Power Automate US Government
W odpowiedzi na unikatowe i zmieniające się wymagania sektora publicznego w Stanach Zjednoczonych firma Microsoft opracowała plany usługi Power Automate US Government. Ta sekcja zawiera omówienie funkcji, które są specyficzne dla Power Automate US Government. Zalecamy przeczytanie tej sekcji dodatkowej oraz tematu zawierającego wprowadzenie do usługi Power Automate. Ta usługa jest często określana jako Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud — High (GCC High) lub Power Automate Department of Defense (DoD).
Opis usługi Power Automate US Government jest nakładką ogólnego opisu usługi Power Automate. Definiuje on unikatowe zobowiązania i różnice w stosunku do ogólnych ofert usługi Power Automate, które zostały udostępnione naszym klientom od października 2016 r.
Plany usługi Power Automate US Government to subskrypcje miesięczne i mogą być licencjonowane do nieograniczonej liczby użytkowników.
Środowisko usługi Power Automate GCC jest zgodne z federalnymi wymaganiami w zakresie usług w chmurze, w tym z wymaganiami FedRAMP High i DoD DISA IL2. Jest ono również zgodne z wymaganiami systemów wymiaru sprawiedliwości (typy danych CJI).
Oprócz funkcji i możliwości usługi Power Automate organizacje używające usługi Power Automate US Government korzystają z zalet następujących unikatowych funkcji:
Zawartość klientów organizacji jest fizycznie oddzielona od zawartości klientów w komercyjnej ofercie usługi Power Automate.
Zawartość klientów w organizacji jest przechowywana w Stanach Zjednoczonych.
Dostęp do informacji o klientach Twojej organizacji jest zabroniony do wykrywania przez pracowników Microsoft użytkowników.
Usługa Power Automate US Government jest zgodna z wszystkimi certyfikacjami i akredytacjami, których wymagają klienci z sektora publicznego USA.
Począwszy od września 2019 r. uprawnieni klienci mogą podjąć decyzję o wdrażaniu Power Automate US Government do środowiska GCC High co umożliwia jednokrotne logowanie i bezproblemową integrację z wdrożeniami Microsoft Office 365 GCC High.
Firma Microsoft zaprojektowała platformę i procedury operacyjne, aby spełniały wymagania zgodne z wytycznymi zgodności DISA SRG IL4. Przewidujemy, że z usługi Office 365 GCC High skorzystają zleceniobiorcy Departamentu Obrony USA i inne agencje federalne korzystające obecnie z pakietu Power Automate US Government GCC High. Ta opcja umożliwia klientowi korzystanie z tożsamości Microsoft Entra Government w celu identyfikowania klientów — w przeciwieństwie do środowisk GCC, które korzystają z publicznej tożsamości Microsoft Entra. Dla bazy klientów wykonawców Ministerstwa Obrony USA firma Microsoft działa w taki sposób, który umożliwia tym klientom spełnienie zobowiązania ITAR i przepisów nabywania DFARS, zgodnie z dokumentacją i wymogami umów z Ministerstwem Obrony USA. Urząd certyfikacji do działania został przyznany przez DISA.
Od kwietnia 2021 r. uprawnieni klienci mogą podjąć decyzję o wdrażaniu usługi Power Automate US Government do środowiska „DoD”, co umożliwia jednokrotne logowanie i bezproblemową integrację z wdrożeniami usługi Microsoft 365 DoD. Firma Microsoft zaprojektowała platformę i procedury operacyjne zgodnie z ramami zgodności DISA SRG IL5. DISA przyznał uprawnienia do działania w urzędu certyfikacji.
Usługa Power Automate US Government jest dostępna dla (1) federalnych, lokalnych, plemiennych i terytorialnych jednostek administracji rządowej USA oraz (2) innych jednostek obsługujących dane, które podlegają regulacjom i wymaganiom rządowym, jeśli użycie usługi Power Automate US Government może spełniać te wymagania, a jednostki te zostaną zakwalifikowane jako uprawnione. Weryfikacja uprawnień firmy Microsoft obejmuje potwierdzenie uprawnień podmiotu obsługującego dane w systemie regulacyjnym ITAR (International Traffic in Arms Regulations), podmiotu danych egzekwowania prawa w zasadach departamentu CJIS (Criminal Justice Information Services) lub innych danych podlegających regulacjom albo kontroli instytucji rządowych. Weryfikacja może wymagać sponsora w postaci jednostki rządowej z określonymi wymaganiami dotyczącymi obsługi danych.
Podmioty, które mają pytania dotyczące uprawnienia do Power Automate US Government, powinny skonsultować się z zespołem ds. kont. Firma Microsoft ponownie weryfikuje uprawnienia podczas odnawiania umów klientów dotyczących usługi Power Automate US Government.
Uwaga
Power Automate US Government DoD jest dostępna tylko dla encji DoD.
Dostęp do planów usługi Power Automate US Government jest ograniczony do ofert opisanych w poniższej sekcji; każdy plan jest oferowany jako subskrypcja miesięczna i może być licencjonowany do nieograniczonej liczby użytkowników:
Plan Power Automate na proces (wcześniej Power Automate na przepływ) dla instytucji rządowych
Plan Power Automate Premium (Power Automate na użytkownika) dla instytucji rządowych
Oprócz planów autonomicznych usługi Microsoft 365 US Government i Dynamics 365 US Government obejmują również możliwości Power Apps i Power Automate, które umożliwiają klientom rozszerzanie i dostosowywanie aplikacji Microsoft 365 i aplikacji angażujących klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service i Dynamics 365 Project Service Automation).
Dodatkowe informacje i szczegóły dotyczące różnic funkcjonalności między tymi grupami licencji przedstawiono na stronie Znajdź odpowiedni plan usługi Power Automate.
Power Automate US Government jest dostępna za pośrednictwem kanałów zakupu Licencjonowanie zbiorowe i Dostawca rozwiązań w chmurze. Program dostawcy rozwiązań w chmurze nie jest obecnie dostępny dla GCC High klientów.
Dane klienta zgodnie z definicją w Postanowienia dotyczące usług online, oznacza wszystkie dane, włącznie z wszystkimi plikami zawierającymi tekst, dźwięki, filmy i obrazy, oraz oprogramowanie, przekazywane firmie Microsoft przez klienta (lub w jego imieniu) za pośrednictwem usługi Online.
Treści klienta, odnosi się do określonego podzbioru danych klienta, który został utworzony bezpośrednio przez użytkowników, np. treści przechowywane w bazach danych za pomocą wpisów w encjach Dataverse (na przykład informacje kontaktowe). Zawartość jest ogólnie uważana za informacje poufne, a w przypadku zwykłych operacji usługi nie jest wysyłana za pośrednictwem Internetu bez szyfrowania.
Aby uzyskać więcej informacji na temat ochrony danych klienta za pomocą Power Automate, zobacz Centrum zaufania usług online Microsoft.
Zapewniana jako część Power Automate US Government, usługa Power Automate jest oferowana zgodnie z wytycznymi Specjalnej publikacji 800-145 Krajowego Instytutu Norm i Technologii (NIST).
Oprócz logicznego oddzielania treści klienta w warstwie aplikacji, usługa Power Automate Government dostarcza Twojej organizacji drugą warstwę fizycznej segregacji treści klienta przy użyciu infrastruktury, która jest oddzielona od infrastruktury służącej klientom komercyjnym Power Automate. Obejmuje to korzystanie z usług w chmurze Azure dla instytucji rządowych (Azure Government Cloud). Aby dowiedzieć się więcej, zobacz Azure dla instytucji rządowych.
Usługa Power Automate US Government jest uruchamiana w centrach danych fizycznie znajdujących się na terenie Stanów Zjednoczonych i przechowuje zawartość klientów jako dane magazynowane w centrach danych fizycznie znajdujących się tylko w Stanach Zjednoczonych.
Dostęp do treści klienta Power Automate US Government uzyskiwany przez administratorów Microsoft jest ograniczony do osób, które są obywatelami Stanów Zjednoczonych. Pracownicy przechodzą weryfikację zgodnie z odpowiednimi standardami rządowymi.
Personel działu pomocy technicznej i zespół inżynierów Power Automate nie posiada dostępu do zawartości klienta hostowanej w Power Automate US Government. Pracownicy, którzy wnioskują o tymczasowe uprawnienia, zapewniające dostęp do zawartości klienta muszą najpierw przejść następujące kontrole.
Sprawdzanie danych i przeszłości pracowników Microsoft 1 | Opis |
---|---|
Obywatelstwo Stanów Zjednoczonych | Weryfikacja obywatelstwa Stanów Zjednoczonych |
Historia zatrudnienia | Weryfikacja siedmiu (7) lat historii zatrudnienia |
Weryfikacja wykształcenia | Weryfikacja najwyższego osiągniętego stopnia |
Sprawdzenie numeru ubezpieczenia społecznego (SSN) | Sprawdzanie, czy numer SSN podany przez pracownika jest prawidłowy |
Sprawdzenie przeszłości kryminalnej | Sprawdzenie siedmiu (7) lat przeszłości kryminalnej pod kątem przestępstw i wykroczeń na poziomie stanowym, regionalnym, lokalnym i federalnym |
Biuro ds. kontroli zasobów zagranicznych (OFAC) | Porównywanie z listą grup Ministerstwa Skarbu, z którymi osoby z USA nie mogą uczestniczyć w handlu lub transakcji finansowych |
Lista Biura Przemysłu i bezpieczeństwa (BIS) | Porównanie ze sporządzoną przez Departament Handlu listą osób fizycznych lub podmiotów, którym zakazano angażowania się w działania związane z eksportem |
Sporządzona przez Biuro kontroli handlu materiałami związanymi z obronnością lista osób wykluczonych (DDTC) | Porównanie ze sporządzoną przez Departament Stanu listą osób fizycznych lub podmiotów, którym zakazano angażowania się w działania związane z eksportem związanym z przemysłem obronnym |
Sprawdzenie odcisków palców | Sprawdzenie odcisków w bazie danych FBI |
Sprawdzenie w Wydziale Informacji Kryminalnych | Potwierdzona analiza historii kryminalnej federalnej i stanowej przeprowadzona przez państwowe władze wyznaczone przez CSA wpisane do programu Microsoft CJIS IA |
Departament Obrony IT-2 | Pracownicy, którzy żądają podwyższonych uprawnień do danych klientów lub uprzywilejowanego dostępu administracyjnego do zdolności usługi DoD SRG L5, muszą przejść orzeczenie DoD IT-2 na podstawie pomyślnego dochodzenia OPM Tier 3. |
1 Dotyczy tylko pracowników posiadających tymczasowy lub stały dostęp do zawartości klienta hostowanej w Power Automate US Governments (GCC, GCC High i DoD).
Power Automate US Government został zaprojektowany, aby wspierać akredytację programu Federal Risk and Authorization Management Program (FedRAMP) na poziomie High Impact. Ten program jest interpretowany jako zgodny z autoryzacją DoD DISA IL2. Artefakty FedRAMP są dostępne do wglądu przez klientów federalnych, którzy muszą postępować zgodnie z FedRAMP. Agencje federalne mogą zapoznawać się z tymi artefaktami, przeprowadzając swoje przeglądy, w celu udzielenia Autoryzacji do działania (ATO).
Uwaga
Power Automate jest autoryzowany jako usługa w ramach Azure Government FedRAMP ATO. Więcej informacji na ten temat, w tym jak uzyskać dostęp do dokumentów programu FedRAMP, można znaleźć w witrynie FedRAMP Marketplace.
Power Automate US Government zawiera funkcje przeznaczone do obsługi wymagań polityki CJIS klienta dla organiów ścigania. Odwiedź stronę produktów usługi Power Automate US Government w witrynie Centrum zaufania, aby uzyskać bardziej szczegółowe informacje na temat certyfikacji i akredytacji.
Firma Microsoft zaprojektowała tę platformę i jej procedury operacyjne zgodnie z wymaganiami procedur zgodności ZE standardami DISA S ZS4 i IL5 i uzyskała brak zabezpieczeń DISA w celu działania. Microsoft zakłada, że baza klientów wykonawcy Ministerstwa Obrony USA i innych agencji federalnych obecnie korzystających z Microsoft Office 365 GCC High będzie korzystać z opcji wdrażania Power Automate US Government GCC High, co umożliwia i wymaga od klientów korzystania z Microsoft Entra Government dla tożsamości klientów, zamiast GCC, które korzysta z publicznego Microsoft Entra ID. Dla naszej bazy klient wykonawca Ministerstwa Obrony USA firma Microsoft działa w taki sposób, który umożliwia tym klientom spełnienie zobowiązania ITAR i przepisów nabywania DFARS. Ponadto Microsoft oczekuje, że klienci z Ministerstwa Obrony USA, którzy obecnie korzystają z usługi Microsoft 365 DoD, będą korzystać z opcji wdrożenia Power Automate US Government DoD.
Usługa Power Automate US Government oferuje funkcje, które umożliwiają użytkownikom łączenie i integrację z innymi ofertami usług firmy Microsoft dla przedsiębiorstw, takimi jak Office 365 US Government, Dynamics 365 US Government i Power Apps US Government.
Power Automate US Government US Government jest wdrożony w centrach danych Microsoft w sposób zgodny modelem wdrożenia chmurze publicznej dla wielu dzierżawców, jednak aplikacje klienckie, w tym również klient sieci Web, mobilne aplikacje Power Automate (jeśli są dostępne) i dowolne aplikacje klienta innych firm, które łączą się z Power Automate US Government, ale nie mieszczą się w granicach akredytacji Power Automate US Government. Za zarządzanie nimi odpowiadają klienci rządowi.
Power Automate US Government używa interfejsu użytkownika administratora klienta Office 365 do administrowania klientami i fakturowania.
Power Automate US Government obsługuje rzeczywiste zasoby, przepływ informacji i zarządzanie danymi jednocześnie polegając na Office 365, jeśli chodzi o zapewnienie stylów wizualnych, które są przedstawiane administratorowi klienta za pomocą konsoli zarządzania. Na potrzeby dziedziczenia FedRAMP ATO usługa Power Automate US Government wykorzystuje obiekty ATO platformy Azure (w tym Azure for Government i Azure DoD) odpowiednio dla infrastruktury i usług platformowych.
Jeśli użytkownicy znajdują się w Stanach Zjednoczonych podczas korzystania z usług federacyjnych w usłudze Active Directory (AD FS) 2.0 lub jeśli przyjmiesz korzystanie i skonfigurujesz zasady, aby zapewnić użytkownikom łączenie się z usługami za pomocą pojedynczego logowania, treści klienta, które są tymczasowo przechowywane w pamięci podręcznej będą się znajdowały w Stanach Zjednoczonych.
Power Automate US Government zapewnia możliwość włączanie do usług aplikacji innych firm poprzez łączniki. Te aplikacje i usługi innych firm mogą obejmować przechowywanie, przekazywanie i przetwarzanie danych klienta organizacji w systemach innych firm, znajdujących się poza infrastrukturą Power Automate US Government, i dlatego nie są objęte zobowiązaniami dotyczącymi zgodności i ochrony danych Power Automate US Government.
Porada
Aby ocenić prawidłowy sposób użycia tych usług w organizacji, zapoznaj się z oświadczeniami innych firm w zakresie zachowania zgodności i prywatności.
Power Apps i Power Automate Zagadnienia dotyczące nadzoru mogą pomóc Twojej organizacji w zwiększeniu świadomości na temat możliwości dostępnych w kilku powiązanych tematach, takich jak architektura, bezpieczeństwo, ostrzeżenia i działania oraz monitorowanie.
Oto kroki, które należy wykonać w celu zalogowania się przy użyciu klienta mobilnego Power Automate Mobile.
- Na stronie logowania wybierz (ikona wi-fi z obrazem koła zębatego) w prawym górnym rogu.
- Wybierz Ustawienia regionu.
- Wybierz pozycję GCC: US Government GCC
- Wybierz pozycję OK.
- Na stronie logowania wybierz pozycję Zaloguj.
Aplikacja mobilna będzie teraz używać dla instytucji rządowych USA.
Usługi Power Automate US Government są rozmieszczone na Microsoft Azure dla instytucji rządowych. Microsoft Entra nie jest częścią akredytacji Power Automate US Government ale polega na klienta tożsamości Microsoft Entra dla dzierżawy klienta i identyfikowania, w tym uwierzytelniania, uwierzytelniania federacyjnego i licencjonowania.
Gdy użytkownik organizacji korzystającej z ADFS próbuje uzyskać dostęp do Power Automate US Government, użytkownik jest przekierowywany do strony logowania znajdującej się na serwerze ADFS organizacji.
Użytkownik udostępnia poświadczenia serwerowi ADFS w swojej organizacji. Serwer ADFS w organizacji podejmuje próbę uwierzytelnienia poświadczeń przy użyciu infrastruktury usługi Active Directory w organizacji.
Jeśli uwierzytelnianie zakończy się pomyślnie, serwer usług ADFS w organizacji wystawia bilet SAML (Security Assertion Markup Language), który zawiera informacje dotyczące tożsamości użytkownika i jego członkostwa w grupie.
Serwer klienta ADFS podpisuje ten bilet, korzystając z jednej połowy pary klucza asymetrycznego i następnie wysyła ten bilet do Microsoft Entra za pośrednictwem szyfrowanego TLS. Tożsamość Microsoft Entra sprawdza podpis przy użyciu drugiej połowy kluczy asymetrycznych, a następnie przyznaje dostęp w oparciu o bilet.
Identyfikacja użytkownika i informacje o jego członkostwie w grupie pozostaną zaszyfrowane w tożsamości Microsoft Entra. Mówiąc inaczej, tylko ograniczone dane osobowe będą przechowywane w tożsamości Microsoft Entra.
Pełne informacje na temat architektury zabezpieczeń Microsoft Entra i implementacji kontroli można znaleźć w Azure SPP.
Usługi zarządzania konta Microsoft Entra znajdują się na fizycznych serwerach zarządzanych przez Microsoft Global Foundation Services (GFS). Dostęp sieciowy do tych serwerów jest kontrolowany przez urządzenia sieciowe zarządzane przez usługi GFS przy użyciu reguł ustawionych przez platformę Azure. Użytkownicy nie wchodzą w bezpośrednią interakcję z tożsamością Microsoft Entra.
W celu uzyskania dostępu do środowisk usługi Power Automate US Government używany jest inny zestaw adresów URL, jak pokazano w poniższej tabeli. W Tabela zawiera również komercyjne adresy URL dla referencji. Mogą one być dla użytkownika łatwiejsze do rozpoznania.
W przypadku klientów, którzy implementują ograniczenia sieci, należy zapewnić dostęp do następujących domen dla punktów dostępu użytkowników końcowych:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Aby włączyć dostęp do wystąpień usługi Dataverse, które mogą zostać utworzone przez użytkowników i administratorów Twojej dzierżawy, zobacz zakresy adresów IP domen AzureCloud.usgovtexas i AzureCloud.usgovvirginia.
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (dod)
Zapoznaj się również z zakresami adresów IP, aby umożliwić Ci dostęp do innych środowisk Dataverse, które użytkownicy i administratorzy mogą tworzyć w ramach Twojej dzierżawy i innych usług platformy Azure, z których korzysta platforma, w tym:
- GCC i GCC High: Skoncentruj się na AzureCloud.usgovtexas i AzureCloud.usgovvirginia.
- DoD: skoncentruj się na wschód od USDoD East i DoD.
Platforma Azure jest rozprowadzana między wiele chmur. Domyślnie dzierżawy mogą otwierać reguły zapory na potrzeby wystąpienia specyficznego dla chmury, ale połączenia sieciowe między chmurami są inne i wymagają otwarcia określonych reguł zapory na potrzeby komunikacji między usługami. Jeśli jesteś klientem usługi Power Automate i w chmurze publicznej platformy Azure masz istniejące wystąpienia SQL, do których chcesz uzyskiwać dostęp, musisz otworzyć określone porty zapory w bazie danych SQL dla przestrzeni adresów IP chmury Azure Government Cloud w przypadku następujących centrów danych:
- USGov Wirginia
- USGov Teksas
- US DoD (region wschodni)
- US DoD (region środkowy)
Zapoznaj się z dokumentem Zakresy adresów IP i znaczniki usług platformy Azure – US Government Cloud, skupiając uwagę na AzureCloud.usgovtexas i AzureCloud.usgovvirginia , i/lub US DoD East i US DoD Central, jak wspomniano wcześniej w tym artykule. Zauważ również, że są to zakresy adresów IP, których użytkownicy końcowi potrzebują do uzyskiwania dostępu do adresów URL usługi.
Zainstaluj lokalną bramę danych w celu szybkiego i bezpiecznego przesyłania danych między aplikacją kanwy skompilowaną w usłudze Power Automate i źródłem danych znajdującym się poza chmurą. Przykłady obejmują lokalne bazy danych programu SQL Server lub lokalne witryny programu SharePoint.
Jeśli organizacja (dzierżawca) ma skonfigurowaną i pomyślnie połączoną lokalną bramę danych dla usługi Power BI US Government, proces, który organizacja wykonała w tym celu, spowoduje włączenie łączności lokalnej dla usługi Power Automate.
Wcześniej klienci rządowi Stanów Zjednoczonych musieli skontaktować się z pomocą techniczną przed skonfigurowaniem pierwszej lokalnej bramy danych, ponieważ pomoc techniczna musiałaby udzielić dzierżawcy uprawnień do korzystania z bramy. Te ustawienia nie są już obsługiwane. Jeśli wystąpią problemy z konfiguracją lub używaniem lokalnej bramy danych, możesz skontaktować się z pomocą techniczną.
Firma Microsoft stara się zachować funkcjonalny poziom analizy między usługą dostępną w witrynie Microsoft i usługami dostępnymi w Stanach Zjednoczonych. Usługi te nazywane są Power Automate Government Community Cloud (GCC) i GCC High. Zapoznaj się z narzędziem Globalna dostępność geograficzna, aby sprawdzić, gdzie są dostępne aplikacje Power Automate na całym świecie, w tym przybliżone terminy dostępności.
Istnieją wyjątki od zasady zachowania funkcjonalności produktu w chmurach rządowych. Aby uzyskać więcej szczegółowych informacji o dostępności funkcji, pobierz plik: Podsumowanie dostępności dla instytucji rządowych (USA) dotyczących aplikacji biznesowych.