Power Automate US Government
Em resposta aos requisitos únicos e em evolução do setor público dos Estados Unidos, a Microsoft criou planos do Power Automate US Government. Esta seção fornece uma visão geral dos recursos específicos do Power Automate US Government. Recomendamos que você leia esta seção complementar, assim como o tópico de introdução do serviço Power Automate. Para resumir, este serviço costuma ser conhecido como GCC (Nuvem da Comunidade Governamental) do Power Automate, Nuvem da Comunidade Governamental – Alta (GCC High) do Power Automate ou ainda DoD (Departamento de Defesa) do Power Automate.
A descrição do serviço do Power Automate US Government serve como uma sobreposição à descrição geral do serviço do Power Automate. Ela define os compromissos e as diferenças exclusivas em comparação com as ofertas gerais do Power Automate que estão disponíveis para nossos clientes desde outubro de 2016.
Sobre os ambientes e planos do Power Automate US Government
Os planos do Power Automate US Government são assinaturas mensais e podem ser licenciados para um número ilimitado de usuários.
O ambiente do Power Automate GCC está em conformidade com os requisitos federais para serviços de nuvem, incluindo o FedRAMP High e o DoD DISA IL2. Também está em conformidade com os requisitos dos sistemas de justiça criminal (tipos de dados CJI).
Além dos recursos e capacidades do Power Automate, as organizações que usam o Power Automate US Government se beneficiam dos seguintes recursos exclusivos:
O conteúdo do cliente da sua organização é fisicamente separado do conteúdo do cliente na oferta comercial do Power Automate.
O conteúdo do cliente da sua organização está armazenado nos Estados Unidos.
O acesso ao conteúdo do cliente da sua organização é restrito ao pessoal filtrado da Microsoft.
O Power Automate US Government cumpre todas as certificações e acreditações exigidas pelos clientes do setor público dos EUA.
Desde setembro de 2019, os clientes qualificados podem optar por implantar o Power Automate US Government no ambiente da GCC High, que permite o logon único e a integração perfeita às implantações de GCC High do Microsoft Office 365.
A Microsoft projetou a plataforma e nossos procedimentos operacionais para atender aos requisitos alinhados com a estrutura de conformidade com o DISA SRG IL4. Prevemos que a base de clientes do Departamento de Defesa dos EUA e outras agências federais que atualmente utilizam o Office 365 GCC High usarão a opção de implantação do Power Automate US Government GCC High. Essa opção habilita e exige que o cliente utilize o Microsoft Entra Governamental para identidades de clientes, em oposição ao GCC, que utiliza o Microsoft Entra ID público. Para a base de clientes contratados do Departamento de Defesa dos EUA, a Microsoft opera o serviço de modo a permitir que eles cumpram o compromisso da ITAR e as regulamentações de aquisição da DFARS, conforme documentado e exigido por seus contratos com o Departamento de Defesa dos EUA. Uma autoridade provisória para operar foi concedida pela DISA.
Desde abril de 2021, os clientes qualificados podem optar por implantar o Power Automate US Government no ambiente "DoD", que permite o logon único e a integração perfeita às implantações de DoD High do Microsoft 365. A Microsoft projetou a plataforma e procedimentos operacionais de acordo com a estrutura de conformidade com o DISA SRG IL5. A DISA concedeu uma autoridade provisória para operar.
Qualificação de cliente
O Power Automate US Government está disponível para (1) entidades governamentais federais, estaduais, locais, tribais e territoriais dos EUA e (2) outras entidades que lidam com dados que estão sujeitos a regulamentações e requisitos governamentais e onde o uso do Power Automate US Government é apropriado para atender a esses requisitos, sujeito à validação de elegibilidade. A validação da elegibilidade da Microsoft inclui a confirmação do tratamento de dados sujeitos ao ITAR (International Traffic in Arms Regulations), dados de aplicação da lei sujeitos à Política de Serviços de Informações sobre Justiça Criminal (CJIS) do FBI ou outros dados regulados ou controlados pelo governo. A validação pode exigir patrocínio de uma entidade governamental com requisitos específicos para o tratamento de dados.
As entidades com perguntas sobre a elegibilidade para o Power Automate US Government devem consultar sua equipe de contas. A Microsoft revalida a elegibilidade ao renovar contratos de clientes para o Power Automate US Government.
Observação
O Power Automate US Government DoD está disponível apenas para entidades DoD.
Planos do Power Automate US Government
O acesso aos planos do Power Automate US Government está restrito às ofertas descritas na seção a seguir. Cada plano é oferecido como uma assinatura mensal e pode ser licenciado para um número ilimitado de usuários:
Plano do Power Automate Process (anteriormente Power Automate por fluxo) para Governo
Plano Premium do Power Automate (Power Automate por usuário) para Governo
Além dos planos autônomos, os recursos do Microsoft 365 e Power Apps também incluem os recursos do Power Automate para e do Dynamics 365 US Government, permitindo que os clientes ampliem e personalizem os aplicativos do Microsoft 365 e Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service e Dynamics 365 Project Service Automation).
Informações adicionais e detalhes sobre as diferenças de funcionalidade entre esses grupos de licenças são descritas em mais detalhes aqui: informações sobre licenciamento do Power Automate.
O Power Automate US Government está disponível por meio dos canais de compra de Licenciamento por Volume e Provedor de Soluções em Nuvem. O programa Cloud Solution Provider não está disponível atualmente para clientes GCC High.
Diferenças entre os dados do cliente e o conteúdo do cliente
Os dados do cliente, conforme definidos nos Termos do Serviço Online, significam todos os dados, incluindo todos os arquivos de texto, som, vídeo ou imagem, e o software, que é fornecido à Microsoft pelo cliente, ou em favor dele, por meio do uso de um serviço online.
O conteúdo do cliente refere-se a um subconjunto específico de dados do cliente, criado diretamente por usuários, como conteúdo armazenado em bancos de dados por meio de entradas nas entidades do Dataverse (por exemplo, informações de contato). O conteúdo é geralmente considerado informação confidencial, e em operações normais de serviço, não é enviado por meio de Internet sem criptografia.
Para obter mais informações sobre proteção de dados do cliente no Power Automate, consulte a Central de Confiabilidade de Serviços Online da Microsoft.
Segregação de dados da Nuvem da Comunidade do Governo
Quando provisionado como parte do Power Automate US Government, o serviço do Power Automate é fornecido de acordo com a Publicação Especial 800-145 do NIST (Instituto Nacional de Padrões e Tecnologia).
Além da divisão lógica do conteúdo do cliente na camada do aplicativo, o serviço de Governo do Power Automate fornece à sua organização uma camada secundária de segregação física para o conteúdo do cliente usando a infraestrutura, que é separada da infraestrutura usada para clientes do Power Automate comercial. Isso inclui o uso de serviços do Azure em uma Nuvem do Azure Governamental. Para saber mais, consulte Azure Governamental.
Conteúdo do cliente localizado nos Estados Unidos
O Power Automate US Government é executado em datacenters fisicamente localizados nos Estados Unidos e armazena o conteúdo do cliente em repouso em datacenters localizados fisicamente apenas nos Estados Unidos.
Acesso a dados restritos por parte de administradores
O acesso ao conteúdo do cliente no Power Automate US Government por parte de administradores da Microsoft é restrito à equipe composta por cidadãos dos EUA. Essas pessoas passam por investigações de antecedentes de acordo com normas governamentais relevantes.
A equipe de engenharia de suporte e serviço do Power Automate não tem acesso permanente ao conteúdo do cliente hospedado no Power Automate US Government. Qualquer equipe que solicite a elevação de permissão temporária que conceda acesso ao conteúdo do cliente primeiro deve realizar as verificações de antecedentes a seguir.
| Triagem de pessoal da Microsoft e verificação de antecedentes 1 | Descrição |
|---|---|
| Cidadania dos EUA | Verificação da cidadania dos EUA |
| Verificação do histórico de emprego | Verificação do histórico de sete (7) anos de emprego |
| Verificação da educação | Verificação do mais alto grau atingido |
| Pesquisa do número do seguro social (Social Security Number, SSN) | A verificação de que o SSN fornecido pelos funcionários é válido |
| Verificação do histórico criminal | Um verificação de registro criminal de sete (7) anos para delitos e contravenções no estado, município e nível local e no nível federal |
| Agência de Controle de Ativos Estrangeiros dos EUA (Office of Foreign Assets Control List, OFAC) | Validação em relação à lista do Departamento do Tesouro dos grupos com os quais as pessoas dos EUA não podem se envolver em transações comerciais ou financeiras |
| Lista do Escritório da Indústria e Segurança (Bureau of Industry and Security List, BIS) | Validação em relação à lista do Departamento de Comércio de indivíduos e entidades impedidas de exercer atividades de exportação |
| Lista de Pessoas Impedidas nos Controles Comerciais do Departamento de Defesa (Office of Defense Trade Controls Debarred Persons List, DDTC) | Validação em relação à lista do Departamento de Estado de indivíduos e entidades impedidas de exercer atividades de exportação relacionadas à indústria de defesa |
| Verificação de impressão digital | Verificação de antecedentes por impressão digital nos bancos de dados do FBI |
| Triagem de CJIS em segundo plano | Revisão adjudicada pelo Estado de antecedentes criminais federais e estaduais por autoridade estadual designada pelo CSA dentro de cada estado que se inscreveu no programa Microsoft CJIS IA |
| Departamento de Defesa IT-2 | A equipe que solicitar permissões elevadas aos dados do cliente ou acesso administrativo privilegiado aos recursos de serviço do DoD SRG L5 deve passar pela adjudicação do DoD IT-2, com base em uma investigação OPM Tier 3 bem-sucedida. |
1 Aplica-se somente a pessoas com acesso temporário ou permanente ao conteúdo do cliente hospedado no Power Automate US Governments (GCC e GCC High e DoD)
Certificações e credenciamentos
O Power Automate US Government foi projetado para dar suporte ao credenciamento do FedRAMP (Federal Risk and Authorization Management Program) em um nível de Alto Impacto. Este programa infere o alinhamento ao DoD DISA IL2. Os artefatos do FedRAMP estão disponíveis para análise de clientes federais que são obrigados a cumprir a FedRAMP. As agências federais podem examinar esses artefatos em suporte à sua revisão para conceder uma Autoridade para Operar (ATO).
Nota
O Power Automate está autorizado como um serviço no Azure Government FedRAMP ATO. Para obter mais informações, incluindo como acessar os documentos FedRAMP, revise o FedRAMP Marketplace.
O Power Automate US Government tem recursos desenvolvidos para oferecer suporte às exigências da Política CJIS do cliente para órgãos oficiais. Visite a página de produtos do Power Automate US Government na Central de Confiabilidade para obter informações detalhadas e relacionadas a certificações e referências.
A Microsoft projetou esta plataforma e seus procedimentos operacionais para atender aos requisitos para as estruturas de conformidade DISA SRG IL4 e IL5 e recebeu as autoridades provisórias DISA necessárias para operar. A Microsoft antecipa que a base de clientes contratados do Departamento de Defesa dos EUA e outras agências federais aproveitam a GCC High do Microsoft Office 365 para usar a opção de implantação de GCC High do Power Automate US Government, que habilita e exige que o cliente use o Microsoft Entra Government para identidades de clientes, em contraste com a GCC que usa o Microsoft Entra ID público. Para a base de clientes contratados do Departamento de Defesa dos EUA, a Microsoft opera o serviço de modo a permitir que eles cumpram o compromisso da ITAR e as regulamentações de aquisição da DFARS. Além disso, a Microsoft espera que seus clientes do Departamento de Defesa dos EUA que atualmente usam o Microsoft 365 DoD usem o Opção de implantação de DoD do Power Automate US Government.
Power Automate US Government e outros serviços da Microsoft
O Power Automate US Government inclui vários recursos que permitem aos usuários se conectarem e se integrarem a outras ofertas de serviços corporativos da Microsoft, como o Office 365 US Government, o Dynamics 365 US Government e o Power Apps US Government.
Power Automate US Government é executado em datacenters da Microsoft de forma consistente com um módulo multilocatário público, implantação de nuvem; entretanto, os aplicativos cliente que incluem mas não limitado ao cliente, aplicativo móvel de Power Automate (quando disponível) e a qualquer terceiro aplicativo cliente de Power Automate US Government, não são parte do limite de crédito do Power Automate US Government. Os clientes do governo são responsáveis por gerenciá-los.
O Power Automate US Government aproveita a interface do usuário do administrador do cliente do Office 365 para a administração e cobrança do cliente.
O Power Automate US Government mantém os recursos reais, o fluxo de informações e o gerenciamento de dados, ao mesmo tempo em que confia no Office 365 para fornecer estilos visuais que sejam apresentados ao administrador do cliente por meio do console de gerenciamento. Para fins de herança da ATO da FedRAMP, o Power Automate US Government aproveita os ATOs do Azure (inclusive o Azure Government e o Azure DoD) em serviços de infraestrutura e plataforma, respectivamente.
Se você adotar o uso dos Active Directory Federation Services (AD FS) 2.0 e definir políticas para ajudar a garantir que seus usuários se conectem aos serviços por meio de um logon único, qualquer conteúdo do cliente, armazenado temporariamente em cache, será localizado nos Estados Unidos.
Power Automate US Government serviços de terceiros
O Power Automate US Government oferece a capacidade de integração de aplicativos terceiros ao serviço por meio de Conectores. Esses serviços e aplicativos de terceiros podem envolver armazenamento, transmissão e processamentos de dados de clientes da organização em sistemas de terceiros que estão fora da infraestrutura do Power Automate US Government e, portanto, não contam com a cobertura dos compromissos de proteção de dados e conformidade do Power Automate US Government.
Dica
Analise as declarações de privacidade e conformidade fornecidas por terceiros ao avaliar o uso apropriado desses serviços para sua organização.
Considerações de governança do Power Apps e do Power Automate podem ajudar sua organização a conscientizar sobre os recursos disponíveis em vários temas relacionados, como arquitetura, segurança, alerta, ação e monitoramento.
Configure clientes móveis
Aqui estão as etapas que você deve seguir para entrar com o cliente do Power Automate Mobile.
- Na página de entrada, selecione
(um ícone de WiFi com um sinal de engrenagem) no canto superior direito. - Selecione Configurações de região.
- Selecione GCC: governo dos EUA GCC
- Selecione OK.
- Na página de entrada, selecione Entrar.
O aplicativo móvel agora usará a US Government Cloud.
Power Automate US Government e Serviços Azure
Os serviços do Power Automate US Government são implantados no Microsoft Azure Government. O Microsoft Entra não faz parte do limite de credenciamento do Power Automate US Government, mas conta com o locatário de um cliente do Microsoft Entra ID para as funções de locatário e identidade de cliente, inclusive a autenticação, a autenticação federada e o licenciamento.
Quando um usuário da organização que emprega o ADFS tenta acessar o Power Automate US Government, o usuário será redirecionado para uma página de logon hospedada no servidor ADFS da organização.
O usuário fornece as credenciais para o servidor ADFS da organização. O servidor ADFS da organização tenta autenticar as credenciais usando a infraestrutura do Active Directory da organização.
Se a autenticação for bem-sucedida, o servidor ADFS da organização emitirá um tíquete SAML (Security Assertion Markup Language) que contém informações sobre a identidade do usuário e a associação ao grupo.
O servidor ADFS do cliente assina este tíquete usando metade do par de chaves assimétricas e, em seguida, envia o tíquete para o Microsoft Entra por meio do TLS criptografado. O Microsoft Entra ID valida a assinatura usando a outra metade do par de chaves assimétricas e concede acesso baseado no tíquete.
As informações de identidade e de associação do grupo do usuário permanecem criptografadas no Microsoft Entra ID. Ou seja, somente as informações de identificação limitada são armazenadas no Microsoft Entra ID.
Você encontra detalhes completos sobre a arquitetura de segurança do Microsoft Entra e a implementação de controle no SSP do Azure.
Os serviços de gerenciamento de contas do Microsoft Entra são hospedados em servidores físicos, gerenciados pelo GFS (Microsoft Global Foundation Services). O acesso da rede a esses servidores é controlado pelos dispositivos de rede gerenciados por GFS, usando regras definidas pelo Azure. Os usuários não interagem diretamente com o Microsoft Entra ID.
URLs de serviço do Power Automate US Government
Você usa um conjunto diferente de URLs para acessar os ambientes do Power Automate US Government, conforme mostrado na tabela a seguir. A tabela inclui as URLs comerciais também para referência contextual, caso sejam mais familiares para você.
Para os clientes que implementam restrições de rede, verifique se o acesso aos seguintes domínios está disponível para os pontos de acesso dos usuários finais:
Clientes do GCC:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Consulte Intervalos de IP para AzureCloud.usgovtexas e AzureCloud.usgovvirginia para habilitar o acesso a instâncias do Dataverse que os usuários e os administradores podem criar dentro do locatário.
Clientes de GCC High:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us (GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Além disso, consulte os intervalos de IP para permitir que você acesse outros ambientes do Dataverse que usuários e administradores podem criar em seu locatário e outros serviços do Azure que a plataforma utiliza, incluindo:
- GCC e GCC High: (concentração em AzureCloud.usgovtexas and AzureCloud.usgovvirginia).
- DoD: concentração em USDoD East e USDoD Central.
A conectividade entre o Power Automate US Government e Serviços públicos de Nuvem do Azure
O Azure é distribuído entre várias nuvens. Por padrão, é permitido que os locatários abram as regras de firewall para uma instância específica a uma nuvem, mas a rede entre nuvens é diferente e requer a abertura de regras de firewall específicas para a comunicação entre os serviços. Se você for um cliente do Power Automate e tiver instâncias existentes do SQL na nuvem pública do Azure que precisará acessar, será preciso abrir portas de firewall específicas no SQL para o espaço de IP de Nuvem do Azure Governamental para os datacenters a seguir:
- USGov Virgínia
- USGov Texas
- US DoD Leste
- US DoD Central
Consulte o documento Intervalos de IP e marcas de serviço do Azure – Nuvem para o Governo dos EUA, concentrando a atenção em AzureCloud.usgovtexas e AzureCloud.usgovvirginia, e/ou US DoD Leste, além de US DoD Central conforme observado anteriormente neste artigo. Observe também que esses são os intervalos de IP necessários para que os usuários finais tenham acesso às URLs de serviço.
Configuração do gateway de dados local
Instale o gateway de dados local para transferir dados de forma rápida e segura entre um aplicativo de tela que é criado no Power Automate e uma fonte de dados que não esteja na nuvem. Os exemplos incluem bancos de dados locais do SQL Server ou sites locais do SharePoint.
Se a sua organização (locatário) já configurou e conectou com êxito o gateway de dados local para o PowerBI para o Governo dos EUA, o processo que sua organização seguiu para habilitar isso também habilitará a conectividade local para o Power Automate.
Anteriormente, os clientes do governo dos EUA precisavam entrar em contato com o suporte antes de configurar seu primeiro gateway de dados local porque o suporte precisaria dar permissão ao locatário para permitir o uso do gateway. Isso não é mais necessário. Se você encontrar qualquer problema ao configurar ou usar o gateway de dados local, entre em contato com o suporte para obter assistência.
Limitações de recursos do Power Automate US Government
A Microsoft se esforça para manter a paridade funcional entre nossos serviços disponíveis comercialmente e aqueles habilitados por meio de nossas nuvens do Governo dos EUA. Esses serviços são chamados de Power Automate Government Community Cloud (GCC) e GCC High. Consulte a ferramenta Disponibilidade Geográfica Global para ver onde o Power Automate está disponível no mundo, incluindo cronogramas de disponibilidade aproximados.
Há exceções ao princípio de manter a paridade funcional do produto nas nuvens do Governo dos EUA. Para obter mais informações sobre a disponibilidade de recursos, baixe este arquivo: Aplicativos de Negócios para o Governo dos EUA – Resumo da Disponibilidade.