Power Automate US Government
En respuesta a los requisitos únicos y en constante evolución del sector público de los Estados Unidos, Microsoft creó los planes de Power Automate US Government. En esta sección se ofrece información general sobre las características que son específicas de Power Automate US Government. Se recomienda leer esta sección complementaria, así como también el tema de introducción del servicio Power Automate. En aras de la brevedad, este servicio se denomina comúnmente Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) o Power Automate Department of Defense (DoD).
La descripción del servicio Power Automate US Government actúa como una superposición de la descripción general del servicio Power Automate. Define los compromisos únicos y las diferencias en comparación con las ofertas generales de Power Automate que están disponibles para nuestros clientes desde octubre de 2016.
Acerca de los entornos y planes de Power Automate US Government
Los planes de Power Automate US Government son suscripciones mensuales y se pueden entregar licencias a un número ilimitado de usuarios.
El entorno de Power Automate GCC cumple con los requisitos federales para los servicios en la nube, incluido FedRAMP High y DoD DISA IL2. También cumple con los requisitos de los sistemas judiciales penales (tipos de datos CJI).
Además de las características y las funcionalidades de Power Automate, las organizaciones que usan Power Automate US Government se benefician de las siguientes características únicas:
El contenido de cliente de la organización está físicamente separado del contenido de cliente de la oferta comercial de Power Automate.
El contenido del cliente de la organización se almacena en los Estados Unidos.
El acceso al contenido de los clientes de la organización se limita a personal de Microsoft que ha sido sometido a investigación de antecedentes.
Power Automate US Government cumple con todas las certificaciones y acreditaciones que requieren los clientes del sector público de EE. UU.
A partir de septiembre de 2019, los clientes elegibles pueden elegir implementar Power Automate US Government en el entorno Alto GCC, que permite inicio de sesión único e integración sin problemas con implementaciones de Alto GCC de Microsoft Office 365.
Microsoft ha diseñado la plataforma y nuestros procedimientos operativos para cumplir los requisitos de acuerdo con el marco de cumplimiento de DISA SRG IL4. Esperamos que la base de clientes contratistas del Departamento de Defensa de Estados Unidos y otros organismos federales que actualmente usan GCC High para Office 365 usen la opción de implementación de GCC High para Power Automate US Government. Esta opción permite y requiere que el cliente use Microsoft Entra Government para las identidades de los clientes, a diferencia de GCC, que usa Microsoft Entra ID público. Para la base de clientes de contratistas del Departamento de Defensa de Estados Unidos, Microsoft opera el servicio de forma que permite a estos clientes cumplir el compromiso ITAR y las normativas de adquisición de DFARS, documentados y requeridos por sus contratos con el Departamento de Defensa de Estados Unidos. DISA ha concedido una Autorización provisional para operar.
A partir de abril de 2021, los clientes elegibles pueden elegir implementar Power Automate US Government en el entorno “DoD", que permite inicio de sesión único e integración sin problemas con implementaciones de Microsoft 365 DoD. Microsoft ha diseñado la plataforma y nuestros procedimientos operativos pde acuerdo con el marco de cumplimiento de DISA SRG IL5. DISA ha otorgado una Autoridad Provisional para Operar.
Elegibilidad de clientes
Power Automate US Government está disponible para (1) las entidades gubernamentales federales, estatales, locales, tribales y territoriales de EE. UU. y (2) otras entidades que administran datos sujetos a normativas y requisitos gubernamentales y donde el uso de Power Automate US Government sea adecuada para cumplir con estos requisitos, sujeto a la validación de idoneidad. La validación de idoneidad de Microsoft incluye la confirmación de administrar datos sujetos al Reglamento estadounidense sobre el tráfico internacional de armas (ITAR), datos policiales sujetos a la directiva de los servicios de información de justicia penal (CJIS) del FBI u otros datos controlados o regulados por el gobierno. Es posible que la validación requiera el patrocinio de una entidad gubernamental con requisitos específicos para la administración de los datos.
Las entidades que tengan preguntas sobre la elegibilidad para Power Automate US Government deben consultar al equipo de cuentas. Microsoft vuelve a validar la idoneidad cuando renueva los contratos de cliente de Power Automate US Government.
Nota
Power Automate US Government DoD solo está disponible para entidades DoD.
Planes de Power Automate US Government
El acceso a los planes de Power Automate US Government está restringido a las ofertas que se describen en la sección siguiente y cada plan se ofrece como una suscripción mensual cuya licencia se puede conceder a un número ilimitado de usuarios:
Plan Power Automate Process (anteriormente Power Automate por flujo) para Administración Pública
Plan Power Automate Premium (Power Automate por usuario) para Administración Pública
Además de los planes independientes, también se incluyen capacidades de Power Apps y Power Automate en ciertos planes de Microsoft 365 para la Administración Pública de Estados Unidos y Dynamics 365 US Government, que permiten a los clientes ampliar y personalizar Microsoft 365 y aplicaciones Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service y Dynamics 365 Project Service Automation).
Encuentre información adicional y los detalles relacionados con las diferencias de funcionalidad entre estos grupos de licencias aquí: Información de licencias de Power Automate.
Power Automate US Government está disponible a través de los canales de compra de proveedor de soluciones en la nube y licencia por volumen. El programa Proveedor de soluciones en la nube no está disponible actualmente para los clientes de GCC High.
Diferencias entre datos de cliente y contenido de cliente
Los datos de los clientes, según lo definido en las condiciones de servicio online, significan todos los datos, incluidos texto, sonido, vídeo, o archivos de imagen y software que se proporcionan a Microsoft por o en nombre de los clientes mediante el uso de un servicio en línea.
El contenido del cliente hace referencia a un subconjunto específico de datos de clientes que han sido creados directamente por los usuarios, como el contenido almacenado en bases de datos mediante entradas en las entidades de Dataverse (por ejemplo, información de contacto). Por lo general, el contenido se considera información confidencial y, en operaciones de servicio normales, no se envía a través de Internet sin cifrado.
Para obtener más información sobre cómo Power Automate protege los datos de clientes, vea el Centro de confianza de Microsoft Online Services.
Segregación de datos para la nube de la comunidad gubernamental
Cuando se provisiona como parte de Power Automate US Government, el servicio Power Automate se ofrece de acuerdo con la Publicación especial 800-145 del National Institute of Standards and Technology (NIST).
Además de la separación lógica de contenido del cliente en la capa de aplicación, el servicio de Power Automate Administración Pública proporciona a la organización una capa secundaria de segregación física para contenido de los clientes mediante una infraestructura que es independiente de la infraestructura utilizada para clientes de Power Automate. Esto incluye el uso de servicios de Azure en la nube gubernamental de Azure. Para obtener más información, consulte Azure Government.
Contenido del cliente ubicado dentro de los Estados Unidos
Power Automate US Government se ejecuta en centros de datos ubicados físicamente en Estados Unidos y almacena el contenido de cliente en reposo en centros de datos ubicados físicamente solo en Estados Unidos.
Acceso de los administradores a datos restringidos
El acceso al contenido del clientes de Power Automate US Government por parte de los administradores de Microsoft está limitado a empleados que son ciudadanos de EE.UU. Estos empleados están sometidos a investigaciones de antecedentes de acuerdo con las normas relevantes del gobierno.
El personal de soporte e ingeniería de servicio de Power Automate no tienen acceso continuo a contenido de clientes hospedado en Power Automate US Government. Cualquier empleado que solicita la elevación temporal del permiso, que concedería acceso a contenido de clientes, primero debe haber superado las siguientes pruebas de antecedentes.
| Pruebas de selección y antecedentes de personal de Microsoft1 | Descripción |
|---|---|
| Ciudadanía de EE.UU. | Comprobación de la ciudadanía de Estados Unidos |
| Comprobación del historial laboral | Comprobación de historial laboral de siete (7) años |
| Comprobación de formación | Comprobación del grado superior obtenido |
| Búsqueda de número de seguridad social (SSN) | Comprobación de la validez del SSN que proporciona el empleado |
| Comprobación de antecedentes pernales | Comprobación de antecedentes penales de siete (7) año por delitos graves y menores en a nivel del estado, el contado y local y en el nivel federal |
| Lista de la Oficina de Control de Activos Extranjeros (OFAC) | Validación con la lista del Departamento del Tesoro de grupos con los que no se permite a las personas de Estados Unidos participar en transacciones comerciales o financieras |
| Lista de la Oficina de Industria y Seguridad (BIS) | Validación con la lista del Departamento de Comercio de personas y de entidades que tienen prohibido participar en actividades de exportación |
| Lista de personas inhabilitadas de la Dirección de Control de Comercio de Materiales de Defensa (DDTC) | Validación con la lista del Departamento de Estado de personas y de entidades que tienen prohibido participar en actividades de exportación relacionadas con la industria de defensa |
| Comprobación de huellas dactilares | Comprobación de antecedentes de huellas dactilares con las bases de datos del F.B.I. |
| Examen de antecedentes CJIS | Revisión adjudicada por el estado de los antecedentes penales federales y estatales por la autoridad designada CSA de cada estado que se haya suscrito al programa Microsoft CJIS IA |
| Departamento de Defensa IT-2 | El personal que solicite permisos elevados para los datos del cliente o acceso administrativo privilegiado a las capacidades de servicio de DoD SRG L5 debe aprobar la adjudicación DoD IT-2, basada en una investigación OPM de nivel 3 exitosa. |
1 Solo se aplica al personal con acceso temporal o permanente a contenido del cliente hospedado en Power Automate US Governments (GCC, GCC High y DoD).
Certificaciones y acreditaciones
Power Automate US Government está diseñado en apoyo del Programa federal de administración de autorizaciones y riesgos (FedRAMP) con un alto nivel de impacto. Este programa infiere la alineación con DoD DISA IL2. Los sistemas de FedRAMP están disponibles para su revisión por clientes federales que deban cumplir FedRAMP. Las agencias federales puede examinar estos artefactos a favor de su revisión para conceder una Autorización de funcionamiento (ATO).
Nota
Power Automate está autorizado como servicio dentro de FedRAMP ATO de Azure Government. Para obtener más información, incluido cómo acceder a los documentos de FedRAMP, revise Marketplace de FedRAMP.
Power Automate US Government cuenta con características diseñadas en apoyo de los requisitos de la directiva CJIS de los clientes para agencias encargadas de hacer cumplir la ley. Visite la página de los productos de Power Automate US Government en el Centro de confianza para obtener información más detallada sobre las certificaciones y acreditaciones.
Microsoft diseñó esta plataforma y sus procedimientos operativos para cumplir con los requisitos de los marcos de cumplimiento DISA SRG IL4 e IL5 y DISA ha otorgado las Autoridades Provisionales para Operar. Microsoft anticipa que la base de clientes de contratistas del Departamento de Defensa de Estados Unidos y otras agencias federales se beneficiarán del GCC High de Microsoft Office 365 para usar opción de implementación de GCC High de Power Automate US Government, que permite y requiere al cliente que aproveche Microsoft Entra Government para identidades de cliente, en contraste con GCC, que aprovecha el Microsoft Entra ID público. Para la base de clientes de contratistas del Departamento de Defensa de Estados Unidos, Microsoft opera el servicio de forma que permite a estos clientes cumplir el compromiso ITAR y las normativas de adquisición de DFARS. Además, Microsoft espera que sus clientes del Departamento de Defensa de EE. UU. que actualmente usan Microsoft 365 DoD para usar la opción de implementación de Power Automate US Government DoD.
Power Automate US Government y otros servicios de Microsoft
Power Automate US Government incluye varias características que permiten que los usuarios se conecten e integren a otras ofertas de servicios empresariales de Microsoft como Office 365 Administración Pública para Estados Unidos, Dynamics 365 US Government y Power Apps Administración Pública para Estados Unidos.
Power Automate US Government se ejecuta en centros de datos de Microsoft de forma coherente con un modelo de implementación multiempresa en la nube pública; sin embargo, las aplicaciones cliente incluido entre otros el cliente de usuario web, la aplicación móvil Power Automate (cuando está disponible) y cualquier aplicación cliente de terceros con conexión a Power Automate US Government no forman parte del límite de la acreditación de Power Automate US Government. Los clientes de la administración pública son responsables de su administración.
Power Automate US Government aprovecha la interfaz de usuario del administrador de clientes de Office 365 para la administración y facturación de clientes.
Power Automate US Government mantiene los recursos reales, flujo de información, y la administración de datos, mientras usa Office 365 para proporcionar los estilos de visuales que se muestran al administrador de clientes a través de su consola de administración. A efectos de la herencia de FedRAMP ATO, Power Automate US Government aprovecha ATO de Azure (incluido Azure for Government y Azure DoD) para servicios de infraestructura y plataforma, respectivamente.
Si adopta el uso de Active Directory Federation Services (AD FS) 2.0 y configura directivas para ayudar a garantizar que los usuarios se conectan a los servicios a través de inicio de sesión único, cualquier contenido del cliente que se almacena en caché temporalmente se encontrará en EE.UU.
Power Automate US Government y servicios de terceros
Power Automate US Government proporciona la capacidad de integrar aplicaciones de terceros en el servicio a través de Conectores. Estas aplicaciones y servicios de terceros pueden incluir almacenar, transferir y procesar los datos de los clientes de su organización en sistemas de terceros que están fuera de la infraestructura de Power Automate US Government y, por tanto, no están cubiertos por los compromisos de compatibilidad y protección de datos de Power Automate US Government.
Propina
Revise la declaración de privacidad y el estado de cumplimiento proporcionados por terceros cuando evalúe el uso adecuado de estos servicios para su organización.
Las Consideraciones de gobernanza de Power Apps y Power Automate pueden ayudar a su organización a generar conciencia sobre las capacidades disponibles en varios temas relacionados, como arquitectura, seguridad, alerta y acción, y supervisión.
Configurar clientes móviles
Estos son los pasos que debe seguir para iniciar sesión con el cliente móvil de Power Automate.
- En la página de inicio de sesión, seleccione
(un icono de wifi con un engranaje) en la esquina superior derecha. - Seleccione Configuración regional.
- Seleccione GCC: GCC del gobierno de EE. UU.
- Seleccione Aceptar.
- En página de inicio de sesión, seleccione Iniciar sesión.
La aplicación móvil ahora utilizará la nube de la Administración Pública de Estados Unidos.
Servicios de Power Automate US Government y Azure
El servicio Power Automate US Government se implementa en Microsoft Azure Government. Microsoft Entra no es parte del límite de acreditación de Power Automate US Government, pero depende del inquilino de Microsoft Entra ID del cliente para las funciones del inquilino del cliente y de identidad, incluida la autenticación, la autenticación federada y las licencias.
Cuando un usuario de una organización que emplea ADFS intenta acceder a Power Automate US Government, el usuario es redirigido a una página de inicio de sesión hospedada en el servidor ADFS de la organización.
El usuario proporciona sus credenciales al servidor ADFS de su organización. El servidor ADFS de la organización intenta autenticar las credenciales mediante la infraestructura de Active Directory de la organización.
Si la autenticación se realiza correctamente, el servidor de AD FS de la organización emite un vale de SAML (Lenguaje de marcado de aserción de seguridad) que contiene información sobre la pertenencia a grupos y la identidad del usuario.
El servidor de ADFS de clientes firma este vale mediante una mitad de un par de claves asimétrico y entonces envía el vale a Microsoft Entra a través del TLS cifrado. Microsoft Entra ID valida la firma con la otra mitad del par de claves asimétrico y luego concede acceso en función del vale.
La información de pertenencia a grupos y de identidad del usuario sigue cifrada en Microsoft Entra ID. En otras palabras, solo la información de identificación limitada del usuario se almacena en Microsoft Entra ID.
Encontrará todos detalles completos de implementación de arquitectura y control de seguridad de Microsoft Entra en Azure SSP.
Los servicios de administración de cuentas de Microsoft Entra se hospedan en servidores físicos administrados por Global Foundation Services (GFS) de Microsoft. El acceso de red a estos servidores está controlado por dispositivos de red administrados por GFS mediante las reglas establecidas por Azure. Los usuarios no interactúan directamente con Microsoft Entra ID.
Direcciones URL del servicio Power Automate US Government
Puede usar un conjunto diferente de direcciones URL para acceder a los entornos de Power Automate US Government, como se muestra en la tabla siguiente. La tabla incluye también las direcciones URL comerciales para la referencia contextual, en caso de que sean más familiares.
Para los clientes que implementan restricciones de red, asegúrese de que el acceso a los dominios siguientes está disponible para los puntos de acceso de los usuarios finales:
Clientes de GCC:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Consulte los intervalos IP de AzureCloud.usgovtexas y AzureCloud.usgovvirginia para habilitar el acceso a instancias de Dataverse que los usuarios y los administradores pueden crear en el inquilino.
Cleintes de GCC High:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Además, consulte los intervalos IP para permitirle acceder a otros entornos de Dataverse que los usuarios y administradores pueden crear dentro de su inquilino y otros servicios de Azure que aprovecha la plataforma, incluidos:
- GCC y GCC High: enfoque en AzureCloud.usgovtexas and AzureCloud.usgovvirginia.
- DoD: enfoque en USDoD East and USDoD Central.
Conectividad entre Power Automate US Government y Azure Cloud Services público
Azure se distribuye entre varias nubes. De manera predeterminada, se permite a los inquilinos abrir reglas del firewall para una instancia específica de la nube, pero las redes entre las nubes son diferentes y es necesario abrir reglas de firewall específicas para la comunicación entre los servicios. Si es un cliente de Power Automate y ya tiene instancias de SQL en la nube pública de Azure donde necesita tener acceso, debe abrir puertos del firewall específicos en SQL para el espacio de direcciones IP de la nube de Azure Government, para los centros de datos siguientes:
- USGov Virginia
- USGov Texas
- US DoD (este)
- US DoD (centro)
Consulte el documento etiquetas de servicio e intervalos IP de Azure: nube de la Administración Pública de Estados Unidos, centrando la atención en AzureCloud.usgovtexas y AzureCloud.usgovvirginia, y/o US US DoD (este) y US DoD (centro) como se señaló anteriormente en este artículo. Tenga en cuenta que estos son los intervalos IP que se requieren para que los usuarios finales tienen acceso a las direcciones URL de servicio.
Configuración de la puerta de enlace de datos local
Instale una puerta de enlace de datos local para transferir datos de manera rápida y segura entre una aplicación de lienzo integrada en Power Automate y un origen de datos que no está en la nube. Algunos ejemplos incluyen sitios de SharePoint locales o bases de datos SQL Server locales.
Si la organización (inquilino) ha configurado y se ha conectado correctamente a la puerta de enlace de datos local de PowerBI Administración Pública para Estados Unidos, el proceso que la organización siguió para habilitarla también habilitará la conectividad local para Power Automate.
Anteriormente, los clientes del gobierno de los EE. UU. Necesitaban ponerse en contacto con el soporte antes de configurar su primera puerta de enlace de datos local, porque el soporte debía otorgar permiso al inquilino para permitir el uso de la puerta de enlace. Esto ya no es necesario. Si tiene algún problema al configurar o usar la puerta de enlace de datos local, puede comunicarse con el soporte para obtener ayuda.
Limitaciones de características de Power Automate US Government
Microsoft se esfuerza por mantener la paridad funcional entre nuestros servicios disponibles comercialmente y los habilitados a través de nuestras nubes gubernamentales de EE. UU.: Estos servicios se conocen como Power Automate Government Community Cloud (GCC) y GCC High. Remítase a la herramienta Disponibilidad geográfica global para ver dónde está disponible Power Automate en todo el mundo, incluidos los plazos de disponibilidad aproximados.
Hay excepciones al principio de mantener la paridad funcional del producto en las nubes del gobierno de EE. UU. Para obtener más información sobre la disponibilidad de funciones, descargue este archivo: Resumen de la disponibilidad de funciones de US Government de aplicaciones de negocios.