Power Automate US Government
Pour répondre aux exigences uniques et en constante évolution du secteur public américain, Microsoft a créé des plans Power Automate US Government. Cette section fournit une vue d’ensemble des fonctionnalités propres à Power Automate US Government. Nous vous recommandons de lire cette section supplémentaire, ainsi que la rubrique de prise en main du service Power Automate. Par souci de simplicité, ce service est généralement appelé Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) ou Power Automate Department of Defense (DoD).
La description du service Power Automate US Government vient compléter la description du service Power Automate général. Elle définit les engagements uniques et les différences par rapport aux offres Power Automate générales, disponibles pour nos clients depuis octobre 2016.
À propos des environnements et plans Power Automate US Government
Les plans Power Automate US Government sont des abonnements mensuels, qui peuvent être fournis sous licence à un nombre illimité d’utilisateurs.
L’environnement Power Automate GCC est conforme aux exigences fédérales en matière de services cloud, notamment FedRAMP (niveau High) et DoD DISA (niveau IL2). Il respecte également les exigences des systèmes de justice pénale (type de données CJI).
Outre les fonctionnalités propres à Power Automate, les organisations qui utilisent Power Automate US Government bénéficient des fonctions uniques suivantes :
Le contenu client de votre organisation est physiquement séparé du contenu client d’une offre commerciale de Power Automate.
Le contenu client de votre organisation est enregistré aux États-Unis.
L’accès au contenu client de votre organisation est restreint au personnel Microsoft filtré.
Power Automate US Government respecte toutes les certifications et accréditations exigées par les clients du secteur public américain.
Depuis septembre 2019, les clients éligibles peuvent choisir de déployer Power Automate US Government dans l’environnement GCC High, qui permet l’authentification unique et l’intégration transparente avec les déploiements de Microsoft Office 365 GCC High.
Microsoft a mis au point la plateforme et nos procédures opérationnelles pour répondre aux exigences s’alignant sur l’infrastructure de compatibilité du DISA SRG IL4. Nous prévoyons que la clientèle du département de la Défense des États-Unis et d’autres agences fédérales tirant actuellement parti d’Office 365 GCC High utiliseront l’option de déploiement Power Automate US Government GCC High. Cette option permet et exige que le client exploite Microsoft Entra Government pour les identités des clients, contrairement à GCC, qui tire parti de Microsoft Entra ID. Dans la base de clients de sous-traitant du Ministère de la Défense des États-Unis, Microsoft exploite le service d’une manière qui permet aux clients de satisfaire aux réglementations d’engagement ITAR et d’achat DFARS, comme documenté et requis par leurs contrats avec le Ministère de la Défense des États-Unis. Une autorisation provisoire d’opérer a été accordée par DISA.
Depuis avril 2021, les clients éligibles peuvent dorénavant choisir de déployer Power Automate US Government dans l’environnement « DoD », qui permet l’authentification unique et l’intégration transparente avec les déploiements DoD Microsoft 365. Microsoft a mis au point la plateforme et nos procédures opérationnelles conformément à l’infrastructure de compatibilité du DISA SRG IL5. DISA a accordé une autorisation provisoire d’opérer.
Éligibilité du client
Power Automate US Government est disponible pour (1) les entités gouvernementales territoriales, tribales, locales, étatiques et fédérales américaines, ainsi que pour (2) les autres entités qui traitent des données soumises à des exigences et réglementations gouvernementales et pour lesquelles l’utilisation du service Power Automate US Government permettrait de se conformer à ces exigences, font l’objet d’une validation de leur éligibilité. La validation de l’éligibilité par Microsoft inclut la confirmation du traitement des données soumises à la réglementation américaine sur le trafic d’armes (ITAR), des données des forces de l’ordre soumises à la stratégie des Criminal Justice Information Services (CJIS) du FBI ou de toute autre donnée contrôlée ou régulée par le gouvernement. La validation peut exiger un parrainage par une entité gouvernementale avec des exigences spécifiques pour le traitement des données.
Les entités ayant des questions sur l’éligibilité à Power Automate US Government devraient consulter leur équipe de compte. Microsoft valide une nouvelle fois l’éligibilité lors du renouvellement des contrats clients pour Power Automate US Government.
Note
Power Automate US Government DoD n’est disponible que pour les entités DoD.
Plans Power Automate US Government
L’accès aux plans Power Automate US Government est limité aux offres décrites dans la section suivante ; chaque plan est proposé sous la forme d’un abonnement mensuel et peut être fourni sous licence à un nombre illimité d’utilisateurs :
Plan Power Automate Process (précédemment, plan Power Automate par flux) pour le secteur public
Plan Power Automate Premium (Power Automate par utilisateur) pour le secteur public
Outre les plans autonomes, les plans Microsoft 365 US Government et Dynamics 365 US Government incluent également les capacités Power Apps et Power Automate permettant aux clients d’étendre et de personnaliser Microsoft 365 et les applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service et Dynamics 365 Project Service Automation).
Des détails et informations supplémentaires sur les différences de fonctionnalités entre ces groupes de licences sont fournis ici : Informations sur la gestion des licences Power Automate.
Power Automate US Government est disponible via les méthodes d’achat de licences en volume et de fournisseur de solution cloud. Le programme Fournisseur de solutions en cloud n’est pas actuellement disponible pour les clients GCC High.
Différences entre les données clientes et le contenu client
L’expression « données clients », comme définie dans les termes du service Online, signifie toutes les données, y compris les fichiers texte, audio, vidéo ou image et les logiciels qui sont fournis à Microsoft par, ou à la demande des clients via l’utilisation du service Online.
L’expression « contenu client » fait référence à un sous-ensemble spécifique de données clients qui ont été créées directement par des utilisateurs, comme le contenu stocké dans des bases de données via des entrées dans des entités Dataverse (par exemple, les coordonnées). Le contenu est généralement considéré comme des informations confidentielles et, lors des opérations de service habituelles, il n’est pas envoyé via Internet sans avoir été préalablement chiffré.
Pour plus d’informations sur la protection des données clients par Power Automate, consultez le Centre de gestion de la confidentialité Microsoft Online Services.
Ségrégation de données pour le Cloud de la communauté des organismes d’état
Une fois mis en service dans le cadre de Power Automate US Government, le service Power Automate est proposé conformément à la publication spéciale 800-145 du National Institute of Standards and Technology (NIST).
En plus de la séparation logique du contenu client à la couche Application, le service Power Automate Government fournit à votre organisation une couche secondaire de ségrégation physique du contenu client en utilisant l’infrastructure distincte de celle utilisée pour les clients commerciaux de Power Automate. Ceci inclut l’utilisation des services Azure dans le Cloud d’Azure destiné aux organismes d’état Pour en savoir plus, consultez Azure Government.
Contenu client situé aux États-Unis
Power Automate US Government s’exécute dans des centres de données situés aux États-Unis et stocke le contenu client au repos dans des centres de données situés aux États-Unis uniquement.
Accès aux données limité par les administrateurs
L’accès au contenu client Power Automate US Government par des administrateurs Microsoft est limité aux citoyens américains. Ces personnes procèdent à des enquêtes conformément aux normes gouvernementales adéquates.
Le personnel de support et d’ingénierie de service Power Automate n’a pas accès permanent au contenu client hébergé dans Power Automate US Government. Tout personnel qui demande une élévation d’autorisation temporaire qui accorderait l’accès au contenu client doit d’abord avoir passé les contrôles d’antécédents suivants.
Filtrage et contrôle des antécédents du personnel Microsoft1 | Description |
---|---|
Citoyenneté américaine | Vérification de la citoyenneté américaine |
Vérification de l’historique d’emploi | Vérification de l’historique d’emploi sur sept (7) ans |
Vérification des études | Vérification du diplôme le plus élevé atteint |
Recherche du numéro de sécurité sociale | Vérification de la validité du numéro de sécurité sociale (USA) fourni par les employés |
Vérification du casier judiciaire | Une vérification du casier judiciaire de sept (7) ans pour les infractions et délits au niveau de l’état, du comté et au niveau local et au niveau fédéral |
Liste du Bureau du contrôle des avoirs étrangers (OFAC) | Validation auprès du Trésor d’une de groupes avec lesquelles les personnes des États-Unis ne sont pas autorisés à s’engager dans des transactions commerciales ou financières |
Liste du Bureau de l’industrie et de la sécurité (BIS) | Validation auprès du Ministère du commerce de la liste des personnes et des entités interdites de s’engager dans des activités d’exportation |
Liste des personnes interdites du Bureau du contrôle du commerce militaire (DDTC) | Validation auprès du Département d’État de la liste des personnes et des entités interdites de s’engager dans des activités d’exportation en lien avec l’industrie militaire |
Vérification d’empreintes digitales | Vérification d’empreintes digitales sur les bases de données du FBI |
Filtrage des antécédents CJIS | Examen requis par l’État du casier judiciaire fédéral et d’état par l’autorité désignée par le CSA d’état dans chaque état participant au programme Microsoft CJIS IA |
Département de la Défense IT-2 | Le personnel demandant des autorisations élevées aux données des clients ou un accès administratif privilégié aux capacités de service SRG L5 du DoD doit réussir l’adjudication DoD IT-2 sur la base d’une enquête OPM Tier 3 réussie. |
1 S’applique uniquement au personnel avec accès temporaire ou permanent au contenu client hébergé dans Power Automate US Governments (GCC, GCC High et DoD).
Certifications et accréditations
Power Automate US Government est conçu pour prendre en charge l’accréditation Federal Risk and Authorization Management Program (FedRAMP) à un niveau d’impact élevé. Ce programme suppose un alignement sur à DoD DISA (niveau IL2). Les documents FedRAMP peuvent être consultés par des clients au niveau fédéral qui doivent se conformer à FedRAMP. Les agences fédérales peuvent consulter ces artefacts pour soutenir leur examen visant à accorder une autorisation ATO (Authority to Operate).
Note
Power Automate est autorisé en tant que service dans Azure Government FedRAMP ATO. Pour plus d’informations, notamment comment accéder aux documents FedRAMP, consultez le marché FedRAMP.
Power Automate US Government présente des fonctionnalités pour prendre en charge les besoins de stratégie CJIS des clients pour les organismes judiciaires. Consultez la page dédiée aux produits Power Automate US Government dans le Centre de confidentialité pour obtenir des informations plus détaillées sur les certifications et accréditations.
Microsoft a conçu cette plateforme et ses procédures opérationnelles pour répondre aux exigences des cadres de conformité DISA SRG IL4 et IL5 et a reçu les autorisations provisoires DISA requises pour opérer. Microsoft prévoit que la clientèle des sous-traitants du ministère américain de la Défense et d’autres agences fédérales exploitant actuellement Microsoft Office 365 GCC High utiliseront l’option de déploiement Power Automate US Government GCC High, qui permet et exige que les clients utilisent Microsoft Entra Government pour les identités des clients, contrairement à GCC qui utilise Microsoft Entra ID. Dans la base de clients de sous-traitant du Ministère de la Défense des États-Unis, Microsoft exploite le service d’une manière qui permet aux clients de satisfaire aux réglementations d’engagement ITAR et d’achat DFARS. En outre, Microsoft s’attend à ce que ses clients du département américain de la Défense qui utilisent actuellement Microsoft 365 DoD pour utiliser l’Option de déploiement Power Automate US Government DoD.
Power Automate US Government et autres services Microsoft
Power Automate US Government inclut plusieurs fonctionnalités qui permettent aux utilisateurs de se connecter aux autres offres de service d’entreprise Microsoft telles qu’Office 365 US Government, que Dynamics 365 US Government et Power Apps US Government, ainsi que de les intégrer.
Power Automate US Government est déployé dans des centres de données Microsoft de façon cohérente avec un modèle de déploiement sur le Cloud public multi-utilisateurs ; toutefois, les applications clientes, y compris et sans se limiter au client utilisateur Web, l’application mobile Power Automate (si disponible) et aux applications clientes tierces qui se connectent à Power Automate US Government, ne font pas partie des limites d’accréditation de Power Automate US Government et les clients d’organismes d’état sont responsables de leur gestion. Les clients de Government sont responsables de leur gestion.
Power Automate US Government tire parti de l’interface utilisateur de l’administrateur du client Office 365 pour l’administration et la facturation du client.
Power Automate US Government gère les ressources réelles, le flux d’informations et la gestion des données, tout en s’appuyant sur Office 365 pour fournir des styles visuels proposés à l’administrateur client via sa console de gestion. Pour les besoins de l’héritage FedRAMP ATO, Power Automate US Government s’appuie sur les ATO Azure (y compris Azure for Government et Azure DoD) pour les services d’infrastructure et de plateforme, respectivement.
Si vous adoptez l’utilisation de services Active Directory Federation Services (AD FS) 2.0 et si vous configurez des stratégies permettant de garantir la connexion de vos utilisateurs aux service via l’authentification unique, tout contenu client temporairement mis en cache sera situé aux États-Unis.
Power Automate US Government et services tiers
Power Automate US Government offre la possibilité d’intégrer des applications tierces dans le service via les connecteurs. Ces applications et services tiers peuvent impliquer le stockage, l’émission et le traitement des données client de votre organisation dans des systèmes tiers qui sont en dehors de l’infrastructure de Power Automate US Government et par conséquent ne sont pas couverts par les engagements de respect et de protection des données de Power Automate US Government.
Pourboire
Consultez les déclarations de confidentialité et de conformité fournies par les tiers lors de l’évaluation de l’utilisation appropriée de ces services pour votre organisation.
Les considérations de gouvernance de Power Apps et Power Automate peuvent aider votre organisation à faire connaître les capacités disponibles pour plusieurs thèmes connexes, tels que l’architecture, la sécurité, l’alerte et l’action, et le monitoring.
Configurer les clients mobiles
Voici les étapes à suivre pour vous connecter avec le client mobile Power Automate.
- Sur la page de connexion, sélectionnez (une icône Wi-Fi avec un signe d’engrenage) dans le coin supérieur droit.
- Sélectionnez les Paramètres de région.
- Sélectionnez GCC : US Government GCC
- Cliquez sur OK.
- Sur la page de connexion, sélectionnez Se connecter.
L’application mobile utilisera désormais le US Government Cloud.
Power Automate US Government et services Azure
Les services Power Automate US Government sont déployés vers Microsoft Azure Government. Microsoft Entra n’est pas inclus dans la limite d’accréditation de Power Automate US Government, mais dépend d’un locataire Microsoft Entra ID d’un client pour les fonctions d’identité et de locataire de client, y compris l’authentification, l’authentification fédérée et la gestion des licences.
Lorsqu’un utilisateur d’une organisation utilisant ADFS tente d’accéder à Power Automate US Government, il est redirigé vers une page de connexion hébergée sur le serveur ADFS de l’organisation.
L’utilisateur fournit ses informations d’identification au serveur ADFS de son organisation. Le serveur ADFS de l’organisation tente d’authentifier les informations d’identification à l’aide de l’infrastructure Active Directory de l’organisation.
Si l’authentification réussit, le serveur ADFS de l’organisation émet un ticket SAML (Security Assertion Markup Language) qui contient des informations sur l’identité et le groupe d’appartenance de l’utilisateur.
Le serveur ADFS du client signe ce ticket à l’aide d’une moitié de clé asymétrique et il envoie le ticket au Microsoft Entra via TLS chiffré. Microsoft Entra ID valide la signature en utilisant l’autre moitié de la paire de clés asymétriques, puis accorde l’accès sur la base du ticket.
L’identité de l’utilisateur et ses informations de groupes d’appartenance restent chiffrées dans Microsoft Entra ID. En d’autres termes, seules les informations identifiables de l’utilisateur limitées sont stockées dans Microsoft Entra ID.
Vous trouverez des détails complets sur l’architecture de sécurité Microsoft Entra et sur l’implémentation du contrôle dans Azure SSP.
Les services de gestion des comptes Microsoft Entra sont hébergés sur des serveurs physiques gérés par les services Microsoft Global Foundation Services (GFS). Un accès réseau à ces serveurs est contrôlé par des périphériques réseau gérés par GFS à l’aide de règles définies par Azure. Les utilisateurs n’interagissent pas directement avec Microsoft Entra ID.
URL de service Power Automate US Government
Vous utilisez un ensemble différent d’URL pour accéder aux environnements Power Automate US Government, comme indiqué dans le tableau suivant. Le tableau comprend également les URL commerciales pour référence contextuelle, au cas où elles vous seraient plus familières.
Pour les clients qui implémentent des restrictions réseau, assurez-vous que l’accès aux domaines suivants est disponible pour les points d’accès des utilisateurs finaux :
Clients GCC :
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Reportez-vous aux plages d’adresses IP pour AzureCloud.usgovtexas et AzureCloud.usgovvirginia pour activer l’accès aux instances de Dataverse que les utilisateurs et administrateurs peuvent créer au sein de votre client.
Clients GCC High :
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Référez-vous également aux Plages d’adresses IP pour vous permettre d’accéder à d’autres environnements Dataverse que les utilisateurs et les administrateurs peuvent créer au sein de votre locataire et d’autres services Azure exploités par la plateforme, notamment :
- GCC et GCC High : (Focus sur AzureCloud.usgovtexas et AzureCloud.usgovvirginia).
- DoD : Focus sur USDoD Est et USDoD Centre.
Connectivité entre Power Automate US Government et Azure Cloud Services public
Azure est réparti entre plusieurs clouds. Par défaut, les locataires sont autorisés à ouvrir des règles de pare-feu sur une instance spécifique du cloud, mais la mise en réseau entre les clouds est différente et requiert l’ouverture de règles de pare-feu spécifiques pour la communication entre les services. Si vous êtes un client Power Automate et que vous avez des instances SQL existantes dans le cloud public Azure auquel vous devez accéder, vous devez ouvrir des ports de pare-feu spécifiques dans l’espace d’adresses IP du cloud Azure Government pour les centres de données suivants :
- USGov Virginia
- USGov Texas
- US DoD Est
- US DoD Centre
Se référer au document Plages d’adresses IP et balises de service Azure – Cloud pour le secteur public américain, en concentrant l’attention sur AzureCloud.usgovtexas, et AzureCloud.usgovvirginia, et/ou US DoD Est, et US DoD Centre, comme indiqué précédemment dans cet article. Notez également qu’il s’agit des plages d’adresses IP nécessaires pour que vos utilisateurs finaux aient accès aux URL du service.
Configuration de la passerelle de données locale
Installez une passerelle de données locale pour transférer des données rapidement et en toute sécurité entre une application de canevas intégrée à Power Automate et une source de données qui ne se trouve pas dans le cloud. Les exemples incluent des bases de données SQL Server locales ou des sites SharePoint locaux.
Si votre organisation (locataire) a configuré et connecté la passerelle de données locale pour PowerBI US Government, le processus que votre organisation a suivi pour en arriver là permet également d’activer la connectivité locale pour Power Automate.
Auparavant, les clients du secteur public des états-Unis devaient contacter l’assistance avant de configurer leur première passerelle de données locale, car l’assistance devait autoriser le locataire à autoriser l’utilisation de la passerelle. Cela n’est plus nécessaire. Si vous rencontrez des problèmes de configuration ou d’utilisation de la passerelle de données locale, vous pouvez contacter l’assistance pour obtenir de l’aide.
Limites de fonctionnalités Power Automate US Government
Microsoft s’efforce de maintenir la parité fonctionnelle entre nos services disponibles dans le commerce et ceux activés via nos clouds du gouvernement américain. Ces services sont appelés Power Automate Government Community Cloud (GCC) et GCC High. Référez-vous à l’outil Disponibilité géographique mondiale pour voir où Power Automate est disponible dans le monde entier, y compris les délais de disponibilité approximatifs.
Il existe des exceptions au principe de maintien de la parité fonctionnelle des produits au sein des clouds du US Government. Pour plus d’informations sur la disponibilité des fonctionnalités, téléchargez ce fichier : Résumé de la disponibilité de Business Applications US Government.