Configurare Gruppi di Microsoft 365 con Exchange ibrido locale

Informazioni su come abilitare gli utenti di Exchange locali per l'uso di Gruppi di Microsoft 365 in una distribuzione ibrida.

Gruppi di Microsoft 365 servizio che consente ai team di comunicare, pianificare riunioni e collaborare più facilmente ai documenti. Tutte le informazioni condivise (dai messaggi di posta elettronica inviati al gruppo, ai file archiviati in OneDrive for Business del gruppo o nelle raccolte di SharePoint) sono disponibili per ogni membro del gruppo. Se è stata configurata una distribuzione ibrida tra l'organizzazione di Exchange locale e Microsoft 365 o Office 365, è possibile rendere i gruppi creati in Microsoft 365 o Office 365 disponibili per gli utenti locali seguendo la procedura descritta in questo argomento.

Di seguito sono riportate le esperienze che gli utenti delle cassette postali locali possono aspettarsi dopo aver eseguito tutti i passaggi di questo documento:

  • Espandere un gruppo di Microsoft 365 e visualizzare i membri, proprio come in un gruppo di distribuzione, in Outlook sul web e nel client desktop outlook durante la composizione di un nuovo messaggio di posta elettronica.
  • Inviare e ricevere messaggi di posta elettronica e inviti al calendario da e verso Gruppi di Microsoft 365.
  • Collaborare ai documenti ODB inviati dagli utenti di Microsoft 365.
  • Accedere a un sito di SharePoint, Planner e OneNote associati al gruppo di Microsoft 365.

Importante

Dopo aver eseguito correttamente i passaggi descritti in questo articolo, la cassetta postale locale può eseguire le attività indicate in precedenza. Tuttavia, il gruppo di Microsoft 365 non verrà visualizzato nella barra di spostamento di Outlook sul web o del client desktop di Outlook. Per un'esperienza di Gruppi di Microsoft 365 completa, la cassetta postale deve essere presente in Microsoft 365.

Per le correzioni ai problemi noti, vedere la sezione Problemi noti alla fine di questo argomento.

Prerequisiti

Prima di iniziare, verificare di aver effettuato le operazioni seguenti:

  • Acquistato Microsoft Entra ID licenze P1 o P2 per il tenant. Questa operazione è necessaria per abilitare la funzionalità di writeback Gruppi in Microsoft Entra Connect.

  • È stata configurata una distribuzione ibrida tra l'organizzazione locale di Exchange e Microsoft 365 o Office 365 e si è verificato il corretto funzionamento. Per altre informazioni sulle distribuzioni ibride di Exchange, vedere gli articoli seguenti:

  • È stata installata una versione supportata dell'integrazione di Exchange locale con Gruppi di Microsoft 365 è disponibile in CU1 e versioni più recenti di Exchange 2016 e CU11 e versioni più recenti di Exchange 2013. Tuttavia, l'ambiente ibrido di Exchange richiede l'installazione dell'ultima versione dell'aggiornamento cumulativo (CU) di Exchange 2013 o Exchange 2016 nei server di Exchange locali. Se non è possibile installare l'ultima versione di CU, è possibile utilizzare l'aggiornamento cumulativo rilasciato immediatamente prima di quello corrente.

  • Accesso Single Sign-On configurato tramite Microsoft Entra Connect (Microsoft Entra Connect). Questa impostazione è necessaria per consentire agli utenti di fare clic su Visualizza file del gruppo o sui collegamenti degli allegati cloud nei messaggi di posta elettronica di gruppo.

    Quando si configura Microsoft Entra Connect per l'accesso Single Sign-On in una distribuzione ibrida di Exchange, è consigliabile usare la sincronizzazione delle password. Active Directory Federation Services (AD FS) deve essere usato solo se si è in un'organizzazione di grandi dimensioni; se si dispone di una distribuzione Active Directory locale complessa (ad esempio, più foreste di Active Directory); se un altro prodotto Microsoft richiede ad AD FS di lavorare con Microsoft 365 o Office 365; oppure se, a causa dei criteri di conformità, non è possibile sincronizzare le password all'esterno della rete locale. Per altre informazioni sull'accesso Single Sign-On, vedere Scegliere una soluzione per l'integrazione di Active Directory locale con Azure.

Abilitare il writeback del gruppo in Microsoft Entra Connect

Questo passaggio sincronizza Gruppi di Microsoft 365 da Exchange Online a Exchange locale.

  1. Aprire la procedura guidata Microsoft Entra Connetti, selezionare Configura e quindi fare clic su Avanti.

  2. Selezionare Personalizza opzioni di sincronizzazione e quindi fare clic su Avanti.

  3. Nella pagina Connetti a Microsoft Entra ID immettere le credenziali di Microsoft 365 o Office 365. Scegliere Avanti.

  4. Nella pagina delle caratteristiche facoltative, verificare che le opzioni configurate in precedenza siano ancora selezionate. Le opzioni selezionate più frequentemente sono Exchange ibrido e Sincronizzazione delle password hash.

  5. Selezionare writeback gruppi, quindi fare clic su Avanti.

  6. Nella pagina Writeback selezionare un'unità organizzativa (OU) di Active Directory per archiviare gli oggetti sincronizzati da Microsoft 365 o Office 365 all'organizzazione locale e quindi fare clic su Avanti.

  7. Nella pagina Pronto per la configurazione fare clic su Configura.

  8. Una volta completata la procedura guidata, fare clic su Esci nella pagina Configurazione completata.

  9. Aprire Utenti e computer di Active Directory in un controller di dominio Active Directory, quindi individuare l'account utente che inizia con AAD_. Prendere nota del nome dell'account. È anche possibile usare un cmdlet di PowerShell per determinare l'account del connettore di Active Directory Domain Services

  10. Aprire il Windows PowerShell nel server Microsoft Entra Connect ed eseguire i comandi seguenti.

    $AzureADConnectSWritebackAccountDN = <AAD_ account DN>
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
    

Configurare un dominio di gruppo

Il dominio SMTP primario di un gruppo di Microsoft 365 è denominato dominio di gruppo. Per impostazione predefinita, il dominio accettato predefinito nell'organizzazione Exchange Online viene scelto come dominio di gruppo. Per una migliore interoperabilità con i server locali, è consigliabile aggiungere un dominio di gruppi dedicati. È possibile aggiungere un dominio seguendo questa procedura. Per altre informazioni sul supporto multidominio per Gruppi di Microsoft 365, vedere Supporto multidominio per Gruppi di Microsoft 365.

  1. Aggiungere il nuovo dominio all'organizzazione di Microsoft 365 o Office 365. Per assistenza per l'aggiunta di un dominio a Microsoft 365 o Office 365, vedere Aggiungere un dominio a Microsoft 365.

  2. Creare i seguenti record DNS pubblici con il provider DNS.

    Nome del record DNS Tipo di record DNS Valore del record DNS
    groups.contoso.com MX groups-contoso-com.mail.protection.outlook.com1
    autodiscover.groups.contoso.com CNAME autodiscover.outlook.com

    1 Il formato di questo valore del record DNS è <domain key.mail.protection.outlook.com>. Per scoprire qual è la chiave di dominio, vedere Raccogliere le informazioni necessarie per creare record DNS.

    Attenzione

    Se il record DNS MX per il dominio del gruppo è impostato sul server Exchange locale, il flusso di posta non funzionerà correttamente tra gli utenti dell'organizzazione di Exchange locale e il gruppo di Microsoft 365.

  3. Aggiungere il dominio di gruppo come dominio accettato nell'organizzazione di Exchange locale utilizzando il comando seguente. Ciò è necessario in modo che il connettore di invio ibrido possa essere usato per distribuire la posta in uscita al dominio del gruppo in Microsoft 365 o Office 365.

    New-AcceptedDomain -Name groups.contoso.com -DomainName groups.contoso.com -DomainType InternalRelay
    

Importante

Assicurarsi che i server locali possano risolvere la voce MX aggiunta per il dominio del gruppo nel passaggio 2. Il dominio del gruppo deve essere aggiunto come InternalRelay, altrimenti causerà problemi di flusso di posta.

  1. Aggiungere il dominio di gruppo al connettore di invio ibrido, creato dalla procedura guidata di configurazione ibrida nell'organizzazione di Exchange locale, usando il comando seguente.

    Set-SendConnector -Identity "Outbound to Office 365" -AddressSpaces "contoso.mail.onmicrosoft.com","groups.contoso.com"
    

    Nota

    Se il connettore di invio non viene aggiornato o se il dominio del gruppo non viene aggiunto come dominio accettato nell'organizzazione di Exchange locale, i messaggi inviati da una cassetta postale locale non verranno recapitati al gruppo, a meno che il gruppo non sia configurato per ricevere la posta da mittenti esterni.

Come verificare se l'operazione ha avuto esito positivo

Per assicurarsi che i gruppi funzionino con la distribuzione ibrida di Exchange, è consigliabile testarli usando una cassetta postale locale e una cassetta postale spostata dall'organizzazione locale a Microsoft 365 o Office 365. Seguire i passaggi descritti nelle sezioni seguenti per ogni test.

Test mediante una cassetta postale locale

  1. Aggiungere una cassetta postale locale a un gruppo di Microsoft 365.
  2. Aggiungere una cassetta postale di Microsoft 365 o Office 365 allo stesso gruppo di Microsoft 365.
  3. Accedere alla cassetta postale di Microsoft 365 o Office 365 usando Outlook sul web.
  4. Pubblicare un messaggio al gruppo usando la cassetta postale di Microsoft 365 o Office 365.
  5. Aprire la cassetta postale locale mediante Outlook 2016 o Outlook sul web.
  6. Verificare che la cassetta postale ha ricevuto un messaggio di posta elettronica contenente il post inviato al gruppo di Microsoft 365.
  7. Nella stessa cassetta postale, scrivere una risposta al messaggio e inviarlo al gruppo.
  8. Verificare che il messaggio possa essere visualizzato da tutti i membri del gruppo.

Test con una cassetta postale spostata in Microsoft 365 o Office 365

  1. Spostare una cassetta postale dall'organizzazione di Exchange locale a Microsoft 365 o Office 365.
  2. Aggiungere la cassetta postale a un gruppo di Microsoft 365.
  3. In una nuova sessione del browser accedere alla cassetta postale spostata in Microsoft 365 o Office 365.
  4. In Outlook sul web, verificare che il gruppo sia elencato nella barra di spostamento sinistra.
  5. Inviare un messaggio al gruppo.
  6. Verificare che il messaggio possa essere visualizzato da tutti i membri del gruppo.

Problemi noti

  • Le versioni precedenti di Microsoft Entra Connect non installano DSACLS.exe: è necessario installare RSAT o la versione più recente di Microsoft Entra Connect per gestire le autorizzazioni per i gruppi (se necessario).

  • I gruppi non vengono visualizzati per le cassette postali spostate in Microsoft 365 o Office 365: quando un utente viene spostato dall'organizzazione di Exchange locale a Microsoft 365 o Office 365, i gruppi non verranno visualizzati nel riquadro di spostamento a sinistra in Outlook o Outlook sul web. Per correggere il problema, rimuovere la cassetta postale da qualsiasi gruppo di cui fa parte e aggiungerla nuovamente a ogni gruppo.

  • I nuovi gruppi non vengono visualizzati nell'elenco indirizzi globale di Exchange locale: quando viene creato un nuovo gruppo in Microsoft 365 o Office 365, non verrà visualizzato automaticamente nell'elenco indirizzi globale locale. Per correggere il problema, aprire Exchange Management Shell su un server di Exchange locale ed eseguire il seguente comando.

    Update-Recipient -Identity "[group Distinguished Name]"
    
  • Se il connettore di invio in uscita a Office 365 usa un server trasporto Edge come server di origine: i messaggi da Gruppi di Microsoft 365 finiranno in un ciclo, generando un report di mancato recapito. Per altri dettagli, vedere Domini accettati in Exchange Server.

  • Gli utenti locali non possono usare i collegamenti inclusi nei piè di pagina dei messaggi di gruppo: gli utenti locali non possono usare i collegamenti Visualizza conversazioni di gruppo o Annulla sottoscrizione inclusi nel piè di pagina di ogni messaggio di gruppo inviato. Per annullare la sottoscrizione a un gruppo, gli utenti locali possono contattare un amministratore del gruppo.

  • La posta inviata all'indirizzo SMTP secondario di un gruppo non viene recapitata: quando vengono aggiunti più indirizzi di posta elettronica a un gruppo, solo l'indirizzo SMTP primario viene scritto di nuovo nel Active Directory locale. Se un utente locale tenta di inviare un messaggio all'indirizzo SMTP secondario di un gruppo, il messaggio non verrà recapitato. Per evitare questo problema, configurare un solo indirizzo SMTP su ogni gruppo.

  • Il recapito della posta esterna a un gruppo non riesce se è stato abilitato il flusso di posta centralizzato: se il flusso di posta centralizzato è abilitato, la posta inviata da un utente esterno a un gruppo non viene recapitata, anche se il gruppo consente la posta elettronica da mittenti esterni.

  • Gli utenti locali non possono inviare messaggi di posta elettronica come gruppo: un utente locale che tenta di inviare un messaggio come gruppo di Microsoft 365 riceverà un errore di autorizzazione negata anche se riceve le autorizzazioni SendAs per il gruppo. Le autorizzazioni "Invia come" di un gruppo funzionano soltanto per gli utenti di cassette postali di Exchange Online.

  • Per impostazione predefinita, quando un messaggio di posta elettronica viene inviato da una cassetta postale locale a un gruppo di Outlook di cui l'utente è membro, l'utente non riceve una copia del messaggio nella posta in arrivo: l'amministratore del tenant Exchange Online può usare il comando della shell Exchange Online seguente per assicurarsi che l'utente della cassetta postale locale possa ricevere una copia del messaggio di posta elettronica nella posta in arrivo:

    Get-MailUser <MEU for On-Premises mailbox> | Set-MailboxMessageConfiguration -EchoGroupMessageBackToSubscribedSender $true
    
  • Gli utenti locali non possono inviare messaggi di posta elettronica come gruppo: un utente locale che tenta di inviare un messaggio come gruppo di Microsoft 365 riceverà un errore di autorizzazione negata anche se riceve le autorizzazioni SendAs per il gruppo. Le autorizzazioni "Invia come" di un gruppo funzionano soltanto per gli utenti di cassette postali di Exchange Online.

  • Consentire agli utenti locali di gestire un gruppo di Microsoft 365: gli utenti locali possono essere assegnati come proprietari di un gruppo di Microsoft 365. Tuttavia, gli utenti locali dovranno usare il portale Web Microsoft Entra per gestire i gruppi di cui sono proprietari. L'amministratore Microsoft Entra deve abilitare la gestione self-service nel Interfaccia di amministrazione di Microsoft Entra seguendo i passaggi descritti in Configurare la gestione dei gruppi self-service in Microsoft Entra ID.

  • La selezione di un gruppo dal riquadro di spostamento sinistro di Outlook non apre la cassetta postale del gruppo per un utente Exchange Online: Outlook usa l'URL di individuazione automatica per aprire una cassetta postale di gruppo. Se l'indirizzo di posta elettronica principale di un gruppo si trova in un dominio che non punta a Microsoft 365 o Office 365 URL di individuazione automatica (autodiscover.outlook.com), Outlook non sarà in grado di aprire la cassetta postale del gruppo. Per risolvere questo problema, è possibile effettuare il provisioning dei gruppi con un indirizzo primario in un dominio che punta all'URL di Individuazione automatica di Microsoft 365 o Office 365. È possibile configurare un criterio di indirizzo di posta elettronica per aggiungere un indirizzo di posta elettronica primario in ogni cassetta postale del gruppo che punta a tale URL di individuazione automatica. Per altri dettagli, vedere Scegliere il dominio da usare durante la creazione di Gruppi di Microsoft 365.

  • Seguire in Posta in arrivo: in genere, un membro del gruppo di Microsoft 365 può selezionare se ricevere o meno il messaggio di posta elettronica inviato al gruppo nella posta in arrivo selezionando l'opzione Segui posta in arrivo nelle impostazioni del gruppo. Tuttavia, gli utenti con cassette postali locali non hanno accesso all'impostazione del gruppo per selezionare l'opzione Segui posta in arrivo . Pertanto, gli utenti locali aggiunti al gruppo di Microsoft 365 sono già configurati per ricevere messaggi di posta elettronica e calendari di gruppo nella posta in arrivo, indipendentemente dall'impostazione correlata nel gruppo. Gli amministratori possono disattivare la sottoscrizione per gli utenti locali eseguendo il comando seguente in Exchange Online PowerShell:

    Remove-UnifiedGroupLinks -Identity <GroupIdentity> -LinkType Subscribers -Links <UserIdentity>
    

    Ad esempio:

    Remove-UnifiedGroupLinks -Identity Dynamic2 -LinkType Subscribers -Links JohnR