Power Automate US Government

[アーティクル]
08/03/2023

米国の公的機関の特有の進化し続ける要件に応じるために、Microsoft は Power Automate US Government プランを作成しました。このセクションでは、Power Automate US Government に特有の機能の概要を示します。この補足セクションと、Power Automate サービスはじめにトピックをお読みになることをお勧めします。簡潔性のため、このサービスは一般的に Power Automate 政府コミュニティクラウド (GCC)、Power Automate 政府機関コミュニティクラウド – 高 (GCC High)、または Power Automate 国防総省 (DoD) と呼んでいます。

Power Automate US Government サービスの詳細は、一般的な Power Automate サービスの説明のオーバーレイとして機能します。 2016 年 10 月からお客様に提供されている一般的な Power Automate オファリングと比較して、ユニークなコミットメントと差異が定義されています。

Power Automate US Government 環境とプランについて

Power Automate US Government プランは月次サブスクリプションであり、無制限の数のユーザーにライセンスを付与することができます。

Power Automate の GCC 環境は、FedRAMP High や DoD DISA IL2 などの、クラウドサービス向けの連邦の要件に準拠しています。また、これは刑事司法制度 (CJI データの種類) の要件にも準拠しています。

Power Automate US Government のベネフィットを使う組織は、Power Automate の機能や能力に加えて、次の固有の機能を利用できます。

組織の顧客コンテンツは、Power Automate の商用オファリングの顧客コンテンツから物理的に分離されます。
組織の顧客コンテンツは、米国内に保存されます。
組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
Power Automate US Government は、米国公共部門の顧客が要求するすべての認証や認定に準拠しています。

2019 年 9 月以降、対象のお客様は GCC High 環境に Power Automate US Government をデプロイできます。これにより、シングルサインオンおよび Microsoft Office 365 の GCC High デプロイとのシームレスな統合が可能になります。

Microsoft は DISA SRG IL4 コンプライアンスフレームワークにそった要件を満たすよう、プラットフォームと運用手順を設計しました。米国国防総省契約顧客ベースや、現在 Office 365 GCC High を利用している他の連邦政府機関が、Power Automate US Government GCC High デプロイオプションを使用することを想定しています。このオプションを選択すると、パブリック Microsoft Entra ID を利用する GCC とは対照的に、お客様は顧客 ID に Microsoft Entra Government を利用できるようになり、それが必要になります。米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらのお客様が ITAR コミットメントおよび DFARS 取得規制を満たすことができるサービスを運用しています。 DISA により、暫定運用機関が付与されました。

2021 年 4 月初頭から、対象のお客様は Power Automate US Government を "DoD" 環境で展開することを選択できるようになり、シングルサインオンと Microsoft 365 DoD 展開とのシームレスな統合が可能になります。 Microsoft は、DISA SRG IL5 コンプライアンスフレームワークに従ってプラットフォームと運用手順を設計しました。 DISA は、暫定運用機関を付与しています。

顧客の有効性

Power Automate US Government を利用できるのは、(1) 米国連邦、州、地方、部族、地域の政府機関、および (2) 政府の規制や要件の対象となるデータを扱い、これらの要件を満たすために Power Automate US Government の使用が適切であるようなその他の機関であり、適格性の検証を必要とします。 Microsoft の適格性の検証には、国際武器取引規則 (ITAR) の対象となるデータ、FBI の刑事裁判情報サービス (CJIS) ポリシーの対象となる法執行データ、または政府によって規制または制御されるその他のデータの取り扱いの確認が含まれます。検証には、データの取り扱いに関する特定の要件を伴う政府機関の公的支援が必要となる場合があります。

Power Automate US Government の資格について質問があるエンティティは自分たちのアカウントチームに相談する必要があります。 Microsoft は、Power Automate US Government の顧客契約の更新時に、適格性を再検証します。

Note

Power Automate US Government DoD は DoD エンティティでのみ使用できます。

Power Automate US Government のプラン

Power Automate US Government プランへのアクセスは、以下のセクションで示すオファーに制限されます。各プランは月単位のサブスクリプションとして提供され、無制限数のユーザーにライセンスを付与することができます。

政府機関向け Power Automate プロセスプラン (以前は Power Automate フローごとのプラン)
政府機関向け Power Automate プレミアムプラン (Power Automate ユーザーごとのプラン)
スタンドアロンプランだけでなく Microsoft 365 US Government と Dynamics 365 US Government プランにも Power Apps と Power Automate 機能が含まれ、顧客は Microsoft 365 と Customer Engagement アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Project Service Automation) を拡張およびカスタマイズできます。

これらのライセンスのグループ間の機能の違いに関する追加情報と詳細については、ここで詳しく説明されています: Power Automate ライセンス情報。

Power Automate US Government は、ボリュームライセンスおよびクラウドソリューションプロバイダーの購入チャンネルを通じて取得できます。 GCC High の顧客は、クラウドソリューションプロバイダープログラムを現在ご利用いただけません。

顧客データと顧客コンテンツの違い

オンラインサービスのご利用条件で定義されている顧客データとは、オンラインサービスの使用を介してお客様から直接的または間接的に Microsoft に提供されたすべてのテキストファイル、サウンドファイル、ビデオファイルやイメージファイル、ソフトウェアを含む、あらゆるデータを指します。

顧客コンテンツは、ユーザーによって直接作成された Dataverse のエンティティ (たとえば、連絡先情報) のエントリからデータベースに格納されている内容など、顧客データの一部を示します。一般的に、コンテンツは機密情報と見なされ、通常のサービス運用では、暗号化せずにインターネットを介して送信されることはありません。

Power Automate による顧客データを保護する方法の詳細については、Microsoft Online Services のセキュリティセンターを参照してください。

政府コミュニティクラウドのデータの分離

Power Automate US Government の一部として準備されている場合は、Power Automate サービスは国立標準技術研究所 (NIST) Special Publication 800-145 に基づいて使用されます。

Power Automate Government サービスでは、アプリケーションレイヤーでの顧客コンテンツの論理的な分離だけでなく、商用の Power Automate 顧客向けに使用されるインフラストラクチャから分離されたインフラストラクチャを使用することで、顧客コンテンツ用にセカンダリレイヤーの物理的な分離が組織に提供されます。これには Azure の government クラウドのAzure サービスの使用が含まれます。詳細については、Azure Government を参照してください。

米国内にある顧客の内容

Power Automate US Government は、物理的に米国内にあるデータセンターで運用され、物理的に米国内にあるデータセンターにのみ顧客コンテンツを格納して保存します。

管理者による制限付きデータアクセス

Power Automate US Government の顧客の内容への Microsoft 管理者によるアクセスは米国市民のユーザーに制限されます。これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。

Power Automate のサポートおよびサービスのエンジニアスタッフは、Power Automate US Government でホストされた顧客コンテンツに対して常時アクセス権を持ちません。顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。

Microsoft の人事審査と身辺調査 ¹	内容
米国市民権	米国市民権の検証
職歴の確認	(7) 年間の雇用歴の検証
学歴の検証	達成した最高学位の検証
社会保障番号 (SSN) の照合	職員が提示した SSN が有効であることの確認
犯罪歴の確認	州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認
外国資産管理局オフィスのリスト (OFAC)	米国人が貿易取引や金融取引に参加することを許されないグループの、財務省のリストに対する検証
産業安全保障局のリスト (BIS)	輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証
国防総省貿易管理部の規制対象者リスト (DDTC)	防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証
指紋確認	FBI データベースに対する指紋の身辺調査
CJIS 身辺調査	州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました
国防総省 IT-2	顧客データへ昇格されたアクセス許可または DoD SRG L5 サービス容量への特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて、DoD IT-2 裁定に合格する必要があります。

¹ Power Automate US Governments (GCC、GCC High、DoD) にホストされている顧客コンテンツに一時的または永続的なアクセス権を持つ職員にのみ適用されます。

認定資格と認証評価

Power Automate US Government は高い影響レベルで、Federal Risk and Authorization Management Program (FedRAMP) の認証評価をサポートするように設計されています。このプログラムは、DoD DISA IL2 との調整を示します。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。連邦政府機関は、Authority to Operate (ATO) を付与するための確認の裏付けとして、これらの成果物を調査できます。

Note

Power Automate は Azure Government FedRAMP ATO のサービスとして承認されています。 FedRAMP ドキュメントの利用方法などの詳細は FedRAMP マーケットプレイスをご確認ください。

Power Automate US Government には、法執行機関のための顧客の CJIS ポリシーの要件をサポートするように設計された機能があります。認証と認定についての詳細情報は、セキュリティセンターにある Power Automate US Government の製品ページをご覧ください。

Microsoft は、DISA SRG IL4 および IL5 コンプライアンスフレームワークの要件を満たすように、このプラットフォームとその運用手順を設計し、必要な DISA 暫定当局の運用を承認しました。 Microsoft は、米国国防総省契約顧客ベースおよび、現在 Microsoft Office 365 GCC High を利用している他の連邦政府機関が、Power Automate US Government GCC High 展開オプションを利用することを想定しています。これにより、パブリック Microsoft Entra ID を利用する GCC とは異なり、顧客 ID として Microsoft Entra Government を利用できるようになります (同時にそれが要求されます)。米国国防総省の請負顧客ベースでは、Microsoft はこれらのお客様が ITAR コミットメントおよび DFARS 取得規制を満たすことができるサービスを運用しています。さらに、Microsoft は、Microsoft 365 DoD を現在使用している米国国防総省の顧客は、Power Automate US Government DoD 展開オプションを使用すると予想しています。

Power Automate US Government およびその他の Microsoft サービス

Power Automate US Government には、ユーザーが他の Microsoft エンタープライズサービス内容 (Office 365 US Government、Dynamics 365 US Government、Power Apps US Government など) と接続したり統合したりできるようになる機能がいくつか含まれています。

Power Automate US Government は、Microsoft データセンター内で、マルチテナント、パブリッククラウドデプロイモデルと一貫性のある方法で運用されています。ただし、Web ユーザークライアントに限定されるわけではなく、Power Automate モバイルアプリケーション (利用可能な場合)、Power Automate US Government に接続されるすべてのサードパーティ製クライアントアプリケーションなどのクライアントアプリケーションは、Power Automate US Government の認証境界には含まれません。政府機関の顧客はそれらを管理する責任があります。

Power Automate US Government では、顧客の管理と請求のために Office 365 の顧客管理者 UI を使用します。

Power Automate US Government は実際のリソース、情報フロー、データ管理を維持する一方で、Office 365 に依存して、管理コンソールで顧客管理者に表示される視覚的なスタイルを提供します。 FedRAMP ATO 継承の目的で、Power Automate US Government は、インフラストラクチャとプラットフォームサービスに、それぞれ Azure (Azure for Government DoD を含む) ATO を活用します。

Active Directory フェデレーションサービス (AD FS) 2.0 の使用を導入し、ユーザーがシングルサインオンにより確実にサービスに接続できるようにポリシーを設定する場合、一時的にキャッシュされた顧客の内容は米国にあります。

Power Automate US Government およびサードパーティサービス

Power Automate US Government には、コネクタを使ってサードパーティアプリケーションをサービスに統合する機能があります。これらのサードパーティのアプリケーションやサービスは、格納、転送、および Power Automate US Government インフラストラクチャの外部、および Power Automate US Government コンプライアンスとデータ保護コミットメントの対象外のサードパーティでの組織の顧客データの処理を含む場合があります。

チップ

自分の組織に対するこれらのサービスの適切な使用を評価する場合は、サードパーティによって提供されるプライバシーとコンプライアンスのステートメントを確認してください。

Power Apps と Power Automate のガバナンスに関する考慮事項を利用すると、アーキテクチャ、セキュリティ、アラートとアクション、監視など、関連するテーマで組織が利用できる機能を認識できます。

モバイルクライアントの構成

Power Automate Mobile クライアントでサインインする際に必要な手順は次のとおりです。

サインインページの右上隅から (歯車記号が付いた Wifi アイコン) を選択します。
リージョンの設定 を選択します。
GCC の選択: 米国政府機関 GCC
OK を選択します。
サインインページで、サインインを選択します。

今後はモバイルアプリケーションが米国政府クラウドを使用します。

Power Automate US Government および Azure サービス

Power Automate US Government サービスが Microsoft Azure Governmentにデプロイされています。 Microsoft Entra は、Power Automate US Government 認定境界の一部ではありませんが、認証、連邦認証、ライセンスなどの顧客テナントと ID 機能に関しては、お客様の Microsoft Entra ID テナントを利用します。

ADFS を用いている組織のユーザーが Power Automate US Government へのアクセスを試みると、組織のサーバーでホストされるログインページにリダイレクトされます。

ユーザーは、その組織の ADFS サーバーに自分の資格情報を提供します。組織の ADFS サーバーでは、組織の Active Directory インフラストラクチャを使用してその資格情報の認証を試みます。

認証が成功した場合は、組織の ADFS サーバーによって、ユーザーの ID とグループのメンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットが発行されます。

顧客の ADFS サーバーは、非対称キーの組の半分を使用してこのチケットに署名し、暗号化された TLS で Microsoft Entra にチケットが送信されます。 Microsoft Entra ID では、非対称キーペアのもう片方を使って署名を検証し、その後チケットに基づくアクセス権を付与します。

Microsoft Entra ID では、ユーザーの ID とグループのメンバーシップに関する情報は暗号化されたままです。つまり、ユーザーを特定できる一部の情報のみが Microsoft Entra ID に格納されます。

Microsoft Entra セキュリティアーキテクチャおよび Azure SSP のコントロールの実装に関する詳細を確認することができます。

Microsoft Entra アカウント管理サービスは Microsoft Global Foundation Services (GFS) で管理されている物理的なサーバー上でホストされます。これらのサーバーへのネットワークアクセスは、Azure によって設定されたルールを使用する GFS で管理されたネットワークデバイスによって制御されます。ユーザーは Microsoft Entra ID と直接やり取りしません。

Power Automate US Government サービスの URL

次のテーブルに示すように、Power Automate US Government 環境にアクセスするには、異なる URL のセットを使用します。テーブルには、使い慣れているお客様のために、コンテキスト参照のための商用 URL も含まれています。

業務用バージョン	US Government バージョン
https://flow.microsoft.com	https://gov.flow.microsoft.us (GCC)、https://high.flow.microsoft.us (GCC High)、https://flow.appsplatform.us (DoD)
https://admin.powerplatform.microsoft.com/	https://gcc.admin.powerplatform.microsoft.us/ (GCC)、https://high.admin.powerplatform.microsoft.us/ (GCC High)、https://admin.appsplatform.us (DoD)
https://flow.microsoft.com/connectors	https://gov.flow.microsoft.us/connectors (GCC)、https://high.flow.microsoft.us/connectors (GCC High)、https://flow.appsplatform.us/connectors/ (DoD)
https://make.powerautomate.com	https://make.gov.powerautomate.us (GCC)、https://make.high.powerautomate.us (GCC High)、https://make.powerautomate.appsplatform.us (DoD)

ネットワーク制限を行っている顧客については、エンドユーザーのアクセスポイントから以下のドメインへのアクセスが可能であることを確認してください。

GCC の顧客:

.microsoft.us
.azure-apihub.us
.azure.us
.usgovcloudapi.net
.microsoftonline.com
.microsoft.com
.windows.net
.azureedge.net
.azure.net
.crm9.dynamics.com
.powerautomate.us

ユーザーおよび管理者がお客様のテナント内に作成できる Dataverse インスタンスにアクセスできるようにするには、AzureCloud.usgovtexas および AzureCloud.usgovvirginia に対する IP 範囲を参照してください。

GCC High の顧客:

.microsoft.us
.azure-apihub.us
.azure.us
.usgovcloudapi.net
.microsoftonline.us
.azureedge.net
.azure.net
.crm.microsoftdynamics.us(GCC High)
*.high.dynamics365portals.us (GCC High)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)

また、IP 範囲を参照して、プラットフォームが利用するテナントや他の Azure サービス内でユーザーと管理者が作成する可能性がある Dataverse 環境にアクセスできるようにします。これには次のものが含まれます。

GCC および GCC High: AzureCloud.usgovtexas および AzureCloud.usgovvirginia にフォーカスします。
DoD: USDoD 東部および USDoD 中部にフォーカスします。

Power Automate US Government とパブリック Azure Cloud Services 間の接続

Azure は複数のクラウド間で配布されます。既定では、テナントでクラウド固有のインスタンスに対するファイアウォール規則を開くことが許可されていますが、クラウド間ネットワークの場合は異なり、サービス間で通信するために特定のファイアウォール規則を開く必要があります。 Power Automate のお客様で、アクセスする必要がある Azure パブリッククラウドに既存の SQL インスタンスがある場合、次のデータセンターのために、Azure Government Cloud IP 空間に対する特定のファイアウォールポートを SQL で開く必要があります。

USGov バージニア
USGov テキサス
US DoD 東部
US DoD 中部

この記事で前述したように、AzureCloud.usgovtexas、AzureCloud.usgovvirginia、および/またはUS DoD East、およびUS DoD Centralに焦点を当てた、Azure IP 範囲とサービスタグ – US Government Cloudドキュメントを参照してください。また、これらが、エンドユーザーがサービス URL にアクセスするために必要な IP 範囲ですので注意してください。

オンプレミスデータゲートウェイの構成

オンプレミスのデータゲートウェイをインストールすることで、Power Automate に組み込まれたキャンバスアプリと、クラウドにないデータソースとの間で、迅速かつ安全にデータを転送することができます。例には、オンプレミスの SQL Server データベースや、オンプレミスの SharePoint サイトが含まれています。

ご自分の組織 (テナント) が、PowerBI US Government 用に既にオンプレミスデータゲートウェイを構成し、正常に接続している場合、その有効化のために組織が従ったプロセスによって、Power Automate のオンプレミスの接続を有効化することも可能になります。

これまで米国政府の顧客は、最初のオンプレミスデータゲートウェイを構成する前に、サポートに連絡する必要がありました。これは、ゲートウェイの使用を許可するために、サポートがテナントに許可を与える必要があったためです。これはもう必要ありません。オンプレミスのデータゲートウェイの構成または使用で問題が発生した場合は、サポートに連絡して支援を求めることができます。

Power Automate US Government 機能の制限

マイクロソフトは、市販のサービスと、米国政府機関のクラウドを通じて実現されるサービスとの間の機能の同等性を維持するよう努めています。これらのサービスは、Power Automate Government Community Cloud (GCC) および GCC High と呼ばれます。グローバル利用可能地域ツールを参照して、Power Automate が世界中のどこで利用可能であるかを確認することができます (おおよその可用性のタイムラインを含む)。

米国政府機関のクラウド内で製品機能の同等性を維持するという原則には例外があります。機能の提供の詳細については、Business Applications US Government - 利用可能性の概要を参照してください。