閱讀英文

共用方式為


Power Automate US Government

為因應美國公家機關獨特且日新月異的需求,Microsoft 建立了 Power Automate US Government 方案。 本節提供 Power Automate US Government 專屬功能的概觀。 建議您先閱讀這個補充部分,以及 Power Automate 服務開始使用主題。 為了簡便起見,這項服務通常稱為 Power Automate 政府社群雲端 (gcc)、Power Automate 政府社群雲端 – High (GCC High) 或 Power Automate 國防部門 (DoD)。

Power Automate US Government 服務描述與一般 Power Automate 服務描述重疊。 它會定義自 2016 年 10 月以來,相較於提供給我們客戶的一般 Power Automate 供應項目的獨特承諾和差異。

關於 Power Automate US Government 環境與方案

Power Automate US Government 方案為每月訂閱,而且可以授權給無限數量的使用者。

Power Automate GCC 環境符合聯邦政府的雲端服務需求規範,包括 FedRAMP High 與 DoD DISA IL2。 它也符合刑事司法系統 (CJI 資料類型) 需求的規範。

除了 Power Automate 的功能之外,使用 Power Automate US Government 的組織也可以享用以下獨特的功能:

  • 貴組織的客戶內容實際上是與 Power Automate 商業供應項目中的客戶內容分開的。

  • 您組織的客戶內容是儲存在美國境內。

  • 只有經過篩選的 Microsoft 人員才能存取您組織的客戶內容。

  • Power Automate US Government 符合美國公家機關客戶所要求的所有認證與認可。

從 2019 年 9 月開始,合格的客戶可以選擇將 Power Automate US Government 署至 GCC High 環境,這會啟用單一登入,並與 Microsoft Office 365 GCC High 部署緊密整合。

Microsoft 已設計平台和作業程序來達到與 DISA SRG IL4 合規性架構一致的要求。 我們預期美國國防部承包商客戶群及其他目前採用 Office 365 GCC High 的聯邦政府機構,皆會使用 Power Automate US Government GCC High 部署選項。 相較於採用公用 Microsoft Entra 的 GCC,此選項允許並要求客戶將 Microsoft Entra ID 政府機關版運用於客戶身分識別。 對於美國國防部轉包商客戶群,Microsoft 會以可讓這些客戶符合他們與美國國防部所訂合約中所記載並要求之 ITAR 承諾及 DFARS 採購規範的方式經營服務。 DISA 已授與操作的臨時權限。

從 2021 年 4 月開始,合格的客戶現在可以選擇將 Power Automate US Government 部署至「DoD」環境,這會啟用單一登入,並與 Microsoft 365 DoD 部署緊密整合。 Microsoft 已設計平台和作業程序來達到與 DISA SRG IL5 合規性架構一致的要求。 DISA 已授與您有權執行的臨時許可權。

客戶資格

Power Automate US Government 適用於 (1) 美國聯邦、州、地方、部落及特區政府實體,以及 (2) 處理受政府法規和規定約束之資料,與適用 Power Automate US Government 美國政府以符合這些規定的其他實體,但需經過資格驗證。 Microsoft 的資格驗證包含確認處理受國際武器貿易條例 (ITAR) 約束的資料、受 FBI 刑事司法資訊服務 (CJIS) 原則約束的執法資料,或其他受政府規範或控制的資料。 驗證可能需要由擁有特定資料處理規定的政府實體贊助。

如果實體對取得 Power Automate US Government 的資格有疑問,應洽詢其帳戶團隊。 Microsoft 會在更新 Power Automate US Government 的客戶合約時,重新驗證資格。

注意

只有 DoD 實體可以使用 Power Automate US Government DoD。

Power Automate US Government方案

Power Automate US Government 方案的存取限於下節中所述的產品;每個方案都會以每月訂閱的方式提供,而且可以授權給無限數量的使用者:

  • 政府機關版 Power Automate Process 方案 (先前稱 Power Automate 依流程方案)

  • 政府機關版 Power Automate Premium 方案 (Power Automate 依使用者方案)

  • 除了獨立計畫之外,Microsoft 365 US Government 和 Dynamics 365 US Government 計畫也包含在某些 Power Apps 和 Power Automate 功能,允許客戶擴充和自訂 Microsoft 365 和客戶參與應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service 和 Dynamics 365 Project Service Automation)。

以下將詳細描述有關這些授權群組間功能差異的其他資訊和詳細資料:Power Automate 授權資訊

Power Automate US Government 可透過「大量授權」和「雲端解決方案提供者」購買通路取得。 雲端解決方案提供者計劃目前不適用於 GCC High 客戶。

客戶資料和客戶內容之間的差異

「客戶資料」如線上服務條款中所定義,係指由於客戶 (或代表客戶之人士) 使用線上服務,而提供給 Microsoft 的所有資料,包括所有文字、聲音、視訊或影像檔,或是軟體。

「客戶內容」是指使用者直接建立的客戶資料的特定子集,例如,透過 Dataverse 實體中的項目儲存在資料庫中的資料 (如連絡人資訊)。 內容通常會被視為機密資訊,而且在正常的服務作業中,不會在未加密的情況下透過網際網路傳送。

如需有關 Power Automate 如何保護客戶資料保護的詳細資訊,請參閱 Microsoft Online Services 信任中心

政府社群雲端的資料隔離

做為 Power Automate US Government 的一部分佈建時,Power Automate 服務是依據美國國家標準技術研究院 (NIST) 的特刊 800-145 提供。

除了在應用程式層邏輯隔離客戶內容之外,Power Automate 政府機關版服務還會為您的組織提供另一層客戶內容的實體隔離,藉由與商業 Power Automate 客戶分開使用不同的基礎結構。 這包括在 Azure 的政府雲端使用 Azure 服務。 若要深入了解,請參閱 Azure Government

位於美國境內的客戶內容

Power Automate US Government 可在實際位於美國的資料中心執行,並將待用的客戶內容儲存在實際僅位於美國的資料中心。

管理員的受限資料存取

Microsoft 管理員對 Power Automate US Government 客戶內容的存取僅限身為美國公民的人員。 這些人員必須經過身家調查,依據相關政府標準。

Power Automate 支援和服務工程人員沒有長期存取託管於 Power Automate US Government 之客戶內容的權限。 任何要求暫時提高權限准予存取客戶內容的人員都必須先通過下列背景調查。

Microsoft 員工篩選和背景調查1 描述
美國公民身分 美國公民身分驗證
工作經歷檢查 七 (7) 年工作經歷驗證
教育驗證 最高學歷驗證
社會安全號碼 (SSN) 搜尋 驗證員工提供的 SSN 是否有效
刑事記錄檢查 州、郡、地方各級與聯邦一級的七 (7) 年輕重罪刑事記錄檢查
美國財政部外國資產管制局 (OFAC) 清單 驗證美國人員不得與之從事貿易或金融交易的美國財政部列管團體。
美國商務部產業及安全局 (BIS) 清單 驗證禁止其從事出口活動的美國商務部列管個別及實體
美國國務院國防貿易管制辦公室 (DDTC) 禁止貿易方名單 驗證禁止其從事軍工產業相關出口活動的美國國務院列管個別及實體
指紋檢查 依據 FBI 資料庫進行指紋背景調查
CJIS 背景篩選 由美利堅聯盟國 (CSA) 在已簽署加入 Microsoft CJIS IA 計劃之各州中委派職權的州政府對聯邦及州刑事記錄進行州級裁定審查
國防部 IT-2 根據成功的 OPM Tier 3 調查,要求提升權限給客戶資料或符合 DoD SRG L5 服務容量的版權管理權限的人員必須經過 DoD IT-2 裁決。

1 僅適用於可暫時或長期存取託管於 Power Automate 美國政府 (GCC、GCC High 和 DoD) 之客戶內容的人員。

驗證與認證

Power Automate US Government 的設計可支援高影響程度的 Federal Risk and Authorization Management Program (FedRAMP) 認證。 此計劃會推斷是否符合 DoD DISA IL2。 FedRAMP 的成品可供需要遵循 FedRAMP 的聯邦客戶審核。 聯邦機構可以仔細研究這些成品來證實其審查,以授與操作授權 (ATO)。

注意

Power Automate 已獲授權做為 Azure Government FedRAMP ATO 中的服務。 如需詳細資訊 (包括有關如何存取 FedRAMP 文件的資訊),請檢閱 FedRAMP 服務商場

Power Automate US Government 具備專為支援客戶應遵循的執法機關的 CJIS 原則需求所設計的功能。 如需有關認證及認可的詳細資訊,請瀏覽信任中心的 Power Automate US Government 產品頁面。

Microsoft 會設計此平台及其作業程序,以符合 DISA SRG IL4 和 IL5 合規性框架的需求,並已接收到必要的 DISA 佈建權限。 Microsoft 預期美國國防部承包商客戶群和其他目前採用 Microsoft Office 365 GCC High 的聯邦政府機構,皆會使用 Power Automate US Government GCC High 部署選項,相較於採用公用 Microsoft Entra 的 GCC,此選項允許並要求客戶將 Microsoft Entra 政府機關版運用於客戶身分識別。 對於美國國防部轉包商客戶群,Microsoft 會以可讓這些客戶符合 ITAR 承諾及 DFARS 採購規範的方式經營服務。 而且,Microsoft 預計目前使用 Microsoft 365 DoD 的美國國防部的客戶會使用 Power Automate US Government DoD 部署選項。

Power Automate US Government 和其他 Microsoft 服務

Power Automate US Government 包含數個功能,可讓使用者與其他 Microsoft 企業服務產品連結並整合,例如 Office 365 美國政府、Dynamics 365 US Government 和 Power Apps 美國政府。

Power Automate US Government 採用與多組織用戶共享、公有雲部署模式一致的方式,在 Microsoft 資料中心內執行;不過,包含 (但不限於) Web 使用者用戶端、Power Automate 行動應用程式 (可用時) 以及任何連線至 Power Automate US Government 之協力廠商用戶端應用程式的用戶端應用程式,都不屬於 Power Automate US Government 認證範圍的一部分。 政府客戶負責管理它們。

Power Automate US Government 運用 Office 365 客戶管理員 UI 進行客戶管理與計費。

Power Automate US Government 維護實際的資源、資訊流程及資料管理,同時倚賴 Office 365 提供視覺樣式,透過自己的管理主控台對客戶管理員呈現。 為了 FedRAMP ATO 繼承的目的,Power Automate US Government 將 Azure (包括 Azure for Government 和 Azure DoD) ATO 分別運用於基礎結構和平台服務。

如果您採用 Active Directory Federation Services (AD FS) 2.0,並設定原則來確保使用者透過單一登入連線至服務,則任何暫時快取的內容將會位於美國境內。

Power Automate US Government 及協力廠商服務

Power Automate US Government 透過連接器提供將協力廠商應用程式整合至服務中的功能。 這些協力廠商應用程式和服務可能涉及儲存、傳輸及處理您組織的客戶資料,在位於 Power Automate US Government 基礎結構外部的協力商系統上,因此不在 Power Automate US Government 合規性與資料保護承諾的範圍內。

提示

評估這些服務對貴組織的適用性時,請檢閱協力廠商所提供的隱私權和合規性聲明。

Power Apps 與 Power Automate 治理考量事項可協助您的組織增進對適用於數個相關主題 (例如架構、安全性、警示與動作以及監控) 之功能的認識。

設定行動用戶端

以下是使用 Power Automate Mobile 用戶端登入時必須採取的步驟。

  1. 在登入頁面上,選取帶有齒輪標誌的 Wifi 圖示。 (帶有齒輪標誌的 wifi 圖示) 右下角的齒輪圖示。
  2. 選取區域設定
  3. 選取 GCC:美國政府 GCC
  4. 選取確定。
  5. 在登入頁面上,選取登入

行動應用程式現在會使用 US Government 雲端。

Power Automate US Government 及 Azure 服務

Power Automate US Government 服務會部署至 Microsoft Azure Government。 Microsoft Entra 不屬於 Power Automate US Government 鑑定範圍的一部分,但是客戶租用戶和身分識別功能依賴客戶的 Microsoft Entra ID 租用戶,包括驗證、同盟驗證和授權。

當採用 ADFS 的組織的使用者嘗試存取 Power Automate US Government 時,該使用者會重新導向至組織的 ADFS 伺服器上託管的登入頁面。

使用者向其組織的 ADFS 伺服器提供認證。 組織的 ADFS 伺服器會嘗試使用組織的 Active Directory 基礎結構驗證認證。

如果驗證成功,組織的 ADFS 伺服器會核發 SAML (安全性聲明標記語言) 票證,其中包含使用者身分識別和群組成員資格的相關資訊。

客戶的 ADFS 伺服器會使用非對稱金鑰組的另一半簽署此票證,然後透過加密的 TLS 將票證傳送至 Microsoft Entra。 Microsoft Entra ID 使用非對稱金鑰組的另一半驗證簽章,並依據票證授與存取權。

使用者的身分識別與群組成員資格資訊會在 Microsoft Entra ID 中保持加密。 換句話說,只有受限的使用者可識別資訊會儲存在 Microsoft Entra ID 中。

您可在 Azure SSP 中找到 Microsoft Entra 安全性架構和控制實作的完整詳細資料。

Microsoft Entra 帳戶管理服務代管於 Microsoft Global Foundation Services (GFS) 所管理的實體伺服器上。 這些伺服器的網路存取是由 GFS 管理的網路裝置所控制,透過使用 Azure 設定的規則。 使用者不會直接與 Microsoft Entra ID 互動。

Power Automate US Government 服務 URL

您會使用一組不同的 URL 來存取 Power Automate US Government 環境,如下表所示。 此表格也包含商業 URL 以供內容參考,讓您能夠視需要更熟悉它們。

對於實作網路限制的客戶,請確定您終端使用者的存取點可以取得下列網域的存取權:

GCC 客戶:

  • .microsoft.us
  • .azure-apihub.us
  • .azure.us
  • .usgovcloudapi.net
  • .microsoftonline.com
  • .microsoft.com
  • .windows.net
  • .azureedge.net
  • .azure.net
  • .crm9.dynamics.com
  • .powerautomate.us

請參閱 AzureCloud.usgovtexas 及 AzureCloud.usgovvirginia 的 IP 範圍,以啟用對使用者和系統管理員可能在租用戶中建立之 Dataverse 執行個體的存取。

GCC High 客戶:

  • .microsoft.us
  • .azure-apihub.us
  • .azure.us
  • .usgovcloudapi.net
  • .microsoftonline.us
  • .azureedge.net
  • .azure.net
  • .crm.microsoftdynamics.us(GCC High)
  • *.high.dynamics365portals.us (GCC High)
  • *.crm.appsplatform.us (DoD)
  • *.appsplatformportals.us (DoD)

此外,您也可以參考 IP 範圍讓您存取其他 Dataverse環境,讓使用者與系統管理員在您的租戶和其他 Azure 服務中建立,包括:

  • GCC 和 GCC High:重點在 AzureCloud.usgovtexas and AzureCloud.usgovvirginia。
  • DoD:著重在 USDoD 東部和 USDoD 中部。

Power Automate US Government 與公用 Azure 雲端服務之間的連線能力

Azure 分佈在多個雲端。 根據預設,會允許租用戶以開啟對雲端特定執行個體的防火牆規則,但跨雲端網路不同,且需要開啟特定的防火牆規則,以便在服務之間通訊。 如果您是 Power Automate 客戶,而且在 Azure 公用雲端中有需要存取的現有 SQL 執行個體,您必須在 SQL 中,針對下列資料中心開放對 Azure 政府雲端 IP 空間的特定防火牆連接埠:

  • USGov Virginia
  • USGov Texas
  • US DoD 東部
  • US DoD 中部

請參考 AZURE IP 範圍和服務標記 – US 政府版文件,著重於 AzureCloud.Usgovtexas 和 AzureCloud.usgovvirginia 和/或 US DoD 東部,以及美國 DoD 中部 (如前述)。 同時請注意,這些都是使用者存取服務 URL 所需的 IP 範圍。

內部部署資料閘道設定

安裝內部部署資料閘道可在建置於 Power Automate 及非雲端資料來源的畫布應用程式之間快速且安全地傳輸資料。 範例包括內部部署 SQL Server 資料庫或內部部署 SharePoint 網站。

如果貴組織 (租用戶) 已經設定並成功連線到適用於 PowerBI 美國政府的內部部署資料閘道,則貴組織為啟用該閘道所遵循的程序也將啟用 Power Automate 的內部部署連線。

以前,美國政府客戶需要在設定他們的第一個內部部署資料閘道之前連絡支持人員,因為支持人員需要向租用戶授予使用閘道的權限。 但目前已經不是必要的了。 如果您在設定或使用內部部署的資料閘道時遇到任何問題,您可以連絡支援人員尋求協助。

Power Automate US Government 功能限制

Microsoft 致力於維持商用服務與透過美國政府雲端啟用的功能間的平衡。 這些服務稱為 Power Automate Government Community Cloud (GCC) 和 GCC High。 請參閱全球化地理可用性工具,以了解 Power Automate 在世界各地的可用情況,包括大致的可用性時間表。

在美國政府雲端中保持產品功能均等的原則存在例外情況。 如需功能可用性的詳細資訊,請下載以下檔案:Business Applications US Government - 可用性摘要