オンプレミスの Exchange ハイブリッドを使用してMicrosoft 365 グループを構成する

  • [アーティクル]

オンプレミスの Exchange ユーザーがハイブリッド展開でMicrosoft 365 グループを使用できるようにする方法について説明します。

Microsoft 365 グループサービスを使用すると、チームはより簡単にコミュニケーションを取り、会議をスケジュールし、ドキュメントで共同作業を行うことができます。 グループに送信した電子メール メッセージから、グループの OneDrive for Business または SharePoint ライブラリに保存してあるファイルまで、グループ内で共有している情報はすべて、グループのメンバー全員が利用することができます。 オンプレミスの Exchange organization と Microsoft 365 または Office 365の間でハイブリッド展開を構成している場合は、このトピックの手順に従って、Microsoft 365 または Office 365で作成されたグループをオンプレミス のユーザーが使用できるようにします。

このドキュメントのすべての手順を実行した後、オンプレミスのメールボックス ユーザーが期待できるエクスペリエンスを次に示します。

  • Microsoft 365 グループを展開し、配布グループと同様に、新しいメールの作成中にOutlook on the webおよび Outlook デスクトップ クライアントでメンバーを表示します。
  • Microsoft 365 グループとの間で電子メールと予定表の招待を送受信します。
  • Microsoft 365 ユーザーから送信された ODB ドキュメントで共同作業を行います。
  • Microsoft 365 グループに関連付けられている SharePoint サイト、Planner、OneNote にアクセスします。

重要

この記事の手順が正常に実行されると、オンプレミスのメールボックスで前述のタスクを実行できます。 ただし、Microsoft 365 グループは、Outlook on the webまたは Outlook デスクトップ クライアントのナビゲーション バーには表示されません。 本格的なMicrosoft 365 グループエクスペリエンスを実現するには、メールボックスが Microsoft 365 に存在する必要があります。

既知の 問題 の修正については、このトピックの最後にある「既知の問題」セクションを確認してください。

前提条件

開始する前に、以下のことが完了していることを確認します。

  • テナントMicrosoft Entra ID P1 または P2 ライセンスを購入しました。 これは、Microsoft Entra Connect でグループライトバック機能を有効にするために必要です。

  • Exchange オンプレミス organizationと Microsoft 365 または Office 365の間でハイブリッド展開を構成し、正常に機能していることを確認しました。 Exchange ハイブリッド展開の詳細については、次の記事を参照してください。

  • サポートされているバージョンの Exchange オンプレミス Exchange と Microsoft 365 グループ の統合をインストールしました。これは、Exchange 2016 の CU1 以降のリリース、および Exchange 2013 の CU11 以降のリリースで利用できます。 ただし、Exchange ハイブリッドでは、最新の Exchange 2013 または Exchange 2016 累積的な更新プログラム (CU) をオンプレミスの Exchange サーバーにインストールする必要があります。 最新の CU をインストールできない場合は、現在の CU の直前にリリースされた更新プログラムを使用できます。

  • Microsoft Entra Connect (Microsoft Entra Connect) を使用して構成されたシングル サインオン。 これは、グループ電子メール メッセージの [グループ ファイルを表示] またはクラウド添付リンクをユーザーがクリックできるようにするために必要です。

    Exchange ハイブリッド展開でシングル サインオンMicrosoft Entra Connect を構成する場合は、パスワード同期を使用することをお勧めします。 Active Directory フェデレーション サービス (AD FS) (AD FS) は、大規模なorganizationの場合にのみ使用する必要があります。複雑なオンプレミスの Active Directory展開 (たとえば、複数の Active Directory フォレスト) がある場合、別の Microsoft 製品で AD FS を Microsoft 365 と連携させる必要がある場合、またはOffice 365。または、コンプライアンス ポリシーが原因で、オンプレミス ネットワークの外部でパスワードを同期できない場合。 シングル サインオンの詳細については、「オンプレミスの Active Directoryと Azure を統合するためのソリューションを選択する」を参照してください。

Microsoft Entra Connect でグループ ライトバックを有効にする

この手順では、Exchange Onlineから Exchange オンプレミスにMicrosoft 365 グループを同期します。

  1. Microsoft Entra接続ウィザードを開き、[構成] を選択し、[次へ] をクリックします。

  2. [同期オプションのカスタマイズ] を選択し、[次へ] をクリックします。

  3. [Microsoft Entra IDへの接続] ページで、Microsoft 365 または Office 365 資格情報を入力します。 [次へ] をクリックします。

  4. [オプション機能] ページで、以前に構成したオプションがまだ選択されていることを確認します。 最も一般的に選択されるオプションは、 [Exchange ハイブリッド][パスワード ハッシュの同期] です。

  5. [グループの書き戻し] を選択して [次へ] をクリックします。

  6. [書き戻し] ページで、Active Directory 組織単位 (OU) を選択して、Microsoft 365 または Office 365からオンプレミスのorganizationに同期されたオブジェクトを格納し、[次へ] をクリックします。

  7. [構成の準備完了] ページで、[構成] をクリックします。

  8. ウィザードが完了したら、 [構成の完了] ページで [終了] をクリックします。

  9. Active Directory ドメイン コントローラーで [Active Directory ユーザーとコンピューター] を開き、 AAD_ で始まるユーザー アカウントを見つけます。 このアカウントの名前をメモします。 PowerShell コマンドレットを使用して AD DS コネクタ アカウントを決定することもできます

  10. Microsoft Entra Connect サーバーでWindows PowerShellを開き、次のコマンドを実行します。

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

グループ ドメインを設定する

Microsoft 365 グループのプライマリ SMTP ドメインは、グループ ドメインと呼ばれます。 既定では、Exchange Online organizationの既定の承認済みドメインがグループ ドメインとして選択されます。 オンプレミス サーバーとの相互運用を向上するために、専用グループ ドメインを追加することをお勧めします。 ドメインは、次の手順を使用して追加できます。 Microsoft 365 グループのマルチドメイン サポートの詳細については、「Microsoft 365 グループのマルチドメイン サポート」をチェック。

  1. 新しいドメインを Microsoft 365 またはOffice 365 organizationに追加します。 Microsoft 365 または Office 365 へのドメインの追加に関するヘルプが必要な場合は、「Microsoft 365 にドメインを追加する」をチェック。

  2. DNS プロバイダーで次のパブリック DNS レコードを作成します。

    DNS レコードの名前 DNS レコードの種類 DNS レコードの値
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 この DNS レコード値の形式は domain< key.mail.protection.outlook.com> です。 ドメイン キーの内容を確認するには、「DNS レコードを作成するために必要な情報を収集する」をチェック。

    注意

    グループ ドメインの MX DNS レコードがオンプレミスの Exchange サーバーに設定されている場合、オンプレミスの Exchange organization と Microsoft 365 グループのユーザー間でメール フローが正しく機能しません。

  3. 次のコマンドを使用して、オンプレミス Exchange 組織の承認済みドメインとしてグループ ドメインを追加します。 これは、ハイブリッド送信コネクタを使用して、Microsoft 365 またはOffice 365のグループ ドメインに送信メールを配信するために必要です。

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay

重要

手順 2. で、オンプレミス サーバーがグループのドメインに対して追加された MX エントリを解決できることを確認します。 グループのドメインを InternalRelay として追加する必要があります。そうしないと、メール フローの問題が発生します。

  1. 次のコマンドを使用して、ハイブリッド構成のウィザードによってオンプレミス Exchange 組織に作成したハイブリッド送信コネクタにグループ ドメインを追加します。

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"

    注:

    送信コネクタが更新されていない場合、またはグループ ドメインがオンプレミス Exchange 組織の承認済みドメインとして追加されていない場合、グループが外部送信者からのメールを受信するよう設定されていないかぎり、オンプレミスのメールボックスから送信されたメールはグループに配信されません。

正常な動作を確認する方法

グループが Exchange ハイブリッド展開で動作していることを確認するには、オンプレミスのメールボックスを使用し、オンプレミスのorganizationから Microsoft 365 またはOffice 365に移動されたメールボックスを使用してテストする必要があります。 それぞれのテストを実行するには、次のセクションの手順に従います。

オンプレミスのメールボックスを使用してテストする

  1. オンプレミスのメールボックスを Microsoft 365 グループに追加します。
  2. Microsoft 365 または Office 365 メールボックスを同じ Microsoft 365 グループに追加します。
  3. Outlook on the webを使用して Microsoft 365 または Office 365 メールボックスにログインします。
  4. Microsoft 365 または Office 365 メールボックスを使用して、グループにメッセージを投稿します。
  5. Outlook 2016 または Outlook on the web を使用してオンプレミスのメールボックスを開きます。
  6. メールボックスが、Microsoft 365 グループに送信された投稿を含む電子メール メッセージを受信したことを確認します。
  7. 同じメールボックスでメッセージに対する返信を作成し、グループに送信します。
  8. グループのすべてのメンバーがそのメッセージを表示できることを確認します。

Microsoft 365 または Office 365 に移動されたメールボックスを使用してテストする

  1. オンプレミスの Exchange organizationから Microsoft 365 またはOffice 365にメールボックスを移動します。
  2. メールボックスを Microsoft 365 グループに追加します。
  3. 新しいブラウザー セッションで、Microsoft 365 またはOffice 365に移動されたメールボックスにログインします。
  4. Outlook on the web で、そのグループが左のナビゲーション バーに表示されていることを確認します。
  5. グループにメッセージを投稿します。
  6. グループのすべてのメンバーがそのメッセージを表示できることを確認します。

既知の問題

  • 以前のバージョンの Microsoft Entra Connect は DSACLS.exeインストールされません:グループのアクセス許可を管理するには、RSAT または最新バージョンの Microsoft Entra Connect をインストールする必要があります (必要な場合)。

  • Microsoft 365 または Office 365に移動されたメールボックスのグループは表示されません。ユーザーがオンプレミスの Exchange organizationから Microsoft 365 またはOffice 365に移動された場合、Outlook またはOutlook on the webの左側のナビゲーション ウィンドウにグループは表示されません。 問題を解決するには、所属するすべてのグループからメールボックスを削除し、もう一度各グループに追加します。

  • オンプレミスの Exchange グローバル アドレス一覧 (GAL) に新しいグループが表示されない: Microsoft 365 またはOffice 365で新しいグループが作成されると、オンプレミスの GAL には自動的に表示されません。 この問題を解決するには、オンプレミス Exchange サーバー上で Exchange 管理シェルを開き、次のコマンドを実行します。

    Update-Recipient -Identity "[group Distinguished Name]"

  • 送信Office 365コネクタがソース サーバーとしてエッジ トランスポート サーバーを使用している場合: Microsoft 365 グループへのメッセージはループ状態になり、配信不能レポートが生成されます。 詳細については、「Exchange Serverの承認済みドメイン」を参照してください。

  • オンプレミス のユーザーは、グループ メッセージ フッターに含まれるリンクを使用できません。オンプレミス ユーザーは、送信された各グループ メッセージのフッターに含まれる [グループの会話の表示 ] リンクまたは [登録解除 ] リンクを使用できません。 オンプレミス ユーザーがグループから退会するには、グループ管理者に連絡する必要があります。

  • グループのセカンダリ SMTP アドレスに送信されたメールの配信に失敗する: グループに複数のメール アドレスが追加されると、プライマリ SMTP アドレスのみがオンプレミスの Active Directoryに書き戻されます。 オンプレミスのユーザーがグループのセカンダリ SMTP アドレスにメッセージを送信しようとすると、メッセージの配信が失敗します。 この問題を回避するには、各グループに設定する SMTP アドレスを 1 つだけにします。

  • グループへの外部メールの配信は、一元化されたメール フローを有効にした場合に失敗します。一元化されたメール フローが有効になっている場合、外部ユーザーからグループに送信されたメールは、グループが外部の送信者からのメールを許可していても配信に失敗します。

  • オンプレミス のユーザーは、グループとしてメールを送信できません:Microsoft 365 グループとしてメッセージを送信しようとしたオンプレミス のユーザーは、グループに対して送信アクセス許可が与えられている場合でも、アクセス許可拒否エラーを受け取ります。 グループとして送信するためのアクセス許可は、Exchange Online メールボックス ユーザーの場合にのみ有効に機能します。

  • 既定では、ユーザーがメンバーになっているオンプレミスのメールボックスから Outlook グループに電子メールが送信されると、ユーザーは受信トレイにそのメールのコピーを受信しません。Exchange Onlineテナント管理者は、次の Exchange Online シェル コマンドを使用して、オンプレミスのメールボックス ユーザーが受信トレイに電子メールのコピーを確実に受信できるようにします。

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true

  • オンプレミス のユーザーは、グループとしてメールを送信できません:Microsoft 365 グループとしてメッセージを送信しようとしたオンプレミス のユーザーは、グループに対して送信アクセス許可が与えられている場合でも、アクセス許可拒否エラーを受け取ります。 グループとして送信するためのアクセス許可は、Exchange Online メールボックス ユーザーの場合にのみ有効に機能します。

  • オンプレミス ユーザーによる Microsoft 365 グループの管理を許可する: オンプレミス ユーザーは、Microsoft 365 グループの所有者として割り当てることができます。 ただし、オンプレミス ユーザーは、Microsoft Entra Web ポータルを使用して、所有するグループを管理する必要があります。 Microsoft Entra管理者は、「Microsoft Entra IDでのセルフサービス グループ管理の設定」で説明されている手順を使用して、Microsoft Entra 管理センターでセルフサービス管理を有効にする必要があります。

  • Outlook の左側のナビゲーション ウィンドウからグループを選択しても、Exchange Online ユーザーのグループのメールボックスは開きません。Outlook では、自動検出 URL を使用してグループ メールボックスを開きます。 グループのプライマリ メール アドレスが、Microsoft 365 を指していないドメイン内にある場合、または自動検出 URL (autodiscover.outlook.com) をOffice 365している場合、Outlook はグループのメールボックスを開くことができません。 この問題を解決するには、Microsoft 365 または自動検出 URL を指すドメイン内のプライマリ アドレスOffice 365グループをプロビジョニングできます。 電子メール アドレス ポリシーを構成して、その自動検出 URL を指す各グループ メールボックスにプライマリ メール アドレスを追加できます。 詳細については、「Microsoft 365 グループの作成時に使用するドメインを選択する」を参照してください。

  • 受信トレイに従う: 通常、Microsoft 365 グループ メンバーは、グループの設定で [ 受信トレイに従う ] オプションを選択して、受信トレイ内のグループに送信されたメールを受信するかどうかを選択できます。 ただし、オンプレミスのメールボックスを持つユーザーは、[ 受信トレイに従う ] オプションを選択するグループ設定にアクセスできません。 そのため、Microsoft 365 グループに追加されたオンプレミス ユーザーは、グループの関連設定に関係なく、受信トレイでグループの電子メールと予定表を受信するように既に構成されています。 管理者は、PowerShell で次のコマンドを実行することで、オンプレミス ユーザーのサブスクリプションExchange Onlineオフにすることができます。

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>

    次に例を示します。

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR