你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Azure 政府满足美国政府严格的合规性要求,包括要求进行正式评估和授权:
- 联邦风险和授权管理计划 (FedRAMP)
- 国防部(DoD)云计算 安全要求指南 (SRG)影响级别(IL)2、4 和 5
Azure 政府维护以下与 Azure 政府区域(US Gov 亚利桑那州、US Gov 得克萨斯州和 US Gov 弗吉尼亚州)相关的授权:
- FedRAMP High 临时运营授权 (P-ATO),由 FedRAMP 联合授权委员会 (JAB) 颁发
- DoD IL2 由国防信息系统局(DISA)颁发的临时授权(PA)
- DoD IL4 PA,由 DISA 颁发
- DoD IL5 PA,由 DISA 颁发
有关额外的 Azure 政府合规性保证的链接,请参阅 Azure 合规性。 例如,Azure 政府版可帮助你满足许多美国政府要求的合规性义务,包括:
- 刑事司法信息服务 (CJIS)
- 内部收入服务(IRS)出版物 1075
- 国防联邦收购条例补充 (DFARS)
- 国际武器管制条例(ITAR)
- 出口管理条例(EAR)
- 联邦信息处理标准 (FIPS) 140
- 国家标准与技术研究所 (NIST) 800-171
- 国防授权法 (NDAA) 第 889 节和第 1634 节
- 北美电力可靠性公司(NERC)关键基础结构保护(CIP)标准
- 1996年《医疗保险可移植性和责任法》(HIPAA)
- 受控物质电子处方(EPCS)
- 更多美国政府、全球和行业标准
有关当前的 Azure 政府区域和可用服务,请参阅 按区域可用的产品。
注释
- Azure 政府区域中部署的一些 Azure 服务(US Gov 亚利桑那州、US Gov 得克萨斯州和 US Gov 弗吉尼亚州)需要额外的配置来满足 DoD IL5 计算和存储隔离要求,如 影响级别 5 工作负荷的隔离指南中所述。
- 有关 Azure 政府 DoD 区域(US DoD Central 和 US DoD East)中的 DoD IL5 PA 符合性范围,请参阅 Azure 政府 DoD 区域 IL5 审核范围。
审核范围内的服务
有关 FedRAMP 和 DoD 合规性审核范围中的 Azure、Dynamics 365、Microsoft 365 和 Power Platform 服务的详细列表,请参阅:
审核文档
有关如何访问 Azure 和 Azure 政府版审核报告和相关文档的信息,请参阅 Azure 合规性产品/服务审核文档。
Azure Policy 法规合规性内置计划
为了提供额外的客户支持,Microsoft 提供了 Azure Policy 法规合规性内置倡议,这些倡议与美国政府主要标准中的合规性域和控制相对应,包括:
- FedRAMP High
- DoD IL4
- DoD IL5
- 还有其他人
有关与 Azure 政府相关的更多法规合规性内置计划,请参阅 Azure Policy 示例。
Azure Policy 中的法规合规性提供内置计划定义,用于根据责任(客户责任、Microsoft 责任或分担责任)查看控制和合规性域的列表。 对于 Microsoft 负责的控制措施,我们会根据第三方证明提供额外的审核结果详细信息,以及我们为实现合规性而实施的控制措施的实施细节。 每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估与控制措施的符合性;但是,Azure Policy 中的合规性只能部分反映整体合规性状态。 Azure Policy 有助于强制执行组织标准并大规模评估合规性。 它通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并能深入了解更细化的状态。