Power Automate US Government
Per soddisfare i requisiti unici e in continua evoluzione del settore pubblico statunitense, Microsoft ha creato i piani di Power Automate US Government. Questa sezione contiene informazioni generali sulle funzionalità specifiche di Power Automate US Government. È consigliabile leggere questa sezione supplementare, oltre all'argomento introduttivo sul servizio Power Automate. Per brevità, questo servizio è comunemente indicato come Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High), o Power Automate Department of Defense (DoD).
La descrizione del servizio Power Automate US Government è un approfondimento della descrizione del servizio Power Automate generale. Definisce gli impegni unici e le differenze rispetto alle offerte di Power Automate generale disponibili per i clienti da ottobre 2016.
Informazioni su piani e ambienti di Power Automate US Government
I piani di Power Automate US Government sono sottoscrizioni mensili e possono essere concessi in licenza a un numero illimitato di utenti.
L'ambiente Power Automate GCC è conforme ai requisiti federali per i servizi cloud, inclusi FedRAMP High e DoD DISA IL2. È anche conforme ai requisiti per i sistemi di giustizia penale (tipi di dati CJI).
Oltre alle caratteristiche e alle funzionalità di Power Automate, le organizzazioni che usano Power Automate US Government usufruiscono delle caratteristiche esclusive seguenti:
I contenuti dei clienti dell'organizzazione sono fisicamente separati dai contenuti dei clienti nell'offerta commerciale di Power Automate.
Il contenuto del cliente dell'organizzazione viene archiviato negli Stati Uniti.
L'accesso al contenuto del cliente dell'organizzazione è limitato al personale di Microsoft soggetto a screening.
Power Automate US Government è conforme a tutte le certificazioni e gli accreditamenti richiesti dai clienti del settore pubblico degli Stati Uniti.
A partire da settembre 2019, i clienti ammissibili possono scegliere di distribuire Power Automate US Government all'ambiente GCC High, che consente Single Sign-On e un'integrazione ottimizzata con le distribuzioni di Microsoft Office 365 GCC High.
Microsoft ha progettato la piattaforma e le nostre procedure operative per soddisfare i requisiti secondo il framework di conformità DISA SRG IL4. Si prevede che la base di clienti terzisti del DOD (Department of Defense) degli Stati Uniti e altre agenzie federali che attualmente usano Office 365 GCC High useranno l'opzione di distribuzione Power Automate US Government GCC High. Questa opzione consente e richiede al cliente di usare Microsoft Entra per enti pubblici per le identità dei clienti, a differenza di GCC, che sfrutta la versione pubblica di Microsoft Entra ID. Per la nostra base di clienti del Dipartimento della difesa degli Stati Uniti, Microsoft opera il servizio in un modo che consente a tali clienti di soddisfare la regolamentazione ITAR e le norme di acquisizione DFARS, come documentato e richiesto dai relativi contratti con il Dipartimento della difesa degli Stati Uniti. DISA ha concesso a un'autorità provvisoria di operare.
A partire dall'aprile 2021, i clienti ammissibili possono scegliere di distribuire Power Automate US Government all'ambiente "DoD", che consente Single Sign-On e un'integrazione ottimizzata con le distribuzioni DoD Microsoft 365. Microsoft ha progettato la piattaforma e le procedure operative nel rispetto del framework di conformità DISA SRG IL5. DISA ha concesso un'autorizzazione provvisoria a operare (P-ATO).
Idoneità dei clienti
Power Automate US Government è disponibile per (1) enti pubblici federali, statali, locali, tribali e territoriali degli Stati Uniti e (2) altri enti che gestiscono dati soggetti a normative e requisiti governativi e, ove l'uso di Power Automate US Government è appropriato per soddisfare questi requisiti, soggetti alla convalida dell'idoneità. La convalida dell'idoneità di Microsoft include la conferma della gestione di dati soggetti a ITAR (International Traffic in Arms Regulations), dati delle forze dell'ordine soggetti ai criteri CJIS (Criminal Justice Information Services) dell'FBI o altri dati regolamentati o controllati dal governo. La convalida potrebbe richiedere la sponsorizzazione di un ente pubblico con requisiti specifici per la gestione dei dati.
Le entità con domande sull'idoneità per Power Automate US Government dovrebbero consultare il proprio team di account. Microsoft riconvalida l'idoneità quando rinnova i contratti dei clienti per Power Automate US Government.
Nota
Power Automate US Government DoD è disponibile solo per le entità DoD.
Piani di Power Automate US Government
L'accesso ai piani di Power Automate US Government è limitato alle offerte descritte nella sezione seguente. Ogni piano è disponibile come sottoscrizione mensile e può essere concesso in licenza a un numero illimitato di utenti:
Piano Power Automate Process (in precedenza Power Automate per flusso) per enti pubblici
Piano Power Automate Premium (Power Automate per utente) per enti pubblici
Oltre ai piani standalone, i piani Microsoft 365 US Government e Dynamics 365 US Government includono anche le funzionalità Power Apps e Power Automate consentono ai clienti di estendere e personalizzare Microsoft 365 e le app di coinvolgimenti dei clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, e Dynamics 365 Project Service Automation).
Per altre informazioni e dettagli sulle differenze in termini di funzionalità tra questi gruppi di licenze, vedi le informazioni sulle licenze di Power Automate.
Power Automate US Government è disponibile tramite i canali di acquisto Volume Licensing e Cloud Solution Provider. Il programma Cloud Solution Provider non è attualmente disponibile per i clienti GCC High.
Differenze tra dati dei clienti e contenuti dei clienti
Come definito dalle Condizioni per l'utilizzo del servizio online, con dati dei clienti si intendono tutti i dati, inclusi tutti i file di testo, audio, video o immagine, e tutto il software forniti a Microsoft dal cliente o per suo conto tramite l'utilizzo del servizio online.
Per contenuto dei clienti si intende un sottoinsieme specifico dei dati dei clienti creati direttamente dagli utenti, come i contenuti archiviati in database tramite voci nelle entità di Dataverse (ad esempio informazioni di contatto). I contenuti sono in genere considerati informazioni riservate e, nelle normali operazioni del servizio, non vengono inviati via Internet senza crittografia.
Per ulteriori informazioni sulla protezione di Power Automate per i dati dei clienti, vedi Centro protezione Microsoft Online Services.
Segregazione di dati per Government Community Cloud
Quando fornito come parte di Power Automate US Government, il servizio Power Automate viene offerto in conformità alle norme stabilite in National Institute of Standards and Technology (NIST) Special Publication 800-145.
Oltre alla separazione logica di contenuto dei clienti a livello di applicazione, il servizio Power Automate Government fornisce all'organizzazione un secondo livello di segregazione fisica per il contenuto dei clienti utilizzando un'infrastruttura separata da quella utilizzata per i clienti aziendali di Power Automate. Viene incluso l'utilizzo dei servizi di Azure nel Government Cloud di Azure. Per ulteriori informazioni, vedi Azure per enti pubblici.
Contenuto dei clienti ubicato negli Stati Uniti
Power Automate US Government viene eseguito in data center fisicamente ubicati negli Stati Uniti e archivia i contenuti dei clienti inattivi in data center fisicamente ubicati solo negli Stati Uniti.
Accesso a dati limitato per gli amministratori
L'accesso al contenuto di un cliente di Power Automate US Government da parte degli amministratori Microsoft è limitato al personale con cittadinanza statunitense. Tale personale verrà sottoposto a verifica in conformità con le normative governative vigenti.
Il personale tecnico addetto all'assistenza e al supporto di Power Automate non ha accesso al contenuto dei clienti ospitato in Power Automate US Government. Il personale che richiede un'elevazione temporanea delle autorizzazioni per ottenere l'accesso al contenuto dei clienti deve dapprima superare i seguenti controlli in background.
| Screening e controlli in background del personale Microsoft1 | Descrizione |
|---|---|
| Cittadinanza statunitense | Verifica delle cittadinanza statunitense |
| Controllo dello storico di impiego | Verifica dello storico di impiego degli ultimi sette anni |
| Verifica dei titoli di studio | Verifica del titolo di studio più elevato ottenuto |
| Ricerca del numero di previdenza sociale (SSN) | Verifica che il codice fiscale fornito dai dipendenti sia valido |
| Verifica della fedina penale | Verifica della fedina penale negli ultimi 7 anni per reati gravi e minori a livello di stato, contea, locale e federale |
| Elenco OFAC (Office of Foreign Assets Control) | Convalida in base all'elenco del Dipartimento del tesoro dei gruppi con cui i cittadini degli Stati Uniti non devono avere relazioni commerciali o svolgere transazioni finanziarie |
| Elenco BIS (Bureau of Industry and Security) | Convalida in base all'elenco del Dipartimento del commercio di individui e entità che non possono svolgere attività di esportazione |
| Elenco DDTC (Defense Trade Controls Debarred Persons) | Convalida in base all'elenco del Dipartimento di stato di individui e entità che non possono svolgere attività di esportazione riguardanti il settore della difesa |
| Controllo delle impronte digitali | Verifica in background delle impronte digitali con i database dell'FBI |
| Screening CJIS in background | Verifica della fedina penale a livello federale e statale da parte dell'autorità competente in ogni stato che partecipa al programma Microsoft CJIS IA |
| Department of Defense IT-2 | Il personale che richiede autorizzazioni di livello elevato per i dati dei clienti o accesso amministrativo privilegiato alle capacità del servizio DoD SRG L5 deve superare il giudizio DoD IT-2, basato su un'indagine OPM Tier 3 con esito positivo. |
1 Si applica solo al personale con accesso temporaneo o permanente ai contenuti dei clienti ospitati in Power Automate US Government (GCC, GCC High e DoD).
Certificazioni e accreditamenti
Power Automate US Government è progettato per supportare l'accreditamento FedRAMP (Federal Risk and Authorization Management) a livello di impatto elevato. Questo programma deduce l'allineamento con DoD DISA IL2. Le disposizioni FedRAMP sono disponibili per la revisione da parte dei clienti federali che devono rispettarne la conformità. Le agenzie federali possono consultare questi elementi per supportare la revisione e poter concedere un'autorizzazione ATO (Authority to Operate).
Nota
Power Automate è autorizzato come servizio nell'ATO FedRAMP di Azure per enti pubblici. Per altre informazioni, tra cui come accedere ai documenti FedRAMP, rivedi il Mercato FedRAMP.
In Power Automate US Government sono disponibili funzionalità per supportare i requisiti e i criteri CJIS per le agenzie incaricate dell'applicazione della legge. Per informazioni più dettagliate su certificazioni e accreditamenti, visitare la pagina dei prodotti di Power Automate US Government nel Centro protezione.
Microsoft ha progettato questa piattaforma e le procedure operative per soddisfare i requisiti per i framework di conformità DISA SRG IL4 e IL5 e ha ricevuto le necessarie autorizzazioni provvisorie a operare da DISA. Microsoft prevede che i clienti che collaborano con il Dipartimento della Difesa degli Stati Uniti e altre agenzie federali che attualmente usano Microsoft Office 365 GCC High useranno l'opzione di distribuzione di Power Automate US Government GCC High, che, contrariamente a GCC che usa Microsoft Entra pubblico, consente e richiede ai clienti di usare Microsoft Entra ID per enti pubblici per le identità dei clienti. Per la base di clienti del Dipartimento della difesa degli Stati Uniti, Microsoft opera il servizio in un modo che consente a tali clienti di soddisfare la regolamentazione ITAR e le norme di acquisizione DFARS. Inoltre, Microsoft si aspetta i suoi clienti del Dipartimento della Difesa degli Stati Uniti che attualmente utilizzano Microsoft 365 DoD, utilizzino l'opzione di distribuzione Power Automate US Government DoD.
Power Automate US Government e altri servizi Microsoft
Power Automate US Government include diverse funzionalità che consentono agli utenti di connettersi e integrarsi con altre offerte di servizi aziendali Microsoft, ad esempio Office 365 US Government, Dynamics 365 US Government e Power Apps US Government.
Power Automate US Government viene eseguito nei data center Microsoft in modo uniforme in base a un modello di distribuzione di cloud pubblico multi-tenant. Le applicazioni client, tuttavia, incluse, in via esemplificativa, le applicazioni client Web, l'applicazione per dispositivi mobili Power Automate (se disponibile) e qualsiasi applicazione client di terze parti che si connette a Power Automate US Government non fanno parte dell'ambito di accreditamento di Power Automate US Government. I clienti governativi sono responsabili della gestione di tali applicazioni.
Power Automate US Government utilizza l'interfaccia utente di gestione clienti di Office 365 per le attività di amministrazione e fatturazione al cliente.
Power Automate US Government gestisce le risorse effettive, il flusso di informazioni e i dati, mentre si basa su Office 365 per fornire stili visivi presentati all'amministratore dei clienti tramite la console di gestione. Per scopi previsti dall'ereditarietà ATO di FedRAMP, Power Automate US Government utilizza gli ATO Azure (inclusi Azure per enti pubblici e Azure DoD) per servizi di infrastruttura e di piattaforma rispettivamente.
Se utilizzi Active Directory Federation Services (AD FS) 2.0 e imposti criteri per consentire agli utenti di connettersi ai servizi tramite Single Sign-On, qualsiasi contenuto del cliente memorizzato nella cache sarà disponibile negli Stati Uniti.
Power Automate US Government e servizi di terze parti
Power Automate US Government offre la possibilità di integrare applicazioni di terze parti nel servizio tramite connettori. Tali applicazioni e servizi potrebbero prevedere l'archiviazione, la trasmissione e l'elaborazione dei dai del cliente della tua organizzazione su sistemi di terze parti esterni all'infrastruttura di Power Automate US Government e pertanto non sono coperti dagli impegni di rispetto della conformità e di protezione dei dati di Power Automate US Government.
Suggerimento
Vedere le informative sulla privacy e sulla conformità fornite dalle terze parti quando si valuta se l'uso di questi servizi è appropriato per l'organizzazione.
L'articolo Considerazioni sulla sicurezza e sulla governance di Power Apps e Power Automate può aiutare l'organizzazione a sensibilizzare sulle funzionalità disponibili per diversi temi correlati, come architettura, sicurezza, avvisi, azioni e monitoraggio.
Configurare i client per dispositivi mobili
Di seguito sono riportati i passaggi da eseguire per accedere con il clienti per dispositivi mobili Power Automate.
- Nella pagina di accesso, seleziona
(un'icona wifi con l'ingranaggio) nell'angolo superiore destro. - Seleziona le Impostazioni area.
- Seleziona GCC: Governo degli Stati Uniti GCC
- Seleziona OK.
- Nella pagina di accesso, seleziona Accedi.
L'applicazione per dispositivi mobili ora utilizzerà il Cloud governo degli Stati Uniti.
Power Automate US Government e servizi di Azure
I servizi di Power Automate US Government sono distribuiti a Microsoft Azure per enti pubblici. Microsoft Entra non fa parte dell'ambito di accreditamento di Power Automate US Government, ma fa affidamento sul tenant Microsoft Entra ID di un cliente per le funzioni relative all'identità e al tenant del cliente, tra cui autenticazione, autenticazione federata e licenze.
Quando un utente di un'organizzazione che utilizza AD FS tenta di accedere a Power Automate US Government, l'utente viene reindirizzato a una pagina di accesso ospitata nel server AD FS dell'organizzazione.
L'utente specifica le proprie credenziali al server AD FS dell'organizzazione. Il server AD FS dell'organizzazione prova ad autenticare le credenziali usando l'infrastruttura di Active Directory dell'organizzazione.
Se l'autenticazione ha esito positivo, il server AD FS dell'organizzazione rilascia un ticket SAML (Security Assertion Markup Language) che contiene le informazioni sull'appartenenza a gruppi e sull'identità dell'utente.
Il server del file system distribuito di Azure del cliente firma il ticket utilizzando una metà di una coppia di chiavi asimmetriche e invia il ticket ad Microsoft Entra tramite il protocollo TLS crittografato. Microsoft Entra ID convalida la firma usando l'altra metà della coppia di chiavi asimmetriche e quindi concede l'accesso in base al ticket.
Le informazioni sull'identità e sull'appartenenza a gruppi dell'utente rimangono crittografate in Microsoft Entra ID. In altre parole, solo poche informazioni personali dell'utente vengono archiviate in Microsoft Entra ID.
Puoi trovare i dettagli completi sull'implementazione dell'architettura e il controllo di sicurezza di Microsoft Entra in Azure SSP.
I servizi di gestione di account Microsoft Entra sono ospitati nei server fisici gestiti dai servizi GFS (Global Foundation Services) di Microsoft. L'accesso alla rete per questi server è controllato da dispositivi di rete gestiti da GFS tramite regole impostate da Azure. Gli utenti non interagiscono direttamente con Microsoft Entra ID.
URL del servizio Power Automate US Government
Usi un diverso set di URL per accedere agli ambienti di Power Automate US Government, come indicato nella tabella seguente. La tabella include anche gli URL commerciali come riferimento contestuale, nel caso in cui risultino più familiari.
Per i clienti che implementano restrizioni di rete, verifica che l'accesso ai seguenti domini sia reso disponibile ai punti di accesso degli utenti finali:
Clienti GCC:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Vedi gli intervalli di indirizzi IP per AzureCloud.usgovtexas e AzureCloud.usgovvirginia per consentire l'accesso alle istanze di Dataverse che possono essere create dagli utenti e dagli amministratori all'interno del tenant.
Clienti GCC High:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Fai inoltre riferimento a intervalli IP per l'abilitazione all'accesso ad altri ambienti Dataverse che utenti e amministratori possono creare nel tuo tenant e ad altri servizi Azure utilizzati dalla piattaforma, tra cui:
- GCC e GCC High: focus su AzureCloud.usgovtexas e AzureCloud.usgovvirginia.
- DoD: focus su USDoD East and USDoD Central.
Connettività tra Power Automate US Government e servizi cloud di Azure pubblico
Azure viene distribuito su più cloud. Per impostazione predefinita, ai tenant è consentito aprire le regole del firewall a un'istanza specifica del cloud, ma la rete tra cloud è diversa e richiede l'apertura di specifiche regole del firewall per la comunicazione tra servizi. I clienti di Power Automate che hanno istanze di SQL esistenti nel cloud pubblico di Azure a cui accedere devono aprire porte del firewall specifiche in SQL allo spazio IP del cloud di Azure per enti pubblici per i data center seguenti:
- USGov Virginia
- USGov Texas
- US DoD East
- US DoD Central
Fai riferimento al documento Intervalli IP di Azure e tag di servizio - US Government Cloud incentrato su AzureCloud.usgovtexas e AzureCloud.usgovvirginia, e/o su US DoD (area orientale) e US DoD (area centrale) come indicato in precedenza in questo articolo. Si noti anche che questi sono gli intervalli IP necessari agli utenti finali per accedere agli URL del servizio.
Configurazione del gateway dati locale
Installa un gateway dati locale per trasferire i dati rapidamente e in modo sicuro tra un'app canvas incorporata in Power Automate e un'origine dati che non è nel cloud. Ne sono esempi i database SQL Server locali o i siti di SharePoint locali.
Se l'organizzazione (tenant) ha configurato e connesso il gateway dati locale per Power BI US Government, il processo seguito dall'organizzazione per l'abilitazione abilita anche la connettività locale per Power Automate.
In precedenza, i clienti del governo degli Stati Uniti dovevano contattare l'assistenza prima di configurare il loro primo gateway dati locale, perché l'assistenza avrebbe dovuto concedere l'autorizzazione al tenant per consentire l'utilizzo del gateway. Questa operazione non è più necessaria. In caso di problemi durante la configurazione o l'uso del gateway dati locale, puoi contattare l'assistenza per ottenere supporto.
Limiti di funzionalità per Power Automate US Government
Microsoft si impegna a mantenere la parità funzionale tra i servizi disponibili in commercio e quelli abilitati tramite i cloud US Government. Questi servizi sono indicati come Power Automate Government Community Cloud (GCC) e GCC High. Fai riferimento allo strumento Disponibilità geografica globale per vedere dove Power Automate è disponibile nel mondo, comprese le tempistiche di disponibilità approssimative.
Esistono eccezioni al principio del mantenimento della parità funzionale del prodotto nei cloud US Government. Per ulteriori informazioni sulla disponibilità delle funzionalità, scarica il file Business Applications US Government - Riepilogo della disponibilità.