Power Automate US Government

En respuesta a los requisitos únicos y en constante evolución del sector público de los Estados Unidos, Microsoft creó los planes de Power Automate US Government. En esta sección se ofrece información general sobre las características que son específicas de Power Automate US Government. Se recomienda leer esta sección complementaria, así como también el tema de introducción del servicio Power Automate. En aras de la brevedad, este servicio se denomina comúnmente Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) o Power Automate Department of Defense (DoD).

La descripción del servicio Power Automate US Government actúa como una superposición de la descripción general del servicio Power Automate. Define los compromisos únicos y las diferencias en comparación con las ofertas generales de Power Automate que están disponibles para nuestros clientes desde octubre de 2016.

Acerca de los entornos y planes de Power Automate US Government

Los planes de Power Automate US Government son suscripciones mensuales y se pueden entregar licencias a un número ilimitado de usuarios.

El entorno de Power Automate GCC cumple con los requisitos federales para los servicios en la nube, incluido FedRAMP High y DoD DISA IL2. También cumple con los requisitos de los sistemas judiciales penales (tipos de datos CJI).

Además de las características y las funcionalidades de Power Automate, las organizaciones que usan Power Automate US Government se benefician de las siguientes características únicas:

  • El contenido de cliente de la organización está físicamente separado del contenido de cliente de la oferta comercial de Power Automate.

  • El contenido del cliente de la organización se almacena en los Estados Unidos.

  • El acceso al contenido de los clientes de la organización se limita a personal de Microsoft que ha sido sometido a investigación de antecedentes.

  • Power Automate US Government cumple con todas las certificaciones y acreditaciones que requieren los clientes del sector público de EE. UU.

A partir de septiembre de 2019, los clientes elegibles pueden elegir implementar Power Automate US Government en el entorno Alto GCC, que permite inicio de sesión único e integración sin problemas con implementaciones de Alto GCC de Microsoft Office 365.

Microsoft ha diseñado la plataforma y nuestros procedimientos operativos para cumplir los requisitos de acuerdo con el marco de cumplimiento de DISA SRG IL4. Esperamos que la base de clientes contratistas del Departamento de Defensa de Estados Unidos y otros organismos federales que actualmente usan GCC High para Office 365 usen la opción de implementación de GCC High para Power Automate US Government. Esta opción permite y requiere que el cliente use Azure AD Government para las identidades de los clientes, a diferencia de GCC, que usa Azure AD público. Para la base de clientes de contratistas del Departamento de Defensa de Estados Unidos, Microsoft opera el servicio de forma que permite a estos clientes cumplir el compromiso ITAR y las normativas de adquisición de DFARS, documentados y requeridos por sus contratos con el Departamento de Defensa de Estados Unidos. DISA ha concedido una Autorización provisional para operar.

A partir de abril de 2021, los clientes elegibles pueden elegir implementar Power Automate US Government en el entorno “DoD", que permite inicio de sesión único e integración sin problemas con implementaciones de Microsoft 365 DoD. Microsoft ha diseñado la plataforma y nuestros procedimientos operativos pde acuerdo con el marco de cumplimiento de DISA SRG IL5. DISA ha otorgado una Autoridad Provisional para Operar.

Elegibilidad de clientes

Power Automate US Government está disponible para (1) las entidades gubernamentales federales, estatales, locales, tribales y territoriales de EE. UU. y (2) otras entidades que administran datos sujetos a normativas y requisitos gubernamentales y donde el uso de Power Automate US Government sea adecuada para cumplir con estos requisitos, sujeto a la validación de idoneidad. La validación de idoneidad de Microsoft incluye la confirmación de administrar datos sujetos al Reglamento estadounidense sobre el tráfico internacional de armas (ITAR), datos policiales sujetos a la directiva de los servicios de información de justicia penal (CJIS) del FBI u otros datos controlados o regulados por el gobierno. Es posible que la validación requiera el patrocinio de una entidad gubernamental con requisitos específicos para la administración de los datos.

Las entidades que tengan preguntas sobre la elegibilidad para Power Automate US Government deben consultar al equipo de cuentas. Microsoft vuelve a validar la idoneidad cuando renueva los contratos de cliente de Power Automate US Government.

Note

Power Automate US Government DoD solo está disponible para entidades DoD.

Planes de Power Automate US Government

El acceso a los planes de Power Automate US Government está restringido a las ofertas que se describen en la sección siguiente y cada plan se ofrece como una suscripción mensual cuya licencia se puede conceder a un número ilimitado de usuarios:

  • Plan por flujo de Power Automate para la Administración Pública

  • Plan por usuario de Power Automate para la Administración Pública

  • Además de los planes independientes, las funcionalidades de los planes de Microsoft 365 US Government y Dynamics 365 US Government también incluyen las capacidades de Power Apps y Power Automate, que permiten a los clientes ampliar y personalizar Microsoft 365 y las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service y Dynamics 365 Project Service Automation).

Encuentre información adicional y los detalles relacionados con las diferencias de funcionalidad entre estos grupos de licencias aquí: Información de licencias de Power Automate.

Power Automate US Government está disponible a través de los canales de compra de proveedor de soluciones en la nube y licencia por volumen. El programa Proveedor de soluciones en la nube no está disponible actualmente para los clientes de GCC High.

Diferencias entre datos de cliente y contenido de cliente

Los datos de los clientes, según lo definido en las condiciones de servicio online, significan todos los datos, incluidos texto, sonido, vídeo, o archivos de imagen y software que se proporcionan a Microsoft por o en nombre de los clientes mediante el uso de un servicio en línea.

El contenido del cliente hace referencia a un subconjunto específico de datos de clientes que han sido creados directamente por los usuarios, como el contenido almacenado en bases de datos mediante entradas en las entidades de Dataverse (por ejemplo, información de contacto). Por lo general, el contenido se considera información confidencial y, en operaciones de servicio normales, no se envía a través de Internet sin cifrado.

Para obtener más información sobre cómo Power Automate protege los datos de clientes, vea el Centro de confianza de Microsoft Online Services.

Segregación de datos para la nube de la comunidad gubernamental

Cuando se provisiona como parte de Power Automate US Government, el servicio Power Automate se ofrece de acuerdo con la Publicación especial 800-145 del National Institute of Standards and Technology (NIST).

Además de la separación lógica de contenido del cliente en la capa de aplicación, el servicio de Power Automate Administración Pública proporciona a la organización una capa secundaria de segregación física para contenido de los clientes mediante una infraestructura que es independiente de la infraestructura utilizada para clientes de Power Automate. Esto incluye el uso de servicios de Azure en la nube gubernamental de Azure. Para obtener más información, consulte Azure Government.

Contenido del cliente ubicado dentro de los Estados Unidos

Power Automate US Government se ejecuta en centros de datos ubicados físicamente en Estados Unidos y almacena el contenido de cliente en reposo en centros de datos ubicados físicamente solo en Estados Unidos.

Acceso de los administradores a datos restringidos

El acceso al contenido del clientes de Power Automate US Government por parte de los administradores de Microsoft está limitado a empleados que son ciudadanos de EE.UU. Estos empleados están sometidos a investigaciones de antecedentes de acuerdo con las normas relevantes del gobierno.

El personal de soporte e ingeniería de servicio de Power Automate no tienen acceso continuo a contenido de clientes hospedado en Power Automate US Government. Cualquier empleado que solicita la elevación temporal del permiso, que concedería acceso a contenido de clientes, primero debe haber superado las siguientes pruebas de antecedentes.

Pruebas de selección y antecedentes de personal de Microsoft1 Descripción
Ciudadanía de EE.UU. Comprobación de la ciudadanía de Estados Unidos
Comprobación del historial laboral Comprobación de historial laboral de siete (7) años
Comprobación de formación Comprobación del grado superior obtenido
Búsqueda de número de seguridad social (SSN) Comprobación de la validez del SSN que proporciona el empleado
Comprobación de antecedentes pernales Comprobación de antecedentes penales de siete (7) año por delitos graves y menores en a nivel del estado, el contado y local y en el nivel federal
Lista de la Oficina de Control de Activos Extranjeros (OFAC) Validación con la lista del Departamento del Tesoro de grupos con los que no se permite a las personas de Estados Unidos participar en transacciones comerciales o financieras
Lista de la Oficina de Industria y Seguridad (BIS) Validación con la lista del Departamento de Comercio de personas y de entidades que tienen prohibido participar en actividades de exportación
Lista de personas inhabilitadas de la Dirección de Control de Comercio de Materiales de Defensa (DDTC) Validación con la lista del Departamento de Estado de personas y de entidades que tienen prohibido participar en actividades de exportación relacionadas con la industria de defensa
Comprobación de huellas dactilares Comprobación de antecedentes de huellas dactilares con las bases de datos del F.B.I.
Examen de antecedentes CJIS Revisión adjudicada por el estado de los antecedentes penales federales y estatales por la autoridad designada CSA de cada estado que se haya suscrito al programa Microsoft CJIS IA
Departamento de Defensa IT-2 El personal que solicite permisos elevados para los datos del cliente o acceso administrativo privilegiado a las capacidades de servicio de DoD SRG L5 debe aprobar la adjudicación DoD IT-2, basada en una investigación OPM de nivel 3 exitosa.

1 Solo se aplica al personal con acceso temporal o permanente a contenido del cliente hospedado en Power Automate US Government (GCC, GCC High, y DoD).

Certificaciones y acreditaciones

Power Automate US Government está diseñado en apoyo del Programa federal de administración de autorizaciones y riesgos (FedRAMP) con un alto nivel de impacto. Este programa infiere la alineación con DoD DISA IL2. Los sistemas de FedRAMP están disponibles para su revisión por clientes federales que deban cumplir FedRAMP. Las agencias federales puede examinar estos artefactos a favor de su revisión para conceder una Autorización de funcionamiento (ATO).

Note

Power Automate está autorizado como servicio dentro de FedRAMP ATO de Azure Government. Para obtener más información, incluido cómo acceder a los documentos de FedRAMP, revise Marketplace de FedRAMP.

Power Automate US Government cuenta con características diseñadas en apoyo de los requisitos de la directiva CJIS de los clientes para agencias encargadas de hacer cumplir la ley. Visite la página de los productos de Power Automate US Government en el Centro de confianza para obtener información más detallada sobre las certificaciones y acreditaciones.

Microsoft diseñó esta plataforma y sus procedimientos operativos para cumplir con los requisitos de los marcos de cumplimiento DISA SRG IL4 e IL5 y DISA ha otorgado las Autoridades Provisionales para Operar. Microsoft anticipa que la base de clientes de contratistas del Departamento de Defensa de Estados Unidos y otras agencias federales se beneficiarán del Alto GCC de Microsoft Office 365 para usar opción de implementación de Alto GCC de Power Automate US Government, que permite y requiere al cliente que aproveche Azure AD Administración Pública para identidades de cliente, en contraste con GCC, que aprovecha el Azure AD público. Para la base de clientes de contratistas del Departamento de Defensa de Estados Unidos, Microsoft opera el servicio de forma que permite a estos clientes cumplir el compromiso ITAR y las normativas de adquisición de DFARS. Además, Microsoft espera que sus clientes del Departamento de Defensa de EE. UU. que actualmente usan Microsoft 365 DoD utilicen la opción de implementación Power Automate US Government DoD.

Power Automate US Government y otros servicios de Microsoft

Power Automate US Government incluye varias características que permiten que los usuarios se conecten e integren a otras ofertas de servicios empresariales de Microsoft como Office 365 Administración Pública para Estados Unidos, Dynamics 365 US Government y Power Apps Administración Pública para Estados Unidos.

Power Automate US Government se ejecuta en centros de datos de Microsoft de forma coherente con un modelo de implementación multiempresa en la nube pública; sin embargo, las aplicaciones cliente incluido entre otros el cliente de usuario web, la aplicación móvil Power Automate (cuando está disponible) y cualquier aplicación cliente de terceros con conexión a Power Automate US Government no forman parte del límite de la acreditación de Power Automate US Government. Los clientes de la administración pública son responsables de su administración.

Power Automate US Government aprovecha la interfaz de usuario del administrador de clientes de Office 365 para la administración y facturación de clientes.

Power Automate US Government mantiene los recursos reales, flujo de información, y la administración de datos, mientras usa Office 365 para proporcionar los estilos de visuales que se muestran al administrador de clientes a través de su consola de administración. A efectos de la herencia de FedRAMP ATO, Power Automate US Government aprovecha ATO de Azure (incluido Azure for Government y Azure DoD) para servicios de infraestructura y plataforma, respectivamente.

Si adopta el uso de Active Directory Federation Services (AD FS) 2.0 y configura directivas para ayudar a garantizar que los usuarios se conectan a los servicios a través de inicio de sesión único, cualquier contenido del cliente que se almacena en caché temporalmente se encontrará en EE.UU.

Power Automate US Government y servicios de terceros

Power Automate US Government proporciona la capacidad de integrar aplicaciones de terceros en el servicio a través de Conectores. Estas aplicaciones y servicios de terceros pueden incluir almacenar, transferir y procesar los datos de los clientes de su organización en sistemas de terceros que están fuera de la infraestructura de Power Automate US Government y, por tanto, no están cubiertos por los compromisos de compatibilidad y protección de datos de Power Automate US Government.

Tip

Revise la declaración de privacidad y el estado de cumplimiento proporcionados por terceros cuando evalúe el uso adecuado de estos servicios para su organización.

Las Consideraciones de gobernanza de Power Apps y Power Automate pueden ayudar a su organización a generar conciencia sobre las capacidades disponibles en varios temas relacionados, como arquitectura, seguridad, alerta y acción, y monitoreo.

Configurar clientes móviles

Estos son los pasos que debe seguir para iniciar sesión con el cliente móvil de Power Automate. Actualmente, solo la versión iOS del cliente móvil admite la conexión a entornos GCC.

  1. En la página de inicio de sesión, seleccione el icono de engranaje en la esquina inferior derecha.
  2. Seleccione Configuración regional.
  3. Seleccione GCC: GCC del gobierno de EE. UU.
  4. Seleccione Aceptar.
  5. En página de inicio de sesión, seleccione Iniciar sesión.

La aplicación móvil ahora utilizará la nube de la Administración Pública de Estados Unidos.

Servicios de Power Automate US Government y Azure

El servicio Power Automate US Government se implementa en Microsoft Azure Government. Azure Active Directory (Azure AD) no es parte del límite de acreditación de Power Automate US Government, pero depende del inquilino de Azure AD del cliente para las funciones del inquilino del cliente y de identidad, incluida la autenticación, la autenticación federada y las licencias.

Cuando un usuario de una organización que emplea ADFS intenta acceder a Power Automate US Government, el usuario es redirigido a una página de inicio de sesión hospedada en el servidor ADFS de la organización.

El usuario proporciona sus credenciales al servidor ADFS de su organización. El servidor ADFS de la organización intenta autenticar las credenciales mediante la infraestructura de Active Directory de la organización.

Si la autenticación se realiza correctamente, el servidor de AD FS de la organización emite un vale de SAML (Lenguaje de marcado de aserción de seguridad) que contiene información sobre la pertenencia a grupos y la identidad del usuario.

El servidor de ADFS de clientes firma este vale mediante una mitad de un par de claves asimétrico y entonces envía el vale a Azure AD a través del TLS cifrado. Azure AD valida la firma mediante la otra mitad del par de claves asimétrico y concede acceso según el vale.

La información de la identidad y la pertenencia al grupo del usuario sigue cifrada en Azure AD. Es decir sólo información limitada identificable por el usuario se almacena en Azure AD.

Encontrará todos detalles completos de implementación de arquitectura y control de seguridad de Azure AD en Azure SSP.

Los servicios de administración de cuentas de Azure AD se hospedan en servidores físicos administrados por Global Foundation Services (GFS) de Microsoft. El acceso de red a estos servidores está controlado por dispositivos de red administrados por GFS mediante las reglas establecidas por Azure. Los usuarios no interactúan directamente con Azure AD.

Direcciones URL del servicio Power Automate US Government

Puede usar un conjunto diferente de direcciones URL para acceder a los entornos de Power Automate US Government, como se muestra en la tabla siguiente. La tabla incluye también las direcciones URL comerciales para la referencia contextual, en caso de que sean más familiares.

Versión comercial Versión para la Administración Pública
https://flow.microsoft.com https://gov.flow.microsoft.us (GCC), https://high.flow.microsoft.us (GCC High), y https://flow.appsplatform.us (DoD)
https://admin.powerplatform.microsoft.com/ https://gcc.admin.powerplatform.microsoft.us/ (GCC), https://high.admin.powerplatform.microsoft.us/ (GCC High) y https://admin.appsplatform.us (DoD)
https://flow.microsoft.com/connectors https://gov.flow.microsoft.us/connectors (GCC), https://high.flow.microsoft.us/connectors (GCC High), https://flow.appsplatform.us/connectors/ (DoD)

Para los clientes que implementan restricciones de red, asegúrese de que el acceso a los dominios siguientes está disponible para los puntos de acceso de los usuarios finales:

Clientes de GCC:

  • .microsoft.us
  • .azure-apihub.us
  • .azure.us
  • .usgovcloudapi.net
  • .microsoftonline.com
  • .microsoft.com
  • .windows.net
  • .azureedge.net
  • .azure.net
  • .crm9.dynamics.com

Consulte los intervalos IP de AzureCloud.usgovtexas y AzureCloud.usgovvirginia para habilitar el acceso a instancias de Dataverse que los usuarios y los administradores pueden crear en el inquilino.

Cleintes de GCC High:

  • .microsoft.us
  • .azure-apihub.us
  • .azure.us
  • .usgovcloudapi.net
  • .microsoftonline.us
  • .azureedge.net
  • .azure.net
  • .crm.microsoftdynamics.us(GCC High)
  • *.high.dynamics365portals.us (GCC High)
  • *.crm.appsplatform.us (DoD)
  • *.appsplatformportals.us (DoD)

Además, consulte los intervalos IP para permitirle acceder a otros entornos de Dataverse que los usuarios y administradores pueden crear dentro de su inquilino y otros servicios de Azure que aprovecha la plataforma, incluidos:

  • GCC y GCC High: enfoque en AzureCloud.usgovtexas and AzureCloud.usgovvirginia.
  • DoD: enfoque en USDoD East and USDoD Central.

Conectividad entre Power Automate US Government y Azure Cloud Services público

Azure se distribuye entre varias nubes. De manera predeterminada, se permite a los inquilinos abrir reglas del firewall para una instancia específica de la nube, pero las redes entre las nubes son diferentes y es necesario abrir reglas de firewall específicas para la comunicación entre los servicios. Si es un cliente de Power Automate y ya tiene instancias de SQL en la nube pública de Azure donde necesita tener acceso, debe abrir puertos del firewall específicos en SQL para el espacio de direcciones IP de la nube de Azure Government, para los centros de datos siguientes:

  • USGov Virginia
  • USGov Texas
  • US DoD (este)
  • US DoD (centro)

Consulte el documento etiquetas de servicio e intervalos IP de Azure: nube de la Administración Pública de Estados Unidos, centrando la atención en AzureCloud.usgovtexas y AzureCloud.usgovvirginia, y/o US US DoD (este) y US DoD (centro) como se señaló anteriormente en este artículo. Tenga en cuenta que estos son los intervalos IP que se requieren para que los usuarios finales tienen acceso a las direcciones URL de servicio.

Configuración de la puerta de enlace de datos local

Instale una puerta de enlace de datos local para transferir datos de manera rápida y segura entre una aplicación de lienzo integrada en Power Automate y un origen de datos que no está en la nube. Algunos ejemplos incluyen sitios de SharePoint locales o bases de datos SQL Server locales.

Si la organización (inquilino) ya está configurada y se conectó correctamente a la puerta de enlace de datos local de PowerBI Administración Pública para Estados Unidos, el proceso que la organización siguió para habilitarla también habilitará la conectividad local para Power Automate.

Anteriormente, los clientes del gobierno de los EE. UU. Necesitaban ponerse en contacto con el soporte antes de configurar su primera puerta de enlace de datos local, porque el soporte debía otorgar permiso al inquilino para permitir el uso de la puerta de enlace. Esto ya no es necesario. Si tiene algún problema al configurar o usar la puerta de enlace de datos local, puede comunicarse con el soporte para obtener ayuda.

Limitaciones de características de Power Automate US Government

Algunas de las características disponibles en la versión comercial de Flow no están disponibles para los clientes de Flow Administración Pública para Estados Unidos. El equipo de Power Automate está trabajando activamente para que estas características estén disponibles para los clientes de la Administración Pública para Estados Unidos y actualizará este artículo en cuanto estén disponibles.

  • AI Builder aún no está disponible en inquilinos del Departamento de Defensa.

  • Las aprobaciones están disponibles, sujeto a lo siguiente:

    • No hay soporte de aprobación procesable. Los correos electrónicos de aprobación contendrán enlaces al centro de aprobaciones de Power Automate para que los usuarios respondan.
    • No hay compatibilidad de Markdown para el correo electrónico de aprobación.
    • Las aprobaciones no están disponibles en los inquilinos del Departamento de Defensa.
  • Envío de una plantilla a la galería de Microsoft Flow

  • Conectores: se han publicado los conectores más populares que se usan en nuestro servicio comercial (en función de la telemetría de uso); si hay un conector disponible en la oferta comercial que no vea implementado, póngase en contacto con el servicio de soporte técnico y revisaremos su solicitud.

Note

No se agregarán conectores de terceros a GCC High ni DoD.

Microsoft está investigando la característica de prevención de pérdida de datos (DLP), considerando la posibilidad de que los conectores se bloqueen por defecto. Hasta que esto sea posible, los conectores de terceros representan una amenaza mensurable para las organizaciones que dependen del entorno GCC High para mantener los controles de exfiltración de datos necesarios.

  • Power BI – Power Automate US Government no admite Power BI.

  • Centro de administración de Power Platform: puede usar el centro de administración para abrir vales de soporte, pero otra funcionalidad no está disponible actualmente en inquilinos de la Administración Pública de Estados Unidos.

  • Flujos de escritorio - Para instalar la puerta de enlace de datos local en DoD, vaya a Datos > Puertas de enlace en la barra de navegación de la izquierda y, a continuación, seleccione Nueva puerta de enlace.

Consulte también