It’s been a few quiet months here on the blog, but that’s about to change.
Almost half a year ago, I changed employer and now work at Vestland County Municipality (VLFK) as an IT engineer.
Switching from the Norwegian Digitization Directorate was done to work more technically towards a larger and more diversified user base.
VLFK consists of almost 35,000 users, where there are 25,000 users in more than 50 upper secondary schools, more than 30 dental offices, a separate department that works with roads and tunnels, and a department that works with transport travel for more than 500,000 inhabitants and an administration department of over 5000 users.
My main tasks will be to work with the Microsoft Azure infrastructure, but will also work a lot with on-premises Microsoft infrastructure – including Active Directory and SQL infrastructure.
And since the job is of a more technical nature, it opens up to blog more about issues that I come across in everyday life.
Several blog posts are in the making – so stay tuned đ
But what do you do if these services are not available? It could be a telecom outage where you do not have a signal to receive phone call or SMS. Or it could be that the Microsoft 365(and Azure) platform have degraded service so that you cannot use email or app authentication.
And you need to login to do some changes. Now. Immediately. Asap.
This is where break the glass (BTG) accounts come into place. Microsoft recommends having at least one emergency account. This account should not be personal and must be excluded from MFA.
It should have a complex password, and the usage must be extra monitored.
Torsdag 14. mars 2019 vart alle tilsette i Difi og Altinn innkalla til allmÞte. Digitaliseringsdirektoratet skulle realiserast og vere i drift frÄ 1. januar. Vi forsto at dette ville innebere mykje arbeid pÄ mange avdelingar framover, og spesielt oss pÄ intern IT-drift. Med ein del teknisk gjeld bygd opp over dei siste ti Ära sÄg fleire faggrupper i IT-drift dette som eit hÞve til Ä bygge nytt i staden for Ä nedbetale «gjeld».
Visjon: Moderne og plattformuavhengig
MÄlet vÄrt var Ä skape ei plattformuavhengig lÞysing og ha sÄ fÄ komponentar pÄ serverrommet som mogleg. Det har lenge vore eit ynskje Ä kunne nytte Mac og Linux fullt ut som kontorstÞttesystem. Samtidig har tidlegare brukarundersÞkingar synt eit ynskje om Ä bruke alle typar nettlesarar.
Digitaliseringsdirektoratet sin IT-strategi og regjeringas digitaliseringsrundskriv tilrÄr Ä ta i bruk skytjenester der det er teneleg. LÞysinga skal gi dei tilsette moglegheit til jobbe overalt pÄ ein trygg og sikker mÄte. VÄrt mantra er at brukaropplevinga skal vere lik uansett kvar ein jobbar.
Difi hadde allereie gjennomfĂžrt ei risiko- og sĂ„rbarheitsanalyse knytt til tenester i Office 365, og Altinn hadde ikkje innvendingar pĂ„ denne. Uavhengig av kva plattform ein vel â bĂ„de internt og eksternt- er det viktig at slike analysar og risikovurderingar er gjennomfĂžrt. Altinn som vart drifta av IT-avdelinga i BrĂžnnĂžusundregistera, hadde ogsĂ„ ynskje om ei meir moderne og fleksibel lĂžysing.
Med dette som bakteppe var visjonen og mÄlet klart. Ny plattform skulle vere skybasert, moderne og plattformuavhengig.
Oppdrag: Bygge nytt og drifte det gamle
Ei utfordring var at Difi allereie hadde tatt i bruk Office 365 og eigennamnet som ein del av organisasjonsidentiteten i Office 365-organisasjonen. Det er ikkje stÞtta Ä endre namn pÄ organisasjonen i Office 365. I vÄrt interne domene hadde vi ogsÄ Difi som ein del av namnet. Kombinert med e-postsystemet Microsoft Exchange sÄ er det ikkje supportert eller tilrÄdelig Ä endre namn pÄ domenet.
Vi forsto fort at vi mÄtte sette opp heilt nytt domene bÄde i sky og internt. Og dette mÄtte gjerast samtidig som vi heldt den eksisterande organisasjonen og miljÞet i drift.
Interne og eksterne ressursar
Nettverksdelen vart prosjektert og implementert av Tor Erik Ones og Morten Foss som er rÄdgjevarar i Digitaliseringsdirektoratet. Sidan vi mÄtte sette opp nytt domene, vart det utfordrande Ä gjenbruke eksisterande subnett pÄ ein god mÄte. Det har ogsÄ vore ynskje om Ä splitte applikasjonar og tenester i forskjellige subnett. Digitaliseringsdirektoratet tilrÄr Ä bruke IPv6, og vÄr nye lÞysing stÞttar ogsÄ dette.
LÞysinga skulle vere dynamisk, slik at ein utviklar skal kunne kople seg til med kva nettverksport som helst og bli plassert i korrekt nettverk. Tilsvarande for trÄdlaust nettverk der ein SSID vart inngangsport for alle klientnetta.
Klientplattform og Office 365 vart prosjektert og implementert av Ragnar Midttun og HÄvard Kristiansen, saman med konsulentar frÄ Cloudway. Digitaliseringsdirektoratet har applikasjonsforvaltarar og utviklarar av nasjonale tenester som Altinn og ID-porten, slik at det er det sÊrs viktig Ä ha kontroll pÄ brukarar og datamaskiner eller mobile einingar.
Beslutning og prosjektstart
Vi valde Ă„ oppgradere lisensane vĂ„re frĂ„ Microsoft 365 E3 til Microsoft 365 E5 for Ă„ fĂ„ full kontroll over brukarane og eininga i eitt verktĂžy. Oppgraderinga er kostbar, men samtidig nytta vi hĂžvet til Ă„ fjerne andre tredjeparts produkt frĂ„ portefĂžljen – samtidig som vi slapp administrasjon av desse. Lisensen gir oss blant anna tilgang pĂ„ Advanced Threath Protection (ATP) pĂ„ klientmaskiner, i Office 365 produkta og til framtidig bruk av Azure tenester. Gjennom lisensen har brukarane ogsĂ„ tilgang pĂ„ eigen telefoni- og videokonferanse. Det var konstruktive og effektive mĂžte med leiinga der denne kostnadsauken vart informert og gevinstar vart belyst.
Beslutninga om oppgraderinga var avgjerande for grunnlaget for ny plattform. Grunnen for at vi tok denne diskusjonen tidleg var for Ă„ avdekke korleis ny lĂžysing skulle konfigurerast.
I september 2019 vart prosjektet starta. Ikkje berre skulle vi flytte data, men vi skulle ogsĂ„ slĂ„ saman to organisasjonar og lĂŠre kvarandre Ă„ kjenne. Nettverk, brannmurar, VPN-koplingar mot eksterne driftsleverandĂžrar mĂ„tte avklarast og konfigurerast â samtidig som ein heldt det eksisterande miljĂžet i drift.
Helga 22. â 24. november vart sett som migreringshelg for Difi:
Alle nettverkspunkt vart endra til dynamisk autentisering
Over 450 maskiner vart reinstallert
610 mailboksar vart flytta til ny organisasjon
Difi sine eksisterande Teams-, Sharepoint- og Onedrive for business-omrÄde vart flytta
Stor flyttejobb
Microsoft stĂžtta ikkje sky-to-sky migrering av Teams, Sharepoint og Onedrive pĂ„ det tidspunktet vi migrerte. All kopiering til ny tenant (direktoratets omrĂ„de i skytenesta) mĂ„tte derfor gjerast ved Ă„ kopiere data frĂ„ skya til vĂ„rt datasenter â for sĂ„ Ă„ bli lasta opp igjen til ny organisasjon. Dette skulle vise seg Ă„ ta lang tid, og vi var ikkje ferdig fĂžr etter ti dagar. Denne jobben gjekk dag og natt.
Dersom det var data som brukarane absolutt mÄtte ha, gjorde vi unntak og lasta ned dette manuelt frÄ det gamle miljÞet og formidla dette. Ti dagar hÞyres lenge ut. Men kor mykje av datane er aksessert kvar dag? Rapportar vi hadde frÄ eksisterande skymiljÞ viste at under 1% av datane vart aksessert pÄ dagleg basis. Med dette i bakhovudet kunne vi tillate Ä ta ein cut-over migrering og la det ta den tida det tok.
Desember vart brukt til Ä flytte Altinn inn i organisasjonen. Dei tilsette i avdelinga fekk ansvar for Ä flytte eigne personlege filer medan prosjektet flytta mail og fellesomrÄdet til Microsoft Teams. Alle tilsette fekk nye maskiner slik at dei kunne jobbe parallelt og teste at alt fungerte fram til «fÞdselsdagen» til Digitaliseringsdirektoratet 1. januar 2020.
Administrasjon av klientar og mobile einingar blir gjort Microsoft Intune. Alle brukarar som skal kople eininga si mot organisasjonen mÄ tillate at organisasjonen administrerer den. Slik kan IT-drift rulle ut nye applikasjonar og enkelt gjere endringar i firmaapplikasjonar.
Koronakrisa
I mars 2020 slo Covid-19 bÞlga innover Noreg, og alle tilsette ogsÄ hos oss blei bedt om Ä flytte til heimekontor. Med nytt kontorstÞttesystem i skya gjekk denne overgangen sÄ godt som smertefritt, og sikra at vi i tillegg til Ä oppretthalde normal drift ogsÄ kunne planlegge, utvikle og bidra til viktige digitale lÞysingar for Ä lette krisehandteringa i samfunnet.
Organisasjonen tok i bruk lĂžysingane som lĂ„g klare – statistikkane vĂ„re viser ein eksplosjon av videomĂžte og konferansar. SkylĂžysinga har skalert og ytt til dei forventningane vi hadde. Vi har ikkje merka nokon forskjell pĂ„ IT-plattformen â men kollegaane mĂžter vi i videokonferansar i staden for kantina. Administrasjon av klientar og endringar skjer pĂ„ same mĂ„te som nĂ„r ein er pĂ„ kontoret.
Ved innfĂžring av Office 365 har vi fĂ„tt til meir effektiv samhandling i organisasjonen. Eit eksempel pĂ„ det er online samskriving i dokument, noko som har redusert tida dramatisk for Ă„ skrive rapportar og andre âfellesdokumentâ. Dette blir gjort frĂ„ online applikasjonar som Word og Excel. Det er enkelt Ă„ gi eksterne tilgang til dokument samtidig som ein har god oversikt over kven som har gjort endringar, og sikkerheita blir godt ivaretatt.
Direktoratets digitale âgrunnmurâ i sky er no pĂ„ plass pĂ„ ein god og trygg mĂ„te. Forvalting og oppfĂžlging av tenestene er godt forankra i IT-drifts organisasjon â og vi er no klare for neste steg som blir Ă„ flytte serverrommet ut i skya, og ta i bruk SaaS tenester der det er tilgjengeleg.
When you create a Teams meeting invitation it looks pretty basic:
I like graphics and design. And I like taking advantages of all features, such as adding company branding whenever I can.
Go to https://admin.teams.microsoft.com/ and expand Meetings and choose Meetings settings. Add the URL to your logo â and add link to legal information and help section if preferred:
Be aware that it might take up to 24 hours before meeting settings are updated in Outlook. So after a while this is how it looks for me now:
In my organization we have been using Microsoft Teams for a quite a long time and our employees are loving it! Our IT department have been challenged to find a easy way to communicate, share files and videos for the entire organization. We decided to give organizational wide team a try.
We first created a âPrivateâ team so that we could designing shortcuts, channels and channel settings, connection to Microsoft Stream, help pages in Sharepoint and so on.
When we finally were happy with the design and had agreed on ground rules for answering questions and how to operate the team we converted the team to âOrganizational wideâ.
Within an hour all employees were added to the team. And newly created users was also added. Lovely! It is dynamic!
But at the end of the day we noticed that the amount of team members did not match with the number of employees.
We then realized the following:
All users in your tenant who have a role will be added to the team (Sharepoint admin, Global admin etc)
All licensed accounts had been added to the Team. This included Exchange Online P1 users, Azure AD users with Dynamics 365 licenses and so on.
Temporary employees and consultants with an Office 365 licenses were also added
This was not our intention, and employees started questioning who âsvc_Xerox1â was when they browsed through the member list of the team.
When you create a organizational wide team it does not uses any dynamic rules. It just adds all (licensed) users in your tenant.
âDid you try to change it to a âPrivateâ team and base membership on a dynamic rule?â Yes. And it does not work. I even had a discussion with Microsoft Premier support about it.
Org-wide team add all users users. This is a setting which is set on the Team when changing or creating it, and cannot be changed later.
âSo what do you recommend us to do, HĂ„vard?â First create a âPrivateâ Team and add necessary users to set rules, design and so on.
All of our users have our company name in the attribute called “CompanyName”:
And that is it. Much more flexible.
In this way we can make sure that only permanent employees are joined to the team. And it works dynamically. It is a super way to when boarding new users to the organization since it is based on a dynamic rule. If you need to add more expressions it can easily be added.
Looking through the different Office 365 Enterprise plans the other day I noticed the following at the bottom:
4. Unlimited personal cloud storage for qualifying plans for subscriptions of five or more users, otherwise 1 TB/user. Microsoft will initially provide 1 TB/user of OneDrive for Business storage, which admins can increase to 5 TB/user. Request additional storage by contacting Microsoft support. Storage up to 25 TB/user is provisioned in OneDrive for Business. Beyond 25 TB, storage is provisioned as 25 TB SharePoint team sites to individual users.
You can choose to extend for particular users or the entire organization.
Changing for all users:
Go to https://admin.onedrive.com and choose âStorageâ. Change âStandard storage in GBâ to desired size â 5120 GB equal 5TB.
For a particular user: If you do not want to go all the way to extend it to 5 TB right away that is not a problem. Remember that StorageQuota needs to be set in mb:
Storage quota
In mb
1 TB
1048576
2 TB
2097152
3 TB
3145728
4 TB
4194304
5 TB
5242880
Before you can set the desired size on the Onedrive you need to obtain the OneDrive url for the user.
The OneDrive URL can be located by looking at the user at https://admin.microsoft.com â Selecting OneDrive and then âLink to filesâ.
You then need to connect to Sharepoint Online in Powershell as a Global Admin and run the following command:
We are
shifting to OneDrive for business at our company. But the OneDrive for business
client is acting differently compared to the Windows sync client when copying
files to a file server.
Using
folder redirection or Windows synchronization you just add files to the
synchronization folder â and thatâs it. When connection is present it will
start copying.
With OneDrive for business itâs different. When you want to synchronize
files, you add it to the synchronization folder as normal. The client then creates
a list of content to be copied to OneDrive for business, and the list is passed
along to the backend system of OneDrive.
Having internet connection while adding a load of files to be synchronizing
– and then removing the connection (or shutdown the computer) is dangerous.
Microsoft have backend timer jobs running to check if the files on the received
list is uploaded properly. It also checks if the files is uploaded incorrectly
or if there are files form the list that have not been synchronized.
Those files are removed by server, and this activity is shown as
someone deleted the file. This is a part of the cleanup that is running as part
of the OneDrive backend backup.
Since OneDrive is a bidirectional synchronization â a deletion on the
web portal will also affect the computers folder when it is turned on.
And since the file was never copied to the destination area in OneDrive
there is no backup.
The blog activity have been low over the past years. Working fulltime job and father for two kids takes a huge amount of time – but better days are coming. Stay tuned.