegado incluso si se le conceden permisos de envío como en el grupo. Los permisos Enviar como de un grupo solo funcionan para los usuarios de buzón de correo de Exchange Online.
Permitir que los usuarios locales administren un grupo de Microsoft 365: los usuarios locales se pueden asignar como propietarios de un grupo de Microsoft 365. Sin embargo, los usuarios locales tendrán que usar el portal web de Microsoft Entra para administrar los grupos que poseen. El administrador de Microsoft Entra debe habilitar la administración de autoservicio en el Centro de administración Microsoft Entra mediante los pasos proporcionados en Configuración de la administración de grupos de autoservicio en Microsoft Entra ID.
Al seleccionar un grupo en el panel de navegación izquierdo de Outlook no se abre el buzón del grupo para un usuario Exchange Online: Outlook usa la dirección URL de detección automática para abrir un buzón de grupo. Si la dirección de correo electrónico principal de un grupo está en un dominio que no apunta a la dirección URL de detección automática de Microsoft 365 o Office 365 (autodiscover.outlook.com), Outlook no podrá abrir el buzón del grupo. Para solucionar este problema, los grupos se pueden aprovisionar con una dirección principal en un dominio que apunte a la dirección URL de Detección automática de Microsoft 365 o Office 365. Puede configurar una directiva de dirección de correo electrónico para agregar una dirección de correo electrónico principal en cada buzón de grupo que apunte a esa dirección URL de detección automática. Consulte Elegir el dominio que se va a usar al crear Grupos de Microsoft 365 para obtener más detalles.
Siga en Bandeja de entrada: normalmente, un miembro del grupo de Microsoft 365 puede seleccionar si desea recibir correo electrónico enviado al grupo en su Bandeja de entrada seleccionando la opción Seguir en bandeja de entrada en la configuración del grupo. Sin embargo, los usuarios con buzones locales no tienen acceso a la configuración de grupo para seleccionar la opción Seguir en bandeja de entrada . Por lo tanto, los usuarios locales que se agregan al grupo de Microsoft 365 ya están configurados para recibir el correo electrónico y los calendarios del grupo en su Bandeja de entrada, independientemente de la configuración relacionada del grupo. Los administradores pueden desactivar la suscripción para los usuarios locales ejecutando el siguiente comando en Exchange Online PowerShell:
```
Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>
```
Por ejemplo:
```
Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR
```