Power Automate US Government
Чтобы удовлетворить уникальные и растущие требования государственного сектора США, корпорация Майкрософт разработала планы службы Power Automate US Government. В этом разделе содержится обзор функция, специфичных для Power Automate US Government. Мы рекомендуем вам прочитать этот дополнительный раздел, а также раздел о начале работы со службой Power Automate. Для краткости эту услугу службу обычно называют облако сообщества Power Automate для государственных организаций США (GCC), облако сообщества Power Automate для государственных организаций США — High (GCC High) или Power Automate Министерство обороны (DoD).
Описание службы Power Automate US Government дополняет общее описание службы Power Automate. Оно определяет уникальные обязательства и отличия в сравнении со стандартными предложениями Power Automate, которые были доступны нашим клиентам с октября 2016 г.
О средах и планах Power Automate US Government
Планы службы Power Automate US Government представляют собой ежемесячные подписки, которые можно лицензировать для неограниченного числа пользователей.
Среда GCC Power Automate удовлетворяет федеральным требованиям для облачных служб, в том числе требованиям программы FedRAMP (уровень High) и DoD DISA IL2. Она также удовлетворяет требованиям системы уголовного правосудия (типы данных CJI).
Кроме функций Power Automate, организации, которые используют службу Power Automate US Government, получают доступ к следующим уникальным возможностям:
Содержимое клиентов вашей организации физически изолируется от содержимого клиентов в коммерческом предложении Power Automate.
Содержимое клиента вашей организации хранится в США.
Доступ к содержимому клиента вашей организации ограничен проверенным персоналом Microsoft.
Служба Power Automate US Government прошла все сертификации и аккредитации, которые обязательны для работы с клиентами из государственного сектора США.
Начиная с сентября 2019 г. соответствующие клиенты могут выбрать развертывание Power Automate US Government в среде GCC High, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft Office 365 GCC High.
Майкрософт сконструировал платформу и наши рабочие процедуры, чтобы удовлетворять требованиям в соответствии с платформой соответствия DISA SRG IL4. Мы ожидаем, что клиенты из числа подрядчиков Министерства обороны США и других федеральных органов, которые сейчас используют Office 365 в GCC High, перейдут на вариант развертывания Power Automate US Government в GCC High. Этот вариант делает для клиента доступной и обязательной платформу удостоверений Microsoft Entra для государственных организаций, в отличие от GCC, где применяется общедоступная версия Microsoft Entra ID. Для базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS, как задокументировано и требуется их контрактами с Министерством обороны США. Временные полномочия на использование предоставлены DISA.
Начиная с апреля 2021 года подходящие клиенты теперь могут выбрать развертывание Power Automate US Government в среде “DoD”, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 DoD. Майкрософт сконструировал платформу и наши рабочие процедуры, чтобы удовлетворять требованиям платформы соответствия DISA SRG IL5. DISA предоставила временные полномочия на работу.
Соответствие клиента
Служба Power Automate US Government доступна: 1) учреждениям федерального правительства, правительства штатов, муниципальных властей, племенного и территориального правительства США; 2) другим учреждениям, работающим с данными, к которым применяются государственные нормативы и требования и для которых использование службы Power Automate US Government позволяет удовлетворить такие требования с учетом валидации доступности. Валидация доступности Майкрософт включает подтверждение возможности обрабатывать данные в соответствии с требованиями Международных правил торговли оружием, данных правоохранительных органов — в соответствии с требованиями политики CJIS ФБР, а также с выполнением требований для других регулируемых и контролируемых правительством данных. Для валидации может потребоваться одобрение со стороны государственного учреждения с указанием конкретных требований к обработке данных.
При возникновении вопросов о доступности службы Power Automate US Government следует обратиться к команде по работе с клиентами учреждения. Майкрософт повторно проводит валидацию доступности службы при продлении контрактов клиента на предоставление службы Power Automate US Government.
Заметка
Power Automate US Government DoD доступно только для организаций DoD.
Планы Power Automate US Government
Доступ к планам службы Power Automate US Government ограничен предложениями, описанными в следующем разделе. Каждый план предлагается в виде ежемесячной подписки с лицензированием для неограниченного числа пользователей:
План Power Automate Process (ранее план Power Automate на поток) для государственных организаций
План Power Automate Premium (Power Automate на пользователя) для государственных организаций
В дополнение к автономным планам, возможности планы Microsoft 365 US Government и Dynamics 365 US Government также включают возможности Power Apps и Power Automate, позволяющие клиентам расширять и настраивать Microsoft 365 и приложения для взаимодействия с клиентами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service и Dynamics 365 Project Service Automation).
Дополнительную информацию и сведения о различиях между функциями этих групп лицензий см. здесь: Сведения о лицензировании Power Automate.
Служба Power Automate US Government предоставляется в рамках модели корпоративного лицензирования и через каналы поставщиков облачных решений. Программа поставщика облачных решений в настоящее время недоступна для клиентов GCC High.
Различия между данными и содержимым клиента
"Данные клиентов", как определено в Условия использования веб-служб, обозначают все данные, включая все текстовые, звуковые, видео- и графические файлы, а также программное обеспечение, переданные Microsoft клиентом или от имени клиента при использовании веб-службы.
Содержимое клиента ссылается на определенную часть данных клиента, которые были непосредственно созданы пользователями, например, содержимое, хранящееся в базах данных в виде записей в сущностях Dataverse (например, контактная информация). Содержимое обычно считается конфиденциальной информацией и при обычной работе службы не отправляется через Интернет без шифрования.
Дополнительные сведения о том, как Power Automate защищает данных клиентов, см. в разделе Центр управления безопасностью веб-служб Microsoft.
Разделение данных для облака государственного сообщества
При подготовке в составе Power Automate US Government сервис Power Automate предлагается в соответствии со специальной публикацией 800-145 Национального института стандартизации и технологии (NIST).
В дополнение к логическому разделению содержимого клиентов на уровне приложения, сервис Power Automate для государственных организаций предоставляет вашей организации дополнительный уровень физического разделения содержимого клиентов за счет использования инфраструктуры, отдельной от инфраструктуры, используемой для коммерческих клиентов Power Automate. Это вклчюает использование сервиса Azure в государственном облаке Azure. Чтобы узнать больше, см. раздел Azure для государственных организаций.
Содержимое клиента, расположенное в США
Служба Power Automate US Government выполняется в центрах обработки данных, которые физически размещены в США, и хранит содержимое клиентов в центрах обработки данных, физически размещенных только на территории США.
Ограниченный доступ к данным для администраторов
Доступ к содержимому клиентов Power Automate US Government со стороны администраторов Майкрософт ограничен персоналом, являющимся гражданами США. Этот персонала проходит проверку в соответствии с соответствующими государственными стандартами.
Технический персонал службы поддержки и обслуживания Power Automate не имеет постоянного доступа к содержимому клиентов, размещенному в Power Automate US Government. Любой персонал, запрашивающей временного увеличения полномочий, которое предоставит доступ к содержимому клиента, сначала должен пройти следующие проверки биографических данных.
| Отбор персонала Майкрософт и проверки биографических данных 1 | Описание |
|---|---|
| Гражданство США | Проверка гражданства США |
| Проверка истории трудоустройства | Проверить семи (7) лет истории трудоустройства |
| Проверка образования | Проверка наивысшей полученной степени |
| Поиск номера социального страхования (SSN) | Проверка действительности предоставляемого сотрудником номера социального страхования (SSN). |
| Проверка уголовного прошлого | Проверка семи (7) лет уголовных записей на предмет тяжких и незначительных правонарушений на уровне штата, округа и местном уровне, а также на федеральном уровне |
| Перечень управления по контролю за иностранными активами (OFAC) | Проверка по перечню Министерства финансов США групп, с которыми персонал США не имеет права вести торговлю или проводить финансовые операции |
| Список Бюро промышленности и безопасности (BIS) | Проверка по списку Министерства торговли лиц и организаций, которым запрещено участвовать в экспортных операциях |
| Перечень запрещенных лиц по контролю торговли с Министерством обороны (DDTC) | Проверка по списку Госдепартамента лиц и организаций, которым запрещено участвовать в экспортных операциях, связанных с оборонной промышленностью |
| Проверка отпечатков пальцев | Проверка отпечатков пальцев по базам данных ФБР |
| Проверка истории в CJIS | Признанная штатом проверка криминальной истории на федеральном уровне и уровне штата, проводимая назначенным CSA штата органом в рамках каждого штата, который подписался на программу Microsoft CJIS IA |
| Министерство обороны IT-2 | Персонал, запрашивающий повышенные разрешения для данных клиентов или привилегированный административный доступ к возможностям служб DoD SRG L5, должен получить разрешение DoD IT-2 на основе успешного расследования OPM уровня 3. |
1 Относится только к персоналу с временным или постоянным доступом к содержимому клиентов, размещенному в Power Automate для государственных организаций США (GCC, GCC High и DoD).
Сертификация и аккредитация
Power Automate US Government предназначается для поддержки аккредитации в программе управления федеральными рисками и авторизации (FedRAMP) на уровне высокого воздействия. Эта программа также предполагает соответствие требованиям DoD DISA IL2. Артефакты FedRAMP доступны для проверки федеральными клиентами, которые должны соответствовать требованиям FedRAMP. Федеральные службы могут анализировать такие артефакты в рамках проверки на предоставление допуска к работе (ATO).
Заметка
Power Automate разрешен в качестве службы в Azure для государственных организаций FedRAMP ATO. Для получения дополнительной информации, в том числе о том, как получить доступ к документам FedRAMP, см. FedRAMP Marketplace.
Power Automate US Government содержит функции, предназначенные для поддержки требований клиента к политике CJIS для правоохранительных органов. См. сведения о сертификациях и аккредитациях на странице продуктов Power Automate US Government в центре управления безопасностью.
Корпорация Майкрософт разработала эту платформу и ее рабочие процедуры в соответствии с требованиями систем соответствия DISA SRG IL4 и IL5 и получила необходимые временные полномочия DISA для работы. Microsoft ожидает, что база клиентов подрядчика Министерства обороны США и других федеральных агентств, которая в настоящее время использует Microsoft Office 365 GCC High, будет использовать вариант развертывания Power Automate US Government GCC High, которая обеспечивает и требует от клиентов использовать Microsoft Entra Government для идентификации клиентов, в отличие от GCC, в котором используется открытая служба Microsoft Entra ID. Для нашей базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS. Кроме того, Microsoft ожидает, что ее клиенты из Министерства обороны США, которые в настоящее время используют Microsoft 365 DoD, будут использовать вариант развертывания Power Automate US Government DoD.
Power Automate US Government и другие сервисы Майкрософт
Power Automate US Government предлагает несколько возможностей, которые позволяют пользователям подключаться к другим корпоративным предложениям услуг Майкрософт (например, Office 365 для государственных организаций США, Dynamics 365 US Government и Power Apps US Government), а также интегрироваться с ними.
Power Automate US Government работает в центрах обработки данных Майкрософт в рамках модели, согласованной с моделью развертывания общедоступного облака с несколькими клиентами. При этом на клиентские приложения, в числе которых клиент веб-пользователя, мобильное приложение Power Automate (при доступности) и другие сторонние клиентские приложения, которые подключаются к Power Automate US Government, не распространяются требования Power Automate US Government к аккредитации. Государственные клиенты сами несут ответственность за управление ими.
Power Automate US Government использует пользовательский интерфейс клиента Office 365 для администрирования клиентов и выставления счетов.
Power Automate US Government ведет фактические ресурсы, информационные потоки и управление данными, полагаясь на Office 365 для предоставления визуальных стилей, которые представляются администратору клиента через его консоль управления. Для целей наследования разрешения ATO FedRAMP Power Automate US Government используют разрешения ATO для Azure (включая Azure для государственных организаций и Azure DoD) для услуг инфраструктуры и платформы, соответственно.
Если вы принимаете использование службы федерации Active Directory (AD FS) 2.0 и настроили политики, помогающие обеспечить подключение ваших пользователей через единый вход, любое содержимое клиента, которое временно кэшируется, будет расположено в США.
Power Automate US Government и сторонние сервисы
Power Automate US Government обеспечивает возможности интеграции приложений сторонних разработчиков в сервис посредством соединителей. Эти сторонние приложения и сервисы могут включать хранение, передачу и обработку данных клиентов вашей организации на системах стороннего разработчика, которые находятся вне инфраструктуры Power Automate US Government и, поэтому, не покрываются обязательствами по соответствию нормативам и защите данных Power Automate US Government.
Совет
Ознакомьтесь с заявлениями о конфиденциальности и соответствии, которые предоставляются сторонними поставщиками, при оценке надлежащего использования таких служб для вашей организации.
Power Apps и Особенности системы управления Power Automate могут помочь вашей организации привлечь внимание к возможностям, доступным в нескольких связанных темах, таких как архитектура, безопасность, предупреждения и действия, а также мониторинг.
Настроить мобильные клиенты
Вот шаги, которые вы должны предпринять, чтобы войти в клиент Power Automate Mobile.
- На странице входа выберите
(значок WiFi со значком шестеренки) в правом верхнем углу. - Выберите Параметры региона.
- Выберите GCC: GCC для государственных организаций США
- Нажмите ОК.
- На странице входа выберите Войти.
Мобильное приложение теперь будет использовать облако US Government.
Power Automate US Government и сервисы Azure
Службы Power Automate US Government развернуты в Microsoft Azure Government. Microsoft Entra не входит в границы аккредитации Power Automate US Government, но полагается на арендатор Microsoft Entra ID клиента для клиента и функции идентификации, включая проверку подлинности, федеративную проверку подлинности и лицензирование.
Когда пользователь организации, использующей ADFS, пытается получить доступ к Power Automate US Government, этот пользователь направляется на страницу входа, расположенную на сервере ADFS организации.
Пользователь затем должен предоставить учетные данные для входа на сервер ADFS организации. Сервер ADFS организации попытается аутентифицировать учетные данные в инфраструктуре Active Directory организации.
Если аутентификация выполняется успешно, сервер ADFS организации выдает билет SAML, который содержит данные об идентификаторе пользователя и его членстве в группе.
Сервер ADFS клиента подписывает этот билет с помощью одной из половин несимметричной пары ключей и затем отправляет билет в Microsoft Entra по шифрованному подключению TLS. Microsoft Entra ID проверяет подпись с помощью другой половины несимметричной пары ключей и затем предоставляет доступ на основе билета.
Идентификационные данные пользователя и информация о членстве в группе остаются в зашифрованном виде в Microsoft Entra ID. Другими словами, только ограниченная идентифицируемая пользователем информация хранится в Microsoft Entra ID.
Подробные описания архитектуры безопасности Microsoft Entra и реализации управления можно найти в Azure SSP.
Службы управления учетными записями Microsoft Entra размещаются на физических серверах, которые управляются Microsoft Global Foundation Services (GFS). Сетевой доступ к таким серверам контролируется управляемыми GFS сетевыми устройствами с применением набора правил Azure. Пользователи не взаимодействуют напрямую с Microsoft Entra ID.
URL-адреса служб Power Automate US Government
Для доступа к средам Power Automate US Government используется другой набор URL-адресов, как показано в следующей таблице. Эта таблица содержит и URL-адреса для коммерческих служб на случай, если вам удобнее по ним ориентироваться.
Для клиентов, которые реализуют ограничения сети, убедитесь, что точки доступа конечных пользователей имеют доступ к следующим доменам:
Клиенты GCC:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Чтобы обеспечить доступ к экземплярам Dataverse, которые пользователи и администраторы могут создавать в вашем клиенте, используйте диапазоны IP-адресов AzureCloud.usgovtexas и AzureCloud.usgovvirginia.
Клиенты GCC High:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Также см. Диапазоны IP, чтобы получить доступ к другим средам Dataverse, которые пользователи и администраторы могут создавать в вашем клиенте и других службах Azure, которые использует платформа, в том числе:
- GCC и GCC High: внимание на AzureCloud.usgovtexas и AzureCloud.usgovvirginia.
- DoD: внимание на USDoD East и USDoD Central.
Возможность подключения между Power Automate US Government и общественными облачными службами Azure
Azure распространяется среди нескольких облаков. По умолчанию клиентам разрешено изменять правила брандмауэра для доступа к экземпляру в определенном облаке, но работа с сетями между облаками имеет свои отличия и требует настройки определенных правил брандмауэра для обеспечения обмена данными между службами. Если вы являетесь клиентом Power Automate и владеете существующими экземплярами SQL в общедоступном облаке Azure, к которому вам необходимо получить доступ, откройте определенные порты брандмауэра в SQL к пространству IP-адресов облака Azure Government для следующих центров обработки данных:
- USGov Вирджиния
- USGov Техас
- Восточный регион US DoD
- Центральный регион US DoD
Документ См. Диапазоны IP-адресов и служебные теги Azure — облако для государственных организаций США, акцентируя внимание на AzureCloud.usgovtexas, AzureCloud.usgovvirginia и/или Восточный регион US DoD и Центральный регион US DoD, как отмечалось ранее в этой статье. Также обратите внимание, что эти диапазоны IP-адресов требуют, чтобы ваши пользователи имели доступ к URL-адресам службы.
Конфигурация локального шлюза данных
Установите локальный шлюз данных, чтобы быстро и безопасно перемещать данные между приложением полотна, встроенным в Power Automate, и источником данных, который находится за пределами облака. Примеры включают локальные базы данных SQL Server или локальные сайты SharePoint.
Если ваша организация (клиент) уже настроена и успешно подключена к локальному шлюзу данных PowerBI для государственных организаций США, процесс, который выполнила ваша организация для включения соответствующих функций, также предоставит возможности локального подключения для Power Automate.
Раньше клиентам государственных организаций США приходилось обращаться в службу поддержки перед настройкой своего первого локального шлюза данных, поскольку служба поддержки должна была дать разрешение клиенту на использование шлюза. Это больше не требуется. Если у вас возникнут проблемы с настройкой или использованием локального шлюза данных, вы можете обратиться в службу поддержки за помощью.
Ограничения возможностей Power Automate US Government
Корпорация Майкрософт стремится поддерживать функциональный паритет между нашими коммерчески доступными службами и службами, доступными через наши облака для государственных организаций США. Эти службы называются Power Automate Government Community Cloud (GCC) и GCC High. См. инструмент Глобальная географическая доступность, чтобы узнать, где Power Automate доступно по всему миру, включая приблизительные сроки доступности.
Существуют исключения из принципа поддержания функционального паритета продуктов в облаках правительства США. Подробные сведения о доступности функций см. в файле: Сводка по доступности бизнес-приложений для государственных организаций США.