使用本地 Exchange 混合配置Microsoft 365 组

  • 项目

了解如何使本地 Exchange 用户能够在混合部署中使用Microsoft 365 组。

Microsoft 365 组服务,使团队能够更轻松地进行通信、安排会议和协作处理文档。 任何组成员都可使用与组共享的所有信息,包括从发送到组的电子邮件到存储在组的 OneDrive for Business 或 SharePoint 库中的文件。 如果在本地 Exchange 组织与 Microsoft 365 或 Office 365之间配置了混合部署,则可以按照本主题中的步骤使在 Microsoft 365 或Office 365创建的组可供本地用户使用。

执行本文档中的所有步骤后,本地邮箱用户可以期待以下体验:

  • 展开 Microsoft 365 组,在撰写新电子邮件时,在 Outlook 网页版 和 Outlook 桌面客户端中查看成员(就像在通讯组中一样)。
  • 发送和接收Microsoft 365 组的电子邮件和日历邀请。
  • 协作处理 Microsoft 365 用户发送的 ODB 文档。
  • 访问与 Microsoft 365 组关联的 SharePoint 网站、Planner 和 OneNote。

重要

成功执行本文中的步骤后,本地邮箱可以执行前面提到的任务。 但是,Microsoft 365 组不会显示在 Outlook 网页版 或 Outlook 桌面客户端的导航栏中。 若要获得完全Microsoft 365 组体验,邮箱必须存在于 Microsoft 365 中。

有关已知 问题的 修复,请查看本主题末尾的已知问题部分。

先决条件

开始前,请确保完成以下操作:

  • 为租户购买了Microsoft Entra ID P1 或 P2 许可证。 这是在 Microsoft Entra Connect 中启用组写回功能所必需的。

  • 在本地组织与 Microsoft 365 或 Office 365 之间配置了混合部署,并验证其正常运行。 有关 Exchange 混合部署的详细信息,请参阅以下文章:

  • 安装的 Exchange 本地 Exchange 集成支持版本与 Microsoft 365 组 在 CU1 和较新版本的 Exchange 2016 以及 CU11 及 Exchange 2013 的更新版本中可用。 但是,Exchange 混合需要在本地 Exchange 服务器上安装最新的 Exchange 2013 或 Exchange 2016 累积更新 (CU)。 如果不能安装最新的 CU,也可使用当前 CU 的上一发布更新。

  • 使用 Microsoft Entra Connect (Microsoft Entra Connect) 配置了单一登录。 需要这些信息来允许用户单击" 查看组文件"或组电子邮件中的云附件链接。

    在 Exchange 混合部署中配置 Microsoft Entra Connect 进行单一登录时,建议使用密码同步。 Active Directory 联合身份验证服务 (AD FS) 应仅在大型组织中使用;如果你有复杂的本地 Active Directory部署 (例如,多个 Active Directory 林) ;如果另一个 Microsoft 产品要求 AD FS 与 Microsoft 365 或 Office 365;或者,如果由于符合性策略,你无法同步本地网络外部的密码。 有关单一登录的详细信息,请参阅选择用于将本地 Active Directory与 Azure 集成的解决方案

在 Microsoft Entra Connect 中启用组写回

此步骤将Microsoft 365 组从 Exchange Online 同步到本地 Exchange。

  1. 打开“Microsoft Entra连接”向导,选择“配置”,然后单击“下一步”。

  2. 选择“自定义同步选项”,然后单击“下一步”。

  3. “连接到Microsoft Entra ID”页上,输入 Microsoft 365 或Office 365凭据。 单击下一个

  4. 在" 可选功能"页上,验证以前配置的选项是否仍处于选中状态。 最常选择的选项是" Exchange 混合"和" 密码哈希同步"。

  5. 选择" 组写回",然后单击" 下一步"。

  6. “写回”页上,选择一个 Active Directory 组织单位 (OU) 来存储从 Microsoft 365 或Office 365同步到本地组织的对象,然后单击“下一步”。

  7. 在“准备配置”页面上,单击“配置”。

  8. 完成向导后,在" 配置完成"页上单击" 退出"。

  9. 打开 Active Directory 域控制器上的 Active Directory 用户和计算机,然后找到开头为 AAD_ 的用户帐户。 记下此帐户的名称。 还可以使用 PowerShell cmdlet 来确定 AD DS 连接器帐户

  10. 打开 Microsoft Entra Connect 服务器上的Windows PowerShell,并运行以下命令。

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

配置组域

Microsoft 365 组的主 SMTP 域称为组域。 默认情况下,Exchange Online组织中默认接受的域被选为组域。 为了更好地与本地服务器进行互操作,建议添加专用组域。 可以使用以下步骤添加域。 有关Microsoft 365 组的多域支持的详细信息,检查对Microsoft 365 组的多域支持

  1. 将新域添加到 Microsoft 365 或 Office 365 组织。 如果需要有关将域添加到 Microsoft 365 或 Office 365 的帮助,检查将域添加到 Microsoft 365

  2. 使用 DNS 提供程序创建以下公用 DNS 记录。

    DNS 记录名称 DNS 记录类型 DNS 记录值
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 此 DNS 记录值的格式为 <domain key.mail.protection.outlook.com>。 若要了解域密钥是什么,检查收集创建 DNS 记录所需的信息

    警告

    如果组域的 MX DNS 记录设置为本地 Exchange 服务器,则邮件流将无法在本地 Exchange 组织中的用户与 Microsoft 365 组之间正常工作。

  3. 使用以下命令,添加该组域作为本地 Exchange 组织中的接受域。 这是必需的,以便可以使用混合发送连接器将出站邮件传递到 Microsoft 365 或 Office 365 中的组域。

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay

重要

确保本地服务器可以解析在步骤 2 中为组域添加的 MX 条目。 组的域必须添加为 InternalRelay,否则将导致邮件流问题。

  1. 使用以下命令,将组域添加到由本地 Exchange 组织中的混合配置向导创建的混合发送连接器中。

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"

    注意

    如果未更新发送连接器,或未将组域添加为本地 Exchange 组织中的接受域,则不会将从本地邮箱发送的邮件传递至组,除非将该组配置为接收来自外部发件人的邮件。

如何知道操作成功?

若要确保组使用 Exchange 混合部署,应使用本地邮箱以及已从本地组织移动到 Microsoft 365 或 Office 365的邮箱对其进行测试。 使用以下各部分中的步骤执行每个测试。

使用本地邮箱进行测试

  1. 将本地邮箱添加到 Microsoft 365 组。
  2. 将 Microsoft 365 或 Office 365 邮箱添加到同一 Microsoft 365 组。
  3. 使用 Outlook 网页版 登录到 Microsoft 365 或 Office 365 邮箱。
  4. 使用 Microsoft 365 或 Office 365 邮箱将邮件发布到组。
  5. 使用 Outlook 2016 或 Outlook 网页版打开本地邮箱。
  6. 验证邮箱是否收到包含发送到 Microsoft 365 组的邮件的电子邮件。
  7. 在同一邮箱中,撰写邮件回复并将其发送到组。
  8. 验证邮件可由所有组成员查看。

使用移动到 Microsoft 365 或 Office 365 的邮箱进行测试

  1. 将邮箱从本地 Exchange 组织移动到 Microsoft 365 或 Office 365。
  2. 将邮箱添加到 Microsoft 365 组。
  3. 在新浏览器会话中,登录到已移动到 Microsoft 365 或 Office 365 的邮箱。
  4. 在 Outlook 网页版中,验证该组在左侧导航栏中列出。
  5. 向组发送邮件。
  6. 验证邮件可由所有组成员查看。

已知问题

  • 较旧版本的 Microsoft Entra Connect 不会安装 DSACLS.exe:如果需要) ,需要安装 RSAT 或最新版本的 Microsoft Entra Connect 来管理对组 (的权限。

  • 移动到 Microsoft 365 或 Office 365 的邮箱不会显示组:当用户从本地 Exchange 组织移动到 Microsoft 365 或 Office 365 时,组不会显示在 Outlook 或Outlook 网页版的左侧导航窗格中。 若要解决此问题,将该邮箱从其所属的任何组中删除,并将其重新添加到每个组。

  • 新组不会显示在本地 Exchange 全局地址列表中, (GAL) :在 Microsoft 365 或 Office 365 中创建新组时,它不会自动出现在本地 GAL 中。 若要解决此问题,在本地 Exchange 服务器上打开 Exchange 命令行管理程序,并运行以下命令。

    Update-Recipient -Identity "[group Distinguished Name]"

  • 如果出站到Office 365发送连接器使用边缘传输服务器作为源服务器:发送到Microsoft 365 组的消息将最终成为一个循环,从而导致未送达报告。 有关详细信息,请查看 Exchange Server 中的接受域

  • 本地用户无法使用组消息页脚中包含的链接:本地用户无法使用发送给他们的每个组消息的页脚中包含的 “查看组对话 ”或 “取消订阅 ”链接。 若要取消组订阅,本地用户需要与组管理员联系。

  • 发送到组的辅助 SMTP 地址的邮件无法送达:将多个电子邮件地址添加到组时,只有主 SMTP 地址会写回到本地 Active Directory。 如果某个本地用户尝试将邮件发送到某个组的辅助 SMTP 地址,则邮件将无法传送。 若要避免此问题,请仅在每个组上配置一个 SMTP 地址。

  • 如果已启用集中邮件流,则向组传递外部邮件失败:如果启用了集中式邮件流,外部用户发送到组的邮件也无法送达,即使该组允许来自外部发件人的电子邮件也是如此。

  • 本地用户无法以组的形式发送邮件:尝试以 Microsoft 365 组身份发送邮件的本地用户将收到权限被拒绝错误,即使他们被授予组的“发送方式”权限。 以组发送权限只适合 Exchange Online 邮箱用户。

  • 默认情况下,当电子邮件从本地邮箱发送到用户所属的 Outlook 组时,用户不会在其收件箱中收到该电子邮件的副本:Exchange Online租户管理员可以使用以下 Exchange Online shell 命令来确保本地邮箱用户可以在其收件箱中收到电子邮件的副本:

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true

  • 本地用户无法以组的形式发送邮件:尝试以 Microsoft 365 组身份发送邮件的本地用户将收到权限被拒绝错误,即使他们被授予组的“发送方式”权限。 以组发送权限只适合 Exchange Online 邮箱用户。

  • 允许本地用户管理 Microsoft 365 组:可将本地用户分配为 Microsoft 365 组的所有者。 但是,本地用户必须使用Microsoft Entra Web 门户来管理他们拥有的组。 Microsoft Entra管理员必须使用在 Microsoft Entra ID 中设置自助服务组管理中提供的步骤,在Microsoft Entra 管理中心中启用自助服务管理

  • 从 Outlook 的左侧导航窗格中选择组不会为Exchange Online用户打开该组的邮箱:Outlook 使用自动发现 URL 打开组邮箱。 如果组主电子邮件地址位于不指向 Microsoft 365 或Office 365自动发现 URL (autodiscover.outlook.com) 的域中,Outlook 将无法打开该组的邮箱。 若要解决此问题,可以使用域中的主地址预配组,该地址指向 Microsoft 365 或Office 365自动发现 URL。 可以将电子邮件地址策略配置为在指向该自动发现 URL 的每个组邮箱上添加主电子邮件地址。 有关详细信息,请参阅选择创建Microsoft 365 组时要使用的域

  • 在收件箱中关注:通常,Microsoft 365 组成员可以通过在组设置中选择“在收件箱中 关注 ”选项来选择是否接收发送到其收件箱中的组的电子邮件。 但是,具有本地邮箱的用户无权访问组设置以选择“ 在收件箱中关注” 选项。 因此,添加到 Microsoft 365 组的本地用户已配置为在其收件箱中接收组电子邮件和日历,而不考虑组的相关设置。 管理员可以通过在 PowerShell 中运行以下命令来关闭本地用户的订阅Exchange Online:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>

    例如:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR