Power Apps US Government
米国公共部門の独特で進化する要件に対応するために、 Microsoft 米国政府組織向けの複数のプランで構成される米国政府を作成しました Power Apps 。 このセクションでは、Power Apps US Government に特有の機能の概要を示します。 Power Apps ドキュメント と併せて一般的な Power Apps サービスの説明に関する情報を含む、この補足のセクションを参照することをお勧めします。 簡潔にするために、このサービスは一般的に Power Apps Government Community Cloud (GCC)、または Power Apps Government Community Cloud – High (GCC High)、または Power Apps 国防総省 (DoD) と呼ばれています。
Power Apps US Government サービスの説明は、一般的な Power Apps サービスの説明のオーバーレイとして機能するように設計されています。 このサービスの一意のコミットメントおよび 2016 年 10 月から顧客が使用可能な Power Apps の提供物の違いを定義しています。
Power Apps US Government の環境とプランについて
Power Apps US Government プランは月額のサブスクリプションで、無制限の数のユーザーにライセンスできます。
Power Apps GCC の環境は、edRAMP High、DoD DISA IL2、および刑事司法制度に対する要件 (CJI データ タイプ) を含め、クラウド サービスに対する政府の要件への準拠を提供します。
Power Apps の機能に加えて、Power Apps US Government を使用する組織には、Power Apps US Government に固有の次の機能からメリットがあります。
- 組織の顧客コンテンツは、 Microsoftの商用 Power Apps サービス内の顧客コンテンツから物理的に分離されています。
- 組織の顧客コンテンツは、米国内に保存されます。
- 組織の顧客コンテンツへのアクセスは、選別された担当者に制限されます。 Microsoft
- Power Apps US Government は、米国の公的部門の顧客に必要な認定資格および認証評価に準拠しています。
2019 年 9 月からは、対象のお客様は Power Apps US Government を "GCC High" 環境で展開することを選択できるようになり、シングル サインオンと Microsoft 365 GCC High 展開とのシームレスな統合が可能になります。 Microsoft DISA SRG IL4コンプライアンス フレームワークに準拠した要件を満たすようにプラットフォームと運用手順を設計しました。 米国国防総省の請負顧客ベースおよび他の連邦機関が、現在 Microsoft 365 GCC High を活用して Power Apps US Government GCC High 展開オプションを使用すると予想しています。これにより、公共の Microsoft Entra ID を活用する GCC とは対照的に、顧客の身元確認のために Microsoft Entra 政府機関を利用するように顧客に要求できます。 米国国防総省の請負業者顧客ベースについては、 Microsoft 米国国防総省との契約で文書化され要求されているとおり、これらの顧客がITARコミットメントおよびDFARS調達規制を満たすことができる方法でサービスを運営します。 DISA により、暫定運用機関が付与されました。
2021 年 4 月初頭から、対象のお客様は Power Apps US Government を "DoD" 環境で展開することを選択できるようになり、シングル サインオンと Microsoft 365 DoD 展開とのシームレスな統合が可能になります。 Microsoft DISA SRG IL5コンプライアンス フレームワークに従ってプラットフォームと運用手順を設計しました。 DISA により、暫定運用機関が付与されました。
顧客の有効性
Power Apps US Government は 次に対して使用可能です。(1) 米国連邦、州、ローカル、種族、および領土行政機関エンティティ、および (2) 政府の規制および要件に応じたデータを取り扱い、Power Apps US Government の使用が有効性の検証に応じてこれらの要件に合致する他のエンティティ。 Microsoft による適格性の検証には、国際武器取引規則 (ITAR) の対象となるデータ、FBIの刑事司法情報サービス (CJIS) ポリシーの対象となる法執行データ、またはその他の政府規制または管理対象データの取り扱いの確認が含まれます。 検証には、データの取り扱いに対する特定要件のある政府機関エンティティよるスポンサーシップが必要なことがあります。
Power Apps US Government の有効性について質問のあるエンティティは、アカウント チームに相談する必要があります。 Power Apps US Government の顧客契約の更新の際、有効性の再検証が必要です。
Power Apps US Government DoD は、DoD エンティティのみが利用できることにご注意ください。
Power Apps US Government プラン
Power Apps US Government のプランへのアクセスは、次の提供物に制限されます。各プランは、月額サブスクリプションとして提供され、無制限の数のユーザーにライセンスできます。
- 政府機関向け Power Apps のアプリごとプラン
- 政府機関向け Power Apps のユーザーごとプラン
- Power Apps と Power Automate の機能は、スタンドアロン プランだけでなく特定の Microsoft 365 US Government および Dynamics 365 US Government プランにも含まれ、顧客は Microsoft 365、Power Platform、および Dynamics 365 アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Project Service Automation) を拡張およびカスタマイズできます。
これらのライセンス グループ間での機能の違いに関する追加情報は、Power Apps ライセンス情報 ページの詳細で説明します。 Power Apps US Government は、ボリューム ライセンスおよびクラウド ソリューション プロバイダーの購入チャネルを通して使用可能です。 GCC High の顧客は、クラウド ソリューション プロバイダー プログラムを現在ご利用いただけません。
顧客データおよび顧客コンテンツとは
オンライン サービス条件で定義されている顧客データとは、オンライン サービスの使用を通じて顧客または顧客に代わって提供されるすべてのデータ (テキスト、サウンド、ビデオ、画像ファイル、ソフトウェアなど) を意味します。 Microsoft 顧客コンテンツは、ユーザーによって直接作成された Microsoft Dataverse のエンティティ (たとえば、連絡先情報) のエントリからデータベースに格納されている内容など、顧客データの一部を示します。 コンテンツは通常、機密情報として扱われ、通常のサービス業務で暗号化されずにインターネットに送信されることはありません。
顧客データの保護に関する詳細については、 Power Apps オンライン サービス トラスト センター Microsoft を参照してください。
政府コミュニティ クラウドのデータの分離
Power Apps US Government の一部として準備されている場合は、Power Apps サービスは国立標準技術研究所 (NIST) Special Publication 800-145 に基づいて使用されます。
アプリケーション層での顧客の内容の論理的分離に加え、Power Apps US Government サービスにより、社内の組織に商用 Power Apps のお客様に使用されるインフラストラクチャとは分離したインフラストラクチャを使用して、顧客の内容のための物理的に分離したセカンダリ層を使用できます。 これには Azure Government クラウドの Azure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客の内容
Power Apps US Government サービスは、物理的に米国内にあるデータセンターから提供されます。 Power Apps US Government の顧客コンテンツは、物理的に米国のみにあるデータセンターに格納されます。
管理者による制限付きデータ アクセス
管理者による米国政府顧客コンテンツへのアクセスは、米国市民である担当者に制限されています。 Power Apps Microsoft これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Power Apps のサポートおよびサービスのエンジニア スタッフは Power Apps US Government でホストされた顧客コンテンツに対して常時アクセス権は持ちません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
| Microsoft 人事審査と身元調査1 | 説明 |
|---|---|
| 米国市民権 | 米国市民権の検証 |
| 職歴の確認 | (7) 年間の雇用歴の検証 |
| 学歴の検証 | 達成した最高学位の検証 |
| 社会保障番号 (SSN) の照合 | 提供された SSN が有効であることの確認 |
| 犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
| 外国資産管理局リスト (OFAC) | 米国人が貿易取引や金融取引に参加することを許されないグループの、財務省のリストに対する検証 |
| 産業安全保障局リスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
| 国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
| 指紋確認 | FBI データベースに対する指紋の身辺調査 |
| CJIS 身辺調査 | Microsoft CJIS IAプログラムに加入している各州内の州CSA任命機関による連邦および州の犯罪歴の州裁定による審査 |
| 国防総省 IT-2 | 顧客データへの昇格されたアクセス許可または国防総省の SRG L5 サービス キャパシティへの特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて国防総省 IT-2 の裁定に合格する必要があります |
1 米国政府環境 (GCC、 Power Apps 、およびDoD) でホストされている顧客コンテンツへの一時的または継続的なアクセス権を持つ担当者にのみ適用されます。 GCC High
認定資格と認証評価
Power Apps US Government は高い影響レベルで、連邦リスクと認可管理プログラム (FedRAMP) の認証評価をサポートするように設計されています。 これにより、DoD DISA IL2 に配置されます。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) 付与のレビューに、これらのアーティファクトを確認できます。
Note
Power Apps は Azure Government FedRAMP ATO 内のサービスとして承認されています。 FedRAMP ドキュメントへのアクセス方法などの詳細については、FedRAMP マーケットプレイス: https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20governmentを参照してください
Power Apps US Government は、法執行機関のための顧客の CJIS ポリシー要件をサポートするよう設計された機能実装しています。 認証と認定の詳細情報については、セキュリティ センターにある Power Apps US Government の製品ページをご覧ください。
Microsoft DISA SRG IL4およびIL5コンプライアンス フレームワークに準拠した要件を満たすプラットフォームと運用手順を設計し、必要なDISA暫定運用許可を取得しました。 米国国防総省の請負顧客ベースおよび他の連邦機関が、現在 Microsoft 365 GCC High を活用して Power Apps US Government GCC High 展開オプションを使用すると予想しています。これにより、公共の Microsoft Entra ID を活用する GCC とは対照的に、顧客の身元確認のために Microsoft Entra 政府機関を利用するように顧客に要求できます。 米国国防総省の請負業者顧客ベースでは、 Microsoft これらの顧客がITARコミットメントおよびDFARS調達規制を満たすことができる方法でサービスを運営しています。 同様に、米国国防総省の顧客ベースが現在、Microsoft 365 DoD を活用して、Power Apps US Government DoD 展開オプションを使用していることを期待しています。
Power Apps 米国政府およびその他のサービス Microsoft
Power Apps US Governmentには、ユーザーがUS Government、Dynamics 365 US Government、 Microsoft などの他の Microsoft 365 エンタープライズ サービス オファリングにアクセスして統合できるようにする機能がいくつか含まれています。 Microsoft Power Automate US Government Power Apps 米国政府は、マルチテナントのパブリック クラウド展開モデルと一致する方法でデータセンター内に展開されます。ただし、Webユーザー クライアント、モバイル アプリケーション、米国政府に接続するサードパーティ クライアント アプリケーションなど、クライアント アプリケーションは米国政府の認定 接続 の一部ではないため、政府機関の顧客が管理する責任があります。 Microsoft Power Apps Power Apps Power Apps
Power Apps US Government は、Microsoft 365 顧客管理者 UI、請求 (Power Apps US Government が実際のリソースを管理します)、情報フロー、およびデータ管理、Microsoft 365 の使用中に管理コンソールを通じて顧客管理者に提供される表示上のスタイルを活用します。 FedRAMP ATO を継承する目的で、Power Apps US Government はインフラストラクチャとプラットフォーム サービスに、それぞれ Azure (Azure Government および Azure DoD を含む) ATO を活用します。
Active Directory フェデレーション サービス (AD FS) 2.0 の使用を導入し、ユーザーがシングル サインオンにより確実にサービスに接続できるようにポリシーを設定する場合、一時的にキャッシュされた顧客の内容は米国にあります。
Power Apps US Government とサード パーティ サービス
Power Apps US Government には、コネクタ を通してサードパーティ アプリケーションをサービスに統合する機能があります。 これらのサードパーティのアプリケーションおよびサービスには、Power Apps US Government のインフラストラクチャの外にあるサードパーティのシステム上で、お客様の組織の顧客データを保存、送信、処理することが含まれている場合があり、そのため、 Power Apps US Government のコンプライアンスおよびデータ保護義務の対象外となります。
組織でのこれらのサービスの適切な利用について評価する際には、サード パーティによって提供される個人および法令遵守ステートメントを確認することをお勧めします。
Power Apps US Government および Azure サービス
Power Apps US Government サービスは、Microsoft Azure Government に展開されます。 Microsoft Entra は Power Apps US Government の境界線一部ではありませんが、顧客の Microsoft Entra ID テナントに依存して、認証、統合認証、およびライセンスを含む顧客のテナントおよび ID 機能を実現しています。
AD FS を採用している組織のユーザーが Power Apps US Government にアクセスしようとすると、組織の AD FS サーバでホストされているログインページにリダイレクトされます。 ユーザーは、組織の AD FS サーバーに自身の資格情報を入力します。 組織の AD FS サーバーは、組織の Active Directory インフラストラクチャを使用して資格情報の認証を試みます。
認証が成功した場合、組織の AD FS サーバは、ユーザの ID とグループ メンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットを発行します。
顧客の AD FS サーバーは、非対称的なキーの組の半分を使用してこのチケットに署名し、暗号化された Transport Layer Security (TLS) を介して Microsoft Entra にチケットを送信します。 Microsoft Entra ID では、非対称キー ペアのもう片方を使って署名を検証し、その後チケットに基づくアクセス権を付与します。
Microsoft Entra ID では、ユーザーの ID とグループのメンバーシップに関する情報は暗号化されたままです。 つまり、ユーザーを特定できる一部の情報のみが Microsoft Entra ID に格納されます。
Microsoft Entra セキュリティ アーキテクチャおよび Azure SSP のコントロールの実装に関する詳細を確認することができます。 エンド ユーザーは Microsoft Entra ID と直接やり取りしません。
Power Apps US Government サービスの URL
次の表に示すように (よりなじみやすいように、商用 URL はコンテキスト参照に対しても表示されます)、異なる URL のセットを使用して、Power Apps US Government 環境にアクセスできます。
ネットワーク制限を実装しているお客様については、エンド ユーザーのアクセス ポイントで次のドメインへのアクセスを利用できることを確認してください。
GCCの顧客:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us
また、必要な IP 範囲を参照して、プラットフォームが他の Azure サービスを起動したときに、ユーザーと管理者がテナント ウェル内で作成した可能性のある環境へのアクセスを有効にします。
- GCC および GCC High: (AzureCloud.usgovtexas および AzureCloud.usgovvirginia にフォーカス)
- DoD: USDoD 東部および USDoD 中部にフォーカスします
GCC High および国防総省の顧客:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)
また、必要な IP 範囲を参照して、ユーザーや管理者がテナント内に作成する環境や、プラットフォームで利用する他の Azure サービスへのアクセスを有効にしてください。
- GCC および GCC High: (AzureCloud.usgovtexas および AzureCloud.usgovvirginia にフォーカス)
- DoD: USDoD 東部および USDoD 中部にフォーカスします
地域の探索サービスは廃止されました
2020 年 3 月 2 日をもって、地域探索サービス は廃止されます。 詳細 : 地域の探索サービスは廃止されました
Power Apps US Government と公開してある Azure Cloud Services 間の接続
Azure は複数のクラウド間で配布されます。 既定では、テナントはクラウド固有の環境に対してファイアウォール ルールを開くことができますが、クロス クラウド ネットワークは異なり、特定のファイアウォール ルールを開いてサービス間で通信する必要があります。 Power Apps の顧客で、アクセスする必要がある Azure の公開クラウドに既存の SQL 環境がある場合、次のデータセンターについて、Azure Government クラウド IP スペースに対して SQL の特定のファイアウォール ルールを開く必要があります。
- USGov バージニア
- USGov テキサス
- US DoD 東部
- US DoD 中部
上述の AzureCloud.usgovtexas と AzureCloud.usgovvirginia や US DoD 東部および US DoD 中部にフォーカスしながら、Azure IP 範囲とサービス タグ – US Government Cloud のドキュメント を参照してください。 また、エンド ユーザーがサービス URL へのアクセス許可を持つのに必要な IP 範囲であることに注意してください。
モバイル クライアントの構成
Power Apps モバイル クライアントでサインインするには、いくつかの追加の構成手順が必要です。
- サインイン ページの右下隅から歯車アイコンを選択します。
- リージョンの設定を選択します。
- 次のいずれかを選択します:
- GCC: 米国政府GCC
- GCC High: 米国政府 GCC High
- DoD: 米国政府国防総省
- OK を選びます。
- サインイン ページで、サインインを選択します。
今後はモバイル アプリケーションが米国政府クラウド ドメインを使用します。
オンプレミス データ ゲートウェイの構成
Power Apps でビルドされたキャンバス アプリと、オンプレミス SQL Server データベースやオンプレミス SharePoint サイトなど、クラウドではないデータ ソースの間でデータを簡単かつセキュリティ移行するため、オンプレミス データ ゲートウェイ をインストールします。
組織 (テナント) がすでに構成済みで、Power BI US Government のオンプレミス データ ゲートウェイへの接続が成功している場合、組織が実行したプロセスおよび構成によって、Power Apps のオンプレミス接続が有効になります。
以前は、サポートがゲートウェイ使用のためにテナントを「許可リスト」に載せる必要があったため、米国政府顧客は、最初のオンプレミス データ ゲートウェイを構成する前にサポートに問い合わせる必要がありました。 これはもう必要ありません。 オンプレミス データ ゲートウェイの構成または使用中に問題が発生した場合は、サポートにお問い合わせください。
モデル駆動型アプリのテレメトリ
次の URL を許可リストに追加して、モデル駆動型アプリのテレメトリ情報のファイアウォールやその他のセキュリティ メカニズムで通信できるようにする必要があります。
- GCCと GCC High:
https://tb.pipe.aria.microsoft.com/Collector/3.0 - 国防総省:
https://pf.pipe.aria.microsoft.com/Collector/3.0
Power Apps US Government の機能制限
Microsoft 弊社は、市販のサービスと米国政府クラウドを通じて有効化されるサービスとの間で機能の同等性を維持するよう努めています。 これらのサービスは、Power Apps Government Community Cloud (GCC) および GCC High と呼ばれます。 グローバル利用可能地域ツールを参照して、Power Apps が世界中のどこで利用可能であるかを確認することができます (おおよその可用性のタイムラインを含む)。
米国政府機関のクラウド内で製品機能の同等性を維持するという原則には例外があります。 機能の提供の詳細については、Business Applications US Government - 利用可能性の概要を参照してください。
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。