Microsoft365 diensten ten behoeve van het Shared Service Centrum van gemeente Leeuwarden

Gemeente Leeuwarden huurde Emtio in 2024 in voor de begeleiding van een Europese aanbestedingsprocedure met de werktitel ‘Moderne werkplek en Microsoft365-implementatie-, advies - en ondersteuningsdiensten ten behoeve van het Shared Service Centrum van gemeente Leeuwarden’.

Gemeente Leeuwarden huurde Emtio in 2024 in voor de begeleiding van een Europese aanbestedingsprocedure met de werktitel ‘Moderne werkplek en Microsoft365-implementatie-, advies – en ondersteuningsdiensten ten behoeve van het Shared Service Centrum van gemeente Leeuwarden’.

Het SSC

Bij het Shared Service Centrum Leeuwarden (SSC), een centrumregeling waarbij gemeente Leeuwarden ‘centrumgemeente’ is, zijn verschillende samenwerkingspartners aangesloten: de Friese Waddeneilanden, gemeente Waadhoeke, gemeente Noardeast-Fryslân, gemeente Dantumadiel, en organisaties als FUMO en de Dienst Sociale Zaken en Werkgelegenheid NW-Fryslân. Deze samenwerking is contractueel vastgelegd in de centrumregeling, de servicelevel agreement (SLA), de productendienstencatalogus (PDC) en uitvoeringsafspraken (DAP).

Het SSC verzorgt diensten op verschillende gebieden, waaronder ICT, informatiemanagement, belastingen, communicatie, financiële administratie, inkoop, personeel & organisatie, facilitair beheer en documentaire informatievoorziening.

De afdeling ICT bestaat uit ruim 50 medewerkers. De afdeling omvat een team voor de werkplek- & servicedeskdiensten en een team hosting & infra. Gezamenlijk leveren zij de generieke “bodemplaat” voor de I-dienstverlening.

De afdeling Informatiemanagement bestaat uit ruim 100 medewerkers. Hieronder vallen de teams Functioneel Beheer, Architectuur & Advies, Innovatie & Integratie, en Data, Statistiek & Onderzoek.

Aanleiding

Het SSC levert ICT-werkplekdiensten aan circa 4.500 medewerkers. Tot op heden werd gebruik gemaakt van een Citrix XenApp-werkplek. Tijdens de coronaperiode nam het aantal laptops sterk toe. Daardoor werd naast de Citrix-omgeving ook lokaal met Teams en Microsoft Office gewerkt. Circa 90% van de medewerkers beschikte over een laptop; de overige 10% gebruikte een thin client of gedeelde pc.

Citrix bood geen volwaardige ondersteuning voor grafische toepassingen, multimedia (zoals Teams-meetings) en moderne applicaties. Steeds meer applicaties verplaatsten naar de cloud en waren direct beschikbaar vanaf laptops. Medewerkers verwachtten dan ook steeds vaker toegang tot applicaties via de laptop.

SSC Leeuwarden stelde in 2024 een werkplekvisie vast: de wens was een modern werkplekconcept dat alle applicaties ondersteunt, veilig is, eenvoudig in beheer, gebruiksvriendelijk en onafhankelijk van plaats en tijd. Bring Your Own Devices (BYOD) moest mogelijk worden gemaakt, met inachtneming van de BIO. SSC Leeuwarden hanteerde hierbij een ‘Microsoft tenzij’-beleid. Om dit te bereiken wenste SSC Leeuwarden een Microsoft-partner te selecteren die onderstaande diensten in het kader van de ‘opdracht’ zou uitvoeren.

De opdracht

De Europese aanbesteding had als doel een leverancier te selecteren die, binnen de gestelde kaders van kwaliteit, tijd en budget, voor gemeente Leeuwarden de volgende onderdelen zou uitvoeren:

  1. Ontwerpen en implementeren van een moderne werkplekoplossing
    Waarbij zoveel mogelijk applicaties vanaf de moderne werkplek gebruikt zouden kunnen worden.

  2. Uitvoeren van de migratie naar de nieuwe werkplek
    In het pad naar volledig gebruik van de moderne werkplek moesten de klassieke client-serverapplicaties ondersteund blijven. In gevallen waarin applicaties niet naar tevredenheid vanaf de moderne werkplek gebruikt konden worden, diende een alternatief aangeboden te worden. Vereiste was dat eindgebruikers alle applicaties vanaf één desktop aangeboden kregen.

  3. Bieden van een oplossing voor BYOD-gebruik
    Het implementeren van een oplossing voor het aanbieden van applicaties, dan wel de gehele zakelijke werkplek, op bring your own-apparaten met behoud van de vereisten voor beveiliging.

  4. Ondersteunen van applicatiedistributie en packaging
    Het ontwerpen en implementeren van een applicatiedistributiesysteem en het ondersteunen bij het packagen van de applicaties voor de werkplekken.

  5. Inrichten en borgen van Microsoft 365
    Het ontwerp, de inrichting en governance van het gebruik van Microsoft 365-diensten, dusdanig dat naleving van de wettelijke en organisatievoorschriften zou zijn geborgd, en op een gestandaardiseerde en gestructureerde manier gewerkt kon worden en conform de beveiligingsrichtlijnen samengewerkt kon worden.

  6. Migreren van bestanden naar Microsoft 365
    Het opstellen van een best practice plan van aanpak voor de migratie van bestanden van fileservers naar Microsoft 365, en het ondersteunen bij de uitvoering hiervan.

  7. Uitvoeren van adoptie en verandermanagement
    Het ontwikkelen en uitvoeren van een uitgebreid adoptie- en verandermanagementplan. Het succes van de implementatie van de nieuwe werkplekoplossing was sterk afhankelijk van de mate waarin eindgebruikers de nieuwe werkplek (met nieuwe technologieën en werkwijzen) zouden omarmen en effectief gebruiken. Daarom waren adoptie en verandermanagement een cruciaal onderdeel. In het adoptie- en verandermanagementplan kwamen de volgende punten aan de orde: stakeholderanalyse en communicatieplan, training en ondersteuning, de inzet van ambassadeurs, monitoring en evaluatie, cultuurverandering. Verandermanagement behoorde voornamelijk tot de verantwoordelijkheid van het SSC, terwijl adoptie daarop volgend en daarvan afgeleid was. De uitvoering van het adoptieplan was optioneel. Dit betekende dat de uitvoering naar eigen keuze van de deelnemers kon worden afgenomen.

  8. Overdragen van beheer aan SSC Leeuwarden
    De overdracht van beheerwerkzaamheden naar de beheerorganisatie van SSC Leeuwarden.

  9. Leveren van diensten voor inrichting en ondersteuning
    Het leveren van diensten ten aanzien van ontwerp en advies, ondersteuning bij inrichting en ingebruikname, en het bieden van tweedelijnsondersteuning bij problemen en verstoringen. Dit alles ten behoeve van, en in het kader van, de verdere doorontwikkeling en het inpassen van nieuwe functionaliteiten binnen het aangeboden werkplekconcept en de Microsoft 365-producten.

Karakteristieken van de bestaande ICT-infrastructuur ten tijde van de voorbereiding

Werkstations

De standaard werkplek was gebaseerd op Citrix XenApp. Medewerkers werkten met een thin client-terminal of een laptop met dockingstation. Beide configuraties waren uitgerust met één of twee 22″ of 27″ monitoren.

De XenApp-omgeving draaide op Dell PowerEdge-servers met XenServer als hypervisor. Voor inrichting en beheer werd gebruikgemaakt van SCCM, Ivanti Automation Manager en App-V. Ivanti Workspace Manager werd ingezet voor gebruikersondersteuning. Voor grafisch intensieve toepassingen was een aparte Citrix-omgeving met Nvidia GPU beschikbaar.

De laptops werden beheerd vanuit Microsoft Intune, en bevatten een basis set aan (office) applicaties. Voor de overige backoffice applicaties was vanaf de laptops via een Citrix Netscaler portaal de XenApp omgeving beschikbaar. Ook medewerkers en externen die geen zakelijke laptop hadden konden dit portaal gebruiken vanaf hun privé apparatuur. De ontwikkelrichting van de werkplek was gericht op het verder aanbieden van (SaaS) applicaties direct op de laptops. Er werd daarom binnen het applicatielandschap de voorkeur gegeven aan moderne web en app gebaseerde applicaties.

Er werden drie typen gebruikers onderscheiden:

  • Standaard medewerker (Microsoft365 E5 + licenties voor gebruik Citrix werkplek) (85%);
  • Remote medewerker (Microsoft365 E5 licenties, geen Citrix toegang) (10%);
  • Remote Lite medewerker (alleen MS Exchange Online en EMS licenties) (5%).

Microsoft365

Ter ondersteuning van de algemene digitale werkprocessen en het intern en extern digitaal samenwerken werd gebruikgemaakt van Microsoft 365-componenten zoals Teams, SharePoint Online en OneDrive. De verschillende onderdelen zijn gefaseerd in gebruik genomen.

Teams werd gebruikt voor online meetings, chat en samenwerken in teams voor projecten en thema’s. SharePoint Online werd gebruikt als intern publicatieplatform. Daarnaast werden ondersteunende producten gebruikt zoals Planner, Forms, OneNote en Whiteboard. Ook de securitycomponenten uit de Microsoft 365-bundel werden ingezet, en er bestonden wensen om de compliancecomponenten in te zetten.

Back-ups van Microsoft 365 werden gemaakt met Veritas Backup Exec for Microsoft 365.

Startportaal

Op de laptops en binnen de Citrix-werkplek startte de gebruiker zijn werk vanaf het Embrace-portaal. Naast nieuws en de sociale intranetfunctionaliteit bood het portaal een overzicht van actuele Microsoft 365-inhoud zoals de Outlook-agenda, mail en Teams. Daarnaast werd gebruikgemaakt van Liquit Workspace-functionaliteit voor het aanbieden van een applicatiemenu. Overige functionaliteit van Liquit Workspace viel niet onder de licentie.

DFS-filesharing

Binnen de Citrix-werkplek gebeurde de opslag van ongestructureerde data op fileshares die gehost werden op Windows-servers. Alle shares werden aangeboden via een Microsoft DFS-omgeving. Gebruikers hadden naast hun persoonlijke h-schijf ook gedeelde afdelingsmappen en projectmappen. Op de laptops was OneDrive beschikbaar zodat lokaal opgeslagen bestanden tevens bewaard konden worden in de Microsoft 365-omgeving.

E-mail

De e-mailomgeving was ondergebracht in Exchange Online. In de on-premiseomgeving was nog een Exchange-mailserver aanwezig ten behoeve van management en als SMTP-host voor on-premiseservers. Voor het ontvangen en versturen van externe e-mail werd gebruikgemaakt van antispam- en antivirusbeveiliging van Microsoft Exchange Online Protection. E-mailverkeer werd in inkomende, interne en uitgaande richting gecontroleerd op validiteit (DMARC, SPF, DKIM e.d.) en integriteit (virussen, malware e.d.) en wanneer nodig gefilterd (voor én na aflevering in de mailbox).

Voor beveiligd mailen werd gebruikgemaakt van de functionaliteit van Cryptshare.

Active Directory

Voor de userauthenticatie werd gebruikgemaakt van een Windows Server 2019 Active Directory. Deze was tevens gekoppeld aan Entra ID ten behoeve van authenticatie op mobiele werkplekken en de thuiswerkplek in combinatie met Azure Multifactor Authenticatie. SaaS-applicaties werden ook via de Entra ID gekoppeld, zodat integraal userbeheer mogelijk was. Voor het managen van de gebruikersobjecten in AD werd gebruikgemaakt van Identity Manager van SmartAIM.

Datacenters

Het Shared Service Centrum beschikte over twee datacenters voor plaatsing van centrale servers, storage systemen en netwerkfaciliteiten. De datacenters waren opgezet volgens een twin-datacenter concept. Dat wil zeggen dat ze identiek waren opgezet, waardoor bij uitval van 1 datacenter alle functionaliteit behouden bleef. De beide datacenters waren gekoppeld door middel van glasvezelverbindingen waarmee in een laag 2 connectiviteit tussen de datacenters werd voorzien.

Netwerk

Het netwerk was gebaseerd op Cisco-hardware. Er was voorzien in een dubbel uitgevoerde coreswitch, verdeeld over beide datacenters. Deze core verbond de campusnetwerken met het datacenter-LAN.

Het campus-LAN was opgebouwd met Cisco Catalyst-distributie- en accessswitches. Grotere locaties binnen Leeuwarden werden onderling gekoppeld via een 10Gbit-glasvezelring.

Voor verbindingen naar de samenwerkingspartners buiten Leeuwarden werd gebruikgemaakt van een mix aan verbindingen, waaronder het KPN E-VPN-netwerk, darkfiberverbindingen en SD-WAN-verbindingen over internet.

Voor het datacenternetwerk werd gebruikgemaakt van een Cisco ACI-infrastructuur op basis van Nexus-switches.

Het interne netwerk was via een firewall ontsloten naar internet en overige externe netwerken. Voor de segmentatie van het netwerk binnen het datacenter werd gebruikgemaakt van VMware NSX.

Op de meeste locaties was een WLAN beschikbaar. Hier werd ook gebruikgemaakt van Cisco-producten en een centrale geclusterde WLAN-controller. De netwerkomgeving werd beheerd met Cisco Prime NCS.

Telefonie

De gemeente Leeuwarden maakte gebruik van een cloudgebaseerd Mitel-telefonieplatform. Door gebruik te maken van apps op mobiele devices en VOIP-toestellen kon het telefonieconcept over alle locaties uitgerold worden.

Printers

Het printerpark was opgebouwd uit circa 50 Xerox-multifunctionals die konden kopiëren, printen, scannen en faxen. Deels zwart-wit, deels kleur. Er liep een aanbesteding voor het vervangen van deze multifunctionals (zie: aanbesteding multifunctionals op TenderNed).Daarnaast waren er printers voor specifieke doeleinden zoals akteprinters, plotters en bonprinters.

Test- en acceptatieomgeving

Voor de belangrijke applicaties waren naast productiesystemen ook test- en acceptatieomgevingen ingericht. In de testomgeving werden wijzigingen en nieuwe functionaliteiten voor het eerst ontworpen, uitgewerkt en getest. Deze omgeving was primair bedoeld voor de ontwikkelaars van informatiesystemen. Naast de ontwikkelaars hadden technisch beheerders toegang. In deze testomgeving werd alles functioneel, technisch, procedureel en op integrale wijze getest. In de acceptatieomgeving konden eindgebruikers informatiesystemen of onderdelen hiervan op hun juiste werking controleren. Doelgroep van deze omgeving waren de functioneel beheerders en gebruikers die acceptatietesten uitvoerden. Naast deze groepen hadden ook de technisch beheerders toegang. De test- en acceptatieomgevingen werden gehost op hetzelfde VMWare platform als de productieomgevingen, maar waren wel logisch van elkaar gescheiden.

Hosting platform

Voor het serverhostingplatform werd gebruik gemaakt van VMWare vSphere i.c.m. vSan. Er waren twee stretched clusters, voor Windows en voor Linux/Oracle. Daarnaast was er een apart cluster voor de managementomgeving van VMWare. Het gebruikte hardware platform was op basis van Dell PowerEdge vSan ReadyNodes.

Er werden circa 600 Windows servers en 150 Red Hat Linux servers gehost. Daarnaast waren er circa 350 Oracle Application Servers waarop de Key2 applicaties en databases van Centric werden gehost.

Voor het connecteren van USB-randapparatuur aan virtuele servers, werd gebruik gemaakt van DigiUSB apparatuur. Servers werden in principe virtueel gehost, tenzij er zeer goede redenen waren om toch te kiezen voor dedicated hardware. De VMWare omgeving werd beheerd met VMWare vCenter en vRealise Operations Manager.

Back-up

Als backupsoftware werd gebruik gemaakt van Veritas Netbackup. De backup-data werd redundant over beide datacenters opgeslagen op mediaservers die waren voorzien van lokale diskruimte. Om in off-site backups te kunnen voorzien was een taperobot beschikbaar.

Database servers

Voor de grotere gemeentelijke informatiesystemen werden Oracle databases gebruikt. Deze werden per database in een eigen virtuele server gehost op het VMWare platform. Het besturingssysteem op deze virtuele servers was Red Hat Enterprise Linux. De Oracle databases werden online veiliggesteld door Oracle RMAN i.c.m. Veritas NetBackup. Voor het beheer van de databases werd gebruik gemaakt van Oracle Enterprise Manager.

Naast Oracle was ook Microsoft SQL server vastgesteld als voorkeur standaard. Daarnaast werden MySQL en PostgreSQL ondersteunt.

Uitgangspunten

SSC Leeuwarden werkte vanuit een basisarchitectuur ‘Basisarchitectuur Shared Service Centrum’ (BAS). Aanbieders dienden dient uit te gaan van de principes en uitgangspunten in de BAS, aangevuld met de in de aanbestedingsdocumenten beschreven uitgangspunten voor de scope van de opdracht:

  • Basis uitgangspunten
  • Cloud uitgangspunten
  • Functionele uitgangspunten
  • Security en informatiebeveiliging uitgangspunten
  • Implementatie uitgangspunten
  • Beheer uitgangspunten

Algemene demarcatie van beheertaken

De aanbestedingsprocedure

De aanbesteding is uitgevoerd via een ‘mededingingsprocedure met onderhandelingen’. De aanbesteding bestond in onze aanpak uit twee informele en twee formele fasen:

  1. Voorbereidingsfase (informeel)
    In deze fase werden de voorbereidingen getroffen voor de aanbesteding.
  2. Selectiefase (formeel)
    In deze fase werden drie leveranciers geselecteerd waarmee de inlichtingenfase werd doorlopen.
  3. Inlichtingenfase (informeel)
    In deze fase beantwoordden de geselecteerde leveranciers mondeling (middels een interactieve presentatie) en schriftelijk een aantal zorgvuldig geformuleerde vragen omtrent de voorlopige behoeftestelling van gemeente Leeuwarden. Er kon vrij worden gediscussieerd en de organisatie en stakeholders van de gemeente werden actief betrokken.
  4. Onderhandelingsfase (formeel)
    In deze fase brachten de geselecteerde leveranciers hun voorlopige inschrijving of offerte uit. Er vond nadere afstemming plaats over de voorgestelde oplossingen. Ook in deze fase was ruimte voor discussie en betrokkenheid van de organisatie en stakeholders van gemeente Leeuwarden. Vervolgens werkten de leveranciers hun definitieve inschrijving of offerte uit en dienden zij deze in, inclusief de prijsstelling. Pas in deze fase werd het aanbestedingsproces strikt geformaliseerd en vond de beoordeling en uiteindelijke gunning plaats.

Planning

De aanbestedingsprocedure is geheel volgens planning doorlopen:

Datum Activiteit
8 november 2024 Aankondiging op TenderNed
9 december 2024 Deadline aanmeldingen
10 januari 2025 Verzenddatum ‘voorlopig’ beschrijvend document
11 en 12 februari 2025 Inlichtingenronden met drie aanbieders
7 maart 2025 Verzenddatum ‘definitief’ beschrijvend document
11 april 2025 Deadline indienen ‘voorlopige’ offertes
5 en 6 mei 2025 Verduidelijkingsgesprekken
23 mei 2025 Deadline indienen ‘definitieve’ offertes
20 juni 2025 Voorlopig gunningsbesluit
20 juni – eind juli 2025 Interne besluitvorming binnen gemeente Leeuwarden
1 augustus 2025 Definitieve gunning

De aanbestedingsprocedure is succesvol afgerond met de gunning van de opdracht aan Sogeti Nederland B.V.

Kwalitatieve inzet vanuit Emtio

De werkzaamheden namens Emtio zijn uitgevoerd door Joop Schuilenburg (IT- en aanbestedingsjurist) en Ernst Vetketel (IT-specialist). Lees meer over Emtio.