Nytt direktorat på 294 dagar – og ny IT-infrastruktur på 105

Hausten 2019 var eg prosjektledar for IT i opprettelsen av Digitaliseringsdirektoratet. Eg har skreve ein artikkel på Digitaliseringsbloggen om dette(https://www.digdir.no/om-oss/nytt-direktorat-pa-294-dagar-og-ny-it-infrastruktur-pa-105/1780) men vel å publisere den her også:

Torsdag 14. mars 2019 vart alle tilsette i Difi og Altinn innkalla til allmøte. Digitaliseringsdirektoratet skulle realiserast og vere i drift frå 1. januar. Vi forsto at dette ville innebere mykje arbeid på mange avdelingar framover, og spesielt oss på intern IT-drift. Med ein del teknisk gjeld bygd opp over dei siste ti åra såg fleire faggrupper i IT-drift dette som eit høve til å bygge nytt i staden for å nedbetale «gjeld».

Visjon: Moderne og plattformuavhengig

Målet vårt var å skape ei plattformuavhengig løysing og ha så få komponentar på serverrommet som mogleg. Det har lenge vore eit ynskje å kunne nytte Mac og Linux fullt ut som kontorstøttesystem. Samtidig har tidlegare brukarundersøkingar synt eit ynskje om å bruke alle typar nettlesarar.

Digitaliseringsdirektoratet sin IT-strategi og regjeringas digitaliseringsrundskriv tilrår å ta i bruk skytjenester der det er teneleg. Løysinga skal gi dei tilsette moglegheit til jobbe overalt på ein trygg og sikker måte. Vårt mantra er at brukaropplevinga skal vere lik uansett kvar ein jobbar.

Difi hadde allereie gjennomført ei risiko- og sårbarheitsanalyse knytt til tenester i Office 365, og Altinn hadde ikkje innvendingar på denne. Uavhengig av kva plattform ein vel – både internt og eksternt- er det viktig at slike analysar og risikovurderingar er gjennomført. Altinn som vart drifta av IT-avdelinga i Brønnøusundregistera, hadde også ynskje om ei meir moderne og fleksibel løysing.

Med dette som bakteppe var visjonen og målet klart. Ny plattform skulle vere skybasert, moderne og plattformuavhengig.

Oppdrag: Bygge nytt og drifte det gamle

Ei utfordring var at Difi allereie hadde tatt i bruk Office 365 og eigennamnet som ein del av organisasjonsidentiteten i Office 365-organisasjonen. Det er ikkje støtta å endre namn på organisasjonen i Office 365. I vårt interne domene hadde vi også Difi som ein del av namnet. Kombinert med  e-postsystemet Microsoft Exchange så er det ikkje supportert eller tilrådelig å endre namn på domenet.

Vi forsto fort at vi måtte sette opp heilt nytt domene både i sky og internt. Og dette måtte gjerast samtidig som vi heldt den eksisterande organisasjonen og miljøet i drift.

Interne og eksterne ressursar

Nettverksdelen vart prosjektert og implementert av Tor Erik Ones og Morten Foss som er rådgjevarar i Digitaliseringsdirektoratet. Sidan vi måtte sette opp nytt domene, vart det utfordrande å gjenbruke eksisterande subnett på ein god måte. Det har også vore ynskje om å splitte applikasjonar og tenester i forskjellige subnett. Digitaliseringsdirektoratet  tilrår å bruke IPv6, og vår nye løysing støttar også dette.

Løysinga skulle vere dynamisk, slik at ein utviklar skal kunne kople seg til med kva nettverksport som helst og bli plassert i korrekt nettverk. Tilsvarande for trådlaust nettverk der ein SSID vart inngangsport for alle klientnetta.

Klientplattform og Office 365 vart prosjektert og implementert av Ragnar Midttun og Håvard Kristiansen, saman med konsulentar frå Cloudway. Digitaliseringsdirektoratet har applikasjonsforvaltarar og utviklarar av nasjonale tenester som Altinn og ID-porten, slik at det er det særs viktig å ha kontroll på brukarar og datamaskiner eller mobile einingar.

Beslutning og prosjektstart

Vi valde å oppgradere lisensane våre frå Microsoft 365 E3 til Microsoft 365 E5 for å få full kontroll over brukarane og eininga i eitt verktøy. Oppgraderinga er kostbar, men samtidig nytta vi høvet til å fjerne andre tredjeparts produkt frå porteføljen – samtidig som vi slapp administrasjon av desse. Lisensen gir oss blant anna tilgang på Advanced Threath Protection (ATP) på klientmaskiner, i Office 365 produkta og til framtidig bruk av Azure tenester. Gjennom lisensen har brukarane også tilgang på eigen telefoni- og videokonferanse. Det var konstruktive og effektive møte med leiinga der denne kostnadsauken vart informert og gevinstar vart belyst.

Beslutninga om oppgraderinga var avgjerande for grunnlaget for ny plattform. Grunnen for at vi tok denne diskusjonen tidleg var for å avdekke korleis ny løysing skulle konfigurerast.

I september 2019 vart prosjektet starta. Ikkje berre skulle vi flytte data, men vi skulle også slå saman to organisasjonar og lære kvarandre å kjenne. Nettverk, brannmurar, VPN-koplingar mot eksterne driftsleverandørar måtte avklarast og konfigurerast – samtidig som ein heldt det eksisterande miljøet i drift.

Helga 22. – 24. november vart sett som migreringshelg for Difi:

  • Alle nettverkspunkt vart endra til dynamisk autentisering
  • Over 450 maskiner vart reinstallert
  • 610 mailboksar vart flytta til ny organisasjon
  • Difi sine eksisterande Teams-, Sharepoint- og Onedrive for business-område vart flytta

Stor flyttejobb

Microsoft støtta ikkje sky-to-sky migrering av Teams, Sharepoint og Onedrive på det tidspunktet vi migrerte. All kopiering til ny tenant (direktoratets område i skytenesta) måtte derfor gjerast ved å kopiere data frå skya til vårt datasenter – for så å bli lasta opp igjen til ny organisasjon. Dette skulle vise seg å ta lang tid, og vi var ikkje ferdig før etter ti dagar. Denne jobben gjekk dag og natt.

Dersom det var data som brukarane absolutt måtte ha, gjorde vi unntak og lasta ned dette manuelt frå det gamle miljøet og formidla dette. Ti dagar høyres lenge ut. Men kor mykje av datane er aksessert kvar dag? Rapportar vi hadde frå eksisterande skymiljø viste at under 1% av datane vart aksessert på dagleg basis. Med dette i bakhovudet kunne vi tillate å ta ein cut-over migrering og la det ta den tida det tok.

Desember vart brukt til å flytte Altinn inn i organisasjonen. Dei tilsette i avdelinga fekk ansvar for å flytte eigne personlege filer medan prosjektet flytta mail og fellesområdet til Microsoft Teams. Alle tilsette fekk nye maskiner slik at dei kunne jobbe parallelt og teste at alt fungerte fram til «fødselsdagen» til Digitaliseringsdirektoratet 1. januar 2020.

Administrasjon av klientar og mobile einingar blir gjort Microsoft Intune. Alle brukarar som skal kople eininga si mot organisasjonen må tillate at organisasjonen administrerer den. Slik kan IT-drift  rulle ut nye applikasjonar og enkelt gjere endringar i firmaapplikasjonar.  

Koronakrisa

I mars 2020 slo Covid-19 bølga innover Noreg, og alle tilsette også hos oss blei bedt om å flytte til heimekontor. Med nytt kontorstøttesystem i skya gjekk denne overgangen så godt som smertefritt, og sikra at vi i tillegg til å oppretthalde normal drift også kunne planlegge, utvikle og bidra til viktige digitale løysingar for å lette krisehandteringa i samfunnet.

Organisasjonen tok i bruk løysingane som låg klare – statistikkane våre viser ein eksplosjon av videomøte og konferansar. Skyløysinga har skalert og ytt til dei forventningane vi hadde. Vi har ikkje merka nokon forskjell på IT-plattformen – men kollegaane møter vi i videokonferansar i staden for kantina. Administrasjon av klientar og endringar skjer på same måte som når ein er på kontoret.

Ved innføring av Office 365 har vi fått til meir effektiv samhandling i organisasjonen. Eit eksempel på det er online samskriving i dokument, noko som har redusert tida dramatisk for å skrive rapportar og andre “fellesdokument”. Dette blir gjort frå online applikasjonar som Word og Excel. Det er enkelt å gi eksterne tilgang til dokument samtidig som ein har god oversikt over kven som har gjort endringar, og sikkerheita blir godt ivaretatt.

Direktoratets digitale “grunnmur” i sky er no på plass på ein god og trygg måte. Forvalting og oppfølging av tenestene er godt forankra i IT-drifts organisasjon – og vi er no klare for neste steg som blir å flytte serverrommet ut i skya, og ta i bruk SaaS tenester der det er tilgjengeleg.

Add logo in Microsoft Teams meeting invitations

When you create a Teams meeting invitation it looks pretty basic:

I like graphics and design. And I like taking advantages of all features, such as adding company branding whenever I can.

Go to https://admin.teams.microsoft.com/ and expand Meetings and choose Meetings settings.
Add the URL to your logo – and add link to legal information and help section if preferred:

Be aware that it might take up to 24 hours before meeting settings are updated in Outlook. So after a while this is how it looks for me now:

My experience with Microsoft Organizational Wide Teams

In my organization we have been using Microsoft Teams for a quite a long time and our employees are loving it!  Our IT department have been challenged to find a easy way to communicate, share files and videos for the entire organization. We decided to give organizational wide team a try.

We first created a “Private” team so that we could designing shortcuts, channels and channel settings, connection to Microsoft Stream, help pages in Sharepoint and so on.

When we finally were happy with the design and had agreed on ground rules for answering questions and how to operate the team we converted the team to “Organizational wide”.

Within an hour all employees were added to the team. And newly created users was also added. Lovely! It is dynamic!

But at the end of the day we noticed that the amount of team members did not match with the number of employees.

We then realized the following:

  • All users in your tenant who have a role will be added to the team (Sharepoint admin, Global admin etc)
  • All licensed accounts had been added to the Team. This included Exchange Online P1 users, Azure AD users with Dynamics 365 licenses and so on.
  • Temporary employees and consultants with an Office 365 licenses were also added

This was not our intention, and employees started questioning who “svc_Xerox1” was when they browsed through the member list of the team.

When you create a organizational wide team it does not uses any dynamic rules. It just adds all (licensed) users in your tenant.

“Did you try to change it to a “Private” team and base membership on a dynamic rule?” Yes. And it does not work. I even had a discussion with Microsoft Premier support about it.

Org-wide team add all users users. This is a setting which is set on the Team when changing or creating it, and cannot be changed later.

“So what do you recommend us to do, Håvard?”
First create a “Private” Team and add necessary users to set rules, design and so on.

Then you should convert the Azure AD group membership type to “Dynamic” and base membership on a supported attribute. https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-create-rule


All of our users have our company name in the attribute called “CompanyName”:

And that is it. Much more flexible.

In this way we can make sure that only permanent employees are joined to the team. And it works dynamically. It is a super way to when boarding new users to the organization since it is based on a dynamic rule. If you need to add more expressions it can easily be added.

Extending Onedrive for business to 5TB

Looking through the different Office 365 Enterprise plans the other day I noticed the following at the bottom:

4. Unlimited personal cloud storage for qualifying plans for subscriptions of five or more users, otherwise 1 TB/user. Microsoft will initially provide 1 TB/user of OneDrive for Business storage, which admins can increase to 5 TB/user. Request additional storage by contacting Microsoft support. Storage up to 25 TB/user is provisioned in OneDrive for Business. Beyond 25 TB, storage is provisioned as 25 TB SharePoint team sites to individual users.

https://www.microsoft.com/en-us/microsoft-365/business/compare-more-office-365-for-business-plans

You can choose to extend for particular users or the entire organization.

Changing for all users:

Go to https://admin.onedrive.com and choose “Storage”. Change “Standard storage in GB” to desired size – 5120 GB equal 5TB.

For a particular user:
If you do not want to go all the way to extend it to 5 TB right away that is not a problem. Remember that StorageQuota needs to be set in mb:

Storage quotaIn mb
1 TB1048576
2 TB2097152
3 TB3145728
4 TB4194304
5 TB5242880

Before you can set the desired size on the Onedrive you need to obtain the OneDrive url for the user.

The OneDrive URL can be located by looking at the user at https://admin.microsoft.com – Selecting OneDrive and then “Link to files”.

You then need to connect to Sharepoint Online in Powershell as a Global Admin and run the following command:

Set-SPOSite -Identity <user’s OneDrive URL> -StorageQuota <quota>

“Someone” deleted my OneDrive files

We are shifting to OneDrive for business at our company. But the OneDrive for business client is acting differently compared to the Windows sync client when copying files to a file server.

Using folder redirection or Windows synchronization you just add files to the synchronization folder – and that’s it. When connection is present it will start copying.

With OneDrive for business it’s different. When you want to synchronize files, you add it to the synchronization folder as normal. The client then creates a list of content to be copied to OneDrive for business, and the list is passed along to the backend system of OneDrive.

Having internet connection while adding a load of files to be synchronizing – and then removing the connection (or shutdown the computer) is dangerous.

Microsoft have backend timer jobs running to check if the files on the received list is uploaded properly. It also checks if the files is uploaded incorrectly or if there are files form the list that have not been synchronized.

Those files are removed by server, and this activity is shown as someone deleted the file. This is a part of the cleanup that is running as part of the OneDrive backend backup.

Since OneDrive is a bidirectional synchronization – a deletion on the web portal will also affect the computers folder when it is turned on.

And since the file was never copied to the destination area in OneDrive there is no backup.