Power Automate US Government
In reactie op de unieke en ontwikkelende vereisten van de publieke sector van de Verenigde Staten heeft Microsoft Power Automate US Government-abonnementen ontwikkeld. In deze sectie vindt u een overzicht van de functies die specifiek gelden voor Power Automate US Government. We raden u aan dit aanvullende gedeelte te lezen, evenals het onderwerp Aan de slag voor de Power Automate-service. In het kort wordt deze service vaak aangeduid als Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) of Power Automate Department of Defense (DoD).
De servicebeschrijving van Power Automate US Government dient als overlay voor de algemene servicebeschrijving van Power Automate. Deze definieert de unieke verplichtingen en verschillen in vergelijking met de algemene Power Automate-aanbiedingen die voor onze klanten sinds oktober 2016 beschikbaar zijn.
Informatie over Power Automate US Government-omgevingen en -abonnementen
Power Automate US Government-abonnementen zijn maandelijkse abonnementen en licenties kunnen worden toegewezen aan een onbeperkt aantal gebruikers.
De Power Automate GCC-omgeving voldoet aan de federale vereisten voor cloudservices, waaronder FedRAMP High en DoD DISA IL2. Ook voldoet de omgeving aan de vereisten voor strafrechtsystemen (CJI-gegevenstypen).
Organisaties die gebruikmaken van Power Automate, profiteren niet alleen van de functies en mogelijkheden van Power Automate US Government, maar ook van de volgende unieke functies:
De klantinhoud van uw organisatie is fysiek gescheiden van andere klantinhoud in het commerciële aanbod van Power Automate.
De klantinhoud van uw organisatie wordt opgeslagen in de Verenigde Staten.
Toegang tot klantinhoud van uw organisatie is beperkt tot gescreend Microsoft-personeel.
Power Automate US Government beschikt over alle certificeringen en accreditaties die klanten in de Amerikaanse publieke sector vereisen.
Vanaf september 2019 kunnen in aanmerking komende klanten ervoor kiezen Power Automate US Government voor de omgeving GCC High te implementeren, waardoor eenmalige aanmelding (SSO) en naadloze integratie met Microsoft Office 365 GCC High-implementaties mogelijk zijn.
Microsoft heeft het platform en onze operationele procedures ontworpen om te voldoen aan de vereisten aangepast aan het DISA SRG IL4-nalevingframework. We verwachten dat het klantenbestand van aannemers voor het Amerikaanse ministerie van defensie en andere federale instanties die momenteel gebruikmaken van Office 365 GCC High de optie Power Automate US Government gaan gebruiken. Met deze optie wordt de klant in staat gesteld en verplicht om gebruik te maken van Microsoft Entra Government voor klantidentiteiten, in tegenstelling tot GCC waarvoor gebruik wordt gemaakt van de openbare Microsoft Entra-id. Voor het klantenbestand van onderaannemers van het Amerikaanse Ministerie van Defensie gebruikt Microsoft de service op een manier waarmee deze klanten kunnen voldoen aan ITAR-verplichting en DFARS-overnameregelgeving, zoals gedocumenteerd en vereist door hun contracten met het Amerikaanse Ministerie van Defensie. Er is een Provisional Authority to Operate verleend door DISA.
Vanaf begin april 2021 kunnen in aanmerking komende klanten er nu voor kiezen Power Automate US Government voor de omgeving "DoD" te implementeren, waardoor eenmalige aanmelding (SSO) en naadloze integratie met Microsoft 365 DoD-implementaties mogelijk zijn. Microsoft heeft het platform en operationele procedures ontworpen in overeenstemming met het DISA SRG IL5-nalevingskader. DISA heeft een Provisional Authority to Operate verleend.
Welke klanten in aanmerking komen
Power Automate US Government is beschikbaar voor (1) Amerikaanse overheidsinstanties op federaal niveau, staatsniveau, lokaal niveau, stamgemeenschappen en territoriaal niveau en (2) andere entiteiten die gegevens verwerken die onderhevig zijn aan wettelijke voorschriften en vereisten en waar het gebruik van Power Automate US Government geschikt is om te voldoen aan deze vereisten, afhankelijk van de validatie van de geschiktheid. De validatie van geschiktheid van Microsoft omvat de bevestiging van verwerkingsgegevens die onderhevig zijn aan International Traffic in Arms Regulations (ITAR), wetshandhavingsgegevens die onderhevig zijn aan het Criminal Justice Information Services-beleid (CJIS) van de FBI of andere door de overheid gereguleerde of gecontroleerde gegevens. Validatie vereist mogelijk sponsoring door een overheidsinstantie met specifieke vereisten voor de verwerking van gegevens.
Entiteiten met vragen over geschiktheid voor Power Automate US Government moeten hun accountteam raadplegen. Microsoft beoordeelt de geschiktheid opnieuw wanneer klantcontracten voor Power Automate US Government worden verlengd.
Notitie
Power Automate US Government DoD is alleen beschikbaar voor DoD-entiteiten.
Power Automate US Government-plannen
Toegang tot abonnementen voor Power Automate US Government is beperkt tot de aanbiedingen die worden beschreven in het volgende gedeelte. Elk abonnement wordt aangeboden als maandelijks abonnement en licenties kunnen worden toegewezen aan een onbeperkt aantal gebruikers:
Power Automate-procesabonnement (voorheen Power Automate per stroom) voor Overheid
Power Automate Premium-abonnement (Power Automate per gebruiker) voor de overheid
Behalve in de losse abonnementen, zijn de Power Apps- en Power Automate-mogelijkheden ook opgenomen in bepaalde Microsoft 365 US Government- en Dynamics 365 US Government-abonnementen waarmee klanten Microsoft 365 en apps voor klantbetrokkenheid (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service en Dynamics 365 Project Service Automation) kunnen uitbreiden en aanpassen.
Aanvullende informatie en details over de verschillen in functionaliteit tussen deze groepen licenties worden hier uitvoeriger beschreven: Licentiegegevens van Power Automate.
Power Automate US Government is beschikbaar via aanschafkanalen voor volumelicenties en cloudoplossingsproviders. Het Cloud Solution Provider-programma is momenteel niet beschikbaar voor GCC High-klanten.
Verschillen tussen klantgegevens en inhoud van klanten
Met klantgegevens, zoals gedefinieerd in de servicevoorwaarden, worden alle gegevens bedoeld, inclusief alle tekst-, audio- of afbeeldingsbestanden en software die aan Microsoft worden geleverd door of namens klanten via het gebruik van een Online-service.
Klantinhoud verwijst naar een bepaalde subset van klantgegevens die direct door gebruikers zijn gemaakt, zoals de inhoud die is opgeslagen in databases via vermeldingen in Dataverse-entiteiten (zoals contactgegevens). Inhoud wordt in het algemeen beschouwd als vertrouwelijke informatie en wordt in normale servicebewerkingen niet zonder versleuteling via het internet verzonden.
Zie voor meer informatie over de beveiliging van klantgegevens in Power Automate het Microsoft Online Services-vertrouwenscentrum.
Gegevensscheiding voor Government Community Cloud
Indien geleverd als onderdeel van Power Automate US Government wordt de Power Automate-service aangeboden overeenkomstig het National Institute of Standards and Technology (NIST) Special Publication 800-145.
Naast de logische scheiding van klantinhoud in de toepassingslaag levert Power Automate Government de overheid uw organisatie een secundaire laag van fysieke scheiding van klantinhoud door infrastructuur te gebruiken die los staat van de infrastructuur die wordt gebruikt voor commerciële Power Automate-klanten. Dit omvat het gebruik van Azure-services in de Government Cloud van Azure. Zie voor meer informatie Azure Government.
Klantinhoud in de Verenigde Staten
Power Automate US Government wordt in datacenters uitgevoerd die zich fysiek in de Verenigde Staten bevinden en bewaart inhoud-at-rest in datacenters die zich fysiek uitsluitend in de Verenigde Staten bevinden.
Beperkte gegevenstoegang door beheerders
Toegang tot klantinhoud van Power Automate US Government door Microsoft-beheerders is beperkt tot medewerkers die Amerikaans staatsburger zijn. Naar de achtergrond van deze medewerkers wordt onderzoek gedaan in overeenstemming met relevante overheidsstandaarden.
Technische medewerkers van Power Automate-ondersteuning en -service hebben geen permanente toegang tot klantinhoud die is gehost in Power Automate US Government. Alle medewerkers die tijdelijke verhoging van machtigingen aanvragen waarmee ze toegang krijgen tot klantinhoud, moeten eerst door de volgende achtergrondcontroles zijn gekomen.
| Microsoft-controles voor screening van personeel en achtergrond 1 | Beschrijving |
|---|---|
| Amerikaans staatsburgerschap | Verificatie van het Amerikaanse staatsburgerschap |
| Controle van het arbeidsverleden | Verificatie van zeven (7) jaar arbeidsverleden |
| Verificatie van opleiding | Verificatie van hoogst behaalde graad |
| Zoekopdracht naar burgerservicenummer (BSN) | Verificatie van de geldigheid van het BSN dat medewerkers opgeven |
| Strafbladcontrole | Strafbladcontrole voor zeven (7) jaar naar misdaden of misdrijven op staats-, provinciaal, lokaal en federaal niveau |
| Office of Foreign Assets Control-lijst (OFAC) | Validatie van de door het Ministerie van Financiën opgestelde lijst met groepen waarmee Amerikaanse personen geen handelstransacties of financiële transacties mogen aangaan |
| Bureau of Industry and Security-lijst (BIS) | Validatie van de door het Ministerie van Handel opgestelde lijst met personen en entiteiten die zijn uitgesloten van het uitvoeren van exportactiviteiten |
| Office of Defense Trade Controls Debarred Persons-lijst (DDTC) | Validatie van de door het Ministerie van Buitenlandse Zaken opgestelde lijst met personen en entiteiten die zijn uitgesloten van het uitvoeren van exportactiviteiten die betrekking hebben op de defensie-industrie |
| Vingerafdrukcontrole | Achtergrondonderzoek op basis van vingerafdrukken in FBI-databases |
| CJIS-achtergrondonderzoek | Staatsrechtelijke beoordeling van crimineel verleden op federaal en staatsniveau door een door de CSA aangestelde instantie binnen elke staat die is geregistreerd voor het Microsoft CJIS IA-programma |
| Ministerie van defensie IT-2 | Personeel dat hogere machtigingen tot klantgegevens of beperkte administratieve toegang tot DoD SRG L5-servicecapaciteiten van het Ministerie van Defensie aanvraagt, moet een DoD IT-2-beoordeling van het Ministerie van Defensie doorstaan op basis van een succesvol OPM Tier 3-onderzoek. |
1 Geldt alleen voor personeel met tijdelijke of permanente toegang tot klantinhoud die is gehost in Power Automate US Governments (GCC, GCC High en DoD).
Certificeringen en accreditaties
Power Automate US Government is speciaal ontworpen ter ondersteuning van de FedRAMP-accreditatie (Federal Risk and Authorization Management Program) op een High Impact-niveau. Dit programma is afgeleid van DoD DISA IL2. FedRAMP-artefacten zijn beschikbaar voor controle door federale klanten die moeten voldoen aan FedRAMP. Federale instanties kunnen deze artefacten analyseren om hun beoordeling te ondersteunen en om Authority to Operate (ATO) te geven.
Notitie
Power Automate is geautoriseerd als een service binnen de Azure Government FedRAMP ATO. Voor meer informatie, inclusief hoe u toegang krijgt tot de FedRAMP-documenten, raadpleegt u FedRAMP Marketplace.
Power Automate US Government bevat functies die zijn ontworpen om de CJIS-beleidsvereisten van klanten te ondersteunen voor wetshandhavingsinstanties. Bezoek de productpagina van Power Automate US Government in het Vertrouwenscentrum voor meer gedetailleerde informatie met betrekking tot certificeringen en accreditaties.
Microsoft heeft dit platform en de operationele procedures ontworpen om te voldoen aan de vereisten voor de DISA SRG IL4- en IL5-nalevingskaders en heeft de vereiste voorlopige DISA-autoriteiten ontvangen om te kunnen werken. Microsoft verwacht dat het klantenbestand van onderaannemers van het Amerikaanse Ministerie van Defensie en andere federale instanties die momenteel gebruikmaken van Microsoft Office 365 GCC High, de implementatieoptie van Power Automate US Government zal gebruiken waarmee klanten gebruik kunnen en moeten maken van Microsoft Entra Government voor klantidentiteiten, in tegenstelling tot GCC waarvoor gebruik wordt gemaakt van de openbare Microsoft Entra-id. Voor het klantenbestand van onderaannemers van het Amerikaanse Ministerie van Defensie gebruikt Microsoft de service op een manier waarmee deze klanten kunnen voldoen aan ITAR-verplichting en DFARS-overnameregelgeving. Verder verwacht Microsoft van zijn klanten van het Amerikaanse ministerie van Defensie die momenteel gebruikmaken van Microsoft 365 DoD om de Power Automate US Government DoD-implementatieoptie te gebruiken.
Power Automate US Government en andere Microsoft-services
Power Automate US Government omvat verschillende functies waarmee gebruikers verbinding kunnen maken en integreren met andere Microsoft Enterprise-services, zoals Office 365 US Government, Dynamics 365 US Government en Power Apps US Government.
Power Automate US Government wordt uitgevoerd in Microsoft-datacenters op een manier die overeenkomt met een multitenant implementatiemodel voor de openbare cloud. Maar clienttoepassingen, met inbegrip van maar niet beperkt tot de webgebruikerclient, de mobiele toepassing van Power Automate (wanneer beschikbaar) en alle clienttoepassingen van derden die verbinding maken met Power Automate US Government, maken geen deel uit van de accreditatiegrens van Power Automate US Government. Overheidsklanten zijn verantwoordelijk voor het beheer ervan.
Power Automate US Government maakt gebruik van de gebruikersinterface van Office 365 voor klantbeheerders voor het beheren en factureren van klanten.
Power Automate US Government onderhoudt de feitelijke resources, de informatiestroom en het gegevensbeheer terwijl gebruik wordt gemaakt van Office 365 om de visuele stijlen te leveren die aan de klantbeheerders worden gepresenteerd via hun beheerconsole. Voor overname van FedRAMP ATO maakt Power Automate US Government gebruik van Azure (waaronder Azure for Government en Azure DoD) ATO´s voor respectievelijk infrastructuur- en platformservices.
Als u Active Directory Federation Services (AD FS) 2.0 gebruikt en beleid instelt om ervoor te zorgen dat uw gebruikers verbinding maken met de services via eenmalige aanmelding, bevindt alle klantinhoud die tijdelijk in cache is opgeslagen zich in de Verenigde Staten.
Power Automate US Government en services van derden
Power Automate US Government biedt de mogelijkheid om toepassingen van derden in de service te integreren via connectors. Deze toepassingen en services van derden kunnen betrekking hebben op opslag, verzending en verwerking van de klantgegevens van uw organisatie op systemen van derden die zich buiten de infrastructuur van Power Automate US Government bevinden en daarom niet worden gedekt door de nalevings- en gegevensbeschermingsverplichtingen van Power Automate US Government.
Fooi
Bekijk de privacy- en nalevingsverklaringen van de derde partijen wanneer u beoordeelt of het gebruik van deze services voor uw organisatie passend is.
Power Apps en Power Automate Governance-overwegingen kunnen uw organisatie helpen bewust te worden van de mogelijkheden die beschikbaar zijn in verschillende gerelateerde thema's, zoals architectuur, beveiliging, waarschuwing en actie, en bewaking.
Mobiele clients configureren
Hier zijn de stappen die u moet uitvoeren om zich aan te melden bij de Power Automate mobiele client.
- Selecteer
(een wifi-pictogram met een tandwiel) in de rechterbovenhoek. - Selecteer Regio-instellingen.
- Selecteer GCC: US Government GCC
- Selecteer OK.
- Selecteer op de aanmeldingspagina Aanmelden.
De mobiele toepassing maakt nu gebruik van de US Government Cloud.
Power Automate US Government en Azure-services
De Power Automate US Government-services worden ingezet op Microsoft Azure Government. Microsoft Entra maakt geen deel uit van de Power Automate US Government-accreditatiegrens, maar is gebaseerd op de tenant van Microsoft Entra-id voor klanttenant- en identiteitsfuncties, waaronder verificatie, federatieve verificatie en licenties.
Als een gebruiker van een organisatie die ADFS gebruikt, probeert om toegang tot Power Automate US Government te krijgen, wordt de gebruiker omgeleid naar een aanmeldingspagina die wordt gehost op de ADFS-server van de organisatie.
De gebruiker geeft referenties op bij de ADFS-server van zijn organisatie. De ADFS-server van de organisatie probeert de referenties te verifiëren via de Active Directory-infrastructuur van de organisatie.
Als de verificatie slaagt, verzendt de ADFS-server van de organisatie een SAML-ticket (Security Assertion Markup Language) met informatie over de identiteit en het groepslidmaatschap van de gebruiker.
De ADFS-server van de klant ondertekent dit ticket met één helft van een asymmetrisch sleutelpaar en verzendt het ticket naar Microsoft Entra via versleutelde TLS. Met Microsoft Entra-id wordt de handtekening met de andere helft van het asymmetrische sleutelpaar gevalideerd en wordt vervolgens toegang verleend op basis van het ticket.
De identiteit van de gebruiker en de informatie over het groepslidmaatschap blijven versleuteld in Microsoft Entra-id. Er wordt, met andere woorden, alleen beperkte identificeerbare gebruikersinformatie opgeslagen in Microsoft Entra-id.
Volledige details van de Microsoft Entra-beveiligingarchitectuur en -beheerimplementatie vindt u in het SSP van Azure.
De Microsoft Entra-accountbeheerservices worden op fysieke servers gehost die worden beheerd door de GFS (Global Foundation Services ) van Microsoft. Netwerk toegang tot deze servers wordt beheerd door met GFS beheerde netwerkapparaten met regels die zijn ingesteld door Azure. Gebruikers werken niet direct met Microsoft Entra-id.
Power Automate US Government-service-URL's
U gebruikt een andere set URL's om toegang te krijgen tot omgevingen voor Power Automate US Government, zoals wordt weergegeven in de volgende tabel. De tabel bevat ook de commerciële URL's voor contextuele naslaginformatie, voor het geval ze beter bekend zijn bij u.
Klanten die netwerkbeperkingen implementeren, moeten ervoor zorgen dat toegang tot de volgende domeinen beschikbaar wordt gesteld aan de toegangspunten van de eindgebruikers:
GCC-klanten:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Raadpleeg de IP-bereiken voor AzureCloud.usgovtexas en AzureCloud.usgovvirginia om toegang tot Dataverse-exemplaren in te schakelen die gebruikers en beheerders kunnen maken in uw tenant.
GCC High-klanten:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Raadpleeg ook de IP-bereiken om u toegang te geven tot andere Dataverse-omgevingen die gebruikers en beheerders kunnen maken binnen uw tenant en andere Azure-services waarvan het platform gebruikmaakt, waaronder:
- GCC en GCC High: focus op AzureCloud.usgovtexas en AzureCloud.usgovvirginia.
- DoD: focus op USDoD East en USDoD Central.
Connectiviteit tussen Power Automate US Government en openbare Azure Cloud-services
Azure is verdeeld over meerdere clouds. Standaard zijn tenants toegestaan om firewallregels van een cloudspecifieke instantie te openen, maar netwerken binnen de cloud is anders en vereist dat u specifieke firewallregels opent voor de communicatie tussen services. Als u een Power Automate-klant bent en u over bestaande SQL-instanties beschikt in de openbare Azure-cloud waarvoor u toegang nodig hebt, moet u bepaalde firewallpoorten in SQL openen in de IP-adresruimte van de Azure Government-cloud voor de volgende datacenters:
- USGov Virginia
- USGov Texas
- US DoD East
- US DoD Central
Raadpleeg het document Azure IP-bereiken en servicetags – US Government Cloud waarin de aandacht wordt gevestigd op AzureCloud.usgovtexas en AzureCloud.usgovvirginia en/of US DoD East en US DoD Central, zoals eerder in dit artikel vermeld. Houd er ook rekening mee dat de IP-bereiken zijn vereist voor uw eindgebruikers voor toegang tot de service-URL's.
De on-premises gegevensgateway configureren
Installeer een on-premises gegevensgateway om snel en veilig gegevens over te dragen tussen een canvas-app die is gebouwd in Power Automate en een gegevensbron die zich niet in de cloud bevindt. Voorbeelden zijn on-premises SQL Server-databases of on-premises SharePoint-sites.
Als uw organisatie (tenant) de on-premises gegevensgateway al heeft geconfigureerd en verbonden voor Power BI voor de Amerikaanse overheid, dan zorgt het proces waarmee uw organisatie die heeft ingeschakeld ook voor on-premises connectiviteit voor Power Automate.
Voorheen moesten klanten van de Amerikaanse overheid contact opnemen met de ondersteuning voordat ze hun eerste on-premises gegevensgateway konden configureren, omdat ondersteuning de tenant toestemming moest geven om het gebruik van de gateway toe te staan. Dit hoeft niet meer. Als u problemen ondervindt bij het configureren of gebruiken van de on-premises gegevensgateway, kunt u contact opnemen met de ondersteuning voor hulp.
Power Automate US Government-functiebeperkingen
Microsoft streeft ernaar om functionele gelijkheid te behouden tussen onze commercieel beschikbare service en de services die mogelijk zijn via onze Amerikaanse overheidsclouds. Naar deze services wordt verwezen als Power Automate Government Community Cloud (GCC) en GCC High. Raadpleeg het programma Beschikbaarheid van geografische locatie om te zien waar Power Automate in de hele wereld beschikbaar is, inclusief tijdlijnen bij benadering voor beschikbaarheid.
Er zijn uitzonderingen op het principe van het handhaven van functionele productpariteit binnen de Amerikaanse overheidsclouds. Download dit bestand: Overzicht van beschikbaarheid van functies in zakelijke toepassingen voor de Amerikaanse overheid voor meer informatie over de beschikbaarheid van functies.