使用內部部署 Exchange 混合式設定Microsoft 365 群組

瞭解如何讓內部部署 Exchange 使用者在混合式部署中使用Microsoft 365 群組。

Microsoft 365 群組服務,可讓小組更輕鬆地在檔上進行通訊、排程會議和共同作業。 與群組共用的所有資訊,從傳送給群組的電子郵件訊息,到儲存在群組的商務用 OneDrive 或 SharePoint 文件庫中的檔案,都可供群組的任何成員取用。 如果您已在內部部署 Exchange 組織與 Microsoft 365 或 Office 365 之間設定混合式部署,您可以遵循本主題中的步驟,讓在 Microsoft 365 中建立的群組或Office 365可供內部部署使用者使用。

在執行本檔中的所有步驟之後,內部部署信箱使用者可以預期的體驗如下:

  • 展開 Microsoft 365 群組,並在撰寫新電子郵件時,在 Outlook 網頁版 和 Outlook 桌面用戶端中檢視成員,就像在通訊群組中一樣。
  • 傳送和接收Microsoft 365 群組的電子郵件和行事曆邀請。
  • 在 Microsoft 365 使用者所傳送的 ODB 檔上共同作業。
  • 存取與 Microsoft 365 群組相關聯的 SharePoint 網站、Planner 和 OneNote。

重要事項

成功執行本文中的步驟之後,內部部署信箱就可以執行先前提到的工作。 不過,Microsoft 365 群組不會出現在 Outlook 網頁版 或 Outlook 桌面用戶端的導覽列中。 若要獲得完整的Microsoft 365 群組體驗,信箱必須出現在 Microsoft 365 中。

Check the Known issues section at the end of this topic for fixes to known issues.

必要條件

在開始之前,請確定已完成下列項目︰

  • 為您的租用戶購買 Azure Active Directory 進階授權。 這樣才能啟用在 Azure Active Directory Connect 中的群組回寫功能。

  • 設定 Exchange 內部部署組織與 Microsoft 365 或Office 365之間的混合式部署,並確認其運作正常。 如需 Exchange 混合式部署的詳細資訊,請參閱下列文章:

  • 已安裝支援版本的 Exchange 內部部署 Exchange 與 Microsoft 365 群組 可在 CU1 和較新版本的 Exchange 2016 和 CU11 和較新版本的 Exchange 2013 中使用。 然而,Exchange 混合式需要最新的 Exchange 2013 或 Exchange 2016 累積更新 (CU) 安裝在您的內部部署 Exchange 伺服器上。 如果您無法安裝最新的 CU,可以使用目前的 CU 之前發行的更新。

  • 使用 Azure Active Directory Connect (Azure AD Connect) 設定單一登入。 需要這個設定以允許使用者按一下群組電子郵件訊息中的 檢視群組檔案或雲端附件連結。

    在 Exchange 混合式部署中設定單一登入 Azure AD Connect 時,我們建議您使用密碼同步化。 Active Directory 同盟服務 (AD FS) 應該只在您位於大型組織時使用;例如,如果您有複雜的內部部署的 Active Directory部署 (,則會) 多個 Active Directory 樹系;如果另一個 Microsoft 產品需要 AD FS 才能與 Microsoft 365 或 Office 365;或者,如果因為合規性政策,您無法同步處理內部部署網路外部的密碼。 如需單一登入的詳細資訊,請參閱選擇解決方案以整合內部部署 Active Directory 與 Azure

在 Azure AD Connect 中啟用群組回寫

此步驟會將Microsoft 365 群組從 Exchange Online 同步至 Exchange 內部部署。

  1. 開啟 [Azure AD Connect 精靈],選取 [設定],然後按一下 [下一步]

  2. 選取 [自訂同步處理選項],然後選取 [下一步]。

  3. 在 [連線到 Azure AD] 頁面上,輸入您的 Microsoft 365 或Office 365認證。 按一下[下一步]

  4. [選擇性功能] 頁面上,確認您先前設定的選項仍然選取。 最常選取的選項是 [Exchange 混合式][密碼雜湊同步化]

  5. 選取 [群組回寫],然後按 [下一步]

  6. 在 [回寫] 頁面上,選取 Active Directory 組織單位 (OU) 來儲存從 Microsoft 365 或Office 365同步至內部部署組織的物件,然後按 [下一步]

  7. [準備設定] 頁面上,按一下 [設定]

  8. 精靈完成時,按一下 [組態完成] 頁面上的 [結束]

  9. 在 Active Directory 網域控制站上開啟 [Active Directory 使用者和電腦],並尋找以 AAD_ 開頭的使用者帳戶。 記下這個帳戶的名稱。 您也可以使用 PowerShell cmdlet 來判斷您的 AD DS 連接器帳戶

  10. 開啟 Azure Active Directory 連接伺服器上的 Windows PowerShell,並執行以下指令。

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
    

設定群組網域

Microsoft 365 群組的主要 SMTP 網域稱為群組網域。 根據預設,您Exchange Online組織中預設接受的網域會選擇為群組網域。 為了與內部部署伺服器進行更好的交互操作,建議您新增專用的群組網域。 您可以使用下列步驟來新增網域。 如需多網域支援Microsoft 365 群組的詳細資訊,請參閱 Microsoft 365 群組的多網域支援

  1. 將您的新網域新增至 Microsoft 365 或Office 365組織。 如果您需要將網域新增至 Microsoft 365 或Office 365的協助,請參閱將網域新增至 Microsoft 365

  2. 使用您的 DNS 提供者建立下列公用 DNS 記錄。

    DNS 記錄名稱 DNS 記錄類型 DNS 記錄值
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1此 DNS 記錄值的格式為< 網域索引鍵 >.mail.protection.outlook.com。 若要瞭解您的網域金鑰是什麼,請參閱 收集建立 DNS 記錄所需的資訊

    謹慎

    如果群組網域的 MX DNS 記錄設定為內部部署 Exchange 伺服器,內部部署 Exchange 組織中的使用者與 Microsoft 365 群組之間的郵件流程將無法正常運作。

  3. 使用下列命令,在您的內部部署 Exchange 組織中新增群組網域作為公認的網域。 這是必要的,以便混合式傳送連接器可用來將輸出郵件傳遞至 Microsoft 365 或 Office 365 中的群組網域。

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay
    

重要事項

確定內部部署伺服器可以解析步驟 2 中為群組網域新增的 MX 專案。 群組的網域必須新增為 InternalRelay,否則會造成郵件流程問題。

  1. 使用下列命令,將群組網域新增至混合式傳送連接器,該連接器是由內部部署 Exchange 組織中的混合式組態精靈所建立。

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"
    

    注意事項

    如果沒有更新傳送連接器,或如果群組網域未新增為內部部署 Exchange 組織中公認的網域,則從內部部署信箱傳送的郵件不會傳遞至群組,除非該群組已設定為接收來自外部寄件者的郵件。

如何知道這是否正常運作?

若要確定群組正在使用您的 Exchange 混合式部署,您應該使用內部部署信箱,以及使用已從內部部署組織移至 Microsoft 365 或Office 365的信箱來進行測試。 使用下列各節的步驟,來執行每項測試。

使用內部部署信箱進行測試

  1. 將內部部署信箱新增至 Microsoft 365 群組。
  2. 將 Microsoft 365 或Office 365信箱新增至相同的 Microsoft 365 群組。
  3. 使用 Outlook 網頁版 登入 Microsoft 365 或 Office 365 信箱。
  4. 使用 Microsoft 365 或Office 365信箱將訊息張貼至群組。
  5. 使用 Outlook 2016 或網頁型 Outlook 開啟內部部署信箱。
  6. 確認信箱收到包含傳送至 Microsoft 365 群組之貼文的電子郵件訊息。
  7. 在同一個信箱中,撰寫郵件的回覆,將它傳送給群組。
  8. 請確認訊息可以由群組的所有成員檢視。

使用移至 Microsoft 365 或 Office 365 的信箱進行測試

  1. 將信箱從內部部署 Exchange 組織移至 Microsoft 365 或Office 365。
  2. 將信箱新增至 Microsoft 365 群組。
  3. 在新的瀏覽器會話中,登入已移至 Microsoft 365 或Office 365的信箱。
  4. 在網頁型 Outlook 中,確認群組列在左側的導覽列。
  5. 將訊息張貼至群組。
  6. 請確認訊息可以由群組的所有成員檢視。

已知問題

  • 舊版的 Azure AD connect 不會安裝DSACLS.exe:您需要安裝 RSAT 或最新版的 Azure AD Connect,以在必要時管理群組 (的許可權) 。

  • 移至 Microsoft 365 或Office 365的信箱不會顯示群組:當使用者從您的內部部署 Exchange 組織移至 Microsoft 365 或Office 365時,群組不會出現在 Outlook 或 Outlook 網頁版 的左側流覽窗格中。 若要修正這個問題,從屬於其成員的群組中移除信箱,並將之重新新增至每個群組。

  • 新的群組不會出現在內部部署 Exchange 全域通訊清單中, (GAL) :在 Microsoft 365 或 Office 365 中建立新群組時,不會自動出現在內部部署 GAL 中。 若要修正這個問題,在內部部署 Exchange 伺服器上開啟 Exchange 管理命令介面,並且執行下列命令。

    Update-Recipient -Identity "[group Distinguished Name]"
    
  • 如果輸出至Office 365傳送連接器使用 Edge 傳輸伺服器做為來源伺服器:傳送至Microsoft 365 群組的訊息最後會在迴圈中產生未傳遞的報告。 如需詳細資訊,請參閱Exchange Server中已接受的網域

  • 內部部署使用者無法使用包含在群組訊息頁尾的連結:內部部署使用者無法使用 [檢視群組對話] [取消訂閱]連結,這些連結包含在傳送給他們的每個群組訊息頁尾。 若要從群組取消訂閱,內部部署使用者需連絡群組管理員。

  • 傳送給群組的次要 SMTP 地址的郵件無法傳遞:當多個電子郵件地址新增至群組時,只有主要 SMTP 地址會回寫至您的內部部署 Active Directory。 如果內部部署使用者嘗試傳送訊息給群組的次要 SMTP 地址,將無法傳遞訊息。 若要避免這個問題,請在每個群組上僅設定一個 SMTP 地址。

  • 如果您已啟用集中式郵件流程,將外部郵件傳遞至群組會失敗:如果啟用集中式郵件流程,外部使用者傳送至群組的郵件將無法傳遞,即使群組允許來自外部寄件者的電子郵件也一般。

  • 內部部署使用者無法以群組方式傳送郵件:嘗試以 Microsoft 365 群組身分傳送郵件的內部部署使用者,即使在群組上獲得「傳送為」許可權,仍會收到許可權遭拒錯誤。 群組上的 [傳送為] 權限只適用於 Exchange Online 信箱使用者。

  • 根據預設,當電子郵件從內部部署信箱傳送到使用者所屬的 Outlook 群組時,使用者不會在其收件匣中收到該電子郵件的複本:Exchange Online租使用者系統管理員可以使用下列Exchange Online殼層命令,以確保內部部署信箱使用者可以在其收件匣中接收電子郵件複本:

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true
    
  • 內部部署使用者無法以群組方式傳送郵件:嘗試以 Microsoft 365 群組身分傳送郵件的內部部署使用者,即使在群組上獲得「傳送為」許可權,仍會收到許可權遭拒錯誤。 群組上的 [傳送為] 權限只適用於 Exchange Online 信箱使用者。

  • 允許內部部署使用者管理 Microsoft 365 群組:內部部署使用者可以指派為 Microsoft 365 群組的擁有者。 不過,內部部署使用者必須使用 (Azure AD 入口網站) [ https://account.activedirectory.windowsazure.com/r#/groups ] 來管理他們所擁有的群組。 Azure AD 系統管理員必須使用在 Azure Active Directory 中設定自助群組管理中提供的步驟,在 Azure AD 入口網站中啟用自助式管理。

  • 從 Outlook 左側流覽窗格中選取群組並不會開啟Exchange Online使用者的群組信箱:Outlook 會使用自動探索 URL 來開啟群組信箱。 如果群組的主要電子郵件地址位於未指向 Microsoft 365 或Office 365自動探索 URL (autodiscover.outlook.com) 的網域中,Outlook 將無法開啟群組的信箱。 若要修正此問題,可以在網域中使用指向 Microsoft 365 或Office 365自動探索 URL 的主要位址來布建群組。 您可以設定電子郵件地址原則,在指向該自動探索 URL 的每個群組信箱上新增主要電子郵件地址。 如需詳細資訊,請參閱選擇建立Microsoft 365 群組時要使用的網域

  • 在 [收件匣] 中遵循:一般而言,Microsoft 365 群組成員可以在群組設定中選取 [ 在收件匣中追蹤 ] 選項,以選取是否要接收傳送至其 [收件匣] 群組的電子郵件。 不過,具有內部部署信箱的使用者無法存取群組設定,而無法選取 [ 在收件匣中追蹤 ] 選項。 因此,已新增至 Microsoft 365 群組的內部部署使用者已設定為在其收件匣中接收群組電子郵件和行事曆,而不論群組上的相關設定為何。 系統管理員可以在 Exchange Online PowerShell 中執行下列命令,以關閉內部部署使用者的訂用帳戶:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>
    

    例如:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR