Power Automate US Government
Em resposta às condições exclusivas e em evolução do setor público dos Estados Unidos, a Microsoft criou os planos do Power Automate US Government. Esta secção oferece uma descrição geral das funcionalidades específicas do Power Automate US Government. Recomendamos que leia esta secção suplementar, bem como o tópico introdução ao serviço do Power Automate. Para brevidade, este serviço é comummente referido como Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) ou Power Automate Department of Defense (DoD).
A Descrição do Serviço Power Automate US Government funciona como uma sobreposição à Descrição Geral do Serviço Power Automate. define os compromissos exclusivos e as diferenças comparativamente às ofertas gerais do Power Automate, disponíveis para os nossos clientes desde outubro de 2016.
Sobre ambientes e planos do Power Automate US Government
Os planos do Power Automate US Government são subscrições mensais e podem ser licenciados para um número ilimitado de utilizadores.
O ambiente do Power Automate GCC está em conformidade com os Requisitos federais dos serviços cloud, incluindo FedRAMP High e DoD DISA IL2. Também cumpre os requisitos dos sistemas de justiça penal (tipos de dados CJI).
Além das funcionalidades e das capacidades do Power Automate, as organizações que utilizam o Power Automate US Government beneficiam das seguintes funcionalidades exclusivas:
Os conteúdos dos clientes da sua organização estão fisicamente separados dos conteúdos dos clientes na oferta comercial do Power Automate.
O conteúdo do cliente da sua organização é armazenado nos Estados Unidos.
O acesso ao conteúdo do cliente da sua organização é restrito ao pessoal autorizado da Microsoft.
O Power Automate US Government cumpre todas as certificações e as acreditações exigidas para os clientes do Setor Público dos EUA.
Com início em setembro de 2019, os clientes qualificados podem optar por implementar o Power Automate US Government para o ambiente GCC High, que permite início de sessão único e a integração simples com implementações do Microsoft Office 365 GCC High.
A Microsoft concebeu a plataforma e os nossos procedimentos operacionais para cumprir com os requisitos em alinhamento com a estrutura de conformidade DISA SRG IL4. Prevemos que a base de clientes de contratantes do Departamento da Defesa dos EUA e outras Agências federais que atualmente utilizam o GCC High do Office 365 para utilizarem a opção de implementação do GCC High do Power Automate US Government. Esta opção permite e exige que o cliente tire partido do Microsoft Entra Government para as identidades dos clientes, em contraste com o GCC que tira partido do Microsoft Entra ID público. Para a base de cliente de contratante do Departamento de Defesa dos EUA, a Microsoft opera o serviço de uma maneira que permite que esses clientes satisfaçam o compromisso ITAR e regulamentos de aquisição da DFARS, como documentado e exigido pelos seus contratos com o Departamento de Defesa. A DISA concedeu uma Autorização Operacional Provisória.
Com início em abril de 2021, os clientes qualificados agora podem optar por implementar o Power Automate US Government para o ambiente "DoD", que permite início de sessão único e a integração simples com implementações do Microsoft 365 DoD. A Microsoft concebeu a plataforma e os nossos procedimentos operacionais de acordo com os requisitos em alinhamento com a estrutura de conformidade DISA SRG IL5. A DISA concedeu uma autoridade provisória para operar.
Elegibilidade do cliente
O Power Automate US Government está disponível para (1) entidades governamentais federais, estaduais, locais, tribais e territoriais dos Estados Unidos e (2) outras entidades que processem dados sujeitos a regulamentos e requisitos governamentais e onde a utilização do Power Automate US Government é adequada para cumprir esses requisitos, sujeito a validação de elegibilidade. A validação da elegibilidade da Microsoft inclui a confirmação do processamento de dados sujeitos às regulações ITAR (International Traffic in Arms Regulations), dados para fins de aplicação da lei sujeitos à Política CJIS (Criminal Justice Information Services) do FBI ou outros dados regulados ou controlados pelo governo. A validação pode exigir uma garantia por parte de uma entidade governamental com condições específicas para o processamento de dados.
As entidades com dúvidas sobre a elegibilidade para o Power Automate US Government devem consultar a sua equipa da conta. A Microsoft valida novamente a elegibilidade quando renova os contratos do Power Automate US Government dos clientes.
Nota
Power Automate US Government DoD só está disponível para entidades do DoD.
Planos do Power Automate US Government
O acesso aos planos do Power Automate US Government está restringido às ofertas descritas na seção seguinte; cada plano é oferecido como uma subscrição mensal e pode ser licenciado para um número ilimitado de utilizadores:
Plano Power Automate Process (anteriormente Power Automate por fluxo) para a Administração Pública
Plano Power Automate Premium (Power Automate por utilizador) para a Administração Pública
Além dos planos autónomos, os planos do Microsoft 365 US Government e Dynamics 365 US Government também incluem as capacidades do Power Apps e do Power Automate, permitindo aos clientes expandir e personalizar aplicações Microsoft 365 e aplicações de cativação de clientes com o cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service e Dynamics 365 Project Service Automation).
Mais informações e detalhes adicionais sobre as diferenças na funcionalidade destes grupos de licenças estão descritos em mais detalhe aqui: Informações de licenciamento do Power Automate.
O Power Automate US Government está disponível através dos canais de compra do Licenciamento em Volume e do Fornecedor de Soluções Cloud. O programa Cloud Solution Provider não está atualmente disponível para clientes GCC High.
Diferenças entre os dados dos clientes e os conteúdos dos clientes
Dados do cliente, de acordo com a definição nos Termos do Serviço Online, designa todos os dados, incluindo todos os ficheiros de texto, som, vídeo e software, fornecidos à Microsoft pelos clientes, ou no seu nome, mediante a utilização de um Serviço Online.
Conteúdo do cliente designa um subconjunto específico dos dados do cliente que foi criado diretamente pelos utilizadores, como é o caso do conteúdo armazenado em bases de dados através de entradas em entidades do Dataverse (por exemplo, informações de contacto). Geralmente, os conteúdos são considerados informações confidenciais e, em operações de serviço normais, não são enviados pela Internet sem encriptação.
Para mais informações sobre como o Power Automate protege os dados do cliente, consulte o Centro de Confiança do Microsoft Online Services.
Segregação de Dados para a Cloud da Comunidade da Administração Pública
Quando aprovisionado como parte do Power Automate US Government, o serviço Power Automate é oferecido em conformidade com a Publicação Especial 800-145 do Instituto Nacional de Normas e Tecnologia (NIST) dos E.U.A.
Além da separação lógica do conteúdo do cliente na camada da aplicação, o serviço do Power Automate Government oferece à sua organização uma camada secundária de segregação física para o conteúdo do cliente ao utilizar a infraestrutura que está separada da infraestrutura utilizada para clientes comerciais do Power Automate. Inclui a utilização dos serviços do Azure na Cloud da Administração Pública do Azure. Para saber mais, consulte Azure Government.
Conteúdo do cliente localizado nos Estados Unidos
O Power Automate US Government é executado em datacenters localizados fisicamente nos Estados Unidos e armazena os conteúdos inativos dos clientes em datacenters localizados fisicamente apenas nos Estados Unidos.
Acesso aos dados restritos pro administradores
O acesso ao conteúdo do cliente do Power Automate US Government por parte dos administradores da Microsoft está limitado a colaboradores que são cidadãos dos E.U.A. Estes colaboradores são sujeitos a investigações de antecedentes de acordo com as normas relevante do governo.
A equipa de engenharia de suporte e serviço do Power Automate não tem acesso corrente ao conteúdo do cliente hospedado no Power Automate US Government. Qualquer pessoal que solicite elevação de permissão temporária que concederia acesso ao conteúdo do cliente tem primeiro de ter passadas as seguintes verificações de histórico.
| Verificação de Pessoal e de Histórico da Microsoft 1 | Descrição |
|---|---|
| Cidadania dos EUA | Verificação de cidadania dos EUA |
| Verificação de histórico de trabalho | Verificação de histórico de trabalho de sete (7) anos |
| Verificação de formação | Verificação do grau máximo obtido |
| Pesquisa de Número de Segurança Social (SSN) | Verificação da validade do NSS fornecido pelos funcionários |
| Verificação do histórico criminal | Uma verificação de registo criminal de sete (7) anos para crimes ou delitos ao nível do estado, região e local e ao nível federal |
| Lista de Controlo da Agência de Ativos Estrangeiros (OFAC) | Validação contra a lista de grupos do Departamento de Tesouro com os quais pessoas dos EUA não têm permissão para se envolver em transações comerciais ou financeiras |
| Lista da Agência da Indústria e Segurança (BIS) | Validação contra a lista do Departamento de Comércio de indivíduos e entidades barrados de efetuar atividades de exportação |
| Lista de Pessoas Desbarradas da Agência de Controlos de Comércio de Defesa (DDTC) | Validação contra a lista do Departamento de Estado de indivíduos e entidades barrados de efetuar atividades de exportação relacionadas com o setor da indústria |
| Verificação de impressões digitais | Verificação de histórico de impressões digitais contra bases de dados do FBI |
| Verificação de histórico CJIS | Análise adjudicada pelo estado do histórico a nível federal e estadual por autoridade indicada pelo CSA de estado que se registou para o programa Microsoft CJIS IA |
| Departamento de Defesa IT-2 | Os funcionários que solicitarem permissões elevadas aos dados dos clientes ou ao acesso administrativo privilegiado às capacidades de serviço do DoD SRG L5 devem passar IT-2 adjudicação do DoD, com base numa investigação bem sucedida do OPM Tier 3. |
1 Aplica-se apenas a pessoal com acesso temporário ou corrente ao conteúdo dos clientes alojado em Administrações Públicas dos EUA do Power Automate (GCC, GCC High e DoD).
Certificações e acreditações
O Power Automate US Government foi concebido para suportar a acreditação Federal Risk and Authorization Management Program (FedRAMP) com um nível de Impacto Elevado. Este programa infere a conformidade com o DoD DISA IL2. Os sistemas de FedRAMP estão disponíveis para análise por clientes federais que têm de estar em conformidade com a acreditação FedRAMP. As agências federais podem examinar esses artefactos no âmbito da verificação para conceder uma Autorização de Operação (ATO).
Nota
O Power Automate está autorizado como um serviço dentro do Azure Government FedRAMP ATO. Para mais informações, incluindo como aceder aos documentos da FedRAMP, reveja o Mercado FedRAMP.
O Power Automate US Government conta com funcionalidades concebidas para suportar os requisitos da Política CJIS dos clientes para agências judiciais e policiais. Visite a página de produtos do Power Automate US Government no Centro de Fidedignidade para obter informações mais detalhadas relacionadas com as certificações e acreditações.
A Microsoft concebeu esta plataforma e os seus procedimentos operacionais a fim de cumprir os requisitos referentes ao quadro de conformidade DISA SRG IL4 e IL5 e obteve as necessárias Autorizações Operacionais Provisórias da DISA. A Microsoft antecipa que a base de cliente contratante do Departamento de Defesa dos EUA e outras agências federais que atualmente tiram partido do Microsoft Office 365 GCC High para utilizar a opção de implementação do Power Automate US Government GCC High, que permite e requer que os clientes tirem partido do Microsoft Entra Government para identidades de cliente, em contraste com o GCC que tira proveito do Microsoft Entra ID público. Para a base de cliente de contratante do Departamento de Defesa dos EUA, a Microsoft opera o serviço de uma maneira que permite que esses clientes satisfaçam o compromisso ITAR e regulamentos de aquisição da DFARS. Além disso, a Microsoft espera que os seus clientes do Departamento de Defesa dos EUA que atualmente utilizam o Microsoft 365 DoD utilizem a opção de implementação do Power Automate US Government DoD.
O Power Automate US Government e outros serviços da Microsoft
O Power Automate US Government inclui várias funcionalidades que permitem a ligação e a integração com outras ofertas de serviço da Microsoft Enterprise, como o Office 365 US Government, o Dynamics 365 US Government e o Power Apps US Government.
O Power Automate US Government é implementado nos centros de dados da Microsoft de uma forma consistente com um modelo de implementação na nuvem pública multi-inquilino; no entanto, as aplicações cliente, incluindo, mas não limitado ao cliente utilizador da Web, à aplicação móvel do Power Automate (quando disponível), e qualquer aplicação cliente de terceiros que estabelece ligação ao Power Automate US Government não fazem parte do limite de acreditação do Power Automate US Government. Os clientes governamentais são responsáveis pela sua gestão.
O Power Automate US Government utiliza a IU de administrador do cliente do Office 365 para faturação e administração do cliente.
O Power Automate US Government mantém os recursos atuais, o fluxo de informações e a gestão de dados, enquanto recorre ao Office 365 para fornecer os estilos visuais que são apresentados ao administrador de clientes através da respetiva consola de gestão. Para fins de heranças FedRAMP ATO, o Power Automate US Government utiliza ATOs do Azure (incluindo o Azure for Government e Azure DoD) para serviços de plataforma e infraestrutura, respetivamente.
Se adotar a utilização do Active Directory Federation Services (AD FS) 2.0 e configurar políticas para ajudar a assegurar que os seus utilizadores estabelecem ligação aos serviços através do início de sessão único, quaisquer conteúdos do cliente colocados em cache temporariamente estarão localizados nos Estados Unidos.
O Power Automate US Government e serviços de terceiros
O Power Automate US Government fornece a capacidade para integrar aplicações de terceiros no serviço através de Conectores. Estes serviços e aplicações de terceiros podem incluir o armazenamento, a transmissão e o processamento dos dados dos clientes da sua organização em sistemas de terceiros que estão fora da infraestrutura do Power Automate US Government, pelo que não estão cobertos pelos compromissos de proteção de dados e conformidade do Power Automate US Government.
Gorjeta
Reveja as declarações de privacidade e conformidade fornecidas pelos terceiros durante a avaliação da utilização adequada destes serviços na sua organização.
As considerações de Governação do Power Apps e do Power Automate podem ajudar a sua organização a criar maior consciência sobre as capacidades disponíveis em vários temas relacionados, tais como arquitetura, segurança, alerta e ação, e monitorização.
Configurar clientes móveis
Aqui estão os passos que deve tomar para fazer login com o Power Automate cliente móvel.
- Na página de início de sessão, selecione
(um ícone de Wi-Fi com um símbolo de engrenagem) no canto superior direito. - Selecione Definições de região.
- Selecionar GCC: GCC de Administração Pública dos EUA
- Selecione OK.
- Na página de início de sessão, selecione Iniciar sessão.
A aplicação móvel vai agora usar a Cloud do Governo dos EUA.
Serviços do Power Automate US Government e do Azure
Os serviços do Power Automate US Government estão implementados no Microsoft Azure Government. O Microsoft Entra não faz parte do limite de acreditação do Power Automate US Government, mas confia no inquilino do Microsoft Entra ID para o inquilino do cliente e funções de identidade, incluindo autenticação, autenticação federada e licenciamento.
Quando um utilizador de uma organização que emprega o ADFS tenta aceder ao Power Automate US Government, o utilizador é redirecionado para uma página de início de sessão alojada no servidor ADFS da organização.
O utilizador introduz as credenciais no servidor ADFS da organização. O servidor do ADFS da organização tenta autenticar as credenciais através da infraestrutura do Active Directory da organização.
Se a autenticação for bem-sucedida, o servidor do ADFS da organização emitirá uma permissão SAML (Security Assertion Markup Language) com as informações da associação de grupo e identidade do utilizador.
O servidor ADFS do cliente assina este pedido de suporte com metade de um par de chaves assimétricas e, em seguida, envia o pedido de suporte para o Microsoft Entra através do TLS encriptado. O Microsoft Entra ID valida a assinatura com a outra metade do par de chaves assimétricas e, em seguida, concede acesso baseado no pedido.
As informações de identidade do utilizador e associação de grupo permanecem encriptadas no Microsoft Entra ID. Por outras palavras, apenas as informações de identificação de utilizador limitadas são armazenadas no Microsoft Entra ID.
Pode encontrar os detalhes completos da implementação do controlo e da arquitetura de segurança no Microsoft Entra do Azure SSP.
Os serviços de gestão de contas do Microsoft Entra são alojados em servidores físicos geridos pelos Microsoft Global Foundation Services (GFS). O acesso à rede para estes servidores é controlado pelos dispositivos de rede geridos pelos GFS através das regras definidas pelo Azure. Os utilizadores não interagem diretamente com o Microsoft Entra ID.
URLs de serviço do Power Automate US Government
Utiliza um conjunto diferente de URLs para aceder aos ambientes do Power Automate US Government, conforme apresentado na tabela seguinte. A tabela inclui também os URLs comerciais para referência contextual, caso estes lhe sejam mais familiares.
Para os clientes que implementam restrições de rede, certifique-se de que o acesso aos seguintes domínios está disponível para os pontos de acesso dos utilizadores finais:
Clientes GCC.
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Consulte os Intervalos de IP de AzureCloud.usgovtexas e AzureCloud.usgovvirginia para permitir o acesso às instâncias do Dataverse que os utilizadores e administradores podem criar no Inquilino.
Clientes GCC High:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Consulte também as gamas IP para que possa aceder a outros ambientes Dataverse que os utilizadores e administradores podem criar dentro do seu inquilino e outros serviços Azure que a plataforma alavanca, incluindo:
- GCC e GCC High: (Foco em AzureCloud.usgovtexas e AzureCloud.usgovvirginia).
- DoD: Foco em USDoD Leste e USDoD Centro.
Ligação entre o Power Automate US Government e os Serviços Cloud do Azure públicos
O Azure é distribuído entre várias nuvens. Por predefinição, os inquilinos podem abrir as regras de firewall para uma instância específica da cloud, mas a rede entre clouds é diferente e requer a abertura de regras de firewall específicas para comunicar entre os serviços. Se for um cliente do Power Automate e tiver instâncias do SQL Server existentes na cloud pública do Azure que precisam de acesso, terá de abrir portas específicas de firewall no SQL para o espaço de IP da Cloud do Azure Government, para os datacenters seguintes:
- USGov Virginia
- USGov Texas
- US DoD - Leste
- US DoD - Centro
Consulte as gamas e tags de serviço do Azure IP – documento da Cloud do Governo dos EUA, focando a atenção em AzureCloud.usgovtexas, e AzureCloud.usgovvirginia, e/ou US DoD Leste, e US DoD Centro, como notado anteriormente neste artigo. Observe também que estes são os intervalos IP necessários para que os seus utilizadores finais tenham acesso aos URLs de serviço.
Configuração do Gateway de Dados no Local
Instale um gateway de dados no local para transferir dados de forma rápida e segura entre uma aplicação de tela integrada no Power Automate e uma origem de dados que não esteja na nuvem. Os exemplos incluem bases de dados do SQL Server no local ou sites do SharePoint no local.
Se a sua organização (inquilino) já tiver configurado e ligado com êxito o gateway de dados no local do Power BI para o Governo Norte-Americano, o processo seguido pela sua organização para o ativar também ativará a conectividade no local para o Power Automate.
Anteriormente, os clientes do Governo Norte-Americano precisavam de contactar o suporte antes de configurar o seu primeiro gateway de dados no local, porque o suporte teria de dar permissão ao inquilino para permitir a utilização do gateway. Esta ação já não é necessária. Se encontrar problemas ao configurar ou utilizar o gateway de dados no local, poderá contactar o suporte para obter assistência.
Limitações de funcionalidade do Power Automate US Government
A Microsoft esforça-se por manter a paridade funcional entre o nosso serviço disponível comercialmente e os ativados através das nossas clouds do Governo dos EUA. Estes serviços são referidos como Power Automate Government Community Cloud (GCC) e GCC High. Consulte a ferramenta Disponibilidade Geográfica Global para ver onde o Power Automate está disponível em todo o mundo, incluindo as linhas cronológicas aproximadas de disponibilidade.
Há exceções ao princípio de manter a paridade funcional do produto dentro das clouds do Governo dos EUA. Para mais informações sobre a disponibilidade de funcionalidades, transfira este ficheiro: Business Applications US Government - Resumo da Disponibilidade.