Power Automate US Government
В отговор на уникалните и развиващи се изисквания на публичния сектор в САЩ, Microsoft създаде Power Automate US Government планове. Този раздел предоставя общ преглед на функциите, които са специфични за Power Automate US Government. Препоръчваме ви да прочетете този допълнителен раздел, както и темата за започване Power Automate на услугата . За краткост тази услуга обикновено се нарича Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) или Power Automate Department of Defense (DoD).
Описанието Power Automate US Government на услугата служи като наслагване към общото Power Automate описание на услугата. Той определя уникалните ангажименти и разлики в сравнение с общите Power Automate предложения, които са на разположение на нашите клиенти от октомври 2016 г. насам.
За Power Automate US Government околната среда и плановете
Power Automate US Government Плановете са месечни абонаменти и могат да бъдат лицензирани за неограничен брой потребители.
Средата на Power Automate GCC е в съответствие с федералните изисквания за облачни услуги, включително FedRAMP High и DoD DISA IL2. Той също така е в съответствие с изискванията на системите за наказателно правосъдие (CJI типове данни).
В допълнение към характеристиките и възможностите на Power Automate, организациите, които използват Power Automate US Government , се възползват от следните уникални функции:
Клиентското съдържание на вашата организация е физически отделено от клиентското съдържание в търговското предлагане на Power Automate.
Потребителското съдържание на вашата организация се съхранява в САЩ.
Достъпът до потребителското съдържание на вашата организация е ограничен до екранизирания персонал на Microsoft.
Power Automate US Government отговаря на всички сертификати и акредитации, които клиентите от публичния сектор в САЩ изискват.
От септември 2019 г. отговарящите на условията клиенти могат да изберат да се разположат Power Automate US Government в средата GCC High, която позволява еднократна идентификация и безпроблемна интеграция с внедряванията на GCC High Microsoft Office 365 .
Microsoft разработи платформата и нашите оперативни процедури да отговарят на изискванията в съгласие с рамката за съответствие DISA SRG IL4. Очакваме клиентската база на изпълнителя на Министерството на отбраната на САЩ и други федерални агенции, които понастоящем използват GCC High, за да използват Office 365 опцията за разгръщане на Power Automate US Government GCC High. Тази опция позволява и изисква от клиента да използва правителството за идентичност на клиентите, за разлика от GCC, който използва Microsoft Entra публичния Microsoft Entra идентификационен номер. За клиентската база от изпълнители на Министерството на отбраната на САЩ, Microsoft управлява услугата по начин, който позволява на тези клиенти да изпълнят ангажимента на ITAR и правилата за придобиване на DFARS, както е документирано и изисквано от договорите им с Министерството на отбраната на САЩ. Временен орган за експлоатация е предоставен от DISA.
От април 2021 г. отговарящите на условията клиенти вече могат да изберат да се внедрят Power Automate US Government в средата "DoD", която позволява еднократна идентификация и безпроблемна интеграция с Microsoft 365 внедряванията на DoD. Microsoft е разработила платформата и оперативните процедури в съответствие с рамката за съответствие DISA SRG IL5. DISA е предоставила временни правомощия за извършване на дейност.
Допустимост на клиента
Power Automate US Government е на разположение на (1) федерални, щатски, местни, племенни и териториални правителствени органи на САЩ и (2) други субекти, които обработват данни, които са предмет на правителствени разпоредби и изисквания и когато използването им Power Automate US Government е подходящо за изпълнение на тези изисквания, подлежи на валидиране на допустимостта. Проверката на допустимостта на Microsoft включва потвърждение за обработка на данни, предмет на Международните правила за трафик на оръжие (ITAR), данни на правоприлагащите органи, предмет на Правилата на ФБР за информационни услуги в областта на наказателното правосъдие (CJIS) или други регулирани или контролирани от правителството данни. Валидирането може да изисква спонсорство от държавен орган със специфични изисквания за обработка на данни.
Субектите, които имат въпроси относно допустимостта, трябва да се консултират с екипа на Power Automate US Government акаунта си. Microsoft проверява отново допустимостта, когато подновява договорите с клиенти за Power Automate US Government.
Бележка
Power Automate US Government DoD е достъпна само за субекти на DoD.
Power Automate US Government Планове
Достъпът до Power Automate US Government плановете е ограничен до предложенията, описани в следващия раздел; всеки план се предлага като месечен абонамент и може да бъде лицензиран за неограничен брой потребители:
Power Automate Процесен план (преди това Power Automate за поток) за правителството
Power Automate Премиум план (Power Automate на потребител) за правителството
В допълнение към самостоятелните планове, плановете на правителството на САЩ и Dynamics 365 на правителството на САЩ също включват и Microsoft 365 възможности, позволяващи на клиентите да разширяват и персонализират приложенията за ангажиране Power Apps на Power Automate клиентите (Dynamics 365 Sales, Microsoft 365 Dynamics 365 обслужване на клиенти,, Dynamics 365 Field Service и Dynamics 365 Project Service Automation).
Допълнителна информация и подробности относно разликите във функционалността между тези групи лицензи са описани по-подробно тук: Power Automate информация за лицензиране.
Power Automate US Government е достъпна чрез каналите за закупуване на доставчици на корпоративно лицензиране и облачни решения. Понастоящем програмата за доставчик на облачни решения не е достъпна за клиенти на GCC High.
Разлики между данните за клиентите и съдържанието на клиентите
Данни за клиента, както са дефинирани в Условията за онлайн услуги, означава всички данни, включително всички текстови, звукови, видео или графични файлове и софтуер, които се предоставят на Microsoft от клиенти или от името на клиенти чрез използването на Онлайн услуга.
Съдържанието на клиента се отнася до конкретна подгрупа от клиентски данни, които са създадени директно от потребителите, като например съдържание, съхранявано в бази данни чрез записи в Dataverse обектите (например информация за контакт). Съдържанието обикновено се счита за поверителна информация и при нормални сервизни операции не се изпраща по интернет без криптиране.
За повече информация как Power Automate защитава данните на клиентите вж.
Разделяне на данните за облака на общността за държавни организации
Когато се предоставя като част от Power Automate US Government, Power Automate услугата се предлага в съответствие със специалната публикация 800-145 на Националния институт за стандарти и технологии (NIST).
В допълнение към логическото разделяне на съдържанието на клиента в приложния слой, правителствената услуга предоставя на вашата организация вторичен слой на физическа сегрегация за съдържанието на клиента чрез използване на инфраструктура, която е отделна от инфраструктурата, Power Automate използвана за търговски Power Automate клиенти. Това включва използването на услуги на Azure в облака за държавни организации на Azure. За да научите повече, вижте Azure Government.
Съдържание на клиент, намиращ се в Съединените щати
Power Automate US Government работи в центрове за данни, физически разположени в Съединените щати и съхранява клиентско съдържание в покой в центрове за данни, физически разположени само в Съединените щати.
Ограничен достъп до данни от администратори
Достъпът до клиентско съдържание от администраторите на Microsoft е ограничен до Power Automate US Government служители, които са граждани на САЩ. Тези служители преминават разследвания съгласно съответните държавни стандарти.
Power Automate Персоналът по поддръжка и сервизно инженерство няма постоянен достъп до съдържанието на клиентите, хоствано в Power Automate US Government. Всеки персонал, който поиска временно повишаване на разрешението, което би предоставило достъп до клиентско съдържание, трябва първо да е преминал следните проверки на фона.
| Проверка на персонала на Microsoft и проверки на фона 1 | Описание |
|---|---|
| Американско гражданство | Проверка на американско гражданство |
| Проверка на трудовата история | Проверка на седем (7) години трудов стаж |
| Проверка на образованието | Проверка на постигната най-високата степен |
| Търсене на номер на социална осигуровка (SSN) | Проверка дали SSN, който служителите предоставят, е валиден |
| Проверка на криминалната история | Проверка за криминално досие седем (7) години назад за углавни и дребни престъпления срещу щат и област на местно и федерално ниво. |
| Списък за контрол на чуждестранните активи (OFAC) | Проверка срещу списъка на Министерство на финансите на групи, с които лица от САЩ нямат право да участват в търговски или финансови транзакции |
| Списък на Бюрото за промишленост и сигурност (BIS) | Проверка срещу списъка на Департамента по търговия на физически лица и обекти, на които е забранено да участват в износната дейност |
| Списък на забранените лица на Службата за контрол на търговията с отбрана (DDTC) | Проверка срещу списъка на Департамента по състояние на физически лица и обекти, на които е забранено да участват в износната дейност, свързана с отрасъла по отбраната |
| Проверка на пръстови отпечатъци | Проверка на пръстови отпечатъци срещу базата данни на ФБР |
| CJIS фонов скрининг | Държавно отсъдена проверка на криминално досие на федерално и щатско ниво от назначен от CSA на щат орган в рамките на всеки щат, който е подписал програмата Microsoft CJIS IA |
| Министерство на отбраната IT-2 | Персоналът, който поиска повишени разрешения за клиентски данни или привилегирован административен достъп до капацитета на услугите на DoD SRG L5, трябва да премине DoD IT-2 решение, въз основа на успешно разследване на OPM Tier 3. |
1 Прилага се само за персонал с временен или постоянен достъп до клиентско съдържание, хоствано в Power Automate правителствата на САЩ (GCC, GCC High и DoD).
Сертификати и акредитации
Power Automate US Government е предназначена да подкрепи акредитацията на Федералната програма за управление на риска и оторизацията (FedRAMP) на високо ниво на въздействие. Тази програма предполага подравняване към DoD DISA IL2. Артефкатите на FedRAMP са достъпни за преглед от федерални клиенти, които са задължени да спазват FedRAMP. Федералните агенции могат да прегледат тези артефакти в подкрепа на прегледа си, за да предоставят орган за работа (ATO).
Бележка
Power Automate е упълномощен като услуга в рамките на Azure правителство FedRAMP ATO. За повече информация, включително как да получите достъп до документите на FedRAMP, прегледайте пазара на FedRAMP.
Power Automate US Government има функции, предназначени да поддържат изискванията на CJIS политиката на клиентите за правоприлагащите органи. Посетете страницата с Power Automate US Government продукти в центъра за сигурност за по-подробна информация, свързана със сертификатите и акредитациите.
Microsoft проектира тази платформа и нейните оперативни процедури, за да отговори на изискванията за рамките за съответствие DISA SRG, IL4 и IL5 и получи необходимите временни органи на DISA за работа. Microsoft очаква, че клиентската база от изпълнители на Министерството на отбраната на САЩ и други федерални агенции, които понастоящем използват GCC High, за да използват опцията за внедряване на GCC High, която позволява и изисква от клиентите да използват Microsoft Office 365 Power Automate US Government правителството за идентичност на Microsoft Entra клиентите, за разлика от GCC, която използва публичния Microsoft Entra идентификационен номер. За клиентската база от изпълнители на Министерството на отбраната на САЩ, Microsoft управлява услугата по начин, който позволява на тези клиенти да изпълнят ангажимента на ITAR и правилата за придобиване на DFARS. Освен това Microsoft очаква своите клиенти от Министерството на отбраната на САЩ, които в момента използват DoD, да използват Microsoft 365 опцията за внедряване на Power Automate US Government DoD.
Power Automate US Government и други услуги на Microsoft
Power Automate US Government включва няколко функции, които позволяват на потребителите да се свързват и да се интегрират с други предложения за корпоративни услуги на Microsoft, като Office 365 например правителството на САЩ, Power Apps правителството на Dynamics 365 и правителството на САЩ.
Power Automate US Government работи в центровете за данни на Microsoft по начин, съответстващ на модела за разполагане на публичен облак с множество клиенти; въпреки това клиентските приложения, включително, но не само, клиентското приложение на уеб потребителя, мобилното приложение на Power Automate (когато е налично) и клиентските приложение на други производители, които се свързват с Power Automate US Government, не са част от границата на акредитация на Power Automate US Government. Правителствените клиенти са отговорни за управлението им.
Power Automate US Government Използва потребителския интерфейс на администратора на клиенти за администриране и фактуриране на Office 365 клиенти.
Power Automate US Government поддържа действителните ресурси, информационния поток и управлението на данните, като същевременно разчита на предоставянето на визуалните стилове, които се представят на администратора на Office 365 клиента чрез тяхната конзола за управление. За целите на наследяването на FedRAMP ATO, Power Automate US Government използва ATOs на Azure (включително Azure за правителството и Azure DoD) съответно за инфраструктурни и платформени услуги.
Ако приемете използването на Active Directory Federation Services (AD FS) 2.0 и създадете правила ,за да се гарантира, че вашите потребители се свързват с услугите чрез единично вписване, всякакво съдържание на клиента, което е временно кеширано, ще се намира в САЩ.
Power Automate US Government и услуги на трети лица
Power Automate US Government предоставя възможност за интегриране на приложения на трети лица в услугата чрез конектори. Тези приложения и услуги на трети лица може да включват съхраняване, предаване и обработка на клиентските данни на вашата организация на системи на трети лица, които са извън инфраструктурата на Power Automate US Government и следователно не са обхванати от ангажиментите на Power Automate US Government за съответствие и защита на данните.
Съвет
Прегледайте декларациите за поверителност и съответствие, предоставени от третите лица, когато оценявате подходящото използване на тези услуги за вашата организация.
Power Apps и Power Automate съображенията за управление могат да помогнат на вашата организация да повиши осведомеността за наличните възможности в няколко свързани теми, като архитектура, сигурност, предупреждение и действие и мониторинг.
Конфигурирайте мобилни клиенти
Ето стъпките, които трябва да предприемете, за да влезете с мобилния Power Automate клиент.
- На страницата за влизане изберете
(икона на wifi със знак за зъбно колело) в горния десен ъгъл. - Изберете Настройки на регион.
- Изберете GCC: Правителството на САЩ GCC
- Изберете OK.
- На страницата за вход изберете Вход.
Мобилното приложение вече ще използва правителствения облак на САЩ.
Power Automate US Government и Azure Services
Услугите Power Automate US Government са насочени към Microsoft Azure правителството. Microsoft Entra не е част от границата на акредитацията Power Automate US Government , но разчита на Microsoft Entra клиента ID клиент за клиент клиент и функции за самоличност, включително удостоверяване, външно удостоверяване и лицензиране.
Когато потребител на организация, използваща ADFS, се опита да получи достъп Power Automate US Government, потребителят се пренасочва към страница за вход, хоствана на сървъра на ADFS на организацията.
Потребителят предоставя идентификационни данни на ADFS сървъра на своята организация. ADFS сървърът на организацията се опитва да удостовери идентификационните данни с помощта на инфраструктурата на Active Directory на организацията.
Ако удостоверяването е успешно, ADFS сървърът на организацията издава SAML (Security Assertion Markup Language) билет, който съдържа информация за самоличността на потребителя и членството в групата.
ADFS сървърът на клиента подписва този билет, използвайки половината от асиметрична двойка ключове и след това изпраща билета Microsoft Entra чрез криптиран TLS. Microsoft Entra ID валидира подписа с помощта на другата половина от асиметричната двойка ключове и след това предоставя достъп въз основа на билета.
Самоличността на потребителя и информацията за членство в група остават шифровани в Microsoft Entra ИД. С други думи, само ограничена информация, идентифицираща потребителя, се съхранява в Microsoft Entra ID.
Можете да намерите пълни подробности за архитектурата Microsoft Entra на сигурността и изпълнението на контрола в Azure SSP.
Услугите Microsoft Entra за управление на акаунти се хостват на физически сървъри, управлявани от Microsoft Global Foundation Services (GFS). Мрежовият достъп до тези услуги се управлява от управлявани чрез GFS мрежови устройства с помощта на правила, установени от Azure. Потребителите не взаимодействат директно с Microsoft Entra ID.
Power Automate US Government URL адреси на услуги
Използвате различен набор от URL адреси за достъп до Power Automate US Government среди, както е показано в следващата таблица. Таблицата включва и търговските URL адреси за контекстуална справка, в случай че те са ви по-лесно познати.
За тези клиенти, които прилагат мрежови ограничения, осигурете достъп до следните домейни, достъпни за точките за достъп на вашите крайни потребители:
Клиенти на GCC:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Вижте IP диапазоните за AzureCloud.usgovtexas и AzureCloud.usgovvirginia, за да разрешите достъп до Dataverse екземпляри, които потребителите и администраторите могат да създават в рамките на вашия клиент.
GCC Високи клиенти:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Също така направете справка с IP диапазоните, за да имате достъп до други среди, които потребителите и администраторите могат да създават в рамките на вашия клиент и други Dataverse услуги на Azure, които платформата използва, включително:
- GCC и GCC High: Фокусирайте се върху AzureCloud.usgovtexas и AzureCloud.usgovvirginia.
- DoD: Фокусирайте се върху USDoD East и USDoD Central.
Свързаност между Power Automate US Government и публични услуги в облака на Azure
Azure е разпределен между множество облаци. По подразбиране на клиентите е разрешено да отварят правилата на защитната стена към конкретен за облака екземпляр, но междуоблачната мрежа е различна и изисква отваряне на конкретни правила на защитната стена, за да комуникира между услугите. Ако сте Power Automate клиент и имате съществуващи SQL екземпляри в публичния облак на Azure, до които трябва да имате достъп, трябва да отворите конкретни портове на защитната стена в SQL към IP пространството на Azure Government Cloud за следните центрове за данни:
- USGov Virginia
- USGov Texas
- US DoD East
- US DoD Central
Обърнете се към Azure IP Ranges and Service Tags – документ на правителството на САЩ, фокусирайки вниманието върху AzureCloud.usgovtexas и AzureCloud.usgovvirginia и / или US DoD East и US DoD Central, както е отбелязано по-рано в тази статия. Също така имайте предвид, че това са IP диапазоните, необходими на вашите крайни потребители, за да имат достъп до URL адресите на услугите.
Конфигуриране на шлюз за локален данни
Инсталирайте шлюз за данни локален за да прехвърляте данни бързо и сигурно между вградено приложение Power Automate за платно и източник на данни, което не е в облака. Примерите включват локален бази данни на SQL Server или локален SharePoint сайтове.
Ако вашата организация (клиент) е конфигурирала и успешно е свързала шлюза за локален данни за правителството на PowerBI на САЩ, тогава процесът, който вашата организация е следвала, за да разреши това, също позволява локален свързване Power Automate.
По-рано клиентите на правителството на САЩ трябваше да се свържат с поддръжката, преди да конфигурират първия си шлюз за локален данни, тъй като поддръжката ще трябва да даде разрешение на клиента да разреши използването на шлюза. Това вече не е необходимо. Ако срещнете проблеми при конфигурирането или използването на шлюза за данни за локален, можете да се свържете с поддръжката за съдействие.
Power Automate US Government Ограничения на функциите
Microsoft се стреми да поддържа функционално равнопоставеност между нашите услуги, предлагани в търговската мрежа, и тези, предоставяни чрез облаците на правителството на САЩ. Тези услуги се наричат Power Automate Government Community Cloud (GCC) и GCC High. Вижте инструмента за глобална географска достъпност , за да видите къде Power Automate е наличен в целия свят, включително приблизителни срокове за наличност.
Има изключения от принципа за поддържане на функционален паритет на продукта в облаците на правителството на САЩ. За повече информация относно наличността на функцията изтеглете този файл: Бизнес приложения за държавни организации на САЩ - Резюме на наличността.