Microsoft Copilot Studio для клиентов-государственных организаций США
Внимание
Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.
Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.
Эта статья предназначена для клиентов из государственных организаций США, которые развертывают Copilot Studio как часть плана Copilot Studio облака государственного сообщества (GCC). Предоставляется обзор функций, характерных для этих планов.
Планы государственных организаций разработаны с учетом уникальных потребностей учреждений, которые должны отвечать стандартам соответствия требованиям и безопасности США.
Мы рекомендуем вам прочитать эту статью и Обзор Microsoft Copilot Studio.
Описание службы Copilot Studio для государственных организаций США дополняет общее описание службы Copilot Studio. Оно определяет уникальные обязательства и отличия в сравнении со стандартными предложениями Copilot Studio, которые были доступны нашим клиентам с декабря 2019 г.
Планы и среды Microsoft Copilot Studio для государственных организаций США
Лицензирование для планов Copilot Studio для государственных организаций США такие же, как и для общедоступного облака. Они также доступны в рамках модели корпоративного лицензирования и через каналы поставщиков облачных решений. Для получения дополнительной информации см. раздел Назначение пользовательских лицензий и управление доступом.
Среда GCC Copilot Studio удовлетворяет федеральным требованиям для облачных служб, в том числе требованиям программы FedRAMP (уровень High).
Кроме функций Copilot Studio, организации, которые используют планы Copilot Studio для государственных организаций США, получают доступ к следующим уникальным возможностям:
- Клиентский контент вашей организации физически отделен от клиентского контента в планах, не принадлежащих правительству США, для Copilot Studio.
- Содержимое клиента вашей организации хранится в США.
- Доступ к содержимому клиента вашей организации ограничен проверенным персоналом Microsoft.
- Служба Copilot Studio для государственных организаций США прошла все сертификации и аккредитации, которые обязательны для работы с клиентами из государственного сектора США.
Среда GCC High
Начиная с февраля 2022 г. соответствующие клиенты могут выбрать развертывание Copilot Studio для государственных организаций США в среде GCC High.
Корпорация Microsoft разработала платформу и операционные процедуры для соответствия требованиям, согласованным со структурой соответствия DISA SRG IL4 (руководство по требованиям безопасности агентства по защите информационных систем, уровень влияния 4).
Этот параметр позволяет и требует от клиента использовать Microsoft Entra ID для государственных организаций для идентификации клиентов. В этом отличие от GCC, который использует общедоступный Microsoft Entra ID.
Для базы клиентов подрядчика Министерства обороны США Microsoft реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству Международных правил торговли оружием (ITAR) и нормам приобретения Приложения об оборонных закупках к Правилам закупок для федеральных нужд (DFARS), как задокументировано и требуется их контрактами с Министерством обороны США. DISA предоставила временные полномочия на работу.
Соответствие клиента
Планы Copilot Studio для государственных организаций США доступны для:
- (1) учреждениям федерального правительства, правительства штатов, муниципальных властей, племенного и территориального правительства США; и
- (2) другим учреждениям, работающим с данными, к которым применяются государственные нормативы и требования и для которых использование службы Copilot Studio для государственных организаций США позволяет удовлетворить такие требования с учетом валидации доступности.
Проверка Microsoft права на участие включает в себя:
- Подтверждение обработки данных, подлежащих ITAR
- Данные правоохранительных органов, подпадающие под действие политики ФБР в области информационных служб уголовного правосудия (CJIS), или
- Других регулируемых и контролируемых правительством данных
Для валидации может потребоваться одобрение со стороны государственного учреждения с указанием конкретных требований к обработке данных.
Лица с вопросами о праве на участие в Copilot Studio для государственных организаций США должны проконсультироваться со своей службой технической поддержки учетных записей. Майкрософт повторно проводит валидацию доступности службы при продлении контрактов клиента на предоставление планов Copilot Studio для государственных организаций США.
Различия между данными и содержимым клиента
Данные клиентов, как определено в Условиях использования веб-служб, означают все данные, предоставляемые Microsoft клиентами или от их имени, использующими веб-службы. Сюда входят все текстовые, звуковые, видеофайлы, файлы изображений и программное обеспечение.
Контент клиентов относится к определенному подмножеству данных о клиентах, которые были непосредственно созданы пользователями. Это может включать, например, контент, хранящийся в базах данных через записи в сущностях Dataverse (например, контактную информацию). Содержимое обычно считается конфиденциальной информацией и при обычной работе службы не отправляется через Интернет без шифрования.
Дополнительные сведения о том, как Copilot Studio защищает данных клиентов, см. в разделе Центр управления безопасностью веб-служб Microsoft.
Разделение данных для облака государственного сообщества
При подготовке в составе планов Copilot Studio для государственных организаций США служба Copilot Studio предлагается в соответствии со специальной публикацией Национального института стандартизации и технологии (NIST).
В дополнение к логическому разделению содержимого клиентов на уровне приложения, сервис Copilot Studio для государственных организаций США предоставляет вашей организации дополнительный уровень физического разделения содержимого клиентов. Такое разделение достигается за счет использования инфраструктуры, отдельной от инфраструктуры, используемой коммерческими клиентами Copilot Studio. Этот тип использования включает использование служб Azure в государственном облаке Azure. Чтобы узнать больше, см. раздел Azure для государственных организаций.
Содержимое клиента, расположенное в США
Служба Copilot Studio для государственных организаций США работает в центрах обработки данных, физически расположенных в США. Она надежно хранит содержимое клиентов в центрах обработки данных, физически расположенных в США.
Ограниченный доступ к данным для администраторов
Доступ к содержимому клиентов Copilot Studio для государственных организаций США со стороны администраторов Майкрософт ограничен персоналом, являющимся гражданами США. Этот персонала проходит проверку в соответствии с соответствующими государственными стандартами.
Технический персонал службы поддержки и обслуживания Copilot Studio не имеет постоянного доступа к содержимому клиентов, размещенному в службе Copilot Studio для государственных организаций США. Любой персонал, запрашивающей временного увеличения полномочий, которое предоставит доступ к содержимому клиента, сначала должен пройти следующие проверки биографических данных.
| Отбор персонала Майкрософт и проверки биографических данных 1 | Описание |
|---|---|
| Гражданство США | Проверка гражданства США |
| Проверка истории трудоустройства | Проверить семи (7) лет истории трудоустройства |
| Проверка образования | Проверка наивысшей полученной степени |
| Поиск номера социального страхования (SSN) | Проверка действительности предоставляемого сотрудником номера социального страхования (SSN). |
| Проверка уголовного прошлого | Проверка семи (7) лет уголовных записей на предмет тяжких и незначительных правонарушений на уровне штата, округа и местном уровне, а также на федеральном уровне |
| Перечень управления по контролю за иностранными активами (OFAC) | Проверка по перечню Министерства финансов США групп, с которыми персонал США не имеет права вести торговлю или проводить финансовые операции |
| Список Бюро промышленности и безопасности (BIS) | Проверка по списку Министерства торговли лиц и организаций, которым запрещено участвовать в экспортных операциях |
| Перечень запрещенных лиц по контролю торговли с Министерством обороны (DDTC) | Проверка по списку Госдепартамента лиц и организаций, которым запрещено участвовать в экспортных операциях, связанных с оборонной промышленностью |
| Проверка отпечатков пальцев | Проверка отпечатков пальцев по базам данных ФБР |
| Проверка истории в CJIS | Признанная штатом проверка криминальной истории на федеральном уровне и уровне штата, проводимая назначенным CSA штата органом в рамках каждого штата, который подписался на программу Microsoft CJIS IA |
| Министерство обороны IT-2 | Персонал, запрашивающий повышенные разрешения для данных клиентов или привилегированный административный доступ к возможностям служб DoD SRG L5, должен получить разрешение DoD IT-2 на основе успешного расследования OPM уровня 3. |
1. Относится только к персоналу с временным или постоянным доступом к содержимому клиентов, размещенному в Copilot Studio для государственных организаций США (GCC и GCC High)
Сертификация и аккредитация
Планы Copilot Studio для государственных организаций США предназначаются для поддержки аккредитации в программе управления федеральными рисками и авторизации (FedRAMP) на уровне высокого воздействия. Артефакты FedRAMP доступны для проверки федеральными клиентами, которые должны соответствовать требованиям FedRAMP. Федеральные службы могут анализировать такие артефакты в рамках проверки на предоставление допуска к работе (ATO).
Заметка
Copilot Studio разрешен в качестве службы в Azure для государственных организаций FedRAMP ATO.
Для получения дополнительной информации, в том числе о том, как получить доступ к документам FedRAMP, см. FedRAMP Marketplace.
Планы Copilot Studio для государственных организаций США содержат функции, предназначенные для поддержки требований клиентов к политике CJIS для правоохранительных органов.
Copilot Studio для государственных организаций США и другие службы Майкрософт
Планы Copilot Studio для государственных организаций США включают несколько функций, которые позволяют пользователям подключаться и интегрироваться с другими предложениями корпоративных услуг Microsoft, такими как Power Apps и Power Automate US Government.
Службы Copilot Studio для государственных организаций США работают в центрах обработки данных Microsoft в соответствии с моделью развертывания публичного облака с архитектурой обслуживания одним экземпляром приложения нескольких развертываний. Однако клиентские приложения ограничены клиентом веб-пользователя и недоступны в Microsoft Teams. Государственные клиенты сами несут ответственность за клиентскими приложениями.
Планы Copilot Studio для государственных организаций США используют пользовательский интерфейс клиента Office 365 для администрирования клиентов и выставления счетов.
Служба Copilot Studio US Government поддерживает фактические ресурсы, поток информации и управление данными. Для целей наследования разрешения ATO FedRAMP планы Copilot Studio используют разрешения ATO для Azure (включая Azure для государственных организаций) для услуг инфраструктуры и платформы, соответственно.
Если вы начнете использовать службы федерации Active Directory (ADFS) 2.0 и настроите политики, которые позволят вашим пользователям подключаться к службам с помощью единого входа, любое содержимое клиента, которое временно кэшируется, будет размещаться на территории США.
Copilot Studio для государственных организаций США и службы сторонних разработчиков
Планы Copilot Studio для государственных организаций США предоставляют возможность интегрировать сторонние приложения в службу с помощью облачного потока Power Automate, который использует Соединители и Навыки. Эти сторонние приложения и сервисы могут включать хранение, передачу и обработку данных клиентов вашей организации на системах стороннего разработчика, которые находятся вне инфраструктуры Copilot Studio для государственных организаций США. В результате на эти сторонние приложения и службы не распространяются обязательства по соответствию нормативам и защите данных Copilot Studio для государственных организаций США.
Внимание
Ознакомьтесь с заявлениями о конфиденциальности и соответствии, которые предоставляются сторонними поставщиками, при оценке надлежащего использования таких служб для вашей организации.
Соображения по управлению могут помочь вашей организации привлечь внимание к возможностям, доступным в нескольких связанных темах, таких как архитектура, безопасность, предупреждения и действия, а также мониторинг.
Copilot Studio US Government и службы Azure
Службы Copilot Studio для государственных организаций США развернуты в Microsoft Azure для государственных организаций. Microsoft Entra ID не входит в границы аккредитации Copilot Studio для государственных организаций США. Однако службы полагаются на арендатора Microsoft Entra ID клиента для арендатора и функций идентификации клиентов. В них входят:
- Аутентификация
- Федеративная проверка подлинности
- Лицензирование
Если пользователь или организация, использующие ADFS, пытаются получить доступ к службе Copilot Studio для государственных организаций США, пользователь будет перенаправлен на страницу входа, размещенную на сервере ADFS организации.
Пользователь затем должен предоставить учетные данные для входа на сервер ADFS организации. Сервер ADFS организации попытается аутентифицировать учетные данные в инфраструктуре Active Directory организации.
Если аутентификация выполняется успешно, сервер ADFS организации выдает билет SAML, который содержит данные об идентификаторе пользователя и его членстве в группе.
Сервер ADFS клиента подписывает этот билет с помощью одной из половин несимметричной пары ключей и затем отправляет билет в Microsoft Entra ID по зашифрованному протоколу TLS. Microsoft Entra ID проверяет подпись с помощью другой половины несимметричной пары ключей и затем предоставляет доступ на основе билета.
Идентификационные данные пользователя и информация о членстве в группе остаются в зашифрованном виде в Microsoft Entra ID. Другими словами, только ограниченная идентифицируемая пользователем информация хранится в Microsoft Entra ID.
Подробные описания архитектуры безопасности Microsoft Entra ID и реализации управления можно найти в плане безопасности систем Azure (SSP).
Службы управления учетными записями Microsoft Entra ID размещаются на физических серверах, которыми управляют службы GFS (Global Foundation Services) компании Microsoft. Сетевой доступ к таким серверам контролируется управляемыми GFS сетевыми устройствами с применением набора правил Azure. Пользователи не взаимодействуют напрямую с Microsoft Entra ID.
URL-адреса службы Microsoft Copilot Studio для государственных организаций США
Для доступа к средам Copilot Studio для государственных организаций США используется другой набор URL-адресов, как показано в следующей таблице. Таблица также включает коммерческие URL-адреса для контекстной ссылки.
| Коммерческий сектор | Государственные организации США (GCC) | Для государственных организаций США (GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
Для клиентов, которые реализуют ограничения сети, важно обеспечить конечным точкам пользователей доступа доступ к следующим доменам:
Клиенты GCC
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
Чтобы обеспечить доступ к экземплярам Dataverse, которые пользователи и администраторы могут создавать в вашем клиенте, используйте диапазоны IP-адресов для AzureCloud.usgovtexas и AzureCloud.usgovvirginia.
Возможность подключения между Copilot Studio для государственных организаций США и общественными облачными службами Azure
Azure распространяется среди нескольких облаков. По умолчанию клиентам разрешено изменять правила брандмауэра для доступа к экземпляру в определенном облаке, но работа с сетями между облаками имеет свои отличия и требует настройки определенных правил брандмауэра для обеспечения обмена данными между службами. Если вы являетесь клиентом Copilot Studio и владеете существующими экземплярами SQL в публичном облаке Azure, к которому вам необходимо получить доступ, откройте определенные порты брандмауэра в SQL к пространству IP-адресов облака Azure для государственных организаций для следующих центров обработки данных:
USGov Вирджиния
USGov Техас
Ознакомьтесь с документом Диапазоны IP-адресов и сервисные теги Azure — облако для государственных организаций США, обратив внимание на AzureCloud.usgovtexas и AzureCloud.usgovvirginia. Также обратите внимание, что эти диапазоны IP-адресов требуют, чтобы ваши пользователи имели доступ к URL-адресам службы.
Ограничения функций Copilot Studio для государственных организаций США
Некоторые функции, доступные в коммерческой версии Copilot Studio, недоступны клиентам Copilot Studio для государственных организаций США. Команда Copilot Studio активно работает над предоставлением таких возможностей клиентам из числа государственных организаций США. Мы обновим эту статью, когда такие возможности станут доступны.
| Функция или возможность | Доступно в GCC | Доступно в GCC High |
|---|---|---|
| Аналитика Copilot Studio1 | ✖Нет | ✖Нет |
| Интерфейс приложения Copilot Studio Microsoft Teams | ✖Нет | ✖Нет |
| Канал Teams в веб-приложении Copilot Studio | ✔Да | ✖Нет |
| Передача агентам | ✔Да | ✖Нет |
1 В качестве альтернативы вы можете создать Пользовательская аналитика с использованием панели мониторинга Power BI (блог).
Запрос поддержки
Проблема со службой? Можно создать запрос поддержки для устранения проблемы.
Дополнительные сведения см. в разделе Обращение в службу технической поддержки.
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру