Power Apps US Government

  • Статья

В ответ на уникальные и развивающиеся требования государственного сектора США Microsoft создала решение Power Apps для государственных организаций США, которое состоит из нескольких планов для государственных организаций США. В этом разделе содержится обзор функция, специфичных для Power Apps US Government. Рекомендуется прочитать этот дополнительный раздел вместе с документациией по Power Apps, которая охватывает информацию об общем описании службы Power Apps. Для краткости эту службу обычно называют Облако сообщества для государственных организаций Power Apps (GCC) или Облако сообщества для государственных организаций — High (GCC High) Power Apps или Министерство обороны Power Apps (DoD).

Описание службы Power Apps для государственных организаций США предназначено для наложения на общее описание службы Power Apps. Оно определяет уникальные предложения этой службы и отличия от предложений Power Apps, которые были доступны для наших клиентов с октября 2016 года.

О средах и планах Power Apps для государственных организаций США

Планы Power Apps для государственных организаций США являются ежемесячной подпиской и могут быть лицензированы для неограниченного числа пользователей.

Среда Power Apps GCC обеспечивает соответствие федеральным требованиям к облачным службам, включая FedRAMP High, DoD DISA IL2, и требованиям к системам уголовного правосудия (типы данных CJI).

В дополнение к функциям и возможностям Power Apps, организации, которые используют Power Apps для государственных организаций США, извлекают преимущество из следующих функций, уникальных для Power Apps для государственных организаций США:

  • Содержимое клиента вашей организации физически отделено от содержимого клиента в коммерческих службах Microsoft Power Apps.
  • Содержимое клиента вашей организации хранится в США.
  • Доступ к содержимому клиента вашей организации ограничен проверенным персоналом Microsoft.
  • Power Apps для государственных организаций США отвечает сертификатам и аккредитациям, необходимым для клиентов государственного сектора США.

Начиная с сентября 2019 года подходящие клиенты теперь могут выбрать развертывание Power Apps US Government в среде “GCC High”, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 GCC High. Майкрософт сконструировал платформу и наши рабочие процедуры, чтобы удовлетворять требованиям в соответствии с платформой соответствия DISA SRG IL4. Мы ожидаем, что наша база клиентов подрядчика Министерства обороны США и других федеральных агентств, которая в настоящее время использует Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps GCC High для государственных организаций США, который обеспечивает и требует от клиентов использовать Microsoft Entra для государственных организаций для идентификации клиентов, в отличие от GCC, в котором используется открытая служба Microsoft Entra ID. Для нашей базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS, как задокументировано и требуется их контрактами с Министерством обороны США. Временные полномочия на использование предоставлены DISA.

Начиная с апреля 2021 года подходящие клиенты теперь могут выбрать развертывание Power Apps US Government в среде “DoD”, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 DoD. Майкрософт сконструировал платформу и наши рабочие процедуры в соответствии с платформой соответствия DISA SRG IL5. Временные полномочия на использование предоставлены DISA.

Соответствие клиента

Power Apps для государственных организаций США доступно (1) федеральным, штатным, местным, племенным и территориальным правительственным органам США и (2) другим организациям, которые обрабатывают данные, подпадающие под действие правительственных постановлений и требований, а также при использовании Power Apps для государственных организаций США должно соответствовать этим требованиям при условии подтверждения права на участие. Подтверждение соответствия требованиям со стороны Microsoft будет включать подтверждение обработки данных, подпадающих под Правила международной торговли оружием (ITAR), данных правоохранительных органов, подпадающих под действие политики ФБР в области информационных служб уголовного правосудия (CJIS), или других данных, регулируемых или контролируемых государством. Подтверждение может потребовать спонсорской поддержки со стороны государственного органа с особыми требованиями к обработке данных.

Лица с вопросами о праве на участие в Power Apps для государственных организаций США должны проконсультироваться со своей службой технической поддержки учетных записей. При возобновлении договора с клиентом для Power Apps для государственных организаций США, повторная проверка соответствия не требуется.

Обратите внимание, что DoD Power Apps для государственных организаций США доступно только организаций DoD.

Планы Power Apps US Government

Доступ к планам Power Apps для государственных организаций США ограничен следующими предложениями, каждый план предлагается как ежемесячная подписка и может быть лицензирован неограниченному количеству пользователей:

  • Power Apps на план приложений для государственных организаций
  • Power Apps на план пользователей для государственных организаций
  • В дополнение к автономным планам, возможности Power Apps и Power Automate также включены в некоторые планы Microsoft 365 US Government и Dynamics 365 US Government, позволяющие клиентам расширять и настраивать Microsoft 365, Power Platform и приложения Dynamics 365 (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service и Dynamics 365 Project Service Automation).

Дополнительная информация о различиях в функциональности между этими группами лицензий более подробно описана на странице сведения о лицензировании Power Apps. Power Apps для государственных организаций США доступно через каналы закупок поставщика корпоративного лицензирования и облачных решений. Программа поставщика облачных решений в настоящее время недоступна для клиентов GCC High.

Что такое данные клиента и содержимое клиента?

Данные клиентов, как определено в Условиях использования веб-служб, обозначают все данные, включая все текстовые, звуковые, видео- и графические файлы, а также программное обеспечение, переданные Microsoft клиентами или от имени клиентов при использовании веб-службы. Содержимое клиента ссылается на определенную часть данных клиента, которые были непосредственно созданы пользователями, например, содержимое, хранящееся в базах данных в виде записей в сущностях Microsoft Dataverse (например, контактная информация). Содержимое в общем считается конфиденциальной информацией, и при нормальной работе службы не отправляется по Интернету без шифрования.

Дополнительные сведения по защите данных клиентов в Power Apps, см. в разделе Центр управления безопасностью веб-служб Microsoft.

Разделение данных для облака государственного сообщества

При подготовке в составе Power Apps для государственных организаций США служба Power Apps предлагается в соответствии со специальной публикацией 800-145 Национального института стандартизации и технологии (NIST).

В дополнение к логическому разделению содержимого клиентов на уровне приложения, сервис Power Apps для государственных организаций США предоставляет вашей организации дополнительный уровень физического разделения содержимого клиентов за счет использования инфраструктуры, отдельной от инфраструктуры, используемой для коммерческих клиентов Power Apps. Это включает использование служб Azure в облаке Azure для государственных организаций. Чтобы узнать больше, см. раздел Azure для государственных организаций.

Содержимое клиента, расположенное в США

Службы Power Apps для государственных организаций США предоставляются из центров обработки данных, физически расположенных в США. Содержимое клиентов Power Apps для государственных организаций США надежно хранится в центрах обработки данных, физически расположенных в США.

Ограниченный доступ к данным для администраторов

Доступ к содержимому клиентов Power Apps для государственных организаций США со стороны администраторов Майкрософт ограничен персоналом, являющимся гражданами США. Этот персонала проходит проверку в соответствии с соответствующими государственными стандартами.

Технический персонал службы поддержки и обслуживания Power Apps не имеет постоянного доступа к содержимому клиентов, размещенному в Power Apps для государственных организаций США. Любой персонал, запрашивающей временного увеличения полномочий, которое предоставит доступ к содержимому клиента, сначала должен пройти следующие проверки биографических данных.

Отбор персонала Майкрософт и проверки биографических данных1 Описание
Гражданство США Проверка гражданства США
Проверка истории трудоустройства Проверить семи (7) лет истории трудоустройства
Проверка образования Проверка наивысшей полученной степени
Поиск номера страхового полиса (SSN) Проверка действительности указанного номера SSN
Проверка уголовного прошлого Проверка семи (7) лет уголовных записей на предмет тяжких и незначительных правонарушений на уровне штата, округа и местном уровне, а также на федеральном уровне
Перечень управления по контролю за иностранными активами (OFAC) Проверка по перечню Министерства финансов США групп, с которыми персонал США не имеет права вести торговлю или проводить финансовые операции
Список Бюро промышленности и безопасности (BIS) Проверка по списку Министерства торговли лиц и организаций, которым запрещено участвовать в экспортных операциях
Перечень запрещенных лиц по контролю торговли с Министерством обороны (DDTC) Проверка по списку Госдепартамента лиц и организаций, которым запрещено участвовать в экспортных операциях, связанных с оборонной промышленностью
Проверка отпечатков пальцев Проверка отпечатков пальцев по базам данных ФБР
Проверка истории в CJIS Признанная штатом проверка криминальной истории на федеральном уровне и уровне штата, проводимая назначенным CSA штата органом в рамках каждого штата, который подписался на программу Microsoft CJIS IA
Министерство обороны IT-2 Персонал, запрашивающий повышенные разрешения для данных клиентов или привилегированный административный доступ к возможностям служб SRG L5 Министерства обороны, должен получить разрешение Министерства обороны IT-2 на основе успешного расследования OPM Tier 3

1 Относится только к персоналу с временным или постоянным доступом к содержимому клиентов, размещенному в средах Power Apps для государственных организаций США (GCC, GCC High и DoD).

Сертификация и аккредитация

Power Apps для государственных организаций США предназначается для поддержки аккредитации в программе управления федеральными рисками и авторизации (FedRAMP) на уровне высокого воздействия. Это подразумевает выравнивание до DoD DISA IL2. Артефакты FedRAMP доступны для проверки федеральными клиентами, которые должны соответствовать требованиям FedRAMP. Федеральные агентства могут ознакомиться с этими артефактами для поддержки своей проверки для предоставления правы работы (ATO).

Заметка

Power Apps разрешен в качестве службы в Azure для государственных организаций FedRAMP ATO. Дополнительную информацию, в том числе о том, как получить доступ к документам FedRAMP, можно найти в FedRAMP Marketplace: https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20government

Power Apps для государственных организаций США содержит функции, предназначенные для поддержки требований клиента к политике CJIS для правоохранительных органов. См. сведения о сертификациях и аккредитациях на странице продуктов Power Apps для государственных организаций США в центре управления безопасностью.

Корпорация Майкрософт разработала платформу и операционные процедуры для соответствия требованиям, согласованным со структурами соответствия DISA SRG IL4 и IL5, и получила необходимые временные полномочия DISA для работы. Мы ожидаем, что наша база клиентов подрядчика Министерства обороны США и других федеральных агентств, которая в настоящее время использует Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps GCC High для государственных организаций США, который обеспечивает и требует от клиентов использовать Microsoft Entra для государственных организаций для идентификации клиентов, в отличие от GCC, в котором используется открытая служба Microsoft Entra ID. Для нашей базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS. Аналогичным образом, мы ожидаем, что наша клиентская база Министерства обороны США в настоящее время использует Microsoft 365 DoD для реализации развертывания Power Apps для государственных организаций США DoD.

Power Apps для государственных организаций США и другие службы Майкрософт

Power Apps для государственных организаций США предлагает несколько возможностей, которые позволяют пользователям подключаться к другим корпоративным предложениям услуг Майкрософт (например, Microsoft 365 для государственных организаций США, Dynamics 365 US Government и Microsoft Power Automate US Government), а также интегрироваться с ними. Power Apps для государственных организаций США развертывается в центрах обработки данных Майкрософт образом, совместимым с моделью развертывания в общедоступном облаке с несколькими клиентами; однако, клиентские приложения, включая, но не ограничиваясь этим, клиент веб-пользователя, мобильные приложения Power Apps или любые клиентские приложения стороннего разработчика, которые подключаются к Power Apps для государственных организаций США, не являются частью границы аккредитации Power Apps для государственных организаций США и государственные клиенты отвечают за управление ими.

Power Apps для государственных организаций США использует пользовательский интерфейс администратора клиента Microsoft 365 для администрирования клиентов и выставления счетов — Power Apps для государственных организаций США ведет фактические ресурсы, информационные потоки и управление данными, полагаясь на Microsoft 365 для предоставления визуальных стилей, которые представляются администратору клиента через его консоль управления. Для целей наследования разрешения ATO FedRAMP Power Apps для государственных организаций США использует разрешения ATO (включая Azure Government и Azure DoD) для услуг инфраструктуры и платформы, соответственно.

Если вы принимаете использование службы федерации Active Directory (AD FS) 2.0 и настроили политики, помогающие обеспечить подключение ваших пользователей через единый вход, любое содержимое клиента, которое временно кэшируется, будет расположено в США.

Power Apps для государственных организаций США и службы сторонних разработчиков

Power Apps для государственных организаций США обеспечивает возможности интеграции приложений сторонних разработчиков в сервис посредством соединителей. Эти сторонние приложения и сервисы могут включать хранение, передачу и обработку данных клиентов вашей организации на системах стороннего разработчика, которые находятся вне инфраструктуры Power Apps для государственных организаций США и, поэтому, не покрываются обязательствами по соответствию нормативам и защите данных Power Apps для государственных организаций США.

Рекомендуется просмотреть заявления о конфиденциальности и соответствию нормативам, предоставляемые третьими сторонами при оценке соответствующего использования этих сервисов для организации.

Power Apps для государственных организаций США и службы Azure

Службы Power Apps для государственных организаций США развернуты в Microsoft Azure для государственных организаций. Microsoft Entra не входит в границы аккредитации Power Apps для государственных организаций США, но полагается на клиент Microsoft Entra ID клиента для клиента клиента и функции идентификации, включая проверку подлинности, федеративную проверку подлинности и лицензирование.

Когда пользователь организации, использующей AD FS, пытается получить доступ к Power Apps для государственных организаций США, этот пользователь направляется на страницу входа, расположенную на сервере AD FS организации. Пользователь затем должен предоставить свои учетные данные для входа на сервер AD FS организации. Сервер AD FS организации пытается аутентифицировать учетные данные с использованием инфраструктуры Active Directory организации.

Если проверка подлинности прошла успешно, сервер AD FS организации выдает билет SAML (языка разметки обеспечения безопасности), содержащий сведения об удостоверении пользователя и членстве в группах.

Сервер AD FS клиента подписывает этот билет с помощью одной из половин несимметричной пары ключей и затем отправляет билет в Microsoft Entra по протоколу TLS. Microsoft Entra ID проверяет подпись с помощью другой половины несимметричной пары ключей и затем предоставляет доступ на основе билета.

Идентификационные данные пользователя и информация о членстве в группе остаются в зашифрованном виде в Microsoft Entra ID. Другими словами, только ограниченная идентифицируемая пользователем информация хранится в Microsoft Entra ID.

Подробные описания архитектуры безопасности Microsoft Entra и реализации управления можно найти в Azure SSP. Конечные пользователи не взаимодействуют напрямую с Microsoft Entra ID.

URL-адреса службы Power Apps для государственных организаций США

Вы используете другой набор URL-адресов для доступа к средам Power Apps для государственных организаций США, как показано в следующей таблице (коммерческие URL-адреса также показаны для контекстной ссылки, если они вам более знакомы).

URL-адрес коммерческой версии URL-адрес версии для государственных организаций США
https://make.powerapps.com https://make.gov.powerapps.us (GCC)
https://make.high.powerapps.us (GCC High)
https://make.apps.appsplatform.us (DoD)
https://create.powerapps.com https://make.gov.powerapps.us (GCC)
https://make.high.powerapps.us (GCC High)
https://make.apps.appsplatform.us (DoD)
https://flow.microsoft.com/connectors https://gov.flow.microsoft.us/connectors
https://high.flow.microsoft.us/connectors (GCC High)
https://flow.appsplatform.us (DoD)
https://admin.powerplatform.microsoft.com https://gcc.admin.powerplatform.microsoft.us
https://high.admin.powerplatform.microsoft.us (GCC High)
https://admin.appsplatform.us (DoD)
https://apps.powerapps.com https://play.apps.appsplatform.us (GCC)
https://apps.high.powerapps.us (GCC High)
https://play.apps.appsplatform.us (DoD)

Для клиентов, которые реализуют ограничения сети, важно обеспечить конечным точкам пользователей доступа доступ к следующим доменам:

Клиенты GCC

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us

Также см. требуемые диапазоны IP-адресов, чтобы разрешить доступ к средам, которые пользователи и администраторы могут создавать в рамках ваших клиентов, а также другие службы Azure, используемые платформой:

  • GCC и GCC High: (Сосредоточьтесь на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
  • DoD: внимание на USDoD East и USDoD Central

Клиенты GCC High и DoD:

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)

Также см. Требуемые диапазоны IP-адресов, чтобы разрешить доступ к средам, которые пользователи и администраторы могут создавать в вашем клиенте, а также другие службы Azure, используемые платформой:

  • GCC и GCC High: (Сосредоточьтесь на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
  • DoD: внимание на USDoD East и USDoD Central

Служба регионального обнаружения устарела

Со 2 марта 2020 г. региональнаяслужба обнаружения станет устаревшей. Дополнительные сведения: Служба регионального обнаружения устарела

Возможность подключения между Power Apps для государственных организаций США и общественными облачными службами Azure

Azure распространяется среди нескольких облаков. По умолчанию клиентам разрешено открывать правила брандмауэра в облачной среде, но межоблачные сети отличаются друг от друга и требуют открытия определенных правил брандмауэра для взаимодействия между службами. Если вы клиент Power Apps, и у вас есть существующие среды SQL в общедоступном облаке Azure, к которым вам нужно получить доступ, вы должны открыть определенные правила брандмауэра в SQL для IP-пространства облака Azure для государственных организаций для следующих центров обработки данных:

  • USGov Вирджиния
  • USGov Техас
  • Восточный регион US DoD
  • Центральный регион US DoD

Ознакомьтесь с документом Диапазоны IP-адресов и теги служб Azure — облако для государственных организаций США, обратив внимание на AzureCloud.usgovtexas, AzureCloud.usgovvirginia, и/или восточный регион US DoD и центральный регион US DoD, как указано выше. Также обратите внимание, что это диапазоны IP-адресов, необходимые для того, чтобы конечные пользователи имели доступ к URL-адресам службы.

Настроить мобильные клиенты

Чтобы войти с помощью мобильного клиента Power Apps требуется несколько дополнительных шагов настройки.

  1. На странице входа щелкните значок шестеренки в правом нижнем углу.
  2. Выберите параметры Регион.
  3. Выберите один из следующих вариантов:
    • GCC: US Government GCC
    • GCC High: US Government GCC High
    • DoD: для государственных организаций США DOD
  4. Выберите OK.
  5. На странице входа выберите Войти.

Мобильное приложение теперь будет использовать домен US Government.

Конфигурация локальный шлюз данных

Установите локальный шлюз данных для быстрой и безопасной передачи данных между приложением на основе холста, встроенным в Power Apps, и источником данных, который не находится в облаке, таким как локальная база данных сервера SQL или локальный сайт SharePoint.

Если ваша организация (клиент) уже настроила и успешно подключила локальный шлюз данных для Power BI для государственных организаций США, то процесс и конфигурация, которые ваша организация выполнила, чтобы включить это, также включит локальную возможность подключения для Power Apps.

Раньше клиентам государственных организаций США приходилось обращаться в службу поддержки перед настройкой своего первого локального шлюза данных, так как служба поддержки должна была клиенту использовать шлюз. Это больше не требуется. Если у вас возникнут проблемы с настройкой или использованием локального шлюза данных, обратитесь за помощью в службу поддержки.

Телеметрия для приложений на основе модели

Необходимо добавить следующий URL-адрес в список разрешений для обеспечения связи через брандмауэры и другие механизмы безопасности для информации телеметрии приложений на основе модели:

  • GCC и GCC High: https://tb.pipe.aria.microsoft.com/Collector/3.0
  • DoD: https://pf.pipe.aria.microsoft.com/Collector/3.0

Ограничения функций Power Apps для государственных организаций США

Корпорация Майкрософт стремится поддерживать функциональный паритет между нашими коммерчески доступными службами и службами, доступными через наши облака для государственных организаций США. Эти службы называются Power Apps Government Community Cloud (GCC) и GCC High. См. инструмент Глобальная географическая доступность, чтобы узнать, где Power Apps доступно по всему миру, включая приблизительные сроки доступности.

Существуют исключения из принципа поддержания функционального паритета продуктов в облаках правительства США. Подробные сведения о доступности функций см. в файле: Сводка по доступности бизнес-приложений для государственных организаций США.

Запрос поддержки

Проблема со службой? Можно создать запрос поддержки для устранения проблемы.

Дополнительные сведения см. в разделе Обращение в службу технической поддержки

См. также

Microsoft Power Automate US Government
Dynamics 365 US Government