適用於 US Government 客戶的 Microsoft Copilot Studio
重要
在對生成式 AI 進行大量投資並增強 Microsoft Copilot 的整合後,Power Virtual Agents 的功能和特性現已成為 Microsoft Copilot Studio 的一部分。
當我們更新文件和培訓內容時,某些文章和螢幕擷取畫面可能會參考 Power Virtual Agents。
本文適用於部署 Copilot Studio 做為 Copilot Studio Government Community Cloud (GCC) 計劃的部分美國政府客戶。 它提供了這些計畫特定的功能概述。
政府方案是針對必須符合美國合規性和安全性標準的組織獨特需求而設計。
我們建議您閱讀本文及 Microsoft Copilot Studio 概觀。
Copilot Studio 美國政府服務描述與一般 Copilot Studio 服務描述重疊。 它會定義自 2019 年 12 月以來,相較於提供給我們客戶的一般 Copilot Studio 供應項目的獨特承諾和差異。
Microsoft Copilot Studio 美國政府計畫和環境
Copilot Studio 美國政府計畫的授權與公用雲端的授權相同。 可透過「大量授權」和「雲端解決方案提供者」購買通路取得。 如需詳細資訊,請參閱指派使用者授權及管理存取。
Copilot Studio GCC 環境符合聯邦政府的雲端服務需求規範,包括 FedRAMP High。
除了 Copilot Studio 的功能之外,使用 Copilot Studio 美國政府的計畫也可以享用以下獨特的功能:
- 您組織的客戶內容與 Copilot Studio 的非美國政府計畫中的客戶內容在實際上彼此分離。
- 您組織的客戶內容是儲存在美國境內。
- 只有經過篩選的 Microsoft 人員才能存取您組織的客戶內容。
- Copilot Studio 美國政府符合美國公家機關客戶所要求的所有認證與認可。
GCC High 環境
從 2022 年 2 月起,有資格的客戶可以選擇將 Copilot Studio 美國政府部署到 GCC High 環境。
Microsoft 已設計好平台及作業程序,達到遵守 DISA SRG IL4 (國防資訊系統局安全性要求指南影響等級 4) 合規框架的需求。
此選項允許並要求客戶使用 Microsoft Entra ID for Government 作為客戶身分識別。 這與使用公共 Microsoft Entra ID 的 GCC 形成鮮明對比。
對於美國國防部轉包商客戶群,Microsoft 會以可讓這些客戶符合他們與美國國防部所訂合約中所記載並要求之國際武器貿易條例 (ITAR) 承諾及國防部聯邦採購條例補充協議 (DFARS) 採購規範的方式經營服務。 DISA 已授與您有權執行的臨時許可權。
客戶資格
可取得的 Copilot Studio 美國政府計畫:
- (1) 美國聯邦、州、當地、部落和地區政府機構和
- (2) 處理政府管理法規和需求之資料的其他實體,而且在使用 Copilot Studio 美國政府計畫時符合這些需求 (經受資格驗證)。
Microsoft 的資格驗證包括:
- 確認處理受 ITAR 約束的資料
- 受 FBI 刑事司法資訊服務 (CJIS) 政策約束的執法資料,或
- 其他受政府監管或控制的資料
驗證可能需要由擁有特定資料處理規定的政府實體贊助。
對於使用 Copilot Studio 美國政府之資格有疑問的實體,應諮詢其客戶團隊。 Microsoft 會在更新 Copilot Studio 美國政府的客戶合約時,重新驗證資格。
客戶資料和客戶內容之間的差異
客戶資料 (如線上服務條款中定義) 是指使用線上服務的客戶或代表客戶向 Microsoft 提供的所有資料。 這包括所有文字、聲音、影片、影像檔和軟體。
客戶內容是指由使用者直接建立的客戶資料的特定子集。 例如,這可能包括透過 Dataverse 實體中的項目儲存在資料庫中的內容 (例如,聯繫資訊)。 內容通常會被視為機密資訊,而且在正常的服務作業中,不會在未加密的情況下透過網際網路傳送。
如需有關 Copilot Studio 如何保護客戶資料保護的詳細資訊,請參閱 Microsoft Online Services 信任中心。
政府社群雲端的資料隔離
做為 Copilot Studio 美國政府計畫的一部分佈建時,Copilot Studio 服務是依據美國國家標準技術研究院 (NIST) 提供。
除了在應用程式層邏輯隔離客戶內容之外,Copilot Studio US Government 服務還會為您的組織提供另一層客戶內容的實體隔離。 這種隔離是透過使用與商業 Copilot Studio 客戶使用的基礎架構分開的基礎架構來實現的。 這種使用方式類型包括在 Azure 的政府雲端使用 Azure 服務。 若要深入了解,請參閱 Azure Government。
位於美國境內的客戶內容
Copilot Studio US Government 服務在實際位於美國的資料中心中運作。 其將客戶內容以靜止狀態儲存在僅實際位於美國境內的資料中心。
管理員的受限資料存取
Microsoft 管理員對 Copilot Studio 美國政府客戶內容的存取僅限身為美國公民的人員。 這些人員必須經過身家調查,依據相關政府標準。
Copilot Studio 支援和服務工程人員沒有長期存取託管於 Copilot Studio 美國政府服務之客戶內容的權限。 任何要求暫時提高權限准予存取客戶內容的人員都必須先通過下列背景調查。
| Microsoft 員工篩選和背景調查1 | 描述 |
|---|---|
| 美國公民身分 | 美國公民身分驗證 |
| 工作經歷檢查 | 七 (7) 年工作經歷驗證 |
| 教育驗證 | 最高學歷驗證 |
| 社會安全號碼 (SSN) 搜尋 | 驗證員工提供的 SSN 是否有效 |
| 刑事記錄檢查 | 州、郡、地方各級與聯邦一級的七 (7) 年輕重罪刑事記錄檢查 |
| 美國財政部外國資產管制局 (OFAC) 清單 | 驗證美國人員不得與之從事貿易或金融交易的美國財政部列管團體 |
| 美國商務部產業及安全局 (BIS) 清單 | 驗證禁止其從事出口活動的美國商務部列管個別及實體 |
| 美國國務院國防貿易管制辦公室 (DDTC) 禁止貿易方名單 | 驗證禁止其從事軍工產業相關出口活動的美國國務院列管個別及實體 |
| 指紋檢查 | 依據 FBI 資料庫進行指紋背景調查 |
| CJIS 背景篩選 | 由美利堅聯盟國 (CSA) 在已簽署加入 Microsoft CJIS IA 計劃之各州中委派職權的州政府對聯邦及州刑事記錄進行州級裁定審查 |
| 國防部 IT-2 | 根據成功的 OPM Tier 3 調查,要求提升權限給客戶資料或符合 DoD SRG L5 服務容量的版權管理權限的人員必須經過 DoD IT-2 裁決。 |
1. 僅適用於可暫時或長期存取託管於 Copilot Studio 美國政府 (GCC 和 GCC High) 之客戶內容的人員
認證及鑑定
Copilot Studio 美國政府計畫的設計可支援高影響等級的美國聯邦風險與授權管理計畫 (Federal Risk and Authorization Management Program,FedRAMP) 認證。 FedRAMP 的成品可供需要遵循 FedRAMP 的聯邦客戶審核。 聯邦機構可以仔細研究這些成品來證實其審查,以授與操作授權 (ATO)。
Note
Copilot Studio 已獲授權做為 Azure Government FedRAMP ATO 中的服務。
如需詳細資訊 (包括有關如何存取 FedRAMP 文件的資訊),請檢閱 FedRAMP 服務商場。
Copilot Studio 美國政府計畫具備專為支援客戶應遵循的執法機關的 CJIS 原則需求所設計的功能。
Copilot Studio 美國政府和其他 Microsoft 服務
Copilot Studio 美國政府計畫包括數項可讓使用者連接和整合其他 Microsoft enterprise 服務的功能,例如 Power Apps 和 Power Automate US Government。
Copilot Studio US Government 服務在 Microsoft 資料中心內以與多租用戶公用雲端部署模式一致的方式運作。 但是,用戶端應用程式僅限於 Web 使用者用戶端,並且無法在 Microsoft Teams 中使用。 政府客戶負責管理用戶端應用程式。
Copilot Studio 美國政府計畫會使用 Office 365 客戶管理員 UI 進行客戶管理及計費。
Copilot Studio 美國政府服務維護實際資源、資訊流和資料管理。 為了 FedRAMP ATO 繼承的目的,Copilot Studio 美國政府計畫將 Azure (包括 Azure Government) ATO 分別運用於基礎結構和平台服務。
如果您採用 Active Directory 同盟服務 (ADFS) 2.0,並設定原則來協助確保您的使用者透過單一登入連線到服務,則任何臨時快取的客戶內容都會位於美國。
Copilot Studio 美國政府及第三方服務
Copilot Studio 美國政府計畫 Power Automate 雲端流程能夠透過連接器和技能,將協力廠商應用程式整合到服務。 這些第協力廠商應用程式和服務可能涉及在 Copilot Studio US Government 基礎結構之外的協力廠商系統上儲存、傳輸和處理您組織的客戶資料。 因此,這些協力廠商應用程式和服務不在 Copilot Studio US Government 合規性和資料保護承諾的涵蓋範圍內。
重要
評估這些服務對貴組織的適用性時,請檢閱協力廠商所提供的隱私權和合規性聲明。
治理考慮可協助您的組織對多個相關主題 (如架構、安全性、警報和動作及監控) 所提供的功能提供深刻的認知。
Copilot Studio 美國政府和 Azure 服務
Copilot Studio 美國政府服務會部署至 Microsoft Azure Government。 Microsoft Entra ID 不屬於 Copilot Studio US Government 證範圍。 但是,這些服務依賴客戶的 Microsoft Entra ID 租用戶來實現客戶租用戶和身分識別功能。 這包括:
- 驗證
- 同盟驗證
- 授權
當採用 ADFS 的組織使用者嘗試存取 Copilot Studio 美國政府服務時,會將使用者重新導向至組織 ADFS 伺服器上託管的登入頁面。
使用者向其組織的 ADFS 伺服器提供認證。 組織的 ADFS 伺服器會嘗試使用組織的 Active Directory 基礎結構驗證認證。
如果驗證成功,組織的 ADFS 伺服器會核發 SAML (安全性聲明標記語言) 票證,其中包含使用者身分識別和群組成員資格的相關資訊。
客戶的 ADFS 伺服器會使用非對稱金鑰組的另一半簽署此票證,並且透過加密的 TLS (傳輸層安全性) 將票證傳送至 Microsoft Entra ID。 Microsoft Entra ID 使用非對稱金鑰組的另一半驗證簽章,並依據票證授與存取權。
使用者的身分識別與群組成員資格資訊會在 Microsoft Entra ID 中保持加密。 換句話說,只有受限的使用者可識別資訊會儲存在 Microsoft Entra ID 中。
您可在 Azure 系統安全性計劃 (SSP) 中找到 Microsoft Entra ID 安全性架構和控制實作的完整詳細資料。
Microsoft Entra ID 帳戶管理服務代管於 Microsoft Global Foundation Services (GFS) 所管理的實體伺服器上。 這些伺服器的網路存取是由 GFS 管理的網路裝置所控制,透過使用 Azure 設定的規則。 使用者不會直接與 Microsoft Entra ID 互動。
Microsoft Copilot Studio 美國政府服務 URL
您會使用一組不同的 URL 來存取 Copilot Studio 美國政府環境,如下表所示。 該表也包含用於上下文參考的商業 URL。
| 商業 | 美國政府 (GCC) | 美國政府 (GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
對於實作網路限制的客戶,請確定您終端使用者的存取點可以取得下列網域的存取權:
GCC 客戶
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
請參閱 AzureCloud.usgovtexas 及 AzureCloud.usgovvirginia 的 IP 範圍,以啟用對使用者和系統管理員可能在租用戶中建立之 Dataverse 執行個體的存取。
Copilot Studio 美國政府與公用 Azure 雲端服務之間的連線能力
Azure 分佈在多個雲端。 根據預設,會允許租用戶以開啟對雲端特定執行個體的防火牆規則,但跨雲端網路不同,且需要開啟特定的防火牆規則,以便在服務之間通訊。 如果您是 Copilot Studio 客戶,而且在 Azure 公用雲端中有需要存取的現有 SQL 執行個體,您必須在 SQL 中,針對下列資料中心開放對 Azure 政府雲端 IP 空間的特定防火牆連接埠:
USGov Virginia
USGov Texas
參閱 Azure IP 範圍和服務標籤 – 美國政府雲端文件,並注意 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia。 同時請注意,這些都是使用者存取服務 URL 所需的 IP 範圍。
Copilot Studio 美國政府功能限制
商業版 Copilot Studio 中所提供的部分功能不適用於 Copilot Studio 美國政府客戶。 Copilot Studio 小組積極地將這些功能提供給美國政府客戶,並且會在這些功能可用時更新本文。
| 功能 | 在 GCC 中可使用 | 可在 GCC High 中使用 |
|---|---|---|
| Copilot Studio 分析1 | ✖無 | ✖無 |
| Copilot Studio Microsoft Teams 應用程式體驗 | ✖無 | ✖無 |
| Copilot Studio Web 應用程式中的 Teams 頻道 | ✔有 | ✖無 |
| 轉接專員 | ✔有 | ✖無 |
1. 或者,您可以使用 Power BI 儀表板 (部落格) 來建立自訂分析。
要求支援
您的服務遇到問題了嗎? 您可以建立支援要求讓問題獲得解決。
其他資訊:連絡技術支援
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應