Power Automate US Government
V reakci na jedinečné a neustále se vyvíjející požadavky veřejného sektoru USA vytvořil Microsoft plány pro Power Automate US Government. Tato část obsahuje přehled funkcí, které jsou specifické pro Power Automate US Government. Doporučujeme, abyste si tento doplňkový oddíl přečetli společně s tématem, které se věnuje seznámení se službou Power Automate. Pro stručnost se tato služba běžně označuje jako Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) nebo Power Automate Department of Defense (DoD).
Popis služby Power Automate US Government slouží jako doplnění popisu všeobecné služby Power Automate. Definuje jedinečné povinnosti a rozdíly v porovnání s všeobecnými nabídkami služby Power Automate, které jsou pro naše zákazníky dostupné od října 2016.
Plány Power Automate US Government mají formu měsíčních předplatných, která lze licencovat neomezenému počtu uživatelů.
Prostředí Power Automate GCC vyhovuje federálním požadavkům na cloudové služby včetně FedRAMP High a DISA IL2 ministerstva obrany. Vyhovuje rovněž požadavkům na systémy trestního soudnictví (datové typy CJI).
Kromě funkcí a možností služby Power Automate mohou organizace, které používají Power Automate US Government, využívat následující jedinečné funkce:
Zákaznický obsah vaší organizace je fyzicky oddělen od zákaznického obsahu v komerčních nabídkách služby Power Automate.
Zákaznický obsah vaší organizace je uložen ve Spojených státech.
Přístup k zákaznickému obsahu vaší organizace je omezen na prověřené pracovníky společnosti Microsoft.
Power Automate US Government vyhovuje všem osvědčením a akreditacím, které vyžadují zákazníci z řad veřejného sektoru USA.
Počínaje zářím 2019 se nyní mohou oprávnění zákazníci rozhodnout nasadit Power Automate US Government do prostředí GCC High, což umožňuje jednotné přihlašování a bezproblémovou integraci s nasazením Microsoft Office 365 GCC High.
Společnost Microsoft navrhla platformu a naše provozní postupy, aby splnila požadavky, které jsou v souladu s DISA SRG IL4. Předpokládáme, že zákaznická základna dodavatelů Ministerstva obrany Spojených států a další federální agentury, které momentálně využívají Office 365 GCC High, budou používat možnost nasazení Power Automate US Government GCC High. Tato možnost umožňuje a současně vyžaduje, aby zákazník pro identitu zákazníků využíval službu Microsoft Entra Government místo prostředí GCC, která používají veřejnou službu Microsoft Entra ID. Pro zákaznickou základnu amerického ministerstva obrany společnost Microsoft provozuje službu způsobem, který umožňuje těmto zákazníkům splnit závazky ITAR a předpisy týkající se akvizic DFARS, jak je dokumentováno a vyžadováno jejich smlouvami s americkým ministerstvem obrany. DISA udělila prozatímní oprávnění k provozu.
Počínaje dubnem 2021 mohou oprávnění zákazníci nasadit Power Automate US Government do prostředí „DoD“, což umožňuje jednotné přihlašování a bezproblémovou integraci s nasazením Microsoft 365 DoD. Společnost Microsoft navrhla platformu a naše provozní postupy v souladu s DISA SRG IL5. DISA udělila prozatímní oprávnění k provozu.
Power Automate US Government je k dispozici (1) americkým federálním, státním, místním, kmenovým a územním organizacím a (2) jiným organizacím zpracovávajícím data, která podléhají vládním předpisům a požadavkům, a v případech, kdy je použití služby Power Automate US Government vhodné pro splnění těchto požadavků, přičemž podléhá ověření oprávněnosti. Microsoft při tomto ověřování potvrzuje, zda se jedná o zpracování dat podléhající předpisům ITAR (International Traffic in Arms Regulations), data týkající se prosazování práva a podléhající zásadám CJIS (Criminal Justice Information Services) FBI nebo jiná regulovaná či kontrolovaná data. Ověřování může od státní organizace vyžadovat podporu se specifickými požadavky na zpracování dat.
Entity s otázkami ohledně způsobilosti pro Power Automate US Government by měly konzultovat svůj účet tým. Při prodloužení zákaznických smluv na Power Automate US Government přezkoumá Microsoft oprávněnost.
Poznámka
Power Automate US Government DoD je k dispozici pouze entitám DoD.
Přístup k plánům Power Automate US Government je omezený na nabídky popsané v následujícím oddílu; jednotlivé plány se nabízejí formou měsíčního předplatného a lze je licencovat neomezenému počtu uživatelů:
Plán Power Automate Process (dříve plán Power Automate na tok) pro státní správu
Plán Power Automate Premium (Power Automate na uživatele) pro státní správu
Kromě samostatných plánů jsou funkce Power Apps a Power Automate také součástí plánů Microsoft 365 US Government a Dynamics 365 US Government, které zákazníkům umožňují rozšiřovat a přizpůsobovat Microsoft 365 a aplikace pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service a Dynamics 365 Project Service Automation).
Další informace a detaily týkající se rozdílů ve funkcích mezi těmito skupinami licencí jsou podrobněji popsány v informacích o licencování Power Automate.
Power Automate US Government je k dispozici přes multilicence a nákupní kanály poskytovatelů cloudových řešení. Program Cloud Solution Provider není pro zákazníky GCC High aktuálně k dispozici.
Zákaznická data dle definice online služeb označují veškerá data, včetně všech textových, zvukových a obrazových souborů, která společnosti Microsoft poskytnete nebo která jí jsou poskytnuta jménem zákazníka prostřednictvím používání Online služeb.
Obsah zákazníka odkazuje na určitou podmnožinu zákaznických dat, kterou vytvořili přímo uživatelé, jako je například obsah uložený v databázích pomocí položek v entitách Dataverse (např. kontaktní informace). Obsah se obecně považuje za důvěrné informace a při běžném provozu se neposílá přes internet bez šifrování.
Další informace týkající se ochrany zákaznických dat Power Automate viz Microsoft Online Services Trust Center.
Při poskytování v rámci Power Automate US Government je služba Power Automate nabízena v souladu s National Institute of Standards and Technology (NIST) Special Publication 800-145.
Kromě logické separace obsahu zákazníka na aplikační vrstvě poskytuje služba Power Automate Government vaší organizaci sekundární vrstvu fyzické segregace obsahu zákazníka s využitím infrastruktury, která je nezávislá na infrastruktuře používané pro komerční zákazníky Power Automate. Patří sem používání služeb Azure v cloudu Azure Government. Další informace naleznete v tématu Azure Government.
Power Automate US Government se provozuje v datacentrech fyzicky umístěných ve Spojených státech, přičemž neaktivní uložený zákaznický obsah se nachází v datacentrech fyzicky umístěných jen ve Spojených státech.
Přístup k obsahu zákazníka Power Automate US Government je správci Microsoft omezen na pracovníky, kteří jsou občany USA. Tyto osoby postoupí vyšetřování profesní historie v souladu s příslušnými vládními normami.
Pracovníci technické podpory Power Automate a servisní inženýři nemají stálý přístup k obsahu zákazníků hostovanému v systému Power Automate US Government. Každý zaměstnanec, který požádá o dočasné zvýšení oprávnění, které by umožnilo přístup k obsahu zákazníka, musí nejprve projít následujícími ověřeními spolehlivosti.
Prověřování personálu Microsoft a ověření spolehlivosti1 | Popis |
---|---|
Americké občanství | Ověření amerického občanství |
Ověření historie zaměstnání | Ověření historie zaměstnání za sedm let (7) |
Ověření vzdělání | Ověření nejvyššího dosaženého vzdělání |
Vyhledání čísla sociálního pojištění (SSN) | Ověření, že číslo sociálního pojištění sdělené zaměstnanci je platné |
Výpis z trestního rejstříku | Kontrola trestního rejstříku za 7 roků ohledně trestných činů a přestupků na státní, krajské a místní úrovni a na federální úrovni |
Office of Foreign Assets Control List (OFAC) | Validace proti seznamu ministerstva financí skupin, s nimiž nejsou osobám z USA povoleny obchodní nebo finanční transakce |
Bureau of Industry and Security List (BIS) | Ověření proti seznamu ministerstva obchodu jednotlivců a subjektů, kteří mají zakázáno se účastnit na exportních aktivitách |
Office of Defense Trade Controls Debarred Persons List (DDTC) | Ověření proti seznamu ministerstva zahraničí jednotlivců a subjektů, kteří mají zakázáno se účastnit na exportních aktivitách souvisejících s oblastí obrany |
Kontrola otisku prstů | Ověření otisků prstů proti databázím FBI |
Ověření spolehlivosti CJIS | Státní soudní přezkum historie federálních a státních trestných činů státem pověřeným orgánem CSA v rámci každého státu, který se zaregistroval do programu Microsoft CJIS IA |
Ministerstvo obrany IT-2 | Zaměstnanci, kteří požadují zvýšená oprávnění k datům zákazníků nebo privilegovaný administrativní přístup k kapacitám služeb DoD SRG L5, musí projít rozhodnutím DoD IT-2 na základě úspěšného šetření OPM Tier 3. |
1 Vztahuje se pouze na osoby s dočasným nebo stálým přístupem k obsahu zákazníků hostovanému v Power Automate US Governments (GCC, GCC High a DoD).
Power Automate US Government je navržen na podporu adresy Federal Risk and Authorization Management Program (FedRAMP) na úrovni s vysokým dopadem. Tento program vyvozuje soulad s DISA IL2 ministerstva obrany. Artefakty FedRAMP jsou k dispozici ke kontrole federálními zákazníky, kteří jsou povinni dodržovat FedRAMP. Federální úřady si mohou tyto artefakty prostudovat při udělování oprávnění k provozování (Authority to Operate, ATO).
Poznámka
Power Automate je autorizován jako služba v rámci Azure Government FedRAMP ATO. Další informace, včetně přístupu k dokumentům FedRAMP, najdete v dokumentu FedRAMP Marketplace.
Power Automate US Government obsahuje funkce navržené na podporu požadavků zásad CJIS požadovaných agenturami pro vymáhání zákonů. Podrobnější informace, které se týkají osvědčení a akreditací, najdete na produktové stránce Power Automate US Government v Centru zabezpečení.
Společnost Microsoft navrhla tuto platformu a její provozní postupy tak, aby splňovaly požadavky rámců pro dodržování předpisů DISA SRG IL4 a IL5, a pro provoz získala potřebné prozatímní orgány DISA. Společnost Microsoft předpokládá, že naše zákaznická základna amerického ministerstva obrany a další federální agentury v současné době využívají Microsoft Office 365 GCC High k použití možnosti nasazení Power Automate US Government GCC High, což umožňuje a vyžaduje, aby zákazník využíval Microsoft Entra Government pro identity zákazníků, na rozdíl od GCC, která využívá veřejnou službu Microsoft Entra ID. Pro naši zákaznickou základnu amerického ministerstva obrany společnost Microsoft provozuje službu způsobem, který umožňuje těmto zákazníkům splnit závazky ITAR a předpisy týkající se akvizic DFARS. Společnost Microsoft dále očekává, že její zákazníci z ministerstva obrany USA, kteří v současné době používají Microsoft 365 DoD, použijí možnost nasazení Power Automate US Government DoD.
Power Automate US Government obsahuje několik funkcí, které uživatelům umožňují propojení a integraci s jinými nabídkami podnikových služeb Microsoftu, mezi které patří Office 365 US Government, Dynamics 365 US Government a Power Apps US Government.
Power Automate US Government je spuštěn v datových centrech společnosti Microsoft způsobem, který je v souladu s modelem nasazení u více klientů ve veřejném cloudu, klientské aplikace, včetně mimo jiné klienta uživatele webu, mobilní aplikace Power Automate (pokud je k dispozici), a jakékoli aplikace třetí strany, které se připojují k Power Automate US Government, však nejsou součástí hranice pro akreditaci Power Automate US Government. Za jejich správu zodpovídají zákazníci z oblasti státní správy.
Power Automate US Government využívá pro správu a fakturaci zákazníků uživatelské rozhraní správce zákazníků Office 365.
Power Automate US Government udržuje skutečné zdroje, tok informací a správu dat a přitom spoléhá na to, že Office 365 zajistí vizuální styly prezentované správci zákazníků prostřednictvím konzoly pro správu. Pro účely dědičnosti FedRAMP ATO Power Automate US Government využívá Azure (včetně Azure for Government a Azure DoD) ATO pro služby infrastruktury a platformy.
Pokud jsou vaši uživatelé v USA při používání Active Directory Federation Services (AD FS) 2.0 a nastavíte zásady, které pomáhají zajistit připojení uživatelů ke službám prostřednictvím jednotného přihlašování, veškerý obsah zákazníka, který je dočasně uložen do mezipaměti, bude v USA.
Power Automate US Government umožňuje integraci aplikací třetích stran do služby prostřednictvím konektorů. Tyto služby a aplikace jiných výrobců mohou zahrnovat ukládání, přenos a zpracování všech zákaznických dat v systémech jiných výrobců, které jsou mimo infrastrukturu Power Automate US Government infrastruktury, a proto se na ně nevztahují závazky dodržování předpisů a ochrany dat Power Automate US Government.
Tip
Při posuzování vhodného používání těchto služeb ve vaší organizaci si prostudujte prohlášení o zásadách ochrany osobních údajů a dodržování předpisů těchto třetích stran.
Úvahy o zásadách správného řízení pro Power Apps a Power Automate mohou pomoci vaší organizaci přinést povědomí o možnostech dostupných v několika souvisejících tématech, jako jsou architektura, zabezpečení, výstraha a akce a monitorování.
Pro přihlášení pomocí Power Automate mobilního klienta proveďte tyto kroky.
- Na přihlašovací stránce vyberte v pravém horním rohu (ikona Wi-Fi se znakem ozubeného kola).
- Zvolte Nastavení oblasti.
- Vyberte GCC: US Government GCC
- Vyberte OK.
- Na přihlašovací stránce vyberte Přihlásit se.
Mobilní aplikace bude nyní využívat US Government Cloud.
Služby Power Automate US Government jsou nasazeny na Microsoft Azure Government. Microsoft Entra není součástí akreditační hranice Power Automate US Government, ale spoléhá na klienta Microsoft Entra ID jako klienta zákazníka a funkce identity, včetně ověřování, federovaného ověřování a licencování.
Když se uživatel organizace využívající ADFS pokusí o přístup k Power Automate US Government, bude uživatel přesměrován na přihlašovací stránku, která je hostitelem serveru ADFS organizace.
Uživatel zadá přihlašovací údaje pro server AD FS své organizace. Server AD FS této organizace se pokusí tyto přihlašovací údaje ověřit pomocí infrastruktury služby Active Directory organizace.
Pokud je ověření úspěšné, vystaví server AD FS organizace lístek SAML (Security Assertion Markup Language), který obsahuje informace o identitě a členství tohoto uživatele ve skupinách.
Server ADFS zákazníka podepíše tento lístek pomocí jedné poloviny dvojice asymetrických klíčů a Microsoft Entra prostřednictvím šifrované TLS odešle lístek. Microsoft Entra ID ověří podpis pomocí druhé poloviny dvojice asymetrických klíčů a pak udělí přístup na základě lístku.
Informace o totožnosti uživatele a členství ve skupině zůstávají šifrovány v Microsoft Entra ID. Jinými slovy, v Microsoft Entra ID jsou uloženy pouze omezené informace identifikující uživatele.
Úplné podrobnosti o implementaci architektury a kontroly zabezpečení Microsoft Entra najdete v Azure SSP.
Služby správy účtu Microsoft Entra jsou hostované na fyzických serverech spravovaných službami Microsoft Global Foundation Services (GFS). Síťový přístup k těmto serverům je řízený síťovými zařízeními spravovanými GFS pomocí pravidel nastavených službou Azure. Uživatelé nepracují přímo s Microsoft Entra ID.
Pro přístup k prostředím Power Automate US Government se používají různé skupiny adres URL, jak je popsáno v následující tabulce. Tabulka zahrnuje také komerční adresy URL pro kontextové reference v případě, že jsou pro vás známější.
U zákazníků, kteří implementují omezení sítě, zajistěte, že přístupové body koncových uživatelů mají přístup k následujícím doménám:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Pokud chcete povolit přístup k instancím služby Dataverse, které uživatelé a správci mohou ve vašem klientovi vytvořit, podívejte se na rozsahy IP adres adres pro domény AzureCloud.usgovtexas a AzureCloud.usgovvirginia.
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Viz také Rozsahy IP, které vám umožní přístup k dalším prostředím Dataverse, která mohou uživatelé a správci vytvořit v rámci vašeho klienta a dalších služeb Azure, které platforma využívá, včetně:
- GCC a GCC High: Zaměřte se na AzureCloud.usgovtexas a AzureCloud.usgovvirginia.
- DoD: Zaměřte se na USDoD East a USDoD Central.
Azure je distribuován mezi více cloudů. Tenantům je standardně dovoleno otevírat pravidla brány firewall pro cloudově specifickou instanci, ale používání sítě mezi cloudy je jiné a vyžaduje otevření specifických pravidel brány firewall kvůli komunikaci mezi službami. Pokud jste zákazníkem Power Automate a máte existující instance SQL ve veřejném cloudu Azure, ke kterému se potřebujete dostat, musíte v SQL otevřít specifické porty brány firewall pro prostor IP adres cloudu Azure Government pro následující datacentra:
- USGov Virginia
- USGov Texas
- US DoD East
- US DoD Central
Přečtěte si dokument Rozsahy IP adres a značky služeb Azure - vládní cloud USA se zaměřením na AzureCloud.usgovtexas a AzureCloud.usgovvirginia a/nebo US DoD East a US DoD Central, jak je uvedeno výše v tomto článku. Jedná se o rozsahy IP adres požadované k tomu, aby koncoví uživatelé měli přístup k adresám URL služby.
Pro rychlý a bezpečný přenos dat mezi aplikací plátna vytvořenou v Power Automate a zdrojem dat, který není v cloudu, se instaluje místní brána dat. Může se jednat například o místní databáze SQL Serveru nebo místní weby SharePoint.
Pokud vaše organizace (klient) má nakonfigurovanou a úspěšně připojenou místní bránu dat pro PowerBI US Government, bude tímto procesem zároveň povoleno místní připojení služby Power Automate.
Dříve museli zákazníci státní správy USA kontaktovat podporu před konfigurací své první místní brány dat, protože podpora potřebovala dát povolení klientovi, aby bylo možné bránu používat. Toto nastavení však již není nezbytné. Pokud narazíte na problémy s konfigurací nebo používáním místní datové brány, můžete požádat o pomoc podporu.
Společnost Microsoft se snaží udržovat funkční paritu mezi našimi komerčně dostupnou službou a těmi, které jsou aktivovány prostřednictvím našich cloudů pro státní správu USA. Tyto služby se označují jako Power Automate Government Community Cloud (GCC) a GCC High. Nástroj Globální geografická dostupnost použijte ke zjištění, kde všude ve světě jsou Power Automate dostupné, včetně přibližných časových harmonogramů dostupnosti.
Existují výjimky ze zásady zachování funkční parity produktu v rámci cloudů státní správu USA. Pro další informace o dostupnosti funkcí si stáhněte tento soubor: Business Applications US Government – souhrn dostupnosti.