Power Automate US Government
Microsoft on luonut Yhdysvaltain julkisen sektorin ainutlaatuisia ja muuttuvia tarpeita varten Power Automate US Government -sopimuksia. Tässä osassa on yleiskatsaus Power Automate US Governmentin omista ominaisuuksista. Tämän täydentävän osion lisäksi kannattaa lukea myös Power Automate -palvelun aloittamista käsittelevän aiheen. Lyhyesti tätä palvelua kutsutaan yleisesti nimellä Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) tai Power Automate Department of Defense (DoD).
Power Automate US Government toimii yleisen Power Automate -palvelukuvauksen yhtenä kerroksena. Siinä määritetään ainutlaatuiset sitoumukset ja erot verrattuna yleisiin Power Automate -vaihtoehtoihin, jotka ovat olleet asiakkaiden saatavilla lokakuusta 2016 lähtien.
Power Automate US Government -sopimukset ovat kuukausitilauksia, ja niihin voidaan hankkia käyttöoikeus rajoittamattomalle määrälle käyttäjiä.
Power Automate GCC -ympäristö täyttää liittovaltion pilvipalveluille määrittämät vaatimukset, joita ovat esimerkiksi FedRAMP High ja DoD DISA IL2. Lisäksi se täyttää oikeuslaitosjärjestelmien (CJI-tietotyypit) vaatimukset.
Power Automaten ominaisuuksien ja toimintojen lisäksi Power Automate US Government -versiota käyttävät organisaatiot voivat käyttää seuraavia ainutlaatuisia ominaisuuksia:
Organisaation asiakassisältö on erotettu fyysisesti Power Automaten kaupallisessa tarjoomassa olevasta asiakassisällöstä.
Organisaation asiakassisältö on tallennettu Yhdysvaltoihin.
Organisaaton asiakassisällön käyttöoikeus on rajoitettu valikoituun Microsoftin henkilöstöön.
Power Automate US Government täyttää kaikki Yhdysvaltain julkisen sektorin asiakkailta edellytetyt sertifioinnit ja akkreditoinnit.
Syyskuusta 2019 alkaen hyväksytyt käyttäjät voivat ottaa käyttöön Power Automate US Government -ratkaisun GCC High -ympäristössä. Siellä on käytössä kertakirjautuminen ja saumaton integrointi Microsoft Office 365:n GCC High -käyttöönottojen kanssa.
Microsoft on suunnitellut ympäristön ja prosessit niin, että ne vastaavat DISA SRG IL4 -yhteensopivuuden kehyksen tarpeisiin. Oletuksena on, että Yhdysvaltain puolustusministeriön alihankkija-asiakaskunta ja muut liittovaltion virastot, jotka käyttävät tällä hetkellä Office 365 GCC High -ympäristöä, ottavat käyttöön Power Automate US Government -version GCC High -käyttöönottovaihtoehdon. Tämä vaihtoehto ottaa käyttöön Microsoft Entra Governmentin asiakkaan identiteeteille ja edellyttää, että asiakas hyödyntää niitä, toisin kuin GCC, joka hyödyntää julkista Microsoft Entra ID:tä. Microsoftin Yhdysvaltain puolustusministeriölle tarjoama palvelu tarjoaa asiakkaille mahdollisuuden täyttää ITAR-sitoumus ja DFARS:n hankintaa koskevat säädökset Yhdysvaltain puolustusministeriön yhteyshenkilöiden dokumentoimalla ja edellyttämällä tavalla. DISA on myöntänyt väliaikaisen toimintaviranomaisen valtuudet.
Huhtikuusta 2021 alkaen hyväksytyt käyttäjät voivat ottaa käyttöön Power Automate US Government -ratkaisun DoD-ympäristössä. Siellä on käytössä kertakirjautuminen ja saumaton integrointi Microsoft 365:n DoD-käyttöönottojen kanssa. Microsoft on suunnitellut ympäristön ja prosessit niin, että ne vastaavat DISA SRG IL5 -yhteensopivuuden kehyksen tarpeisiin. DISA on myöntänyt väliaikaisen viranomaisen toimimaan.
Power Automate US Government on seuraavien tahojen saatavana: (1) Yhdysvaltain liittovaltion, osavaltion, paikallisen, heimojen ja alueellisen julkishallinnon laitokset ja (2) muut tahot, jotka käsittelevät tietoja, joissa noudatetaan hallinnon säädöksiä ja vaatimuksia ja joissa Power Automate US Government -version käytön myötä nämä vaatimukset täyttyvät. Kelpoisuus voidaan tarkistaa. Microsoftin kelpoisuusvahvistus sisältää rekisteröidyn henkilön käsittelyn vahvistamisen ITARin (kansainvälisen asekaupan säädökset, International Traffic in Arms Regulations) mukaisesti, lainvalvonnan rekisteröidyn henkilön FBI:n CJIS-käytännön (rikosoikeuden tietopalvelut, Criminal Justice Information Services) mukaisesti tai muiden hallinnon säätelemän tai hallitseman tiedon mukaisesti. Vahvistus voi edellyttää hallintoentiteetin tukea tietojen käsittelyn tiettyjen vaatimusten osalta.
Entiteetit, joilla on Power Automate US Government -kelpoisuutta koskevia on kysymyksiä, on otettava yhteys omaan asiakkuustiimiinsä. Microsoft vahvistaa kelpoisuuden uudelleen, kun Power Automate US Government -asiakassopimuksia uusitaan.
Huomautus
Power Automate US Government DoD on vain DoD-entiteettien käytettävissä.
Power Automate US Government -sopimusten käyttöoikeus on rajoitettu seuraavassa osassa kuvattuun tarjoomaan; kukin sopimus tarjotaan kuukausitilauksena ja siihen voidaan hankkia käyttöoikeus rajoittamattomalle määrälle käyttäjiä:
Power Automate Process -palvelupaketti (aiemmin työnkulkukohtainen Power Automate) julkishallinnolle
Power Automate Premium -palvelupaketti (käyttäjäkohtainen Power Automate) julkishallinnolle
Erillisten palvelupakettien lisäksi Power Apps- ja Power Automate -ominaisuudet sisältyvät myös tiettyihin Microsoft 365 US Government- ja Dynamics 365 US Government -palvelupaketteihin, jolloin käyttäjät voivat laajentaa ja mukauttaa Microsoft 365- ja asiakasvuorovaikutussovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service ja Dynamics 365 Project Service Automation).
Lisätietoja näiden käyttöoikeusryhmien toiminnoissa olevista eroista: Power Automaten käyttöoikeustiedot.
Power Automate US Government on saatavana volyymikäyttöoikeus- ja pilvipalveluratkaisuntarjoajan ostokanavien kautta. Pilvipalveluratkaisun toimittajan ohjelma ei tällä hetkellä ole käytettävissä GCC High -asiakkaille.
Online-palveluehdoissa on määritetty, että asiakastiedot tarkoittavat kaikkia tietoja, mukaan lukien kaikki teksti-, ääni-, video- ja kuvatiedostoja sekä ohjelmistoa, jotka Microsoft toimittaa itse tai asiakkaan puolesta Online-palvelun käytön yhteydessä.
Asiakassisältö viittaa tiettyyn asiakastietojen alijoukkoon, joka on suoraan käyttäjien luomaan. Tällaista sisältöä on esimerkiksi tietokantoihin Dataverse -entiteetteihin tehtyjen merkintöjen (esimerkiksi yhteystiedot) kautta tallennettu sisältö. Sisältöä pidetään yleensä luottamuksellisena tietona, ja normaaleissa palvelutoiminnoissa sisältöä ei lähetetä Internetin kautta ilman salausta.
Lisätietoja tavasta, jolla Power Automate suojaa asiakastietoja, on kohdassa Microsoft Online Servicesin luottamuskeskus.
Kun Power Automate -palvelu valmistellaan Power Automate US Governmentin osana, se tarjotaan NIST:n (National Institute of Standards and Technology) erikoisjulkaisun 800-145 mukaisesti.
Sovelluskerroksessa tapahtuvan asiakassisällön loogisen erottamisen lisäksi Power Automate valtionhallinnolle -palvelun ansiosta organisaatio saa käyttöönsä asiakassisällön fyysisen erottamisen toissijaisen kerroksen, sillä käytettävä infrastruktuuri on erillään kaupallisten Power Automate -asiakkaiden infrastruktuurista. Tämä sisältää Azure-palvelujen käytön Azuren julkishallinnon pilvipalveluissa. Lisätietoja on kohdassa Azure Government.
Power Automate US Government suoritetaan palvelinkeskuksissa, jotka sijaitsevat fyysisesti Yhdysvalloissa, ja tietokeskuksissa lepäävät asiakastiedot tallennetaan fyysisesti vain Yhdysvaltoihin.
Vain sellaiset Microsoftin järjestelmänvalvojat saavat käyttää Power Automate US Government -asiakassisältöä, jotka ovat Yhdysvaltain kansalaisia. Kyseisten henkilöiden taustat tarkistetaan asianmukaisten julkishallinnon standardien mukaisesti.
Power Automaten tukihenkilöstöllä ja teknisellä tiimillä ei ole Power Automate US Government -ratkaisussa olevan asiakassisällön pysyvää käyttöoikeutta. Kaikkien henkilöstön jäsenten, jotka pyytävät tilapäisen käyttöoikeuksien noston asiakassisällön käyttämistä varten, on ensin läpäistävä seuraavat taustatarkistukset.
Microsoftin henkilöstön seulonta- ja taustatarkistukset1 | Kuvaus |
---|---|
Yhdysvaltojen kansalaisuus | Yhdysvaltojen kansalaisuuden tarkistus |
Työhistorian tarkistus | Seitsemän (7) vuoden työhistorian tarkistus |
Koulutuksen tarkistus | Korkeimman tutkinnon tarkistus |
Henkilötunnuksen haku | Tarkistus, joka vahvistaa työntekijöiden ilmoittaman henkilötunnuksen oikeaksi |
Rikosrekisterin tarkistus | Rikosrekisteri törkeistä ja lievistä rikoksista osavaltion, piirikunnan ja paikkakunnan sekä liittovaltion tasolla seitsemän (7) vuoden ajalta |
OFAC:n (Office of Foreign Assets) valvontaluettelo | Valtiovarainministeriön luettelon avulla tarkistetaan, että Yhdysvalloissa ei harjoiteta kauppaa tai muita liiketoimia tiettyjen ryhmien kanssa |
Kauppa- ja teollisuusministeriön luettelo | Kauppaministeriön luettelon avulla tarkistetaan yksityishenkilöt ja yksiköt, jotka eivät saa osallistua vientitoimintaan |
Puolustusministeriön estettyjen henkilöiden luettelo | Sisäministeriön luettelon avulla tarkistetaan yksityishenkilöt ja yksiköt, jotka eivät saa osallistua puolustusteollisuuteen liittyvään vientitoimintaan |
Sormenjälkien tarkistus | Taustan tarkistus sormenjäljen avulla FBI:n tietokannoista |
CJIS – taustan tarkistus | Liittovaltion ja osavaltion rikosrekisterin osavaltion antamat tiedot CSA:n nimittämän viranomaisen mukaan kussakin osavaltiossa, joka on mukana Microsoft CJIS IA -ohjelmassa |
Department of Defense IT-2 | Henkilöstön, joka pyytää laajennettuja käyttöoikeuksia asiakastietoihin tai etuoikeutettua hallinnollista pääsyä DoD SRG L5 -palvelukapasiteettiin, on läpäistävä DoD IT-2 -päätös onnistuneen OPM Tier 3 -tutkimuksen perusteella. |
1 Koskee vain henkilöstöä, jolla on tilapäinen tai pysyvä käyttöoikeus Power Automate US Government (GCC, GCC High, and DoD) -sovelluksen asiakassisältöön.
Power Automate US Government on suunniteltu tukemaan FedRAMP (Federal Risk and Authorization Management Program) -akkreditointia suurella vaikutustasolla. Ohjelma selvittää DoD DISA IL2:n mukaisen kohdistuksen. FedRAMP-artefaktit ovat niiden liittovaltion asiakkaiden tarkasteltavissa, joiden on noudatettava FedRAMP-vaatimuksia. Liittovaltion virastot voivat käyttää näitä kohteita tarkistuksensa tukena toimintavaltuutuksen (ATO) myöntämisessä.
Huomautus
Power Automate on valtuutettu palvelu Azure Government FedRAMP ATO -palvelussa. Lisätietoja, kuten FedRAMP-dokumentit, on FedRAMP Marketplace -sivustossa.
Power Automate US Governmentissa on ominaisuuksia, jotka on suunniteltu tukemaan asiakkaiden lainvalvontaviranomaisten CJIS-käytännön vaatimuksia. Lisätietoja sertifioinneista ja akkreditoinneista on valvontakeskuksen Power Automate US Government -tuotesivulla.
Microsoft suunnitteli tämän alustan ja sen toimintamenettelyt täyttämään DISA SRG IL4- ja IL5-vaatimustenmukaisuuskehyksien vaatimukset ja on saanut tarvittavat DISA:n väliaikaiset viranomaiset toimimaan. Microsoft olettaa, että Yhdysvaltain puolustusministeriön alihankkija-asiakaskunta ja muiden Microsoft Office 365:n GCC High -ratkaisua hyödyntävät liittovaltion virastot käyttävät Power Automate US Government GCC High -käyttöönottovaihtoehtoa. Sen avulla asiakkaat voivat hyödyntää Microsoft Entra Government -ratkaisua asiakkaan tunnistamisessa julkista Microsoft Entra ID:tä hyödyntävän GCC-ratkaisun sijaan. Microsoftin Yhdysvaltain puolustusministeriölle toimittama palvelu antaa asiakkaille mahdollisuuden täyttää ITAR-sitoumus ja DFARS:n hankintaa koskevat säädökset. Lisäksi Microsoft odottaa, että tällä hetkellä Microsoft 365 DoD:tä käyttävät Yhdysvaltojen puolustusministeriön asiakkaat käyttävät Power Automate US Government DoD -käyttöönottovaihtoehtoa.
Power Automate US Government sisältää useita toimintoja, joiden avulla käyttäjät voivat muodostaa yhteyden muihin Microsoftin yrityspalvelutuotteisiin, kuten Office 365 US Governmentiin, Dynamics 365 US Governmentiin ja Power Apps US Governmentiin, sekä integroida sen muiden palveluiden kanssa.
Power Automate US Government suoritetaan Microsoftin palvelinkeskuksissa tavalla, joka on yhdenmukainen monen vuokraajan julkisen pilvipalvelun käyttöönottomallin kanssa. Asiakassovellukset, kuten verkkoasiakasohjelma, Power Automate -mobiilisovellus (kun saatavana) ja Power Automate US Government -versioon yhteyden muodostavat kolmannen osapuolen asiakassovellukset, eivät kuitenkaan kuulu Power Automate US Government -version akkreditointipiiriin. Julkishallinnon asiakkaat vastaavat niiden hallinnasta.
Power Automate US Government käyttää Office 365:n asiakkaan järjestelmänvalvojaliittymää asiakkaan hallintaan ja laskutukseen.
Power Automate US Government ylläpitää varsinaisia resursseja, tiedonkulkua ja tietojen hallintaa samalla, kun käytössä on Office 365, jonka avulla saadaan visuaalinen tyyli. Se annetaan asiakkaan järjestelmänvalvojalle tämän hallintakonsolin kautta. FedRAMP ATO -perintää varten Power Automate US Government käyttää Azuren (myös Azure for Government ja Azure DoD) ATO (Authority to Operate) -valtuutuksia infrastruktuuri- ja ympäristöpalveluja varten.
Jos otat käyttöön Active Directory Federation Services (AD FS) 2.0:n ja määrität käytännöt varmistamaan, että käyttäjät muodostavat yhteyden palveluihin kertakirjauksilla, kaikki väliaikaisesti välimuistiin tilapäisesti tallennettavat tiedot sijaitsevat Yhdysvalloissa.
Power Automate US Government -version avulla kolmansien osapuolten sovellukset voidaan integroida palveluun yhdistimien kautta. Nämä kolmansien osapuolten sovellukset ja palvelut voivat koskea organisaation asiakastietojen tallennusta, lähettämistä ja käsittelyä sellaisissa kolmansien osapuolten järjestelmissä, jotka ovatPower Automate US Government -infrastruktuurin ulkopuolella ja joita Power Automate US Governmentin vaatimustenmukaisuus ja tietosuojasitoumukset eivät siksi koske.
Vihje
Tarkista kolmansien osapuolten antamat tietosuoja- ja vaatimustenmukaisuusilmoitukset, kun arvioit näiden palveluiden asianmukaista käyttöä organisaatiossa.
Power Appsin ja Power Automaten hallinnointinäkökohdat voivat auttaa organisaatiotasi lisäämään tietoisuutta useista toisiinsa liittyvistä teemoista, kuten arkkitehtuurista, tietoturvasta, hälytyksistä ja toiminnosta sekä seurannasta.
Tässä ovat vaiheet, jotka sinun on otettava, jotta voit kirjautua Power Automate -mobiiliasiakkaaseen.
- Valitse kirjautumissivulla oikeassa yläkulmassa (WLAN-kuvake ja ratasmerkki).
- Valitse Alueasetukset.
- Valitse GCC: US Government GCC
- Valitse OK.
- Valitse kirjautumissivulla Kirjaudu sisään.
Mobiilisovellus käyttää nyt US Government Cloudia.
Power Automate US Government -palvelut otetaan käyttöön Microsoft Azure Governmentissa. Microsoft Entra ei ole osa Power Automate US Government -akkreditointirajaa, mutta se tarvitsee asiakkaan Microsoft Entra ID -vuokraajan asiakkaan vuokraaja- ja henkilöllisyystoimintoja, kuten todennusta, ulkoista todennusta ja käyttöoikeuksia varten.
Kun ADFS:ää käyttävän organisaation käyttäjä yrittää käyttää Power Automate US Governmentia, käyttäjä ohjataan organisaation ADFS-palvelimessa isännöidylle kirjautumissivulle.
Käyttäjä antaa organisaationsa ADFS-palvelimen kirjautumistiedot. Organisaation ADFS-palvelin yrittää todentaa tunnistetiedot käyttäen organisaation Active Directory -infrastruktuuria.
Jos todentaminen onnistuu, organisaation ADFS-palvelin myöntää SAML (Security Assertion Markup Language) -lipun, joka sisältää tiedot käyttäjän käyttäjätiedoista ja ryhmän jäsenyydestä.
Asiakkaan ADFS-palvelin allekirjoittaa tämän lipun käyttämällä asymmetrisen avainparin toista puoliskoa, jonka jälkeen se lähettää lipun Microsoft Entra:hen salatulla TLS-yhteydellä. Microsoft Entra ID tarkistaa allekirjoituksen käyttämällä asymmetrisen avainparin toista puoliskoa ja myöntää sitten käyttöoikeuden lipun perusteella.
Käyttäjän käyttäjätiedot ja ryhmän jäsenyystiedot jäävät salattuina Microsoft Entra ID:hen. Toisin sanoen Microsoft Entra ID:hen tallennetaan vain rajoitetusti tietoja, joista käyttäjä voidaan tunnistaa.
Microsoft Entra -suojausarkkitehtuurin ja hallinnan toteutuksen tarkat tiedot ovat Azure SSP:ssä.
Microsoft Entra:n tilinhallintapalveluita isännöidään Microsoft GFS (Global Foundation Services) -palvelujen hallitsemilla fyysisillä palvelimilla. Näiden palvelimien verkkoyhteyttä hallitaan GFS-hallituilla laitteilla, joissa käytetään Azuren määrittämiä sääntöjä. Käyttäjät eivät ole suoraan yhteydessä Microsoft Entra ID:hen.
Power Automate US Government -ympäristöihin siirrytään eri URL-osoitteilla seuraavassa taulukossa kuvatulla tavalla. Taulukko sisältää myös kaupalliset URL-osoitteet, jotka antavat kontekstin, jos ne ovat sinulle jo entuudestaan tuttuja.
Verkkorajoituksia käyttävien asiakkaiden kannattaa varmistaa, että loppukäyttäjien käyttöpisteet voivat käyttää seuraavia toimialueita:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Tutustu AzureCloud.usgovtexas- ja AzureCloud.usgovvirginia-osoitteiden IP-osoitealueisiin, jotta voit ottaa käyttöön Dataverse -esiintymät, joita käyttäjät ja järjestelmänvalvojat voivat luoda vuokraajassa.
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Tutustu IP-alueisiin, joiden avulla voit käyttää muita Dataverse-ympäristöjä, joita käyttäjät ja järjestelmänvalvojat voivat luoda vuokraajassasi ja muissa Azure-palveluissa, joita alusta hyödyntää, mukaan lukien:
- GCC ja GCC High: Valittuna AzureCloud.usgovtexas ja AzureCloud.usgovvirginia.
- DoD: Päähuomio seuraavissa: USDoD East ja USDoD Central.
Azure on jaettu useisiin pilvipalveluihin. Vuokraajat voivat oletusarvoisesti avata pilvipalvelukohtaisen esiintymän palomuurisäännöt, mutta pilvipalvelujen välinen verkkoliikenne toimii toisin ja se edellyttää tiettyjen palomuurisääntöjen avaamista palveluiden välillä. Jos olet Power Automate -asiakas ja sinulla on julkisessa Azure-pilvipalvelussa olemassa olevia SQL-esiintymiä, joita on voitava käyttää, sinun on avattava tietyt palomuuriportit SQL:ssä Azure Government Cloudin IP-tilalle seuraavissa palvelinkeskuksissa:
- USGov Virginia
- USGov Texas
- US DoD East
- US DoD Central
Katso Azure IP-radat ja palvelutunnisteet - US Government Cloud -dokumentti, joka keskittää huomion AzureCloud.usgovtexasiin ja AzureCloud.usgovvirginiaan ja/tai US DoD Eastiin ja US DoD Centraliin, kuten aiemmin tässä artikkelissa todettiin. Huomaa myös, että nämä ovat IP-osoitealueita, joita loppukäyttäjien on käytettävä palvelun URL-osoitteita käytettäessä.
Asenna paikallinen tietoyhdyskäytävä, jos haluat siirtää tietoja nopeasti ja turvallisesti Power Automatessa luodun pohjaan perustuvan sovelluksen ja muualla kuin pilvessä olevan tietolähteen välillä. Esimerkkejä ovat paikalliset SQL Server -tietokannat ja paikalliset SharePoint-sivustot.
Jos organisaatiosi (vuokraaja) on jo määritetty ja yhteys PowerBI US Governmentin paikalliseen tietoyhdyskäytävään on muodostettu, tätä varten organisaatiossa suoritettu prosessi ottaa käyttöön myös Power Automaten paikallisen yhteyden.
Aikaisemmin US Government -asiakkaiden tuli ottaa yhteyttä tukeen ennen ensimmäisen paikallisen tietoyhdyskäytävän määrittämistä, koska tuen oli annettava vuokraajalle yhdyskäytävän käyttöoikeus. Tämä ei enää ole tarpeellista. Jos paikallisen tietoyhdyskäytävän määrityksessä tai käyttämisessä on ongelmia, ota yhteyttä tukeen.
Microsoft pyrkii ylläpitämään toiminnallista vastaavuutta kaupallisesti saatavilla olevien palvelujemme ja US Government Cloud -pilvipalveluissa käyttöönotetun palvelujen välillä. Näiden palvelujen nimet ovat Power Automate Government Community Cloud (GCC) ja GCC High. Maantieteellisen sijainnin saatavuus -työkalulla voit tarkistaa, missä Power Automate on saatavilla eri puolilla maailmaa, mukaan lukien arvioidut julkaisuajat.
US Government Cloud -pilvipalveluissa on poikkeuksia tuotteiden toiminnan vastaavuuden periaatteesta. Lisätietoja toimintojen saatavuudesta on ladattavassa tiedostossa Liiketoimintasovellusten saatavuuden yhteenveto – US Government.