Configurer Groupes Microsoft 365 avec Exchange hybride local

  • Article

Découvrez comment permettre aux utilisateurs Exchange locaux d’utiliser Groupes Microsoft 365 dans un déploiement hybride.

Groupes Microsoft 365 service qui permet aux équipes de communiquer, de planifier des réunions et de collaborer plus facilement sur des documents. Toutes les informations partagées avec un groupe, à partir des messages électroniques envoyés au groupe, vers les fichiers stockés dans les bibliothèques OneDrive Entreprise ou SharePoint du groupe, sont disponibles pour tous les membres d'un groupe. Si vous avez configuré un déploiement hybride entre votre organization Exchange local et Microsoft 365 ou Office 365, vous pouvez mettre à la disposition de vos utilisateurs locaux les groupes créés dans Microsoft 365 ou Office 365 en suivant les étapes décrites dans cette rubrique.

Voici les expériences auxquelles les utilisateurs de boîtes aux lettres locales peuvent s’attendre une fois que toutes les étapes de ce document ont été effectuées :

  • Développez un groupe Microsoft 365 et affichez les membres, comme dans un groupe de distribution, dans Outlook sur le web et le client de bureau Outlook lors de la composition d’un nouvel e-mail.
  • Envoyer et recevoir des e-mails et des invitations de calendrier vers et depuis Groupes Microsoft 365.
  • Collaborez sur des documents ODB envoyés par les utilisateurs Microsoft 365.
  • Accédez à un site SharePoint, au Planificateur et à OneNote associés au groupe Microsoft 365.

Importante

Une fois les étapes décrites dans cet article effectuées, la boîte aux lettres locale peut effectuer les tâches mentionnées précédemment. Toutefois, le groupe Microsoft 365 n’apparaît pas dans la barre de navigation de Outlook sur le web ou du client de bureau Outlook. Pour une expérience Groupes Microsoft 365 complète, la boîte aux lettres doit être présente dans Microsoft 365.

Consultez la section Problèmes connus à la fin de cette rubrique pour obtenir des correctifs aux problèmes connus.

Conditions préalables

Avant de commencer, vérifiez que vous avez effectué les opérations suivantes :

  • Acheté Microsoft Entra ID licences P1 ou P2 pour votre locataire. Cela est nécessaire pour activer la fonctionnalité d’écriture différée de groupes dans Microsoft Entra Connect.

  • Vous avez configuré un déploiement hybride entre votre organization exchange local et Microsoft 365 ou Office 365 et vérifié qu’il fonctionne correctement. Pour plus d’informations sur les déploiements hybrides Exchange, consultez les articles suivants :

  • Installé une version prise en charge de l’intégration d’Exchange local à Groupes Microsoft 365 est disponible dans CU1 et les versions plus récentes d’Exchange 2016 et CU11 et les versions ultérieures d’Exchange 2013. Toutefois, Exchange hybride nécessite que la dernière mise à jour cumulative (CU) Exchange 2016 ou Exchange 2013 soit installée sur les serveurs Exchange locaux. Si vous ne pouvez pas installer la dernière CU, vous pouvez utiliser la mise à jour publiée immédiatement avant la CU actuelle.

  • Authentification unique configurée à l’aide de Microsoft Entra Connect (Microsoft Entra Connect). Cela est nécessaire pour permettre aux utilisateurs de cliquer sur le lien Afficher des fichiers de groupe ou les liens de pièces jointes dans le cloud dans les messages électroniques du groupe.

    Lorsque vous configurez Microsoft Entra Connect pour l’authentification unique dans un déploiement Exchange hybride, nous vous recommandons d’utiliser la synchronisation de mot de passe. Services ADFS (AD FS) ne doit être utilisé que si vous êtes dans une grande organization ; si vous avez un déploiement Active Directory local complexe (par exemple, plusieurs forêts Active Directory) ; si un autre produit Microsoft nécessite qu’AD FS fonctionne avec Microsoft 365 ou Office 365; ou si, en raison de stratégies de conformité, vous n’êtes pas en mesure de synchroniser les mots de passe en dehors de votre réseau local. Pour plus d’informations sur l’authentification unique, consultez Choisir une solution pour l’intégration de Active Directory local à Azure.

Activer l’écriture différée de groupe dans Microsoft Entra Connect

Cette étape synchronise Groupes Microsoft 365 de Exchange Online à Exchange local.

  1. Ouvrez l’Assistant Connexion Microsoft Entra, sélectionnez Configurer, puis cliquez sur Suivant.

  2. Sélectionnez Personnaliser les options de synchronisation, puis cliquez sur Suivant.

  3. Dans la page Se connecter à Microsoft Entra ID, entrez vos informations d’identification Microsoft 365 ou Office 365. Cliquez sur Suivant.

  4. Sur la page Fonctionnalités facultatives, vérifiez que les options que vous avez configurées précédemment sont toujours sélectionnées. Les options les plus fréquemment sélectionnées sont Exchange hybride et Synchronisation de hachage de mot de passe.

  5. Sélectionnez Écriture différée de groupe puis cliquez sur Suivant.

  6. Dans la page Réécriture, sélectionnez une unité d’organisation Active Directory pour stocker les objets qui sont synchronisés à partir de Microsoft 365 ou Office 365 avec votre organization local, puis cliquez sur Suivant.

  7. Sur la page Prêt à configurer, cliquez sur Configurer.

  8. Une fois l'Assistant terminé, cliquez sur Quitter sur la page Configuration terminée.

  9. Ouvrez Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine Active Directory et recherchez le compte d'utilisateur qui commence par AAD_. Notez le nom de ce compte. Vous pouvez également utiliser une applet de commande PowerShell pour déterminer votre compte de connecteur AD DS

  10. Ouvrez le Windows PowerShell sur le serveur Microsoft Entra Connect, puis exécutez les commandes suivantes.

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN

Configurer un domaine de groupe

Le domaine SMTP principal d’un groupe Microsoft 365 est appelé domaine de groupe. Par défaut, le domaine accepté par défaut dans votre Exchange Online organization est choisi comme domaine de groupe. Pour une meilleure interopérabilité avec les serveurs locaux, nous vous recommandons d’ajouter un domaine de groupes dédiés. Vous pouvez ajouter un domaine en procédant comme suit. Pour plus d’informations sur la prise en charge multi-domaine pour Groupes Microsoft 365, case activée la prise en charge de plusieurs domaines pour Groupes Microsoft 365.

  1. Ajoutez votre nouveau domaine à votre Microsoft 365 ou Office 365 organization. Si vous avez besoin d’aide pour ajouter un domaine à Microsoft 365 ou Office 365, case activée Ajouter un domaine à Microsoft 365.

  2. Créez les enregistrements DNS publics suivants auprès de votre fournisseur DNS.

    Nom d’enregistrement DNS Type d’enregistrement DNS Valeur d’enregistrement DNS
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 Le format de cette valeur d’enregistrement DNS est <clé> de domaine.mail.protection.outlook.com. Pour savoir quelle est votre clé de domaine, case activée collectez les informations dont vous avez besoin pour créer des enregistrements DNS.

    Attention

    Si l’enregistrement DNS MX pour le domaine de groupe est défini sur le serveur Exchange local, le flux de messagerie ne fonctionne pas correctement entre les utilisateurs dans le organization Exchange local et le groupe Microsoft 365.

  3. Ajoutez le domaine de groupe sous la forme d'un domaine accepté dans votre organisation Exchange en local à l'aide de la commande suivante. Cela est nécessaire pour que le connecteur d’envoi hybride puisse être utilisé pour remettre le courrier sortant au domaine de groupe dans Microsoft 365 ou Office 365.

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay

Importante

Vérifiez que les serveurs locaux peuvent résoudre l’entrée MX ajoutée pour le domaine du groupe à l’étape 2. Le domaine du groupe doit être ajouté en tant que InternalRelay, sinon, il provoquera des problèmes de flux de messagerie.

  1. Ajoutez le domaine de groupe au connecteur d'envoi hybride, créé par l'Assistant Configuration hybride dans votre organisation Exchange en local, à l'aide de la commande suivante.

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"

    Remarque

    Si le connecteur d’envoi n’est pas mis à jour, ou si le domaine de groupe n’est pas ajouté sous la forme d’un domaine accepté dans l’organisation Exchange en local, le courrier électronique envoyé à partir d’une boîte aux lettres en local ne sera pas remis au groupe, sauf si le groupe est configuré pour recevoir du courrier provenant d’expéditeurs externes.

Comment savoir si cela a fonctionné ?

Pour vous assurer que les groupes fonctionnent avec votre déploiement hybride Exchange, vous devez les tester à l’aide d’une boîte aux lettres locale et d’une boîte aux lettres qui a été déplacée de votre organization locale vers Microsoft 365 ou Office 365. Suivez les étapes présentées dans les sections suivantes pour réaliser chaque test.

Test à l’aide d’une boîte aux lettres locale

  1. Ajoutez une boîte aux lettres locale à un groupe Microsoft 365.
  2. Ajoutez une boîte aux lettres Microsoft 365 ou Office 365 au même groupe Microsoft 365.
  3. Connectez-vous à la boîte aux lettres Microsoft 365 ou Office 365 à l’aide de Outlook sur le web.
  4. Publiez un message dans le groupe à l’aide de la boîte aux lettres Microsoft 365 ou Office 365.
  5. Ouvrez la boîte aux lettres locale à l'aide d'Outlook 2016 ou d'Outlook sur le web.
  6. Vérifiez que la boîte aux lettres a reçu un e-mail contenant la publication envoyée au groupe Microsoft 365.
  7. Dans la même boîte aux lettres, rédigez une réponse au message et envoyez-la au groupe.
  8. Vérifiez que le message peut être affiché par tous les membres du groupe.

Test à l’aide d’une boîte aux lettres déplacée vers Microsoft 365 ou Office 365

  1. Déplacez une boîte aux lettres de votre organization Exchange local vers Microsoft 365 ou Office 365.
  2. Ajoutez la boîte aux lettres à un groupe Microsoft 365.
  3. Dans une nouvelle session de navigateur, connectez-vous à la boîte aux lettres qui a été déplacée vers Microsoft 365 ou Office 365.
  4. Dans Outlook sur le web, vérifiez que le groupe est répertorié dans la barre de navigation gauche.
  5. Publiez un message destiné au groupe.
  6. Vérifiez que le message peut être affiché par tous les membres du groupe.

Problèmes connus

  • Les versions antérieures de Microsoft Entra Connect n’installent pas DSACLS.exe: vous devez installer RSAT ou la dernière version de Microsoft Entra Connect pour gérer les autorisations sur les groupes (si nécessaire).

  • Les groupes n’apparaissent pas pour les boîtes aux lettres déplacées vers Microsoft 365 ou Office 365 : lorsqu’un utilisateur est déplacé de votre organization Exchange local vers Microsoft 365 ou Office 365, les groupes n’apparaissent pas dans le volet de navigation gauche dans Outlook ou Outlook sur le web. Pour résoudre le problème, supprimez la boîte aux lettres à partir de n'importe quel groupe dont elle est membre et rajoutez-la à chaque groupe.

  • Les nouveaux groupes n’apparaissent pas dans la liste d’adresses globale Exchange locale : lorsqu’un groupe est créé dans Microsoft 365 ou Office 365, il n’apparaît pas automatiquement dans la liste d’adresses globale locale. Pour résoudre ce problème, ouvrez l'environnement de ligne de commande Exchange Management Shell sur un serveur Exchange et exécutez la commande suivante.

    Update-Recipient -Identity "[group Distinguished Name]"

  • Si le connecteur Outbound to Office 365 send utilise un serveur de transport Edge comme serveur source : les messages à Groupes Microsoft 365 finissent dans une boucle, ce qui entraîne un rapport de non-remise. Pour plus d’informations, consultez Domaines acceptés dans Exchange Server.

  • Les utilisateurs locaux ne peuvent pas utiliser les liens inclus dans les pieds de page de message de groupe : les utilisateurs locaux ne peuvent pas utiliser les liens Afficher les conversations de groupe ou Se désabonner qui sont inclus dans le pied de page de chaque message de groupe qui leur est envoyé. Pour annuler un abonnement d'un groupe, les utilisateurs locaux doivent contacter un administrateur de groupe.

  • Les messages envoyés à l’adresse SMTP secondaire d’un groupe ne peuvent pas être remis : lorsque plusieurs adresses e-mail sont ajoutées à un groupe, seule l’adresse SMTP principale est réécrit dans votre Active Directory local. Si un utilisateur local essaie d'envoyer un message à l'adresse SMTP secondaire d'un groupe, le message ne pourra pas être remis. Pour éviter ce problème, configurez une seule adresse SMTP sur chaque groupe.

  • La remise de messages externes à un groupe échoue si vous avez activé le flux de courrier centralisé : si le flux de courrier centralisé est activé, les messages envoyés par un utilisateur externe à un groupe ne peuvent pas être remis, même si le groupe autorise les e-mails provenant d’expéditeurs externes.

  • Les utilisateurs locaux ne peuvent pas envoyer de courrier en tant que groupe : un utilisateur local qui tente d’envoyer un message en tant que groupe Microsoft 365 reçoit une erreur d’autorisation refusée, même s’il reçoit des autorisations Envoyer en tant que sur le groupe. Les autorisations « Envoyer en tant que » sur un groupe fonctionnent uniquement pour les utilisateurs de boîte aux lettres Exchange Online.

  • Par défaut, lorsqu’un e-mail est envoyé à partir d’une boîte aux lettres locale à un groupe Outlook dont l’utilisateur est membre, l’utilisateur ne reçoit pas une copie de cet e-mail dans sa boîte de réception : l’administrateur du locataire Exchange Online peut utiliser la commande shell Exchange Online suivante pour s’assurer que l’utilisateur de la boîte aux lettres locale peut recevoir une copie de l’e-mail dans sa boîte de réception :

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true

  • Les utilisateurs locaux ne peuvent pas envoyer de courrier en tant que groupe : un utilisateur local qui tente d’envoyer un message en tant que groupe Microsoft 365 reçoit une erreur d’autorisation refusée, même s’il reçoit des autorisations Envoyer en tant que sur le groupe. Les autorisations « Envoyer en tant que » sur un groupe fonctionnent uniquement pour les utilisateurs de boîte aux lettres Exchange Online.

  • Autoriser les utilisateurs locaux à gérer un groupe Microsoft 365 : les utilisateurs locaux peuvent être affectés en tant que propriétaires d’un groupe Microsoft 365. Toutefois, les utilisateurs locaux devront utiliser le portail web Microsoft Entra pour gérer les groupes dont ils sont propriétaires. L’administrateur Microsoft Entra doit activer la gestion en libre-service dans le centre d'administration Microsoft Entra à l’aide des étapes fournies dans Configurer la gestion des groupes en libre-service dans Microsoft Entra ID.

  • La sélection d’un groupe dans le volet de navigation gauche d’Outlook n’ouvre pas la boîte aux lettres du groupe pour un utilisateur Exchange Online : Outlook utilise l’URL de découverte automatique pour ouvrir une boîte aux lettres de groupe. Si l’adresse e-mail principale d’un groupe se trouve dans un domaine qui ne pointe pas vers l’URL de découverte automatique microsoft 365 ou Office 365 (autodiscover.outlook.com), Outlook ne peut pas ouvrir la boîte aux lettres du groupe. Pour résoudre ce problème, les groupes peuvent être approvisionnés avec une adresse principale dans un domaine qui pointe vers l’URL de découverte automatique microsoft 365 ou Office 365. Vous pouvez configurer une stratégie d’adresse e-mail pour ajouter un adresse e-mail principale sur chaque boîte aux lettres de groupe qui pointe vers cette URL de découverte automatique. Pour plus d’informations, consultez Choisir le domaine à utiliser lors de la création de Groupes Microsoft 365.

  • Suivre dans la boîte de réception : en règle générale, un membre du groupe Microsoft 365 peut choisir de recevoir ou non un e-mail envoyé au groupe dans sa boîte de réception en sélectionnant l’option Suivre dans la boîte de réception dans les paramètres du groupe. Toutefois, les utilisateurs disposant de boîtes aux lettres locales n’ont pas accès au paramètre de groupe pour sélectionner l’option Suivre dans la boîte de réception . Par conséquent, les utilisateurs locaux qui sont ajoutés au groupe Microsoft 365 sont déjà configurés pour recevoir des e-mails et des calendriers de groupe dans leur boîte de réception, quel que soit le paramètre associé sur le groupe. Les administrateurs peuvent désactiver l’abonnement pour les utilisateurs locaux en exécutant la commande suivante dans Exchange Online PowerShell :

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>

    Par exemple :

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR