Power Apps US Government

项目
12/28/2023

为回应美国公共部门的特有和不断变化的要求，Microsoft 创建了 Power Apps US Government，其中包含适用于美国政府组织的若干计划。本节提供特定于 Power Apps US Government 的功能的概述。建议您阅读此补充部分和 Power Apps 文档，其中介绍有关常规 Power Apps 服务描述的信息。为简洁起见，此服务通常称为 Power Apps Government 社区云 (GCC)、Power Apps Government 社区云 – High (GCC High) 或 Power Apps 国防部 (DoD)。

Power Apps US Government 服务描述应该用作常规 Power Apps 服务描述的补充。定义此服务的独有承诺，以及与 2016 年 10 月后向客户提供的 Power Apps 产品的区别。

关于 Power Apps US Government 环境和计划

Power Apps US Government 计划为月订阅，可以许可给不限数量的用户。

Power Apps GCC 环境可以满足美国联邦的云服务要求，包括 FedRAMP High、DoD DISA IL2 和刑事审判系统（CJI 数据类型）的要求。

除了 Power Apps 的特性和功能，使用 Power Apps US Government 的组织还可以利用 Power Apps US Government 独有的以下功能：

您的组织的客户内容与 Microsoft 的商业 Power Apps 服务中的客户内容以物理方式隔离。
您的组织的客户内容存储在美国。
只有经过筛选的 Microsoft 人员才能访问您的组织的客户内容。
Power Apps US Government 遵循美国公共部门客户要求提供的认证和信任状。

从 2019 年 9 月开始，合格的客户现在可以选择将 Power Apps US Government 部署到 "GCC High" 环境，从而实现单一登录以及与 Microsoft 365 GCC High 部署的无缝集成。 Microsoft 设计了平台和我们的操作过程来满足与 DISA SRG IL4 合规框架一致的要求。我们期望当前利用 Microsoft 365 GCC High 的美国国防部转包商客户群及其他联邦机构使用 Power Apps US Government GCC High 部署选项，这支持并需要客户利用 Microsoft Entra Government 进行客户身份验证，与利用 Microsoft Entra ID 的 GCC 不同。对于我们的美国国防部转包商客户群，Microsoft 以让这些客户遵守 ITAR 承诺和 DFARS 采购法规的方式运营此服务，如其与美国国防部签订的合同所记录和要求的。 DISA 已授予临时运作权。

从 2021 年 4 月开始，合格的客户现在可以选择将 Power Apps US Government 部署到“DoD”环境，从而实现单一登录以及与 Microsoft 365 DoD 部署的无缝集成。 Microsoft 设计了平台和我们的操作过程以与 DISA SRG IL5 合规框架一致。 DISA 已授予临时运作权。

客户资格

Power Apps US Government 适用于 (1) 美国联邦、州、地方、部落和领地政府实体，以及 (2) 以及处理需要遵守美国法规和要求的数据的实体，和通过资格验证，使用 Power Apps US Government 可满足这些要求的地方。 Microsoft 进行的资格验证包括确认对应遵守美国国际武器运输条例 (ITAR) 的数据、应遵守 FBI 的刑事司法信息服务 (CJIS) 政策的执法数据或与美国政府有关的其他数据或受控数据的处理。验证可能会要求在政府实体的帮助下满足数据处理方面的具体要求。

对 Power Apps US Government 资格有疑虑的实体应该咨询自己的客户团队。续订客户的 Power Apps US Government 合同后，需要重新验证资格。

请注意，Power Apps US Government DoD 仅可用于 DoD 实体。

Power Apps 美国政府计划

对 Power Apps US Government 计划的访问限制为下述产品/服务，每项计划以按月订阅形式提供，并且可许可任意数量的用户：

适用于政府的 Power Apps 按应用计划
适用于政府的 Power Apps 按用户计划
除了独立计划外，Power Apps 和 Power Automate 功能还包含在某些 Microsoft 365 US Government 和 Dynamics 365 US Government 计划中，允许客户扩展和自定义 Microsoft 365、Power Platform 和 Dynamics 365 应用（Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service 和 Dynamics 365 Project Service Automation）。

Power Apps 许可信息页中更详细地介绍了有关这些许可组之间的功能区别的更多信息。 Power Apps US Government 通过批量许可和云解决方案提供商购买渠道提供。云解决方案提供商计划现在不适用于 GCC High 客户。

什么是客户数据和客户内容？

Online 服务条款中定义的“客户数据”表示客户或代表客户通过对 Online 服务的使用提供给 Microsoft 的所有数据，包括所有文本、声音、视频或图像文件以及软件。客户内容指由用户通过在 Microsoft Dataverse 实体中输入直接创建的客户数据的特定子集（例如数据库中存储的内容）（例如，联系人信息）。内容通常被视为机密信息，在常规服务操作中，不能在不加密的情况下通过互联网发送。

有关客户数据的 Power Apps 保护的更多信息，请参阅 Microsoft Online 服务信任中心。

政府社区云的数据分离

如果配置为 Power Apps US Government 的一部分，Power Apps 服务根据国家标准与技术研究所 (NIST) 特刊 800-145 提供。

除了在应用程序层的客户内容的逻辑分离外，Power Apps US Government 服务通过使用独立于用于商业 Power Apps 客户的基础结构的基础结构来向您的组织提供客户内容物理分离的辅助层。这包括在 Azure 政府云中使用 Azure 服务。若要了解详细信息，请参阅 Azure 政府。

位于美国的客户内容

Power Apps US Government 服务从实际位于美国的数据中心提供。 Power Apps US Government 客户内容长期存储在仅实际位于美国的数据中心。

由管理员限制数据访问

Microsoft 管理员对 Power Apps US Government 客户内容的访问限制为美国公民身份的个人。这些人员根据相关政府标准接受背景调查。

Power Apps 支持和服务工程员工没有对 Power Apps US Government 中托管的客户内容的长期访问权限。请求会授予客户内容访问权限的临时权限评估的所有员工首先必须通过以下后台检查。

Microsoft 人员筛选和后台检查¹	说明
美国公民身份	美国公民身份验证
雇佣历史记录检查	七 (7) 年雇佣历史记录验证
教育验证	所获的最高学历验证
身份证号 (SSN) 搜索	验证提供的 SSN 是否有效
犯罪历史记录检查	七 (7) 年犯罪记录检查是否有州、县和地方级别以及联邦级别的重罪和轻罪。
海外资产控制办公室名单 (OFAC)	根据财政部包含禁止贸易或金融交易往来的美国人员的组织名单进行验证。
工业和安全局名单 (BIS)	根据商务部禁止参与出口活动的个人和实体名单进行验证
美国国防贸易管制办公室禁止人员名单 (DDTC)	根据国务部禁止参与涉及国防工业的出口活动的个人和实体名单进行验证
指纹检查	根据 FBI 数据库进行指纹后台检查
CJIS 后台筛选	每个州（已注册加入 Microsoft CJIS IA 计划）的州 CSA 委任机构提供的州宣判的联邦和州犯罪历史记录审查
国防部 IT-2	请求对客户数据的提升权限或对国防部 SRG L5 服务产能的特权管理访问权限的员工必须基于成功的 OPM 第 3 层调查来传递国防部 IT-2 裁定

¹仅适用于可以临时或长期访问 Power Apps US Government 环境（GCC、GCC High 和 DoD）中托管的客户内容的人员。

认证和认可

Power Apps US Government 旨在在高影响级别支持联邦风险和授权管理计划 (FedRAMP) 认证。这应该符合 DoD DISA IL2。 FedRAMP 信息可供需要遵守 FedRAMP 的联邦客户查看。联邦机构可以在支持审查以授予运作权 (ATO) 时审查这些信息。

备注

Power Apps 已获得充当 Azure Government FedRAMP ATO 内的服务的授权。 FedRAMP Marketplace 中有详细信息，包括如何访问 FedRAMP 文档：https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20government

Power Apps US Government 政府拥有旨在支持执法机构的客户 CJIS 策略要求的功能。有关证书和认证的更多详细信息，请访问信任中心的 Power Apps US Government 产品页面。

Microsoft 设计了平台和我们的操作过程来满足与 DISA SRG IL4 和 IL5 合规框架一致的要求，并收到了必需的 DISA 临时运作权。我们期望当前利用 Microsoft 365 GCC High 的美国国防部转包商客户群及其他联邦机构使用 Power Apps US Government GCC High 部署选项，这支持并需要客户利用 Microsoft Entra Government 进行客户身份验证，与利用 Microsoft Entra ID 的 GCC 不同。对于我们的美国国防部转包商客户群，Microsoft 以让这些客户遵守 ITAR 承诺和 DFARS 采购法规的方式运营此服务。同样，我们希望我们的美国国防部客户群目前利用 Microsoft 365 DoD 使用 Power Apps US Government DoD 部署选项。

Power Apps US Government 和其他 Microsoft 服务

Power Apps US Government 包括一些功能，允许用户连接到其他 Microsoft 企业服务产品并与之集成，例如 Microsoft 365 US Government、Dynamics 365 US Government 和 Microsoft Power Automate US Government。 Power Apps US Government 以与多租户公共云部署模型一致的方式在 Microsoft 数据中心内部署；但是，客户端应用程序（包括但不限于 Web 用户客户端、Power Apps 移动应用程序或连接到 Power Apps US Government 的任何第三方客户端应用程序）不是 Power Apps US Government 认证边界的一部分，政府客户负责管理这些应用程序。

Power Apps US Government 利用 Microsoft 365 客户管理员 UI 进行客户管理和记帐 – Power Apps US Government 维护实际的资源、信息流和数据管理，同时依靠 Microsoft 365 提供通过客户管理控制台向客户管理员呈现的视觉样式。出于 FedRAMP ATO 继承目的，Power Apps US Government 利用 Azure（包括 Azure 政府和 Azure DoD）ATO 分别提供基础结构和平台服务。

如果您使用 Active Directory 联合身份验证服务 (AD FS) 2.0 并设置策略以帮助确保用户通过单一登录连接到服务，所有临时缓存的客户内容都将位于美国。

Power Apps US Government 和第三方服务

Power Apps US Government 可用于通过连接器将第三方应用程序集成到服务。这些第三方应用程序和服务可能涉及存储、传输和在 Power Apps US Government 基础结构以外的第三方系统中处理您组织的客户数据，因而不受 Power Apps US Government 合规和数据保护承诺约束。

我们建议您在为组织评估这些服务是否恰当使用时，审查第三方提供的隐私和合规声明。

Power Apps US Government 和 Azure 服务

将把 Power Apps US Government 服务部署到 Microsoft Azure Government。 Microsoft Entra 不是 Power Apps US Government 认证边界的一部分，但是信赖客户的 Microsoft Entra ID 租户以使用客户租户和身份功能，包括身份验证、联合身份验证和许可。

当使用 AD FS 的组织的用户尝试访问 Power Apps US Government 时，用户将被重定向到组织的 AD FS 服务器托管的登录页。用户向组织的 AD FS 服务器提供其凭据。服务器尝试使用组织的 Active Directory 基础结构验证这些凭据。

如果身份验证成功，组织的 AD FS 服务器将颁发包含用户身份和组成员资格相关信息的 SAML（安全声明标记语言）票证。

客户的 AD FS 服务器使用不对称密钥对的一半签署此票证，并通过加密的传输层安全 (TLS) 将票证发送到 Microsoft Entra。 Microsoft Entra ID 使用不对称密钥对的另一半验证签名，然后根据票证授予访问权。

用户的身份和组成员资格信息在 Microsoft Entra ID 中保持加密状态。换句话说，只有可用于识别用户身份的有限信息存储在 Microsoft Entra ID 中。

可以在 Azure SSP 中找到 Microsoft Entra 安全架构和控制实施的完整详细信息。最终用户不直接与 Microsoft Entra ID 交互。

Power Apps US Government 服务 URL

可使用一组不同 URL 访问 Power Apps US Government 环境，如下表中所示（如果您相当熟悉商业 URL，也会显示这些 URL 供您了解上下文）。

商业版 URL	US Government 版 URL
https://make.powerapps.com	https://make.gov.powerapps.us (GCC) https://make.high.powerapps.us (GCC High) https://make.apps.appsplatform.us (DoD)
https://create.powerapps.com	https://make.gov.powerapps.us (GCC) https://make.high.powerapps.us (GCC High) https://make.apps.appsplatform.us (DoD)
https://flow.microsoft.com/connectors	https://gov.flow.microsoft.us/connectors https://high.flow.microsoft.us/connectors (GCC High) https://flow.appsplatform.us (DoD)
https://admin.powerplatform.microsoft.com	https://gcc.admin.powerplatform.microsoft.us https://high.admin.powerplatform.microsoft.us (GCC High) https://admin.appsplatform.us (DoD)
https://apps.powerapps.com	https://play.apps.appsplatform.us (GCC) https://apps.high.powerapps.us (GCC High) https://play.apps.appsplatform.us (DoD)

对于那些实施网络限制的客户，确保最终用户的访问点可以访问下列域：

GCC 客户：

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us

此外，请参阅所需 IP 范围，启用对用户和管理员可能在您的租户内创建的环境以及其他平台利用的 Azure 服务的访问：

GCC 和 GCC High：（侧重 AzureCloud.usgovtexas and AzureCloud.usgovvirginia）
DoD：主要针对 USDoD 东部和 USDoD 中部

GCC High 和 DoD 客户：

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)

此外，还参考所需 IP 范围，以便能够访问用户和管理员可能在您的租户内创建的环境，以及平台利用的其他 Azure 服务：

GCC 和 GCC High：（侧重 AzureCloud.usgovtexas and AzureCloud.usgovvirginia）
DoD：主要针对 USDoD 东部和 USDoD 中部

弃用区域性恢复服务

将从 2020 年 3 月 2 日开始弃用区域性恢复服务。详细信息：已弃用区域性恢复服务

Power Apps US Government 与公共 Azure 云服务之间的连接

Azure 分布在多个云中。默认情况下，允许租户为云特定的环境开启防火漆规则，但是跨云网络不同，需要开启特定防火墙规则，以便在服务之间进行通信。如果您是 Power Apps 客户，并且需要访问的 Azure 云中已有 SQL 环境，则必须在 SQL 中为以下数据中心的 Azure 政府云 IP 空间开启特定防火墙规则：

USGov Virginia
USGov Texas
US DoD 东部
US DoD 中部

请参考 Azure IP 范围和服务标记 – US Government 云文档，重点关注 AzureCloud.usgovtexas、AzureCloud.usgovvirginia 和/或 US DoD 东部和 US DoD 中部，如上所述。另请注意，需要 IP 范围，最终用户才能访问服务 URL。

配置移动客户端

若要使用 Power Apps 移动客户端登录，需要额外执行一些配置步骤。

在登录页面上，选择右下角的齿轮图标。
选择区域设置。
选择以下其中一个选项：
- GCC：美国政府版 GCC
- GCC High：US Government GCC High
- DoD：US Government DOD
选择确定。
在登录页，选择登录。

此移动应用程序将立即使用美国政府版云域。

本地数据网关配置

可安装本地数据网关，以便在 Power Apps 中构建的区域应用与非云中数据源（如本地 SQL Server 数据库或本地 SharePoint 站点）之间快速、安全地传输数据。

如果您的组织（租户）已经为 Power BI US Government 配置并成功连接了本地数据网关，则您的组织为了启用而执行的流程和配置也将为 Power Apps 启用本地连接。

之前，US Government 客户需要在配置其第一个本地数据网关之前与支持人员联系，因为支持人员需要将租户加入“允许列表”才能使其使用网关。不再需要执行此步骤。如果在配置或使用本地数据网关时遇到任何问题，请与支持人员联系以获取帮助。

模型驱动应用的遥测技术

必须将以下 URL 添加到允许列表中，以确保通过防火墙和其他安全机制进行通信，以获取模型驱动应用遥测信息：

GCC 和 GCC High：https://tb.pipe.aria.microsoft.com/Collector/3.0
DoD：https://pf.pipe.aria.microsoft.com/Collector/3.0

Power Apps US Government 功能限制

Microsoft 努力保持我们的商用服务与通过我们的美国政府云启用的服务之间的功能一致性。这些服务被称为 Power Apps 政府社区云 (GCC) 和 GCC High。请参照全球地区可用性工具，了解 Power Apps 在世界各地的可用位置，包括大致的可用时间线。

在美国政府云中保持产品功能对等的原则存在例外情况。有关功能可用性的详细信息，请下载此文件：Business Applications US Government - 可用性摘要。

请求支持

使用服务时遇到问题？您可以创建支持请求来解决问题。

详细信息：联系技术支持

另请参见

MicrosoftPower Automate US Government
Dynamics 365 US Government