Power Automate US Government
Som svar på de unike og voksende kravene til offentlig sektor i USA, har Microsoft opprettet Power Automate US Government-planer. Denne delen gir en oversikt over funksjoner som er spesifikke for Power Automate US Government. Vi anbefaler at du leser denne ekstra delen i tillegg til emnet komme i gang med Power Automate-tjenesten. Denne tjenesten kalles vanligvis Power Automate Government Community Cloud (GCC), Power Automate Government Community Cloud – High (GCC High) eller Power Automate Department of Defense (DoD).
Tjenestebeskrivelsen av Power Automate US Government fungerer som et overlegg til den generelle tjenestebeskrivelsen for Power Automate. Den definerer de unike forpliktelsene og forskjellene sammenlignet med de generelle Power Automate-tilbudene som har vært tilgjengelige for kundene våre siden oktober 2016.
Om Power Automate US Government-miljøer og -planer
Power Automate US Government-planer er månedlige abonnementer, og de kan lisensieres til et ubegrenset antall brukere.
Power Automate GCC-miljøet samsvarer med de føderale kravene for skytjenester, herunder FedRAMP High og DoD DISA IL2. Det samsvarer også med kravene til de strafferettslige systemene (CJI-datatyper).
I tillegg til funksjonene til Power Automate drar organisasjoner som bruker Power Automate US Government nytte av disse unike funksjonene:
Kundeinnholdet til organisasjonen er fysisk atskilt fra kundeinnholdet i kommersielle Power Automate-tilbud.
Organisasjonens kundeinnhold lagres i USA.
Tilgang til organisasjonens kundeinnhold er begrenset til godkjente Microsoft-ansatte.
Power Automate US Government samsvarer med alle sertifiseringer og akkrediteringer som kunder i offentlig sektor i USA krever.
Fra september 2019 kan berettigede kunder nå velge å distribuere Power Automate US Government til GCC High-miljøet, som muliggjør enkel pålogging og sømløs integrasjon med Microsoft Office 365 GCC High-distribusjoner.
Microsoft har utformet plattformen og våre driftsprosedyrer for å oppfylle kravene i henhold til DEAK SRG IL4-rammeverket for samsvar. Vi forventer at kundedatabasen over entreprenører til US Department of Defense og andre føderale avdelinger som for øyeblikket benytter Office 365 GCC High, vil benytte distribusjonsalternativet Power Automate US Government GCC High. Dette alternativet gjør kunden i stand til og krever at de benytter Microsoft Entra Government for kundeidentiteter, i motsetning til GCC som benytter det offentlige Microsoft Entra ID. For kundebasen til det amerikanske forsvarsdepartementets oppdragstaker driver Microsoft tjenesten på en måte som gjør det mulig for disse kundene å overholde ITAR-forpliktelsen og DFARS-anskaffelsesforskriftene, som dokumentert og påkrevd i kontraktene med det amerikanske forsvarsdepartementet. En provisorisk myndighet til å drive gis av DISA.
Fra april 2021 kan berettigede kunder nå velge å distribuere Power Automate US Government til DoD-miljøet, som muliggjør enkel pålogging og sømløs integrasjon med Microsoft 365 DoD-distribusjoner. Microsoft har utformet plattformen og driftsprosedyrene i samsvar med DISA SRG IL5-rammeverket. DISA har gitt en provisorisk myndighet til å drive.
Kunderettighet
Power Automate US Government er tilgjengelig for (1) føderale, statlige, lokale, stammebaserte og territoriale offentlige enheter i USA, og (2) andre enheter som håndterer data som er underlagt offentlige regler og krav, og der bruk av Power Automate US Government er riktig for å oppfylle disse kravene, så fremt kunden kan bevise at vedkommende er kvalifisert. Microsofts validering av kundekvalifisering inkluderer bekreftelse på håndtering av data som er underlagt International Traffic in Arms Regulations (ITAR), håndhevingsdata underlagt FBIs Criminal Justice Information Services (CJIS), eller andre offentlig regulerte eller kontrollerte data. Validering kan kreve sponsing av en offentlig enhet med bestemte krav for håndtering av data.
Enheter med spørsmål om rettigheter til Power Automate US Government, bør ta kontakt med sine kontoteam. Microsoft validerer kvalifiseringen på nytt når det fornyer kundekontrakter for Power Automate US Government.
Merk
Power Automate US Government DoD er bare tilgjengelig for DoD-enheter.
Power Automate US Government-planer
Tilgang til Power Automate US Government-planer er begrenset til tilbudene som er beskrevet i delen nedenfor. Hver plan tilbys som et månedlig abonnement og kan lisensieres til et ubegrenset antall brukere:
Power Automate Process-plan (tidligere kal Power Automate per flyt-plan) for offentlig sektor
Power Automate Premium-plan (Power Automate per user) for offentlig sektor
I tillegg til de frittstående planene omfatter planene Microsoft 365 US Government og Dynamics 365 US Government også Power Apps- og Power Automate-funksjonene slik at kunder kan utvide og tilpasse Microsoft 365 og kundeengasjementsapper (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service og Dynamics 365 Project Service Automation).
Ytterligere informasjon og detaljer om forskjellene i funksjonalitet mellom disse gruppene av lisenser er beskrevet i detalj her: Lisensinformasjon for Power Automate.
Power Automate US Government er tilgjengelig gjennom volumlisensiering og kanaler for kjøp av leverandør av skyløsninger. Programmet for leverandører av skyløsninger er for øyeblikket ikke tilgjengelig for GCC High-kunder.
Forskjeller mellom kundedata og kundeinnhold
Kundedata, slik det er definert i nettbaserte servicevilkår, betyr alle data, inkludert alle tekst-, lyd-, video- eller bildefiler, og programvare, som du, eller som noen på vegne av deg, sender til Microsoft via bruken av en nettbasert tjeneste.
Kundeinnholdet refererer til et bestemt delsett av kundedata som er direkte opprettet av brukere, for eksempel innhold som er lagret i databaser via oppføringer i Dataverse-enheter (for eksempel kontaktinformasjon). Innhold anses generelt sett som konfidensiell informasjon og sendes ikke via Internett uten kryptering i normale tjenesteoperasjoner.
Hvis du vil ha mer informasjon om hvordan Power Automate beskytter kundedata, kan du se Klareringssenter for Microsoft Online Services.
Dataatskillelse for Government Community Cloud
Når den klargjøres som en del av Power Automate US Government, vil Power Automate-tjenesten tilbys i samsvar med National Institute of Standards og Technology (NIST), spesialpublikasjon 800-145.
I tillegg til den logiske atskillelse av kundeinnhold på programnivå gir Power Automate for offentlig sektor-tjenesten organisasjonen et sekundært lag med fysisk atskillelse av kundeinnhold ved hjelp av infrastruktur som er atskilt fra infrastrukturen som brukes for kommersielle Power Automate-kunder. Dette inkluderer bruk av Azure-tjenester i Azure Government Cloud. Hvis du vil ha mer informasjon, kan du se Azure Government.
Kundeinnhold i USA
Power Automate US Government kjører i datasentre som er fysisk plassert i USA, og lagrer inaktivt kundeinnhold i datasentre som er fysisk plassert bare i USA.
Begrenset datatilgang for administratorer
Tilgang til Power Automate US Government-kundeinnhold av Microsoft-administratorer er begrenset til personale som er borgere i USA. Dette personalet gjennomgår bakgrunnsundersøkelser i samsvar med relevante offentlig standarder.
Støtte- og servicemedarbeiderne for Power Automate har ikke tilgang til kundeinnhold som er lagret i Power Automate US Government. Alle ansatte som ber om midlertidig tillatelsesheving som gir tilgang til kundeinnhold, må du ha sendt følgende bakgrunnskontroller.
| Screening og bakgrunnskontroller av Microsoft-ansatte 1 | Beskrivelse |
|---|---|
| Amerikansk statsborgerskap | Kontroll av amerikansk statsborgerskap |
| Kontroll av ansettelseslogg | Kontroll av ansettelseslogg for sju (7) år |
| Utdanningsverifisering | Kontroll av høyeste grad oppnådd |
| Personnummersøk | Kontroll av at personnummeret den ansatte oppgir, er gyldig |
| Vandelskontroll | En sju (7) års vandelskontroll på statlig, regionalt og lokalt nivå, og på føderalt nivå |
| OFAC (Office of Foreign Assets Control-liste) | Validering mot listen til finansdepartementet som amerikanere ikke kan ta del i handel eller finansielle transaksjoner med |
| Bureau of Industry and Security List (BIS) | Validering mot handelsdepartementets liste over enkeltpersoner og enheter som forbys å ta del i eksportaktiviteter |
| Forsvarsdepartementes liste over personer ilagt handelsbarrierer (DDTC) | Validering mot utenriksdepartementets liste over enkeltpersoner og enheter som forbys å ta del i eksportaktiviteter knyttet til forsvarsindustrien |
| Kontroll av fingeravtrykk | Bakgrunnskontroll av fingeravtrykk mot FBI-databaser |
| Screening av CJIS-bakgrunn | Statlig gjennomgang av vandelskontroll på føderalt og statlig nivå av CSA-utpekte myndigheter innenfor hver delstat som har registrert seg for Microsoft CJIS IA-programmet |
| Forsvarsdepartementet IT-2 | Ansatte som ber om opphøyede tillatelser til kundedata eller privilegert administrativ tilgang til DoD SRG L5-tjenestekapasiteter, må sende DoD IT-2-avgjørelsen basert på en vellykket OPM-nivå 3-undersøkelse. |
1 Gjelder bare for ansatte med midlertidig eller stående tilgang til kundeinnhold som er lagret i Power Automate US Governments (GCC, GCC High og DoD).
Sertifiseringer og akkrediteringer
Power Automate US Government er utformet for å støtte akkrediteringen Federal Risk and Authorization Management Program (FedRAMP) på høyt nivå. Dette programmet utleder justering til DoD DISA IL2. FedRAMP-artefakter er tilgjengelige for gjennomgang av føderale kunder som må overholde FedRAMP. Føderale byråer kan se gjennom disse artefaktene for å støtte gjennomgangen og gi Authority to Operate (ATO).
Merk
Power Automate er godkjent som en tjeneste innenfor Azure Government FedRAMP ATO. Hvis du vil ha mer informasjon, inkludert hvordan du får tilgang til FedRAMP-dokumentene, kan du se gjennom FedRAMP Marketplace.
Power Automate US Government har funksjoner som er utformet for å støtte kundenes CJIS-policykrav for lovhåndhevelsesbyråer. Gå til produktsiden for Power Automate US Government i klareringssenteret for å få mer detaljert informasjon om sertifiseringer og akkrediteringer.
Microsoft har utformet denne plattformen og driftsprosedyrene for å oppfylle kravene i DISA SRG IL4- og IL5-samsvarsrammeverket, og har mottatt nødvendige DISA-bestemmelser som må opereres. Microsoft forventer at kundebasen til det amerikanske forsvarsdepartementets oppdragstaker og andre føderale byråer som for øyeblikket utnytter Microsoft Office 365 GCC, høy, vil bruke distribusjonsalternativet Power Automate US Government GCC High, som aktiverer og krever at kunden utnytter Microsoft Entra Government for kundeenheter, i motsetning til GCC, som utnytter offentlig Microsoft Entra ID. For kundebasen til det amerikanske forsvarsdepartementets oppdragstaker driver Microsoft tjenesten på en måte som gjør det mulig for disse kundene å overholde ITAR-forpliktelsen og DFARS-anskaffelsesforskriftene. Microsoft forventer også at det amerikanske forsvarets kunder som for øyeblikket bruker Microsoft 365 DoD, bruker alternativet for Power Automate US Government DoD-distribusjon.
Power Automate US Government og andre Microsoft-tjenester
Power Automate US Government inneholder flere funksjoner som tillater at brukere kobler seg til og integrerer med andre tjenestetilbud for virksomheter for Microsoft, for eksempel Office 365 US Government, Dynamics 365 US Government og Power Apps for USAs offentlige sektor.
Power Automate US Government kjører i Microsoft-datasentre på en måte som samsvarer med en distribusjonsmodell med flere leiere i den offentlige skyen, men klientprogrammer som er inkludert, men ikke begrenset til, nettbrukerklienten, Power Automate-mobilappen (når tilgjengelig) og tredjepartsklientprogrammet som kobler til Power Automate US Government, er ikke en del av akkrediteringsgrensen til Power Automate US Government. Government-kunder er ansvarlige for å administrere disse.
Power Automate US Government benytter Office 365-kundeadministratorgrensesnittet for kundeadministrasjon og -fakturering.
Power Automate US Government vedlikeholder de faktiske ressursene, informasjonsflyt og databehandling og tar i bruk Office 365 for å vise de visuelle stilene som presenteres for kundeadministratoren gjennom administrasjonskonsollen deres. I forbindelse med FedRAMP ATO-arven benytter Power Automate US Government Azure (inkludert Azure for Government og Azure DoD) ATO-er for henholdsvis infrastruktur- og plattformtjenester.
Hvis du tar i bruk Active Directory Federation Services (AD FS) 2.0 og definerer policyer for å sikre at brukerne kobler til tjenestene via enkel pålogging, vil alt kundeinnhold som er midlertidig bufret, være plassert i USA.
Power Automate US Government og tjenester fra tredjeparter
Power Automate US Government gjør det mulig å integrere tredjepartsprogrammer i tjenesten gjennom koblinger. Disse tredjepartsprogrammene og -tjenestene kan omfatte lagring, overføring og databehandling av organisasjonens kundedata på tredjepartssystemer utenfor Power Automate US Government-infrastrukturen og er derfor ikke dekket av Power Automate US Government-forpliktelsene for samsvar og databeskyttelse.
Tips
Gå gjennom erklæringene for personvern og samsvar, som er levert av tredjepartene, når du vurderer riktig bruk av disse tjenestene for organisasjonen.
Styringshensyn for Power Apps og Power Automate kan hjelpe organisasjonen med å hente frem forståelse om funksjonene som er tilgjengelige på tvers av flere relaterte temaer, for eksempel arkitektur, sikkerhet, varsling og handling, og overvåking.
Konfigurere mobile klienter
Her er fremgangsmåten du må følge for å logge på med Power Automate-mobilklienten.
- På påloggingssiden velger du
(et wifi-ikon med et tannhjultegn) øverst til høyre. - Velg Områdeinnstillinger.
- Velg GCC: GCC for amerikanske myndigheter
- Velg OK.
- På påloggingssiden velger du Logg på.
Mobilprogrammet bruker nå US Government Cloud.
Power Automate US Government og Azure-tjenester
Power Automate US Government-tjenestene distribueres til Microsoft Azure Government. Microsoft Entra er ikke en del av akkrediteringsgrensen for Power Automate US Government, men er avhengig av kundens Microsoft Entra ID-leier som kundeleier og identitetsfunksjoner, herunder godkjenning, forbundsgodkjenning og lisensiering.
Når en bruker i en organisasjon som bruker ADFS, prøver å få tilgang til Power Automate US Government, omdirigeres brukeren til en påloggingsside som driftes på organisasjonens ADFS-server.
Brukeren oppgir sin legitimasjon til organisasjonens ADFS-server. Organisasjonens ADFS-server prøver å godkjenne legitimasjonen ved å bruke organisasjonens Active Directory-infrastruktur.
Hvis godkjenningen er vellykket, utsteder organisasjonens ADFS-server en SAML(Security Assertion Markup Language)-forespørsel som inneholder informasjon om brukerens identitet og gruppemedlemskap.
Kundens ADFS-server signerer denne billetten ved hjelp av et asymmetrisk nøkkelpar og sender billetten til Microsoft Entra via kryptert TLS. Microsoft Entra ID validerer signaturen ved hjelp av den andre halvdelen av det asymmetriske nøkkelparet og gir deretter tilgang basert på billetten.
Informasjon om brukerens identitets- og gruppemedlemskaps holdes kryptert i Microsoft Entra ID. Med andre ord lagres bare begrenset personlig identifiserbar informasjon i Microsoft Entra ID.
Du finner alle detaljer om Microsoft Entra-sikkerhetsarkitekturen og -kontrollimplementeringen i Azure-SSP-en.
Microsoft Entra-kontoadministrasjonstjenestene er driftet på fysiske servere som administreres av Microsoft Global Foundation Services (GFS). Nettverkstilgang til disse serverne kontrolleres av GFS-styrte nettverksenheter ved hjelp av regler angitt av Azure. Brukere kommuniserer ikke direkte med Microsoft Entra ID.
Nettadresser for tjeneste for Power Automate US Government
Du bruker et annet sett av nettadresser for å få tilgang til Power Automate US Government-miljøer, som angitt i den følgende tabellen. Tabellen inneholder også de kommersielle nettadressene for kontekstuell referanse, i tilfelle de er bedre kjent for deg.
Når det gjelder kunder som har implementert nettverksrestriksjoner, må de sikre at tilgang til følgende domener blir tilgjengelig for sluttbrukernes tilgangspunkter:
GCC-kunder:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
Se IP-områdene for AzureCloud.usgovtexas og AzureCloud.usgovvirginia for å få tilgang til Dataverse-forekomster som brukere og administratorer kan opprette i leieren.
GCC High-kunder:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
Se også IP-områdene for å gi deg tilgang til andre Dataverse-miljøer som brukere og administratorer kan opprette i leieren din og andre Azure-tjenester som plattformen benytter, inkludert:
- GCC og GCC High: Fokus på AzureCloud.usgovtexas og AzureCloud.usgovvirginia.
- DoD: Fokus på USDoD øst og USDoD sentralt.
Tilkobling mellom Power Automate US Government og offentlige Azure Cloud services
Azure er fordelt mellom flere skyer. Som standard har leiere mulighet til å åpne brannmurregler for en skyspesifikk forekomst, men nettverk på tvers av skyer er annerledes og krever at du åpner bestemte brannmurregler for å kommunisere mellom tjenester. Hvis du er en Power Automate-kunde og har eksisterende SQL-forekomster i den offentlige skyen til Azure som du trenger å få tilgang til, må du åpne bestemte brannmurporter i SQL i IP-området for Azure Government Cloud for disse datasentrene:
- USGov Virginia
- USGov Texas
- US DoD, øst
- US DoD, sentralt
Se dokumentet IP-adresseområder og tjenestekoder for Azure – US Government Cloud, der det fokuseres på AzureCloud.usgovtexas, og AzureCloud.usgovvirginia, og/eller DoD øst (USA) og DoD sentralt (USA) som nevnt tidligere i denne artikkelen. Merk også at dette er IP-områder som er nødvendige for at sluttbrukerne skal ha tilgang til nettadressene til tjenesten.
Konfigurasjon av lokal datagateway
Installer en lokal datagateway for å overføre data raskt og sikkert mellom en lerretsapp som er bygd i Power Automate, og en datakilde som ikke er i skyen. Eksempler inkluderer lokale SQL Server-databaser eller lokale SharePoint-områder.
Hvis organisasjonen (leieren) allerede har konfigurert og den lokale datagatewayen for PowerBI US Government, vil prosessen organisasjonen utførte for å aktivere, også aktivere lokal tilkoblingsmulighet for Power Automate.
Tidligere måtte kunder i det amerikanske myndighetene kontakte kundestøtte før konfigurasjon av deres første lokale datagateway fordi kundestøtte måtte gi tillatelse til leieren for å tillate bruk av gateway. Dette er ikke lenger nødvendig. Hvis du får problemer ved konfigurasjon eller bruk av lokal datagateway, kan du kontakte kundestøtte for å få hjelp.
Power Automate US Government-funksjonsbegrensninger
Microsoft prøver å opprettholde funksjonsparitet mellom våre kommersielt tilgjengelige tjenester og de som er aktivert via skyene for amerikanske myndigheter, nærmere bestemt: Disse tjenestene kalles Power Automate Government Community Cloud (GCC) og GCC High. Se verktøyet for global geografisk tilgjengelighet for å se hvor Power Automate er tilgjengelig over hele verden, inkludert omtrentlige tidslinjer for tilgjengelighet.
Det finnes unntak fra prinsippene for å opprettholde paritet for produktfunksjonalitet i skyene for de amerikanske myndighetene. Hvis du vil ha mer detaljert informasjon om funksjonstilgjengelighet, kan du laste ned denne filen: Tilgjengelighet av Business Applications-funksjonen for amerikanske myndigheter.