It’s been quiet – but things are changing…

It’s been a few quiet months here on the blog, but that’s about to change.

Almost half a year ago, I changed employer and now work at Vestland County Municipality (VLFK) as an IT engineer.

Switching from the Norwegian Digitization Directorate was done to work more technically towards a larger and more diversified user base.

VLFK consists of almost 35,000 users, where there are 25,000 users in more than 50 upper secondary schools, more than 30 dental offices, a separate department that works with roads and tunnels, and a department that works with transport travel for more than 500,000 inhabitants and an administration department of over 5000 users.

My main tasks will be to work with the Microsoft Azure infrastructure, but will also work a lot with on-premises Microsoft infrastructure – including Active Directory and SQL infrastructure.

And since the job is of a more technical nature, it opens up to blog more about issues that I come across in everyday life.

Several blog posts are in the making – so stay tuned 🙂

Multifactor authentication(MFA) and break the glass account

Multifactor authentication is a hot topic. And so is the increase in securing organization accounts.

Microsoft are providing the ability to utilize SMS, email, phone call or app authentication as a second factor in secure logins.

Follow this link to how to “Set up multi-factor authentication”:
https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
 
But what do you do if these services are not available? It could be a telecom outage where you do not have a signal to receive phone call or SMS. Or it could be that the Microsoft 365(and Azure) platform have degraded service so that you cannot use email or app authentication.

And you need to login to do some changes. Now. Immediately. Asap.

This is where break the glass (BTG) accounts come into place. Microsoft recommends having at least one emergency account. This account should not be personal and must be excluded from MFA.

It should have a complex password, and the usage must be extra monitored.

Microsoft have created a good guide for this: https://docs.microsoft.com/en-us/azure/active-directory/roles/security-emergency-access#monitor-sign-in-and-audit-logs


This account must also be excluded from the MFA registration policy in Identity Protection:

The Identity Protection blade in the Azure Portal

Nytt direktorat pĂ„ 294 dagar – og ny IT-infrastruktur pĂ„ 105

Hausten 2019 var eg prosjektledar for IT i opprettelsen av Digitaliseringsdirektoratet. Eg har skreve ein artikkel pÄ Digitaliseringsbloggen om dette(https://www.digdir.no/om-oss/nytt-direktorat-pa-294-dagar-og-ny-it-infrastruktur-pa-105/1780) men vel Ä publisere den her ogsÄ:

Torsdag 14. mars 2019 vart alle tilsette i Difi og Altinn innkalla til allmĂžte. Digitaliseringsdirektoratet skulle realiserast og vere i drift frĂ„ 1. januar. Vi forsto at dette ville innebere mykje arbeid pĂ„ mange avdelingar framover, og spesielt oss pĂ„ intern IT-drift. Med ein del teknisk gjeld bygd opp over dei siste ti Ă„ra sĂ„g fleire faggrupper i IT-drift dette som eit hĂžve til Ă„ bygge nytt i staden for Ă„ nedbetale «gjeld».

Visjon: Moderne og plattformuavhengig

MÄlet vÄrt var Ä skape ei plattformuavhengig lÞysing og ha sÄ fÄ komponentar pÄ serverrommet som mogleg. Det har lenge vore eit ynskje Ä kunne nytte Mac og Linux fullt ut som kontorstÞttesystem. Samtidig har tidlegare brukarundersÞkingar synt eit ynskje om Ä bruke alle typar nettlesarar.

Digitaliseringsdirektoratet sin IT-strategi og regjeringas digitaliseringsrundskriv tilrĂ„r Ă„ ta i bruk skytjenester der det er teneleg. LĂžysinga skal gi dei tilsette moglegheit til jobbe overalt pĂ„ ein trygg og sikker mĂ„te. VĂ„rt mantra er at brukaropplevinga skal vere lik uansett kvar ein jobbar.

Difi hadde allereie gjennomfĂžrt ei risiko- og sĂ„rbarheitsanalyse knytt til tenester i Office 365, og Altinn hadde ikkje innvendingar pĂ„ denne. Uavhengig av kva plattform ein vel – bĂ„de internt og eksternt- er det viktig at slike analysar og risikovurderingar er gjennomfĂžrt. Altinn som vart drifta av IT-avdelinga i BrĂžnnĂžusundregistera, hadde ogsĂ„ ynskje om ei meir moderne og fleksibel lĂžysing.

Med dette som bakteppe var visjonen og mÄlet klart. Ny plattform skulle vere skybasert, moderne og plattformuavhengig.

Oppdrag: Bygge nytt og drifte det gamle

Ei utfordring var at Difi allereie hadde tatt i bruk Office 365 og eigennamnet som ein del av organisasjonsidentiteten i Office 365-organisasjonen. Det er ikkje stĂžtta Ă„ endre namn pĂ„ organisasjonen i Office 365. I vĂ„rt interne domene hadde vi ogsĂ„ Difi som ein del av namnet. Kombinert med  e-postsystemet Microsoft Exchange sĂ„ er det ikkje supportert eller tilrĂ„delig Ă„ endre namn pĂ„ domenet.

Vi forsto fort at vi mÄtte sette opp heilt nytt domene bÄde i sky og internt. Og dette mÄtte gjerast samtidig som vi heldt den eksisterande organisasjonen og miljÞet i drift.

Interne og eksterne ressursar

Nettverksdelen vart prosjektert og implementert av Tor Erik Ones og Morten Foss som er rĂ„dgjevarar i Digitaliseringsdirektoratet. Sidan vi mĂ„tte sette opp nytt domene, vart det utfordrande Ă„ gjenbruke eksisterande subnett pĂ„ ein god mĂ„te. Det har ogsĂ„ vore ynskje om Ă„ splitte applikasjonar og tenester i forskjellige subnett. Digitaliseringsdirektoratet  tilrĂ„r Ă„ bruke IPv6, og vĂ„r nye lĂžysing stĂžttar ogsĂ„ dette.

LÞysinga skulle vere dynamisk, slik at ein utviklar skal kunne kople seg til med kva nettverksport som helst og bli plassert i korrekt nettverk. Tilsvarande for trÄdlaust nettverk der ein SSID vart inngangsport for alle klientnetta.

Klientplattform og Office 365 vart prosjektert og implementert av Ragnar Midttun og HĂ„vard Kristiansen, saman med konsulentar frĂ„ Cloudway. Digitaliseringsdirektoratet har applikasjonsforvaltarar og utviklarar av nasjonale tenester som Altinn og ID-porten, slik at det er det sĂŠrs viktig Ă„ ha kontroll pĂ„ brukarar og datamaskiner eller mobile einingar.

Beslutning og prosjektstart

Vi valde Ă„ oppgradere lisensane vĂ„re frĂ„ Microsoft 365 E3 til Microsoft 365 E5 for Ă„ fĂ„ full kontroll over brukarane og eininga i eitt verktĂžy. Oppgraderinga er kostbar, men samtidig nytta vi hĂžvet til Ă„ fjerne andre tredjeparts produkt frĂ„ portefĂžljen – samtidig som vi slapp administrasjon av desse. Lisensen gir oss blant anna tilgang pĂ„ Advanced Threath Protection (ATP) pĂ„ klientmaskiner, i Office 365 produkta og til framtidig bruk av Azure tenester. Gjennom lisensen har brukarane ogsĂ„ tilgang pĂ„ eigen telefoni- og videokonferanse. Det var konstruktive og effektive mĂžte med leiinga der denne kostnadsauken vart informert og gevinstar vart belyst.

Beslutninga om oppgraderinga var avgjerande for grunnlaget for ny plattform. Grunnen for at vi tok denne diskusjonen tidleg var for Ă„ avdekke korleis ny lĂžysing skulle konfigurerast.

I september 2019 vart prosjektet starta. Ikkje berre skulle vi flytte data, men vi skulle ogsĂ„ slĂ„ saman to organisasjonar og lĂŠre kvarandre Ă„ kjenne. Nettverk, brannmurar, VPN-koplingar mot eksterne driftsleverandĂžrar mĂ„tte avklarast og konfigurerast – samtidig som ein heldt det eksisterande miljĂžet i drift.

Helga 22. – 24. november vart sett som migreringshelg for Difi:

  • Alle nettverkspunkt vart endra til dynamisk autentisering
  • Over 450 maskiner vart reinstallert
  • 610 mailboksar vart flytta til ny organisasjon
  • Difi sine eksisterande Teams-, Sharepoint- og Onedrive for business-omrĂ„de vart flytta

Stor flyttejobb

Microsoft stĂžtta ikkje sky-to-sky migrering av Teams, Sharepoint og Onedrive pĂ„ det tidspunktet vi migrerte. All kopiering til ny tenant (direktoratets omrĂ„de i skytenesta) mĂ„tte derfor gjerast ved Ă„ kopiere data frĂ„ skya til vĂ„rt datasenter – for sĂ„ Ă„ bli lasta opp igjen til ny organisasjon. Dette skulle vise seg Ă„ ta lang tid, og vi var ikkje ferdig fĂžr etter ti dagar. Denne jobben gjekk dag og natt.

Dersom det var data som brukarane absolutt mÄtte ha, gjorde vi unntak og lasta ned dette manuelt frÄ det gamle miljÞet og formidla dette. Ti dagar hÞyres lenge ut. Men kor mykje av datane er aksessert kvar dag? Rapportar vi hadde frÄ eksisterande skymiljÞ viste at under 1% av datane vart aksessert pÄ dagleg basis. Med dette i bakhovudet kunne vi tillate Ä ta ein cut-over migrering og la det ta den tida det tok.

Desember vart brukt til Ä flytte Altinn inn i organisasjonen. Dei tilsette i avdelinga fekk ansvar for Ä flytte eigne personlege filer medan prosjektet flytta mail og fellesomrÄdet til Microsoft Teams. Alle tilsette fekk nye maskiner slik at dei kunne jobbe parallelt og teste at alt fungerte fram til «fÞdselsdagen» til Digitaliseringsdirektoratet 1. januar 2020.

Administrasjon av klientar og mobile einingar blir gjort Microsoft Intune. Alle brukarar som skal kople eininga si mot organisasjonen mĂ„ tillate at organisasjonen administrerer den. Slik kan IT-drift  rulle ut nye applikasjonar og enkelt gjere endringar i firmaapplikasjonar.  

Koronakrisa

I mars 2020 slo Covid-19 bÞlga innover Noreg, og alle tilsette ogsÄ hos oss blei bedt om Ä flytte til heimekontor. Med nytt kontorstÞttesystem i skya gjekk denne overgangen sÄ godt som smertefritt, og sikra at vi i tillegg til Ä oppretthalde normal drift ogsÄ kunne planlegge, utvikle og bidra til viktige digitale lÞysingar for Ä lette krisehandteringa i samfunnet.

Organisasjonen tok i bruk lĂžysingane som lĂ„g klare – statistikkane vĂ„re viser ein eksplosjon av videomĂžte og konferansar. SkylĂžysinga har skalert og ytt til dei forventningane vi hadde. Vi har ikkje merka nokon forskjell pĂ„ IT-plattformen – men kollegaane mĂžter vi i videokonferansar i staden for kantina. Administrasjon av klientar og endringar skjer pĂ„ same mĂ„te som nĂ„r ein er pĂ„ kontoret.

Ved innfĂžring av Office 365 har vi fĂ„tt til meir effektiv samhandling i organisasjonen. Eit eksempel pĂ„ det er online samskriving i dokument, noko som har redusert tida dramatisk for Ă„ skrive rapportar og andre “fellesdokument”. Dette blir gjort frĂ„ online applikasjonar som Word og Excel. Det er enkelt Ă„ gi eksterne tilgang til dokument samtidig som ein har god oversikt over kven som har gjort endringar, og sikkerheita blir godt ivaretatt.

Direktoratets digitale “grunnmur” i sky er no pĂ„ plass pĂ„ ein god og trygg mĂ„te. Forvalting og oppfĂžlging av tenestene er godt forankra i IT-drifts organisasjon – og vi er no klare for neste steg som blir Ă„ flytte serverrommet ut i skya, og ta i bruk SaaS tenester der det er tilgjengeleg.

Add logo in Microsoft Teams meeting invitations

When you create a Teams meeting invitation it looks pretty basic:

I like graphics and design. And I like taking advantages of all features, such as adding company branding whenever I can.

Go to https://admin.teams.microsoft.com/ and expand Meetings and choose Meetings settings.
Add the URL to your logo – and add link to legal information and help section if preferred:

Be aware that it might take up to 24 hours before meeting settings are updated in Outlook. So after a while this is how it looks for me now:

My experience with Microsoft Organizational Wide Teams

In my organization we have been using Microsoft Teams for a quite a long time and our employees are loving it!  Our IT department have been challenged to find a easy way to communicate, share files and videos for the entire organization. We decided to give organizational wide team a try.

We first created a “Private” team so that we could designing shortcuts, channels and channel settings, connection to Microsoft Stream, help pages in Sharepoint and so on.

When we finally were happy with the design and had agreed on ground rules for answering questions and how to operate the team we converted the team to “Organizational wide”.

Within an hour all employees were added to the team. And newly created users was also added. Lovely! It is dynamic!

But at the end of the day we noticed that the amount of team members did not match with the number of employees.

We then realized the following:

  • All users in your tenant who have a role will be added to the team (Sharepoint admin, Global admin etc)
  • All licensed accounts had been added to the Team. This included Exchange Online P1 users, Azure AD users with Dynamics 365 licenses and so on.
  • Temporary employees and consultants with an Office 365 licenses were also added

This was not our intention, and employees started questioning who “svc_Xerox1” was when they browsed through the member list of the team.

When you create a organizational wide team it does not uses any dynamic rules. It just adds all (licensed) users in your tenant.

“Did you try to change it to a “Private” team and base membership on a dynamic rule?” Yes. And it does not work. I even had a discussion with Microsoft Premier support about it.

Org-wide team add all users users. This is a setting which is set on the Team when changing or creating it, and cannot be changed later.

“So what do you recommend us to do, HĂ„vard?”
First create a “Private” Team and add necessary users to set rules, design and so on.

Then you should convert the Azure AD group membership type to “Dynamic” and base membership on a supported attribute. https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-create-rule


All of our users have our company name in the attribute called “CompanyName”:

And that is it. Much more flexible.

In this way we can make sure that only permanent employees are joined to the team. And it works dynamically. It is a super way to when boarding new users to the organization since it is based on a dynamic rule. If you need to add more expressions it can easily be added.

Extending Onedrive for business to 5TB

Looking through the different Office 365 Enterprise plans the other day I noticed the following at the bottom:

4. Unlimited personal cloud storage for qualifying plans for subscriptions of five or more users, otherwise 1 TB/user. Microsoft will initially provide 1 TB/user of OneDrive for Business storage, which admins can increase to 5 TB/user. Request additional storage by contacting Microsoft support. Storage up to 25 TB/user is provisioned in OneDrive for Business. Beyond 25 TB, storage is provisioned as 25 TB SharePoint team sites to individual users.

https://www.microsoft.com/en-us/microsoft-365/business/compare-more-office-365-for-business-plans

You can choose to extend for particular users or the entire organization.

Changing for all users:

Go to https://admin.onedrive.com and choose “Storage”. Change “Standard storage in GB” to desired size – 5120 GB equal 5TB.

For a particular user:
If you do not want to go all the way to extend it to 5 TB right away that is not a problem. Remember that StorageQuota needs to be set in mb:

Storage quotaIn mb
1 TB1048576
2 TB2097152
3 TB3145728
4 TB4194304
5 TB5242880

Before you can set the desired size on the Onedrive you need to obtain the OneDrive url for the user.

The OneDrive URL can be located by looking at the user at https://admin.microsoft.com – Selecting OneDrive and then “Link to files”.

You then need to connect to Sharepoint Online in Powershell as a Global Admin and run the following command:

Set-SPOSite -Identity <user’s OneDrive URL> -StorageQuota <quota>

“Someone” deleted my OneDrive files

We are shifting to OneDrive for business at our company. But the OneDrive for business client is acting differently compared to the Windows sync client when copying files to a file server.

Using folder redirection or Windows synchronization you just add files to the synchronization folder – and that’s it. When connection is present it will start copying.

With OneDrive for business it’s different. When you want to synchronize files, you add it to the synchronization folder as normal. The client then creates a list of content to be copied to OneDrive for business, and the list is passed along to the backend system of OneDrive.

Having internet connection while adding a load of files to be synchronizing – and then removing the connection (or shutdown the computer) is dangerous.

Microsoft have backend timer jobs running to check if the files on the received list is uploaded properly. It also checks if the files is uploaded incorrectly or if there are files form the list that have not been synchronized.

Those files are removed by server, and this activity is shown as someone deleted the file. This is a part of the cleanup that is running as part of the OneDrive backend backup.

Since OneDrive is a bidirectional synchronization – a deletion on the web portal will also affect the computers folder when it is turned on.

And since the file was never copied to the destination area in OneDrive there is no backup.