It’s been a few quiet months here on the blog, but that’s about to change.
Almost half a year ago, I changed employer and now work at Vestland County Municipality (VLFK) as an IT engineer.
Switching from the Norwegian Digitization Directorate was done to work more technically towards a larger and more diversified user base.
VLFK consists of almost 35,000 users, where there are 25,000 users in more than 50 upper secondary schools, more than 30 dental offices, a separate department that works with roads and tunnels, and a department that works with transport travel for more than 500,000 inhabitants and an administration department of over 5000 users.
My main tasks will be to work with the Microsoft Azure infrastructure, but will also work a lot with on-premises Microsoft infrastructure – including Active Directory and SQL infrastructure.
And since the job is of a more technical nature, it opens up to blog more about issues that I come across in everyday life.
Several blog posts are in the making – so stay tuned 🙂
But what do you do if these services are not available? It could be a telecom outage where you do not have a signal to receive phone call or SMS. Or it could be that the Microsoft 365(and Azure) platform have degraded service so that you cannot use email or app authentication.
And you need to login to do some changes. Now. Immediately. Asap.
This is where break the glass (BTG) accounts come into place. Microsoft recommends having at least one emergency account. This account should not be personal and must be excluded from MFA.
It should have a complex password, and the usage must be extra monitored.
Torsdag 14. mars 2019 vart alle tilsette i Difi og Altinn innkalla til allmøte. Digitaliseringsdirektoratet skulle realiserast og vere i drift frå 1. januar. Vi forsto at dette ville innebere mykje arbeid på mange avdelingar framover, og spesielt oss på intern IT-drift. Med ein del teknisk gjeld bygd opp over dei siste ti åra såg fleire faggrupper i IT-drift dette som eit høve til å bygge nytt i staden for å nedbetale «gjeld».
Visjon: Moderne og plattformuavhengig
Målet vårt var å skape ei plattformuavhengig løysing og ha så få komponentar på serverrommet som mogleg. Det har lenge vore eit ynskje å kunne nytte Mac og Linux fullt ut som kontorstøttesystem. Samtidig har tidlegare brukarundersøkingar synt eit ynskje om å bruke alle typar nettlesarar.
Digitaliseringsdirektoratet sin IT-strategi og regjeringas digitaliseringsrundskriv tilrår å ta i bruk skytjenester der det er teneleg. Løysinga skal gi dei tilsette moglegheit til jobbe overalt på ein trygg og sikker måte. Vårt mantra er at brukaropplevinga skal vere lik uansett kvar ein jobbar.
Difi hadde allereie gjennomført ei risiko- og sårbarheitsanalyse knytt til tenester i Office 365, og Altinn hadde ikkje innvendingar på denne. Uavhengig av kva plattform ein vel – både internt og eksternt- er det viktig at slike analysar og risikovurderingar er gjennomført. Altinn som vart drifta av IT-avdelinga i Brønnøusundregistera, hadde også ynskje om ei meir moderne og fleksibel løysing.
Med dette som bakteppe var visjonen og målet klart. Ny plattform skulle vere skybasert, moderne og plattformuavhengig.
Oppdrag: Bygge nytt og drifte det gamle
Ei utfordring var at Difi allereie hadde tatt i bruk Office 365 og eigennamnet som ein del av organisasjonsidentiteten i Office 365-organisasjonen. Det er ikkje støtta å endre namn på organisasjonen i Office 365. I vårt interne domene hadde vi også Difi som ein del av namnet. Kombinert med e-postsystemet Microsoft Exchange så er det ikkje supportert eller tilrådelig å endre namn på domenet.
Vi forsto fort at vi måtte sette opp heilt nytt domene både i sky og internt. Og dette måtte gjerast samtidig som vi heldt den eksisterande organisasjonen og miljøet i drift.
Interne og eksterne ressursar
Nettverksdelen vart prosjektert og implementert av Tor Erik Ones og Morten Foss som er rådgjevarar i Digitaliseringsdirektoratet. Sidan vi måtte sette opp nytt domene, vart det utfordrande å gjenbruke eksisterande subnett på ein god måte. Det har også vore ynskje om å splitte applikasjonar og tenester i forskjellige subnett. Digitaliseringsdirektoratet tilrår å bruke IPv6, og vår nye løysing støttar også dette.
Løysinga skulle vere dynamisk, slik at ein utviklar skal kunne kople seg til med kva nettverksport som helst og bli plassert i korrekt nettverk. Tilsvarande for trådlaust nettverk der ein SSID vart inngangsport for alle klientnetta.
Klientplattform og Office 365 vart prosjektert og implementert av Ragnar Midttun og Håvard Kristiansen, saman med konsulentar frå Cloudway. Digitaliseringsdirektoratet har applikasjonsforvaltarar og utviklarar av nasjonale tenester som Altinn og ID-porten, slik at det er det særs viktig å ha kontroll på brukarar og datamaskiner eller mobile einingar.
Beslutning og prosjektstart
Vi valde å oppgradere lisensane våre frå Microsoft 365 E3 til Microsoft 365 E5 for å få full kontroll over brukarane og eininga i eitt verktøy. Oppgraderinga er kostbar, men samtidig nytta vi høvet til å fjerne andre tredjeparts produkt frå porteføljen – samtidig som vi slapp administrasjon av desse. Lisensen gir oss blant anna tilgang på Advanced Threath Protection (ATP) på klientmaskiner, i Office 365 produkta og til framtidig bruk av Azure tenester. Gjennom lisensen har brukarane også tilgang på eigen telefoni- og videokonferanse. Det var konstruktive og effektive møte med leiinga der denne kostnadsauken vart informert og gevinstar vart belyst.
Beslutninga om oppgraderinga var avgjerande for grunnlaget for ny plattform. Grunnen for at vi tok denne diskusjonen tidleg var for å avdekke korleis ny løysing skulle konfigurerast.
I september 2019 vart prosjektet starta. Ikkje berre skulle vi flytte data, men vi skulle også slå saman to organisasjonar og lære kvarandre å kjenne. Nettverk, brannmurar, VPN-koplingar mot eksterne driftsleverandørar måtte avklarast og konfigurerast – samtidig som ein heldt det eksisterande miljøet i drift.
Helga 22. – 24. november vart sett som migreringshelg for Difi:
Alle nettverkspunkt vart endra til dynamisk autentisering
Over 450 maskiner vart reinstallert
610 mailboksar vart flytta til ny organisasjon
Difi sine eksisterande Teams-, Sharepoint- og Onedrive for business-område vart flytta
Stor flyttejobb
Microsoft støtta ikkje sky-to-sky migrering av Teams, Sharepoint og Onedrive på det tidspunktet vi migrerte. All kopiering til ny tenant (direktoratets område i skytenesta) måtte derfor gjerast ved å kopiere data frå skya til vårt datasenter – for så å bli lasta opp igjen til ny organisasjon. Dette skulle vise seg å ta lang tid, og vi var ikkje ferdig før etter ti dagar. Denne jobben gjekk dag og natt.
Dersom det var data som brukarane absolutt måtte ha, gjorde vi unntak og lasta ned dette manuelt frå det gamle miljøet og formidla dette. Ti dagar høyres lenge ut. Men kor mykje av datane er aksessert kvar dag? Rapportar vi hadde frå eksisterande skymiljø viste at under 1% av datane vart aksessert på dagleg basis. Med dette i bakhovudet kunne vi tillate å ta ein cut-over migrering og la det ta den tida det tok.
Desember vart brukt til å flytte Altinn inn i organisasjonen. Dei tilsette i avdelinga fekk ansvar for å flytte eigne personlege filer medan prosjektet flytta mail og fellesområdet til Microsoft Teams. Alle tilsette fekk nye maskiner slik at dei kunne jobbe parallelt og teste at alt fungerte fram til «fødselsdagen» til Digitaliseringsdirektoratet 1. januar 2020.
Administrasjon av klientar og mobile einingar blir gjort Microsoft Intune. Alle brukarar som skal kople eininga si mot organisasjonen må tillate at organisasjonen administrerer den. Slik kan IT-drift rulle ut nye applikasjonar og enkelt gjere endringar i firmaapplikasjonar.
Koronakrisa
I mars 2020 slo Covid-19 bølga innover Noreg, og alle tilsette også hos oss blei bedt om å flytte til heimekontor. Med nytt kontorstøttesystem i skya gjekk denne overgangen så godt som smertefritt, og sikra at vi i tillegg til å oppretthalde normal drift også kunne planlegge, utvikle og bidra til viktige digitale løysingar for å lette krisehandteringa i samfunnet.
Organisasjonen tok i bruk løysingane som låg klare – statistikkane våre viser ein eksplosjon av videomøte og konferansar. Skyløysinga har skalert og ytt til dei forventningane vi hadde. Vi har ikkje merka nokon forskjell på IT-plattformen – men kollegaane møter vi i videokonferansar i staden for kantina. Administrasjon av klientar og endringar skjer på same måte som når ein er på kontoret.
Ved innføring av Office 365 har vi fått til meir effektiv samhandling i organisasjonen. Eit eksempel på det er online samskriving i dokument, noko som har redusert tida dramatisk for å skrive rapportar og andre “fellesdokument”. Dette blir gjort frå online applikasjonar som Word og Excel. Det er enkelt å gi eksterne tilgang til dokument samtidig som ein har god oversikt over kven som har gjort endringar, og sikkerheita blir godt ivaretatt.
Direktoratets digitale “grunnmur” i sky er no på plass på ein god og trygg måte. Forvalting og oppfølging av tenestene er godt forankra i IT-drifts organisasjon – og vi er no klare for neste steg som blir å flytte serverrommet ut i skya, og ta i bruk SaaS tenester der det er tilgjengeleg.
When you create a Teams meeting invitation it looks pretty basic:
I like graphics and design. And I like taking advantages of all features, such as adding company branding whenever I can.
Go to https://admin.teams.microsoft.com/ and expand Meetings and choose Meetings settings. Add the URL to your logo – and add link to legal information and help section if preferred:
Be aware that it might take up to 24 hours before meeting settings are updated in Outlook. So after a while this is how it looks for me now:
In my organization we have been using Microsoft Teams for a quite a long time and our employees are loving it! Our IT department have been challenged to find a easy way to communicate, share files and videos for the entire organization. We decided to give organizational wide team a try.
We first created a “Private” team so that we could designing shortcuts, channels and channel settings, connection to Microsoft Stream, help pages in Sharepoint and so on.
When we finally were happy with the design and had agreed on ground rules for answering questions and how to operate the team we converted the team to “Organizational wide”.
Within an hour all employees were added to the team. And newly created users was also added. Lovely! It is dynamic!
But at the end of the day we noticed that the amount of team members did not match with the number of employees.
We then realized the following:
All users in your tenant who have a role will be added to the team (Sharepoint admin, Global admin etc)
All licensed accounts had been added to the Team. This included Exchange Online P1 users, Azure AD users with Dynamics 365 licenses and so on.
Temporary employees and consultants with an Office 365 licenses were also added
This was not our intention, and employees started questioning who “svc_Xerox1” was when they browsed through the member list of the team.
When you create a organizational wide team it does not uses any dynamic rules. It just adds all (licensed) users in your tenant.
“Did you try to change it to a “Private” team and base membership on a dynamic rule?” Yes. And it does not work. I even had a discussion with Microsoft Premier support about it.
Org-wide team add all users users. This is a setting which is set on the Team when changing or creating it, and cannot be changed later.
“So what do you recommend us to do, Håvard?” First create a “Private” Team and add necessary users to set rules, design and so on.
All of our users have our company name in the attribute called “CompanyName”:
And that is it. Much more flexible.
In this way we can make sure that only permanent employees are joined to the team. And it works dynamically. It is a super way to when boarding new users to the organization since it is based on a dynamic rule. If you need to add more expressions it can easily be added.
Looking through the different Office 365 Enterprise plans the other day I noticed the following at the bottom:
4. Unlimited personal cloud storage for qualifying plans for subscriptions of five or more users, otherwise 1 TB/user. Microsoft will initially provide 1 TB/user of OneDrive for Business storage, which admins can increase to 5 TB/user. Request additional storage by contacting Microsoft support. Storage up to 25 TB/user is provisioned in OneDrive for Business. Beyond 25 TB, storage is provisioned as 25 TB SharePoint team sites to individual users.
You can choose to extend for particular users or the entire organization.
Changing for all users:
Go to https://admin.onedrive.com and choose “Storage”. Change “Standard storage in GB” to desired size – 5120 GB equal 5TB.
For a particular user: If you do not want to go all the way to extend it to 5 TB right away that is not a problem. Remember that StorageQuota needs to be set in mb:
Storage quota
In mb
1 TB
1048576
2 TB
2097152
3 TB
3145728
4 TB
4194304
5 TB
5242880
Before you can set the desired size on the Onedrive you need to obtain the OneDrive url for the user.
The OneDrive URL can be located by looking at the user at https://admin.microsoft.com – Selecting OneDrive and then “Link to files”.
You then need to connect to Sharepoint Online in Powershell as a Global Admin and run the following command:
We are
shifting to OneDrive for business at our company. But the OneDrive for business
client is acting differently compared to the Windows sync client when copying
files to a file server.
Using
folder redirection or Windows synchronization you just add files to the
synchronization folder – and that’s it. When connection is present it will
start copying.
With OneDrive for business it’s different. When you want to synchronize
files, you add it to the synchronization folder as normal. The client then creates
a list of content to be copied to OneDrive for business, and the list is passed
along to the backend system of OneDrive.
Having internet connection while adding a load of files to be synchronizing
– and then removing the connection (or shutdown the computer) is dangerous.
Microsoft have backend timer jobs running to check if the files on the received
list is uploaded properly. It also checks if the files is uploaded incorrectly
or if there are files form the list that have not been synchronized.
Those files are removed by server, and this activity is shown as
someone deleted the file. This is a part of the cleanup that is running as part
of the OneDrive backend backup.
Since OneDrive is a bidirectional synchronization – a deletion on the
web portal will also affect the computers folder when it is turned on.
And since the file was never copied to the destination area in OneDrive
there is no backup.
The blog activity have been low over the past years. Working fulltime job and father for two kids takes a huge amount of time – but better days are coming. Stay tuned.
Do it once - do it right 