Exchange Online e Microsoft 365: encaminhar Grp‑A para Grp‑B sem erro de regra de transporte

Após migrar parte do Exchange para o Microsoft 365 em modo híbrido, é comum querer que todo e‑mail enviado ao grupo legado Grp‑A seja entregue no novo grupo Grp‑B. Este guia prático explica por que a regra de transporte falhou, qual a causa técnica do erro e apresenta caminhos seguros para encaminhar as mensagens sem quebra do fluxo de trabalho ou de compliance.

Visão geral do cenário

O administrador tentou criar uma mail‑flow rule para redirecionar mensagens destinadas ao grupo de distribuição on‑premises Grp‑A para o novo grupo em nuvem Grp‑B. A criação da regra falhou com a mensagem:

“An existing transport rule ‘FWD Email Group’ already references a distribution group in the actions. Transport rules can’t add distribution groups to messages.”

Em termos práticos, o Exchange recusou a ação porque a regra tentava adicionar um grupo como destinatário durante o processamento do transporte.

Motivo técnico do erro

• Versões atuais do Exchange (on‑premises e Exchange Online) não permitem adicionar grupos de distribuição aos campos To/Cc/Bcc via regra de transporte.
• Se já existir alguma regra que faça referência a um grupo como ação de “adicionar destinatário”, a tentativa de criar outra regra semelhante tende a disparar a mesma exceção.
• Em ambientes híbridos, objetos sincronizados via AAD Connect e objetos somente‑nuvem podem ter nomes iguais mas identidades diferentes (GUIDs), aumentando o risco de conflitos e referências cruzadas equivocadas.

Principais estratégias para resolver

Abaixo estão as abordagens de menor atrito operacional para maior intervenção estrutural. A primeira costuma ser a mais limpa, resiliente e amigável ao suporte:

Melhor prática com endereço legado

Reatribuir o endereço SMTP antigo do Grp‑A ao Grp‑B (como alias/proxy address) e descontinuar o endereço no grupo antigo. Com isso, qualquer e‑mail para o endereço histórico cai diretamente no Grp‑B, sem depender de regras de transporte ou “encaminhadores”.

Encaminhamento no próprio objeto

Quando aplicável ao tipo de objeto, usar encaminhamento nativo no remetente legado (por exemplo, caixa compartilhada ou determinado tipo de grupo que suporte cópia para outro endereço). Nem todos os tipos de grupo oferecem essa opção; para grupos de distribuição clássicos, considere as opções seguintes.

Substituição por contato ou grupo de segurança habilitado para e‑mail

Converter o Grp‑A em um Mail Contact que aponta para o endereço do Grp‑B ou recriá‑lo como Mail‑enabled Security Group que delega o fluxo para o Grp‑B. Preserva o nome visível, simplifica políticas e evita a limitação de transport rule.

Consolidação na regra existente

Se já houver uma regra que mexe com destinatários, ajuste ou consolide a lógica nela (removendo a referência ao grupo ou substituindo‑a por contato individual), em vez de criar outra regra semelhante.

Higiene de diretório e nomenclatura

Renomear regras e objetos quando só o DisplayName colidir; remover objetos obsoletos; padronizar prefixos como ONP‑ e CLO‑ para evitar ambiguidade entre on‑prem e nuvem.

Suporte avançado

Persistindo o erro, acione o suporte do Microsoft 365 com logs de fluxo de mensagens e IDs de correlação para análise remota.

Tabela resumida de ações

Passo	Ação recomendada	Observações
1	Rever ou alterar a regra existente que já referencia grupo.	Limpe a ação de “adicionar”/“encaminhar para” grupo ou consolide a lógica na própria regra existente.
2	Usar encaminhamento no Grp‑A quando o tipo de objeto suportar.	Para grupos que não têm encaminhamento nativo, prefira contato ou alias no Grp‑B.
3	Converter Grp‑A em Mail Contact ou Mail‑enabled Security Group que encaminhe ao Grp‑B.	Preserva o endereço antigo e entrega no destino correto sem regra de transporte.
4	Renomear a nova regra e/ou o grupo se houver colisão de nome.	Em certos casos, o erro dispara por duplicidade de DisplayName.
5	Remover objetos obsoletos no AD/Azure AD antes de criar novas regras/grupos.	Evita confusão entre GUIDs e referências quebradas.
6	Abrir chamado no Centro de Administração do Microsoft 365.	Quando houver dependências difíceis de mapear, peça análise de logs de fluxo.

Roteiro de decisão

• Preciso manter o endereço histórico sem mudar nada nos clientes? Reatribua o endereço do Grp‑A como alias do Grp‑B.
• O Grp‑A pode virar ponto de passagem simples? Converta‑o em Mail Contact que entrega no Grp‑B.
• Já existe uma regra que mexe em destinatários? Consolide o comportamento na regra existente, evitando nova referência a grupo.
• Há duplicidade de nomes e objetos sincronizados? Resolva colisões de DisplayName e limpe objetos antigos antes de novas regras.

Implementação com melhor prática de alias

Esta abordagem remove a necessidade de regra de transporte e elimina o erro por design:

1. Libere o endereço do Grp‑A:
   • No Exchange on‑premises, abra o EAC clássico, Recipients > Groups, selecione Grp‑A e vá em Email address. Altere o Primary SMTP para um endereço temporário (ex.: grp-a-legacy@empresa.com) e remova o proxy grp-a@empresa.com para liberá‑lo.
   • Aguarde um ciclo do AAD Connect para refletir na nuvem.
2. Adicione o endereço histórico no Grp‑B:
   • No EAC do Exchange Online, Recipients > Groups, selecione Grp‑B e inclua grp-a@empresa.com como alias (proxy address). Opcionalmente, torne‑o primário se desejar que as respostas saiam com o endereço histórico.
3. Preserve a compatibilidade de respostas:
   • Capture o LegacyExchangeDN do Grp‑A e adicione como X500: no Grp‑B para que respostas a mensagens antigas não retornem NDR.

# Exchange on‑premises
Sessão remota (ajuste o FQDN do servidor)
$onPrem = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://EXCH01.contoso.local/PowerShell/ -Authentication Kerberos
Import-PSSession $onPrem -DisableNameChecking

Trocar o endereço primário do Grp‑A e remover o proxy antigo
Set-DistributionGroup -Identity "Grp-A" -PrimarySmtpAddress grp-a-legacy@empresa.com
Set-DistributionGroup -Identity "Grp-A" -EmailAddresses @{Remove="smtp:grp-a@empresa.com"}

Exchange Online
Connect-ExchangeOnline -ShowBanner:$false

Adicionar o alias antigo ao Grp‑B
Set-DistributionGroup -Identity "Grp-B" -EmailAddresses @{Add="smtp:grp-a@empresa.com"}

Preservar respostas antigas (X500)
$oldX500 = (Get-Recipient "Grp-A").LegacyExchangeDN
Set-DistributionGroup -Identity "Grp-B" -EmailAddresses @{Add=("X500:" + $oldX500)}

Verificação
Get-DistributionGroup "Grp-B" | FL PrimarySmtpAddress,EmailAddresses

Observação importante: se o Grp‑B for um Microsoft 365 Group (Unified), use Set-UnifiedGroup em vez de Set-DistributionGroup ao manipular endereços, e gerencie as opções de assinatura/entrega conforme a política da organização.

Encaminhamento no objeto legado

Dependendo do tipo do Grp‑A, pode haver uma opção de “enviar cópias para” ou “entregar também em” outro endereço. Essa funcionalidade é comum em mailboxes (incluindo caixas compartilhadas) e alguns tipos de grupo na nuvem, mas não está disponível na maioria dos grupos de distribuição clássicos on‑premises. Caso seu Grp‑A suporte a configuração:

1. No console de administração do Exchange correspondente ao objeto, abra o Grp‑A.
2. Localize as opções de Delivery options ou Mail flow settings.
3. Defina o encaminhamento para Grp‑B (endereço SMTP do novo grupo).

Se o Grp‑A não oferecer essa opção, utilize a abordagem do alias ou a substituição por contato.

Substituição por contato ou grupo de segurança com e‑mail

Quando não é possível editar o endereço do Grp‑A (por dependências ou compliance), você pode criar um Mail Contact que mantenha o DisplayName e o endereço histórico, mas que entregue diretamente no Grp‑B:

1. Remova o grp-a@empresa.com do objeto antigo para liberar o endereço.
2. Crie um contato chamado Grp‑A (Migrado) com ExternalEmailAddress apontando para grp-b@empresa.com ou para o endereço @tenant.onmicrosoft.com equivalente (evita confundir roteamento interno).
3. Atribua ao contato o endereço grp-a@empresa.com como SMTP principal.

# Exchange Online — criar contato que entrega no Grp‑B
New-MailContact -Name "Grp-A (Migrado)" -ExternalEmailAddress grp-b@tenant.onmicrosoft.com
Set-MailContact "Grp-A (Migrado)" -EmailAddresses smtp:grp-a@empresa.com

Dica de prevenção de loop: se usar um contato com endereço externo igual ao seu domínio autoritativo, valide os conectores e a resolução de destinatários para não criar loops. Preferir o endereço do tenant.onmicrosoft.com reduz esse risco.

Consolidação na regra existente

Se você já tem uma regra que adiciona destinatários, evite criar outra regra que referencie grupos. Em vez disso, substitua a referência ao grupo por um ou mais destinatários individuais (caixas, contatos ou endereços SMTP). Para localizar regras suspeitas:

Connect-ExchangeOnline -ShowBanner:$false

Encontrar regras que adicionam destinatários ou redirecionam
Get-TransportRule |
  Where-Object { $_.Actions -match 'RedirectMessageTo|BlindCopyTo|AddToRecipients|CopyTo' } |
  Format-List Name,Priority,State,Mode,Actions

Inspecionar regras que citam Grp‑A ou Grp‑B pelo nome ou endereço
Get-TransportRule |
  Where-Object { $_.Actions -match 'Grp-A|Grp-B|grp-a@|grp-b@' } |
  Format-List Name,Actions,Comments

Depois de localizar a regra, substitua o grupo por um contato ou endereço individual, e documente o racional no campo Comments para futuras auditorias.

Como identificar rapidamente o tipo de cada grupo

Connect-ExchangeOnline -ShowBanner:$false

Tipo do Grp‑A e Grp‑B

Get-Recipient -Identity "Grp-A" | FL Name,RecipientTypeDetails,PrimarySmtpAddress
Get-Recipient -Identity "Grp-B" | FL Name,RecipientTypeDetails,PrimarySmtpAddress

Sincronização e identidades

Get-DistributionGroup "Grp-A" | FL ExternalDirectoryObjectId,ExchangeObjectId
Get-DistributionGroup "Grp-B" | FL ExternalDirectoryObjectId,ExchangeObjectId 

Com isso, você confirma se o Grp‑B é um Unified Group (Microsoft 365 Group) ou outro tipo, e decide quais cmdlets usar (Set-UnifiedGroup ou Set-DistributionGroup).

Validação e testes

• Mensagem de controle: envie e‑mail para grp-a@empresa.com e verifique a entrega no Grp‑B.
• Rastreamento de mensagens: no EAC do Exchange Online, use Message trace para confirmar o caminho de entrega e a identidade do destinatário final.
• Headers: em uma mensagem entregue, valide o campo To: e os Received para comprovar que não houve loop ou reescrita indevida.
• Moderação: se o Grp‑B tiver aprovação de mensagens, ajuste a expectativa de SLA (mensagens podem ficar pendentes de aprovação).

Governança e compliance

• Auditoria: documente as mudanças de endereço e mantenha um registro de quando o alias foi transferido (quem, quando, por quê).
• Descoberta eletrônica: ao reatribuir o endereço legado, garanta que políticas de retenção e eDiscovery do Grp‑B cobrem o novo volume de mensagens.
• Permissões de envio: se usuários enviavam como ou em nome do Grp‑A, replique permissões em Grp‑B (Send As/Send on behalf conforme aplicável).

Erros comuns e como evitar

• Referenciar grupo em regra: resulta no erro reportado. Use contato ou alias.
• Duplicar DisplayName: confunde administradores e scripts; padronize prefixos e sufixos para on‑prem e nuvem.
• Esquecer dos endereços X500: respostas a e‑mails antigos podem falhar sem o alias de LegacyExchangeDN.
• Loop de transporte: contatos mal configurados podem rotear indefinidamente; preferir alias ou @tenant.onmicrosoft.com como destino do contato.
• Ignorar sincronização: alterações on‑prem levam um ciclo para refletir na nuvem; planeje a janela de mudança.

Dicas operacionais

• Teste em homologação: use grupos de teste e regras temporárias para validar políticas.
• Inventário de regras: exporte e revise periodicamente: Get-TransportRule | Select Name,Priority,State,Mode | Export-Csv .\transport-rules.csv -NoTypeInformation
• Nomes únicos: padronize prefixos (ONP‑ para on‑prem, CLO‑ para cloud) a fim de reduzir colisões.
• Migração completa: quando viável, consolide listas para Exchange Online para simplificar governança e políticas.

Exemplo de roteiro automatizado

O fragmento abaixo ilustra uma automação com validações para transferir o alias e preservar o X500. Ajuste aos seus padrões de aprovação e logging.

param(
  [Parameter(Mandatory)]
  [string]$GrpA,
  [Parameter(Mandatory)]
  [string]$GrpB,
  [Parameter()]
  [string]$TempSuffix = "-legacy"
)

Connect-ExchangeOnline -ShowBanner:$false

Coleta
$ra = Get-Recipient -Identity $GrpA -ErrorAction Stop
$rb = Get-Recipient -Identity $GrpB -ErrorAction Stop

Guardas
if (-not ($ra.PrimarySmtpAddress -and $rb.PrimarySmtpAddress)) { throw "Objetos inválidos." }

$oldSmtp = $ra.PrimarySmtpAddress.ToString()
$legacyDn = $ra.LegacyExchangeDN

Libera o SMTP antigo do Grp‑A
$newPrimary = ($oldSmtp.Split("@")[0] + $TempSuffix + "@" + $oldSmtp.Split("@")[1])
Set-DistributionGroup -Identity $ra.Identity -PrimarySmtpAddress $newPrimary
Set-DistributionGroup -Identity $ra.Identity -EmailAddresses @{Remove=("smtp:" + $oldSmtp)}

Atribui ao Grp‑B
try {
  Set-DistributionGroup -Identity $rb.Identity -EmailAddresses @{Add=("smtp:" + $oldSmtp)}
} catch {
  Set-UnifiedGroup -Identity $rb.Identity -EmailAddresses @{Add=("smtp:" + $oldSmtp)}
}

Preserva X500
if ($legacyDn) {
  try {
    Set-DistributionGroup -Identity $rb.Identity -EmailAddresses @{Add=("X500:" + $legacyDn)}
  } catch {
    Set-UnifiedGroup -Identity $rb.Identity -EmailAddresses @{Add=("X500:" + $legacyDn)}
  }
}

Write-Host "Concluído. Valide entregas para $oldSmtp -> $($rb.PrimarySmtpAddress)"

Checklist de pré‑requisitos

• Acesso administrativo aos consoles do Exchange on‑premises e Exchange Online.
• Conhecimento do tipo de cada grupo (Distribuição, Segurança com e‑mail, Microsoft 365 Group).
• Janela de mudança para sincronização do AAD Connect e replicação.
• Plano de rollback simples: restaurar alias no objeto anterior se necessário.

Perguntas frequentes

Posso manter o Grp‑A ativo só para não “quebrar” contatos guardados dos usuários?
Sim. Ao transferir o alias do Grp‑A para o Grp‑B e preservar o X500, você mantém transparência total para quem envia para o endereço antigo.

Uso transport rules para outras ações. Elas continuam válidas?
Sim. As limitações são especificamente para adicionar grupos como destinatários. Outras ações (marcar cabeçalho, carimbar, etc.) continuam disponíveis.

E se eu realmente precisar de regra que “copia” o tráfego?
Substitua o grupo por um Mail Contact ou por destinatários individuais permitidos. Evite referenciar grupos.

O Grp‑B é um Microsoft 365 Group. Algo muda?
Gerencie endereços com Set-UnifiedGroup e revise políticas de assinatura, publicação em canal e retenção de conteúdo do grupo.

Conclusão

O erro “Transport rules can’t add distribution groups to messages” é um mecanismo de proteção do Exchange. Em ambientes híbridos, a forma mais limpa de encaminhar todo o tráfego do Grp‑A para o Grp‑B é transferir o alias histórico para o novo grupo e, quando necessário, usar contato de encaminhamento. Essas abordagens reduzem dependência de regras, evitam loops, simplificam governança e mantêm a experiência dos usuários estável.