US Government 向け Power Virtual Agents のお客様
この記事は、Power Virtual Agents 政府機関コミュニティ クラウド (GCC) プランの一環として Power Virtual Agents をデプロイする米国政府機関のお客様を対象としています。 本書は、これらのプランに固有の機能の概要を提供します。
Government プランは、米国のコンプライアンスとセキュリティ標準を満たする必要がある組織の固有のニーズに合うように設計されています。
この トピックと Power Virtual Agents 紹介トピック を読了しておくことをお勧めします。
Power Virtual Agents US Government サービスの説明は、一般的な Power Virtual Agents サービスの説明のオーバーレイとして機能します。 ここでは、2019 年 12 月からお客様に提供されている一般的な Power Virtual Agents オファリングと比較して、ユニークなコミットメントと差異が定義されます。
Power Virtual Agents US Government プランと環境について
Power Virtual Agents US Government プランのライセンスは、パブリック クラウドの場合と同じです。 これは、ボリューム ライセンスおよびクラウド ソリューション プロバイダーの購入チャンネルを通じて取得できます。 詳細については、ユーザー ライセンスの割り当てとアクセスの管理トピックを参照してください。
Power Virtual Agents GCC 環境は、FedRAMP High などの、クラウド サービス向けの連邦の要件に準拠しています。
Power Virtual Agents の機能に加えて、Power Virtual Agents US Government プランを使う組織は次の固有の機能を活用できます。
- 組織の顧客コンテンツは、Power Virtual Agents 向け US-Government 以外のプランの顧客コンテンツから物理的に分離されています。
- 組織の顧客コンテンツは、米国内に保存されます。
- 組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
- Power Virtual Agents US Government は、米国公共部門の顧客が要求するすべての認証や認定に準拠します。
GCC High 環境
2022 年 2 月以降、対象となる顧客は Power Virtual Agents US Goverment を GCC High 環境に展開することを選択できるようになりました。
Microsoft は DISA SRG IL4 コンプライアンス フレームワークにそった要件を満たすよう、プラットフォームと運用手順を設計しました。
このオプションを選択すると、パブリック Azure AD を使用する GCC とは対照的に、お客様は顧客 ID に Azure AD Government を使用できるようになり、それが必要になります。
米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらのお客様が ITAR コミットメントおよび DFARS 取得規制を満たすことができるサービスを運用しています。 DISA により、暫定運用機関が付与されました。
顧客の有効性
Power Virtual Agents US Government プランは、次の場合に利用できます。
- (1) 米国の連邦、州、地方、部族、および領土の政府機関、および
- (2) 政府の規制や要件の対象となるデータを扱うその他のエンティティで、Power Virtual Agents US Government プランの利用がこれらの要件を満たすために適切である場合、適格性の検証を条件とします。
Microsoft の適格性の検証には、国際武器取引規則 (ITAR) の対象となるデータ、FBI の刑事裁判情報サービス (CJIS) ポリシーの対象となる法執行データ、または政府によって規制または制御されるその他のデータの取り扱いの確認が含まれます。 検証には、データの取り扱いに関する特定の要件を伴う政府機関の公的支援が必要となる場合があります。
Power Virtual Agents US Government の有効性について質問のあるエンティティは、アカウント チームに相談する必要があります。 Microsoft は、Power Virtual Agents US Government プランの顧客契約の更新時に、適格性を再検証します。
顧客データと顧客コンテンツの違い
オンライン サービスの条項で定義される、顧客データとは、オンライン サービスの使用を介してお客様から直接的または間接的に Microsoft に提供されたすべてのテキスト ファイル、サウンド ファイル、ビデオ ファイル、またはイメージ ファイル、およびソフトウェアを含む、あらゆるデータを指します。
顧客コンテンツは、ユーザーによって直接作成された Dataverse のエンティティ (たとえば、連絡先情報) のエントリからデータベースに格納されている内容など、顧客データの一部を示します。 一般的に、コンテンツは機密情報と見なされ、通常のサービス運用では、暗号化せずにインターネットを介して送信されることはありません。
Power Virtual Agents による顧客データを保護する方法の詳細については、Microsoft Online Services のセキュリティ センター を参照してください。
政府コミュニティ クラウドのデータの分離
Power Virtual Agents US Government プランの一部として準備されている場合は、Power Virtual Agents サービスは国立標準技術研究所 (NIST) に基づいて使用されます。
アプリケーション層での顧客の内容の論理的分離に加え、Power Virtual Agents US Government サービスにより、社内の組織に商用 Power Virtual Agents のお客様に使用されるインフラストラクチャとは分離したインフラストラクチャを使用して、顧客の内容のための物理的に分離したセカンダリ層を使用できます。 このタイプの使用には Azure の government クラウドのAzure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客の内容
Power Virtual Agents US Government サービスは、物理的に米国内にあるデータセンターで運用され、物理的に米国内にあるデータセンターにのみ顧客コンテンツを格納して保存します。
管理者による制限付きデータ アクセス
Power Virtual Agents US Government の顧客コンテンツへの Microsoft 管理者によるアクセスは、米国市民のユーザーに制限されます。 これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Power Virtual Agents のサポートおよびサービスのエンジニア スタッフは、Power Virtual Agents US Government サービスでホストされた顧客コンテンツに対して常時アクセス権を持ちません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
| Microsoft の人事審査と身辺調査 1 | 内容 |
|---|---|
| 米国市民権 | 米国市民権の検証 |
| 職歴の確認 | (7) 年間の雇用歴の検証 |
| 学歴の検証 | 達成した最高学位の検証 |
| 社会保障番号 (SSN) の照合 | 職員が提示した SSN が有効であることの確認 |
| 犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
| 外国資産管理局オフィスのリスト (OFAC) | 米国人が貿易取引や金融取引に参加することを許されないグループの、財務省のリストに対する検証 |
| 産業安全保障局のリスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
| 国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
| 指紋確認 | FBI データベースに対する指紋の身辺調査 |
| CJIS 身辺調査 | 州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました |
| 国防総省 IT-2 | 顧客データへ昇格されたアクセス許可または DoD SRG L5 サービス容量への特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて、DoD IT-2 裁定に合格する必要があります。 |
1. Power Virtual Agents US Government (GCC および GCC High) でホストされている顧客のコンテンツに一時的または永続的アクセス権を持つ人員にのみ適用されます
認定資格と認証評価
Power Virtual Agents US Government プランは高い影響レベルで、連邦リスクと認可管理プログラム (FedRAMP) の認証評価をサポートするように設計されています。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) を付与するための確認の裏付けとして、これらの成果物を調査できます。
Note
Power Virtual Agents は Azure Government FedRAMP ATO のサービスとして承認されています。
FedRAMP ドキュメントの利用方法などの詳細は FedRAMP マーケットプレイス をご確認ください。
Power Virtual Agents US Government プランには、法執行機関のための顧客の CJIS ポリシーの要件をサポートするように設計された機能があります。
Power Virtual Agents US Government および他の Microsoft サービス
Power Virtual Agents US Government プランには、ユーザーが Power Apps や Power Automate US Governmentのような他のマイクロソフト エンタープライズ サービスに接続して統合できるようにするいくつかの機能が含まれています。
Power Virtual Agents US Government サービスは、マルチテナントのパブリック クラウド展開モデルと一致する方法で Microsoft データセンター内で実行されます。ただし、クライアント アプリケーションは Web ユーザー クライアントに限定されており、Microsoft Teams では使用できません。 政府機関の顧客がクライアント アプリケーションの管理を担当します。
Power Virtual Agents US Government プランは、顧客管理と請求に Office 365 顧客管理 UI を使用します。
Power Virtual Agents US Government サービスは、実際のリソース、情報フロー、およびデータ管理を維持します。 FedRAMP ATO 継承の目的には、Power Virtual Agents US Government プランはインフラストラクチャとプラットフォーム サービスに、それぞれ Azure (Azure for Government を含む) ATO を活用します。
Active Directory フェデレーション サービス (ADFS) 2.0 の使用を採用し、ポリシーを設定してユーザーがシングル サインオンを使ってサービスに接続できるようにする場合は、一時的にキャッシュされている顧客コンテンツがすべて米国内に配置されます。
Power Virtual Agents US Government とサード パーティ サービス
Power Virtual Agents US Government プランには、コネクタとスキルを使って Power Automate Cloud Flow 経由でサードパーティー アプリケーションをサービスに統合する機能が備わっています。 これらのサードパーティのアプリケーションおよびサービスには、Power Virtual Agents US Government のインフラストラクチャの外にあるサードパーティのシステム上で、お客様の組織の顧客データを保存、送信、処理することが含まれている場合があり、そのため、 Power Virtual Agents US Government のコンプライアンスおよびデータ保護義務の対象外となります。
重要
自分の組織に対するこれらのサービスの適切な使用を評価する場合は、サード パーティによって提供されるプライバシーとコンプライアンスのステートメントを確認してください。
ガバナンスに関する考慮事項 では、アーキテクチャ、セキュリティ、アラートとアクション、監視など、関連するいくつかのテーマで利用できる機能について組織が認識するのに役立ちます。
Power Virtual Agents US Government と Azure サービス
Power Virtual Agents US Government サービスは、Microsoft Azure Government に展開されます。 Azure Active Directory Azure AD は Power Virtual Agents US Government の認定境界に含まれませんが、顧客のテナントと ID 機能のために、顧客の Azure AD テナントに依存します (認証、フェデレーション認証、ライセンスなど)。
ADFS を使用している組織のユーザーが Power Virtual Agents US Government サービスにアクセスしようとすると、そのユーザーは組織の ADFS サーバー上でホストされているログイン ページにリダイレクトされます。
ユーザーは、その組織の ADFS サーバーに自分の資格情報を提供します。 組織の ADFS サーバーでは、組織の Active Directory インフラストラクチャを使用してその資格情報の認証を試みます。
認証が成功した場合は、組織の ADFS サーバーによって、ユーザーの ID とグループのメンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットが発行されます。
顧客の ADFS サーバーが非対称的なキーの組の半分を使用してこのチケットに署名すると、暗号化された TLS で Azure AD にチケットが送信されます。 Azure AD は非対称的なキーの組の残りの半分を使用して署名を検証し、チケットに基づいてアクセスを許可します。
ユーザーの ID およびグループ メンバーシップ情報は、Azure AD 内で暗号化されたままになります。 つまり、ユーザーを特定できる限られた情報のみが Azure AD に格納されます。
Azure AD セキュリティ アーキテクチャおよび Azure SSP のコントロールの実装に関する詳細を確認することができます。
Azure AD アカウント管理サービスは Microsoft Global Foundation Services (GFS) で管理されている物理的なサーバー上でホストされます。 これらのサーバーへのネットワーク アクセスは、Azure によって設定されたルールを使用する GFS で管理されたネットワーク デバイスによって制御されます。 ユーザーは Azure AD と直接やり取りしません。
Power Virtual Agents US Government サービスの URL
次の表に示すように、Power Virtual Agents US Government 環境にアクセスするには、異なる URL のセットを使用します。 この表には、コンテキスト参照用の商用 URL も含まれています。
| 商用 | US Government (GCC) | US Government (GCC High) |
|---|---|---|
| web.powerva.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
ネットワーク制限を行っている顧客については、エンドユーザーのアクセスポイントから以下のドメインへのアクセスが可能であることを確認してください。
GCC のお客様
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
ユーザーおよび管理者がお客様のテナント内に作成できる Dataverse インスタンスにアクセスできるようにするには、AzureCloud.usgovtexas および AzureCloud.usgovvirginia に対する IP 範囲 を参照してください。
Power Virtual Agents US Government とパブリック Azure Cloud Services 間の接続
Azure は複数のクラウド間で配布されます。 既定では、テナントでクラウド固有のインスタンスに対するファイアウォール規則を開くことが許可されていますが、クラウド間ネットワークの場合は異なり、サービス間で通信するために特定のファイアウォール規則を開く必要があります。 Power Virtual Agents 顧客であり、アクセスする必要がある Azure パブリック クラウドに既存の SQL インスタンスがある場合、次のデータセンターのために、Azure Government Cloud IP 空間に対する特定のファイアウォール ポートを SQL で開く必要があります。
USGov バージニア
USGov テキサス
AzureCloud.usgovtexas と AzureCloud.usgovvirginia に注目しながら、Azure IP 範囲とサービス タグ - US Government クラウド のドキュメントを参照してください。 また、これらが、エンド ユーザーがサービス URL にアクセスするために必要な IP 範囲ですので注意してください。
Power Virtual Agents US Government の機能制限
Power Virtual Agents の商業バージョンで使用可能な機能の一部は、Power Virtual Agents US Government の顧客は使用できません。 Power Virtual Agents チームは、US Government の顧客がこれらの機能を使用できるように積極的な作業を行っており、これらの機能が使用可能になった時点でこの記事を更新します。
| 機能と特性 | GCC で使用可能 | GCC High で使用可能 |
|---|---|---|
| Power Virtual Agents 分析1 | ✖なし | ✖なし |
| Power Virtual Agents Microsoft Teams アプリ エクスペリエンス | ✖なし | ✖なし |
| Power Virtual Agents Web アプリの Teams チャネル | ✔あり | ✖なし |
| エージェントに転送 | ✔あり | ✖なし |
1. または、Power BI ダッシュボード (ブログ) を使用した分析のカスタマイズ を作成することもできます。
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。