使用內部部署 Exchange 混合式設定 Microsoft 365 群組

瞭解如何讓內部部署 Exchange 使用者在混合式部署中使用 Microsoft 365 群組。

Microsoft 365群組服務,可讓小組進行通訊、排程會議,以及更輕鬆地在檔上進行共同作業。 與群組共用的所有資訊,從傳送給群組的電子郵件訊息,到儲存在群組的商務用 OneDrive 或 SharePoint 文件庫中的檔案,都可供群組的任何成員取用。 如果您已在內部部署 Exchange 組織與 Microsoft 365 或 Office 365 之間設定混合式部署,您可以遵循本主題中的步驟,讓您的內部部署使用者可以使用 Microsoft 365 或 Office 365 中建立的群組。

下列是在執行本檔中的所有步驟之後,內部部署信箱使用者可以預期的經驗:

  • 展開 Microsoft 365 群組,並在撰寫新電子郵件時,在 Outlook 網頁版和 Outlook 桌面用戶端的情況下,查看成員,就像在通訊群組中。
  • 在 Microsoft 365 群組中傳送及接收電子郵件和行事曆邀請。
  • 在 Microsoft 365 使用者所傳送的 ODB 檔上共同作業。
  • 存取與 Microsoft 365 群組相關聯的 SharePoint 網站、Planner 及 OneNote。

重要

成功執行本文中的步驟之後,內部部署信箱可以執行先前提及的工作。 不過,Microsoft 365 群組不會出現在 Outlook 網頁版或 Outlook 的桌面用戶端的導覽列中。 針對完善的 Microsoft 365 群組體驗,信箱必須存在於 Microsoft 365 中。

請參閱本主題最後的 已知問題 一節,以取得已知問題的修正。

必要條件

在開始之前,請確定已完成下列項目︰

  • 為您的租用戶購買 Azure Active Directory 進階授權。這樣才能啟用在 Azure Active Directory Connect 中的群組回寫功能。

  • 設定 Exchange 內部部署組織與 Microsoft 365 或 Office 365 的混合式部署,並確認其運作正常。 如需 Exchange 混合式部署的詳細資訊,請參閱下列文章:

  • 已安裝支援的 Exchange 內部部署 Exchange 與 Microsoft 365 群組的整合,可于 CU1 和更新版本的 Exchange 2016 中取得,以及 CU11 2013 的更新版本。 然而,Exchange 混合式需要最新的 Exchange 2013 或 Exchange 2016 累積更新 (CU) 安裝在您的內部部署 Exchange 伺服器上。 如果您無法安裝最新的 CU,可以使用目前的 CU 之前發行的更新。

  • 使用 Azure Active Directory Connect (Azure AD Connect) 設定單一登入。需要這個設定以允許使用者按一下群組電子郵件訊息中的 檢視群組檔案 或雲端附件連結。

    在 Exchange 混合式部署中設定單一登入 Azure AD Connect 時,我們建議您使用密碼同步化。 只有當您在大型組織中時,才應使用 Active Directory Federation Services (AD FS) 。如果您有複雜的內部部署 Active Directory 部署 (例如,多個 Active Directory 樹系) ;若其他 Microsoft 產品要求 AD FS 使用 Microsoft 365 或 Office 365,或者,如果法規遵從性原則,您就無法同步處理內部部署網路之外的密碼。 如需單一登入的詳細資訊,請參閱選擇解決方案以整合內部部署 Active Directory 與 Azure

在 Azure AD Connect 中啟用群組回寫

此步驟會將 Microsoft 365 群組從 Exchange Online 同步處理至 Exchange 內部部署。

  1. 開啟 [Azure AD Connect 精靈],選取 [設定],然後按一下 [下一步]

  2. 選取 [自訂同步處理選項],然後選取 [下一步]。

  3. 在 [連線 Azure AD ] 頁面上,輸入您的 Microsoft 365 或 Office 365 認證。 按 [下一步]。

  4. [選擇性功能] 頁面上,確認您先前設定的選項仍然選取。最常選取的選項是 [Exchange 混合式][密碼雜湊同步化]

  5. 選取 [群組回寫],然後按 [下一步]

  6. 在 [回寫] 頁面上,選取 [Active Directory 組織單位] (OU) ,以儲存從 Microsoft 365 或 Office 365 同步處理至內部部署組織的物件,然後按 [下一步]

  7. [準備設定] 頁面上,按一下 [設定]

  8. 精靈完成時,按一下 [組態完成] 頁面上的 [結束]

  9. 在 Active Directory 網域控制站上開啟 [Active Directory 使用者和電腦],並尋找以 AAD__ 開頭的使用者帳戶。 記下這個帳戶的名稱。 您也可以使用 PowerShell cmdlet 來判斷您的 AD DS 連接器帳戶

  10. 開啟 Azure Active Directory 連接伺服器上的 Windows PowerShell,並執行以下指令。

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
    

設定群組網域

Microsoft 365 群組的主要 SMTP 網域稱為群組網域。 根據預設,Exchange Online 組織中的預設公認網域會選取為群組網域。 為了與內部部署伺服器的互用性更好,我們建議您新增專用群組網域。 您可以使用下列步驟來新增網域。 如需多網域支援 Microsoft 365 群組的詳細資訊,請參閱多網域支援 Microsoft 365 群組

  1. 將您的新網域新增至您的 Microsoft 365 或 Office 365 組織。 如果您需要協助將網域新增至 Microsoft 365 或 Office 365,請參閱Add a domain to Microsoft 365

  2. 使用您的 DNS 提供者建立下列公用 DNS 記錄。

    DNS 記錄名稱 DNS 記錄類型 DNS 記錄值
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 此 DNS 記錄值的格式為 <domain key> mail.protection.outlook.com。 若要找出您的網域機碼,請參閱 收集建立 DNS 記錄所需的資訊

    警告

    如果群組網域的 MX DNS 記錄設定為內部部署 Exchange 伺服器,則內部部署 Exchange 組織和 Microsoft 365 群組中的使用者之間將無法正確運作郵件流程。

  3. 使用下列命令,在您的內部部署 Exchange 組織中新增群組網域作為公認的網域。 這是必要的方式,讓混合傳送連接器可用來將輸出郵件傳送至 Microsoft 365 或 Office 365 中的群組網域。

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay
    

重要

確定內部部署伺服器可以解析為步驟2中為群組網域新增的 MX 專案。 群組的網域必須新增為 InternalRelay,否則會造成郵件流程問題。

  1. 使用下列命令,將群組網域新增至混合式傳送連接器,該連接器是由內部部署 Exchange 組織中的混合式組態精靈所建立。

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"
    

    注意

    如果沒有更新傳送連接器,或如果群組網域未新增為內部部署 Exchange 組織中公認的網域,則從內部部署信箱傳送的郵件不會傳遞至群組,除非該群組已設定為接收來自外部寄件者的郵件。

如何知道這是否正常運作?

若要確定群組已使用 Exchange 混合式部署,您應該使用內部部署信箱進行測試,並使用已從您的內部部署組織移至 Microsoft 365 或 Office 365 的信箱。 使用下列各節的步驟,來執行每項測試。

使用內部部署信箱進行測試

  1. 將內部部署信箱新增至 Microsoft 365 群組。
  2. 將 Microsoft 365 或 Office 365 信箱新增至相同的 Microsoft 365 群組。
  3. 使用 Outlook 網頁版登入 Microsoft 365 或 Office 365 信箱。
  4. 使用 Microsoft 365 或 Office 365 信箱,將訊息張貼至群組。
  5. 使用 Outlook 2016 或網頁型 Outlook 開啟內部部署信箱。
  6. 確認信箱收到一封電子郵件,其中包含傳送至 Microsoft 365 群組的文章。
  7. 在同一個信箱中,撰寫郵件的回覆,將它傳送給群組。
  8. 請確認訊息可以由群組的所有成員檢視。

使用移至 Microsoft 365 或 Office 365 的信箱進行測試

  1. 將信箱從內部部署 Exchange 組織移至 Microsoft 365 或 Office 365。
  2. 將信箱新增至 Microsoft 365 群組。
  3. 在新的瀏覽器會話中,登入移至 Microsoft 365 或 Office 365 的信箱。
  4. 在網頁型 Outlook 中,確認群組列在左側的導覽列。
  5. 將訊息張貼至群組。
  6. 請確認訊息可以由群組的所有成員檢視。

已知問題

  • 舊版本的 Azure AD connect 不會安裝 DSACLS.exe:您需要安裝 RSAT 或最新版本的 Azure AD 連線以在必要 (時管理群組的許可權。

  • 移至 Microsoft 365 或 Office 365 的信箱不會出現群組:當使用者從您的內部部署 Exchange 組織移至 Microsoft 365 或 Office 365 時,群組不會出現在 Outlook 或 Outlook 網頁版的左功能窗格中。 若要修正這個問題,從屬於其成員的群組中移除信箱,並將之重新新增至每個群組。

  • 新的群組不會出現在內部部署 Exchange 全域通訊清單中 (GAL):在 Microsoft 365 或 Office 365 中建立新群組時,它不會自動出現在內部部署 GAL 中。 若要修正這個問題,在內部部署 Exchange 伺服器上開啟 Exchange 管理命令介面,並且執行下列命令。

    Update-Recipient -Identity "[group Distinguished Name]"
    
  • 輸出至 Office 365 傳送連接器使用 Edge transport server 做為來源伺服器,則 Microsoft 365 群組的郵件會在迴圈中結束,進而產生未傳遞回報。 如需詳細資訊,請參閱Exchange Server 中公認的網域

  • 內部部署使用者無法使用包含在群組訊息頁尾的連結:內部部署使用者無法使用 [檢視群組對話][取消訂閱] 連結,這些連結包含在傳送給他們的每個群組訊息頁尾。 若要從群組取消訂閱,內部部署使用者需連絡群組管理員。

  • 傳送給群組的次要 SMTP 地址的郵件無法傳遞:當多個電子郵件地址新增至群組時,只有主要 SMTP 地址會回寫至您的內部部署 Active Directory。 如果內部部署使用者嘗試傳送訊息給群組的次要 SMTP 地址,將無法傳遞訊息。 若要避免這個問題,請在每個群組上僅設定一個 SMTP 地址。

  • 將外部郵件傳遞至群組失敗如果您已啟用集中式郵件流程:如果啟用集中式郵件流程,則外部使用者傳送給群組的郵件就無法傳遞,即使群組允許來自外部寄件者的電子郵件也是一樣的。

  • 內部部署使用者無法將郵件傳送為群組:如果內部部署使用者嘗試以 Microsoft 365 群組的身分傳送郵件,則即使在群組上獲得「以下列傳送」許可權,也會收到許可權遭到拒絕的錯誤。 群組上的 [傳送為] 權限只適用於 Exchange Online 信箱使用者。

  • 根據 預設,當您將電子郵件從內部部署信箱傳送至使用者所屬的 Outlook 群組時,使用者不會在其收件匣中收到該電子郵件的複本: Exchange Online 承租人系統管理員可以使用下列 Exchange Online 命令介面命令,以確保內部部署信箱使用者可在其收件匣接收電子郵件的複本:

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true
    
  • 內部部署使用者無法將郵件傳送為群組:如果內部部署使用者嘗試以 Microsoft 365 群組的身分傳送郵件,則即使在群組上獲得「以下列傳送」許可權,也會收到許可權遭到拒絕的錯誤。 群組上的 [傳送為] 權限只適用於 Exchange Online 信箱使用者。

  • 允許內部部署使用者管理 Microsoft 365 群組:內部部署使用者可以指派為 Microsoft 365 群組的擁有者。 不過,內部部署使用者將必須使用 (Azure AD 網頁入口網站) [ https://account.activedirectory.windowsazure.com/r#/groups ] 來管理擁有的群組。 Azure AD 系統管理員必須使用 Azure Active Directory 中的「自行服務群組管理」中所提供的步驟,在 Azure AD 入口網站中啟用自助管理。

  • 從 Outlook 左導覽窗格中選取群組,不會開啟 Exchange Online 使用者的群組信箱: Outlook 使用 AutoDiscover URL 來開啟群組信箱。 如果群組的主要電子郵件地址所在的網域未指向 Microsoft 365 或 Office 365 AutoDiscover URL (autodiscover.outlook.com) ,Outlook 將無法開啟群組的信箱。 若要修正此問題,群組可以在指向 Microsoft 365 或 Office 365 AutoDiscover URL 的網域中布建主要位址。 您可以設定電子郵件地址原則,以在每個指向該 AutoDiscover URL 的群組信箱上新增主要電子郵件地址。 請參閱選擇建立 Microsoft 365 群組時要使用的網域,以取得詳細資訊。

  • 在收件匣中:一般情況下,Microsoft 365 群組成員可以選擇是否要在群組設定中的 [收件匣] 選項中選取 [按收件匣] 選項,以接收傳送至群組的電子郵件。 不過,具有內部部署信箱的使用者無法存取 group 設定,以選取 [ 在收件匣中追蹤 ] 選項。 因此,加入至 Microsoft 365 群組的內部部署使用者已設定為在其收件匣接收群組電子郵件和行事曆,不論群組上的相關設定為何。 系統管理員可以在 Exchange Online 中執行下列命令,關閉內部部署使用者的訂閱 PowerShell:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>
    

    例如:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR