Поделиться через

Настройка Группы Microsoft 365 с помощью локальной гибридной среды Exchange

  • Статья

Узнайте, как разрешить локальным пользователям Exchange использовать Группы Microsoft 365 в гибридном развертывании.

Группы Microsoft 365 служба, которая позволяет командам взаимодействовать, планировать собрания и совместно работать над документами. Все данные, доступ к которым предоставлен группе, — от отправленных ей электронных сообщений до файлов, хранящихся в принадлежащих участникам библиотеках OneDrive для бизнеса и SharePoint, — доступны каждому участнику группы. Если вы настроили гибридное развертывание между локальной организацией Exchange и Microsoft 365 или Office 365, вы можете сделать группы, созданные в Microsoft 365 или Office 365 доступными для локальных пользователей, выполнив действия, описанные в этом разделе.

Ниже приведены возможности, которые пользователи локальных почтовых ящиков могут ожидать после выполнения всех действий, описанных в этом документе.

  • Разверните группу Microsoft 365 и просмотрите участников, как и в группе рассылки, в Outlook в Интернете и классическом клиенте Outlook при создании нового сообщения электронной почты.
  • Отправка и получение сообщений электронной почты и приглашений в календарь на Группы Microsoft 365 и из Группы Microsoft 365.
  • Совместная работа над документами ODB, отправленными пользователями Microsoft 365.
  • Получите доступ к сайту SharePoint, Планировщику и OneNote, связанному с группой Microsoft 365.

Важно!

После успешного выполнения действий, описанных в этой статье, локальный почтовый ящик сможет выполнять указанные ранее задачи. Однако группа Microsoft 365 не будет отображаться на панели навигации Outlook в Интернете или классического клиента Outlook. Для полноценного взаимодействия с Группы Microsoft 365 почтовый ящик должен присутствовать в Microsoft 365.

Сведения об исправлениях известных проблем см. в разделе Известные проблемы в конце этого раздела.

Предварительные требования

Прежде чем приступать к работе, выполните указанные ниже действия.

  • Приобретенные лицензии Microsoft Entra ID P1 или P2 для вашего клиента. Это необходимо для включения функции обратной записи групп в Microsoft Entra Connect.

  • Настроили гибридное развертывание между локальной организацией Exchange и Microsoft 365 или Office 365 и убедились, что оно работает правильно. Дополнительные сведения о гибридных развертываниях Exchange см. в следующих статьях:

  • Установленная поддерживаемая версия локальной интеграции Exchange с Группы Microsoft 365 доступна в накопительном пакете обновления 1 (CU1) и более поздних выпусках Exchange 2016, а также в накопительном пакете обновления 11 (CU1) и более поздних выпусках Exchange 2013. Однако для гибридного развертывания Exchange на локальных серверах Exchange необходимо установить последнюю версию накопительного обновления Exchange 2013 или Exchange 2016 . Если не удается установить последнюю версию cu, можно использовать обновление, выпущенное непосредственно перед текущим накопительным пакетом обновления.

  • Настроен единый вход с помощью Microsoft Entra Connect (Microsoft Entra Connect). Это необходимо, чтобы пользователи могли переходить по ссылке Просмотр файлов группы или по ссылкам на размещенные в облаке вложения из электронных сообщений группы.

    При настройке Microsoft Entra Connect для единого входа в гибридном развертывании Exchange рекомендуется использовать синхронизацию паролей. службы федерации Active Directory (AD FS) (AD FS) следует использовать только в крупной организации; при наличии сложного развертывания локальная служба Active Directory (например, нескольких лесов Active Directory); если другой продукт Майкрософт требует, чтобы AD FS работал с Microsoft 365 или Office 365; или, если из-за политик соответствия требованиям вы не можете синхронизировать пароли за пределами локальной сети. Дополнительные сведения о едином входе см. в статье Выбор решения для интеграции локальная служба Active Directory с Azure.

Включение обратной записи групп в Microsoft Entra Connect

На этом шаге выполняется синхронизация Группы Microsoft 365 из Exchange Online в локальную среду Exchange.

  1. Откройте мастер подключения Microsoft Entra, выберите Настроить и нажмите кнопку Далее.

  2. Выберите Настроить параметры синхронизации и нажмите кнопку Далее.

  3. На странице Подключение к Microsoft Entra ID введите учетные данные Microsoft 365 или Office 365. Нажмите кнопку Далее.

  4. Убедитесь, что на странице Дополнительные возможности все еще выбраны настроенные ранее параметры. Чаще всего выбирают параметры Гибридная среда Exchange и Синхронизация хэша паролей.

  5. Выберите параметр Обратная запись групп и нажмите кнопку Далее.

  6. На странице Обратная запись выберите подразделение Active Directory для хранения объектов, синхронизированных из Microsoft 365 или Office 365 с локальной организацией, а затем нажмите кнопку Далее.

  7. На странице Готово к настройке нажмите кнопку Настроить.

  8. По завершении работы мастера нажмите кнопку Выход на странице Конфигурация завершена.

  9. Откройте "Пользователи и компьютеры Active Directory" на контроллере домена Active Directory и найдите учетную запись пользователя, которая начинается с AAD_. Запишите имя этой учетной записи. Вы также можете использовать командлет PowerShell для определения учетной записи соединителя AD DS.

  10. Откройте Windows PowerShell на сервере Microsoft Entra Connect и выполните следующие команды.

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

Настройка домена группы

Основной домен SMTP группы Microsoft 365 называется доменом группы. По умолчанию в качестве домена группы выбирается обслуживаемый домен по умолчанию в организации Exchange Online. Для улучшения взаимодействия с локальными серверами рекомендуется добавить выделенный домен групп. Домен можно добавить, выполнив следующие действия. Дополнительные сведения о поддержке нескольких доменов для Группы Microsoft 365 проверка поддержку нескольких доменов для Группы Microsoft 365.

  1. Добавьте новый домен в организацию Microsoft 365 или Office 365. Если вам нужна помощь по добавлению домена в Microsoft 365 или Office 365, проверка добавить домен в Microsoft 365.

  2. Создайте перечисленные ниже записи общих DNS-серверов у поставщика DNS.

    Тип записи DNS Тип записи DNS Значение записи DNS
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 Формат этого значения записи DNS — <domain key.mail.protection.outlook.com>. Чтобы узнать, что такое ключ домена, проверка из раздела Сбор сведений, необходимых для создания записей DNS.

    Предостережение

    Если для записи MX DNS для домена группы задан локальный сервер Exchange Server, поток обработки почты будет работать неправильно между пользователями в локальной организации Exchange и группой Microsoft 365.

  3. Добавьте домен группы в качестве обслуживаемого домена в локальную организацию Exchange с помощью приведенной ниже команды. Это необходимо для того, чтобы гибридный соединитель отправки можно было использовать для доставки исходящей почты в домен группы в Microsoft 365 или Office 365.

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay

Важно!

Убедитесь, что локальные серверы могут разрешить запись MX, добавленную для домена группы на шаге 2. Домен группы должен быть добавлен как InternalRelay, в противном случае это приведет к проблемам с потоком обработки почты.

  1. Добавьте домен группы в гибридный соединитель отправки, созданный мастером гибридной конфигурации в локальной организации Exchange, с помощью приведенной ниже команды.

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"

    Примечание.

    Если соединитель отправки не обновлен или домен группы не добавлен в качестве обслуживаемого домена в локальной организации Exchange, то почта, отправляемая из локального почтового ящика не будет доставляться группе, если для этой группы не настроено получение почты от внешних отправителей.

Как проверить, все ли получилось?

Чтобы убедиться, что группы работают с гибридным развертыванием Exchange, протестируйте их с помощью локального почтового ящика и почтового ящика, который был перемещен из локальной организации в Microsoft 365 или Office 365. Для каждой проверки выполните действия, описанные в следующих разделах.

Проверка с помощью локального почтового ящика

  1. Добавление локального почтового ящика в группу Microsoft 365.
  2. Добавьте почтовый ящик Microsoft 365 или Office 365 в ту же группу Microsoft 365.
  3. Войдите в почтовый ящик Microsoft 365 или Office 365 с помощью Outlook в Интернете.
  4. Опубликуйте сообщение в группе с помощью почтового ящика Microsoft 365 или Office 365.
  5. Откройте локальный почтовый ящик с помощью Outlook 2016 или Outlook в Интернете.
  6. Убедитесь, что почтовый ящик получил сообщение электронной почты, содержащее сообщение, отправленное группе Microsoft 365.
  7. В том же почтовом ящике составьте ответ на сообщение и отправьте его группе.
  8. Убедитесь, что все участники группы могут просмотреть сообщение.

Тестирование с помощью почтового ящика, перемещенного в Microsoft 365 или Office 365

  1. Переместите почтовый ящик из локальной организации Exchange в Microsoft 365 или Office 365.
  2. Добавьте почтовый ящик в группу Microsoft 365.
  3. В новом сеансе браузера войдите в почтовый ящик, который был перемещен в Microsoft 365 или Office 365.
  4. Откройте Outlook в Интернете и убедитесь, что группа указана на левой панели навигации.
  5. Опубликуйте сообщение в группе.
  6. Убедитесь, что все участники группы могут просмотреть сообщение.

Известные проблемы

  • Более старые версии Microsoft Entra Connect не будут устанавливаться DSACLS.exe. Для управления разрешениями для групп (при необходимости) необходимо установить RSAT или последнюю версию Microsoft Entra Connect.

  • Группы не отображаются для почтовых ящиков, перемещенных в Microsoft 365 или Office 365. При перемещении пользователя из локальной организации Exchange в Microsoft 365 или Office 365 группы не отображаются в области навигации слева в Outlook или Outlook в Интернете. Чтобы устранить проблему, удалите почтовый ящик из всех групп, членом которых он является, и повторно добавьте его в каждую группу.

  • Новые группы не отображаются в локальном списке глобальных адресов (GAL) Exchange. При создании новой группы в Microsoft 365 или Office 365 она не будет автоматически отображаться в локальном списке глобальных адресов. Чтобы устранить эту проблему, откройте командную консоль Exchange на локальном сервере Exchange Server и выполните следующую команду.

    Update-Recipient -Identity "[group Distinguished Name]"

  • Если соединитель Отправки исходящего трафика к Office 365 использует пограничный транспортный сервер в качестве исходного сервера. Сообщения в Группы Microsoft 365 в конечном итоге будут в цикле, в результате чего будет получен отчет о недоставке. Дополнительные сведения см. в статье Принятые домены в Exchange Server.

  • Локальные пользователи не могут использовать ссылки, включенные в нижние колонтитулы сообщений группы. Локальные пользователи не могут использовать ссылки Просмотр групповых бесед или Отмена подписки , включенные в нижний колонтитул каждого отправленного им сообщения группы. To unsubscribe from a group, on-premises users need to contact a group administrator.

  • Не удается доставить почту, отправленную на дополнительный SMTP-адрес группы. При добавлении в группу нескольких адресов электронной почты в локальная служба Active Directory записывается только основной SMTP-адрес. Если локальный пользователь пытается отправить сообщение на дополнительный SMTP-адрес группы, сообщение не будет доставлено. Чтобы избежать этой проблемы, настройте только один SMTP-адрес в каждой группе.

  • Доставка внешней почты в группу завершается ошибкой, если вы включили централизованный поток обработки почты. Если включен централизованный поток обработки почты, почта, отправленная внешним пользователем в группу, не будет доставлена, даже если группа разрешает отправку почты от внешних отправителей.

  • Локальные пользователи не могут отправлять почту как группу. Локальный пользователь, который пытается отправить сообщение в качестве группы Microsoft 365, получит ошибку "Отказано в разрешении", даже если ему предоставлены разрешения "Отправить как" в группе. Разрешения "Отправить как" в группе работают только для пользователей почтовых ящиков Exchange Online.

  • По умолчанию при отправке сообщения электронной почты из локального почтового ящика в группу Outlook, членом которой является пользователь, пользователь не получает копию этого сообщения в папке "Входящие". Администратор клиента Exchange Online может использовать следующую команду оболочки Exchange Online, чтобы пользователь локального почтового ящика смог получить копию сообщения в папке "Входящие".

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true

  • Локальные пользователи не могут отправлять почту как группу. Локальный пользователь, который пытается отправить сообщение в качестве группы Microsoft 365, получит ошибку "Отказано в разрешении", даже если ему предоставлены разрешения "Отправить как" в группе. Разрешения "Отправить как" в группе работают только для пользователей почтовых ящиков Exchange Online.

  • Разрешение локальным пользователям управлять группой Microsoft 365. Локальные пользователи могут быть назначены владельцами группы Microsoft 365. Однако локальные пользователи должны будут использовать веб-портал Microsoft Entra для управления группами, которыми они владеют. Администратор Microsoft Entra должен включить самостоятельное управление в Центр администрирования Microsoft Entra, выполнив действия, описанные в разделе Настройка самостоятельного управления группами в Microsoft Entra ID.

  • Выбор группы в левой области навигации Outlook не открывает почтовый ящик группы для пользователя Exchange Online. Outlook использует URL-адрес автообнаружения для открытия почтового ящика группы. Если основной адрес электронной почты группы находится в домене, который не указывает на URL-адрес microsoft 365 или Office 365 автообнаружения (autodiscover.outlook.com), Outlook не сможет открыть почтовый ящик группы. Чтобы устранить эту проблему, группы можно подготовить с основным адресом в домене, который указывает на URL-адрес microsoft 365 или Office 365 автообнаружения. Вы можете настроить политику адресов электронной почты, чтобы добавить основной адрес электронной почты в каждый почтовый ящик группы, указывающий на этот URL-адрес автообнаружения. Дополнительные сведения см. в статье Выбор домена для использования при создании Группы Microsoft 365.

  • Следуйте указаниям в папке "Входящие". Как правило, член группы Microsoft 365 может выбрать, следует ли получать сообщения, отправленные группе в папке "Входящие", выбрав команду Подписаться в папке "Входящие" в параметрах группы. Однако у пользователей с локальными почтовыми ящиками нет доступа к параметру группы, чтобы выбрать параметр Подписаться в папке "Входящие ". Таким образом, локальные пользователи, добавленные в группу Microsoft 365, уже настроены для получения электронной почты и календарей группы в папке "Входящие", независимо от соответствующего параметра в группе. Администраторы могут отключить подписку для локальных пользователей, выполнив следующую команду в Exchange Online PowerShell:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>

    Пример:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR