Copilot Studio für Kunden von US-Behörden
Dieser Artikel richtet sich an US-Behörden, die Copilot Studio als Bestandteil eines Copilot Studio Government Community Cloud (GCC) Plans bereitstellen. Er bietet Ihnen einen Überblick über die Funktionen, die für diese Pläne spezifisch sind.
Die Government-Pläne sind für die besonderen Anforderungen von Organisationen konzipiert, die die US-Compliance- und Sicherheitsstandards erfüllen müssen.
Wir empfehlen Ihnen, diesen Artikel und die Copilot Studio Übersicht zu lesen.
Die Beschreibung des Diensts Copilot Studio US Government dient als Ergänzung der allgemeinen Beschreibung des Diensts Copilot Studio. Es definiert die einzigartigen Verpflichtungen und Unterschiede im Vergleich zu den allgemeinen Copilot Studio-Angeboten, die unseren Kunden seit Dezember 2019 zur Verfügung stehen.
Copilot Studio Pläne und Umgebungen der US-Regierung
Die Lizenzierung für Copilot Studio-Pläne der US Government ist die gleiche wie für die Public Cloud. Sie sind über die Kanäle Volumenlizenzierung und Cloud Solution Provider zum Kauf erhältlich. Weitere Informationen siehe Benutzerlizenzen zuweisen und Zugriff verwalten.
Die Copilot Studio GCC Umgebung ist konform mit den Bundesanforderungen für Cloud-Dienste, einschließlich FedRAMP High.
Zusätzlich zu den Funktionen und Funktionalitäten von Copilot Studio profitieren Organisationen, die Copilot Studio US Government nutzen, von den folgenden einzigartigen Funktionen:
- Der Kunden-Content Ihrer Organisation wird physisch von Kunden-Content in Nicht-US-Government-Plänen für Copilot Studio getrennt.
- Der Kundeninhalt Ihrer Organisation wird in den USA gespeichert.
- Der Zugriff auf die Kundeninhalte Ihres Unternehmens ist auf geprüfte Microsoft-Mitarbeiter beschränkt.
- Copilot Studio US Government verfügt über alle Zertifizierungen und Zulassungen, die Kunden aus dem öffentlichen Sektor in den USA benötigen.
GCC High-Umgebung
Ab Februar 2022 können sich berechtigte Kundschat für die Bereitstellung von Copilot Studio US Government in der GCC High-Umgebung entscheiden.
Microsoft hat die Plattform und unsere Vorgänge so gestaltet, dass sie den Anforderungen des Compliance-Frameworks des DISA SRG IL4 (Defense Information Systems Agency Security Requirements Guide Impact Level 4) entsprechen.
Diese Option ermöglicht es dem Kunden und erfordert es von ihm, Microsoft Entra-ID for Government für Kundenidentitäten zu verwenden. Im Gegensatz dazu verwendet GCC die öffentliche Microsoft Entra ID.
Für den Kundenbestand im US-Verteidigungsministerium betreibt Microsoft den Service so, dass diese Kunden die ITAR-Bestimmungen (International Traffic in Arms Regulations) und die DFARS-Beschaffungsvorschriften (Defense Federal Acquisition Regulation Supplement) erfüllen können, wie sie in ihren Verträgen mit dem US-Verteidigungsministerium dokumentiert und gefordert sind. DISA hat eine provisorische Betriebserlaubnis erteilt.
Kundenberechtigung
Copilot Studio US Government-Pläne sind verfügbar für:
- (1) US-Bundes-, Landes-, Kommunal-, Stammes- und territoriale Regierungs-Entitäten, und
- (2) andere Entitäten, die Daten verarbeiten, die staatlichen Vorschriften und Anforderungen unterliegen und bei denen die Verwendung von Copilot Studio US Government-Plänen geeignet ist, diese Anforderungen zu erfüllen, vorbehaltlich der Validierung der Berechtigung.
Die Überprüfung der Berechtigung durch Microsoft beinhaltet:
- Bestätigung des Umgangs mit Daten, die der ITAR unterliegen
- Daten der Strafverfolgungsbehörden unterliegen der Richtlinie des Federal Bureau of Investigation (FBI) zu Criminal Justice Information Services (CJIS)
- Andere staatlich regulierte oder kontrollierte Daten
Die Bestätigung kann die Befürwortung durch eine staatliche Stelle mit besonderen Anforderungen an die Datenverarbeitung erfordern.
Entitäten mit Fragen zur Berechtigung für Copilot Studio für US-Regierungsbehörden sollten sich bei ihrem Accountteam erkundigen. Microsoft überprüft die Berechtigung erneut, wenn es Kundenverträge für Copilot Studio US Government-Pläne erneuert.
Unterschiede zwischen Kundendaten und Kundeninhalten
Unter Kundendaten im Sinne der Bedingungen für Online-Dienste versteht man alle Daten, die Microsoft von oder im Namen von Kunden bereitgestellt werden, die einen Online-Dienst nutzen. Dies beinhaltet sämtliche Text-, Ton-, Video- und Bilddateien sowie Software.
Kundeninhalte beziehen sich auf eine bestimmte Teilmenge von Kundendaten, die direkt von Benutzern erstellt wurden. Dazu können beispielsweise Inhalte gehören, die durch Einträge in Dataverse-Entitäten in Datenbanken gespeichert werden (z. B. Kontaktinformationen). Inhalte gelten allgemein als vertraulich und werden im normalen Dienstbetrieb nicht unverschlüsselt über das Internet übertragen.
Weitere Informationen dazu, wie Copilot Studio Kundendaten schützt, finden Sie unter Microsoft Online Services Trust Center.
Datentrennung für die Government-Community-Cloud
Bei Bereitstellung im Rahmen von Copilot Studio-Plänen der US Government wird der Copilot Studio-Dienst in Übereinstimmung mit dem National Institute of Standards and Technology (NIST) angeboten.
Zusätzlich zur logischen Trennung des Kundeninhalts auf der Anwendungsschicht bietet der Copilot Studio-Dienst für US-Regierungsbehören Ihrer Organisation eine sekundäre Schicht der physischen Trennung für Kundeninhalte. Diese Trennung wird durch die Nutzung einer Infrastruktur erreicht, die von der Infrastruktur für gewerbliche Copilot Studio-Kunden getrennt ist. Diese Art der Nutzung beinhaltet die Verwendung von Azure-Diensten in der Azure Government Cloud. Weitere Informationen finden Sie unter Azure Government.
Kundeninhalt innerhalb der USA
Der Copilot Studio-Dienst für US-Regierungsbehören wird in Rechenzentren ausgeführt, die sich physisch in den USA befinden. Sie speichern Kundeninhalte im Ruhezustand in Rechenzentren, die sich physisch nur in den USA befinden.
Eingeschränkter Datenzugriff durch Administratoren
Der Zugriff auf Copilot Studio-Kundeninhalte für US-Regierungsbehörden durch Microsoft-Administratoren wird auf Mitarbeiter begrenzt, die US-Bürger sind. Dieses Personal muss sich gemäß den relevanten staatlichen Normen Umfeldermittlungen unterziehen.
Copilot Studio-Support- und technische Mitarbeiter haben keinen ständigen Zugriff auf Kundeninhalte, die im Copilot Studio-Service für US-Regierungsbehören gehostet werden. Jeder Mitarbeiter, der eine temporäre Berechtigungserhöhung beantragt, die Zugriff auf Kundeninhalte gewährt, muss zuvor die folgenden Hintergrundprüfungen bestanden haben.
Personaluntersuchung und Hintergrundprüfungen von Microsoft 1 | Beschreibung |
---|---|
US-Staatsbürgerschaft | Überprüfung der US-Staatsbürgerschaft |
Prüfung der Berufslaufbahn | Überprüfung von sieben (7) Jahren der Berufslaufbahn |
Ausbildungsüberprüfung | Überprüfung des höchsten Bildungsabschlusses |
Sozialversicherungsnummer (SSN)-Suche | Bestätigung der Gültigkeit der vom Mitarbeiter angegebenen US-Sozialversicherungsnummer |
Überprüfung der Vorstrafen | Eine Überprüfung der Vorstrafen für sieben (7) Jahre im Hinblick auf Straftaten und Vergehen auf Bundesland-, Landkreis-, lokaler und Landesebene |
Liste des Office of Foreign Assets Control (OFAC, Amt für Kontrolle von Auslandsvermögen) | Überprüfung anhand der Liste des US-Finanzministeriums von Gruppen, mit denen US-Bürger im Rahmen von Handels- oder Finanztransaktionen nicht interagieren dürfen |
Liste des Bureau of Industry and Security (BIS, Amt für Industrie und Sicherheit) | Validierung anhand der Liste des Handelsministeriums von natürlichen und juristischen Personen, die von Exportaktivitäten ausgeschlossen sind |
Office of Defense Trade Controls Debarred Persons List (DDTC, Liste gesperrter Personen des Kontrollgremiums für den Handel mit Verteidigungswaffen) | Überprüfung der Liste von Einzelpersonen und Entitäten des Außenministeriums, die keine Exportaktivitäten im Zusammenhang mit der Verteidigungsindustrie ausüben dürfen |
Fingerabdruckprüfung | Hintergrundprüfung von Fingerabdrücken in FBI-Datenbanken |
CJIS-Hintergrundprüfung | Vom Bundesstaat zugesprochene Überprüfung des Vorstrafenregisters auf Bundes- und Bundesstaatebene, durchgeführt durch eine von der CSA ernannte Behörde in jedem Bundesstaat, der sich für die Teilnahme am Microsoft CJIS-IA-Programm registriert hat. |
Verteidigungsministerium IT-2 | Mitarbeiter, die erhöhte Berechtigungen für Kundendaten oder privilegierten administrativen Zugriff auf DoD SRG L5 Service-Kapazitäten beantragen, müssen die DoD IT-2-Bescheidung, basierend auf einer erfolgreichen OPM Tier 3-Untersuchung, bestehen. |
1. Gilt nur für Personen mit vorübergehendem oder beständigem Zugriff auf Kundeninhalte, die in Copilot Studio US Government (GCC und GCC High) gehostet werden
Zertifizierung und Akkreditierung
Copilot Studio US Government-Pläne sind so konzipiert, dass sie die Akkreditierung des Federal Risk and Authorization Management Program (FedRAMP) auf einem High Impact Level unterstützen. FedRAMP-Artefakte sind für die Prüfung durch bundesstaatliche Kunden verfügbar, die angehalten sind, FedRAMP zu erfüllen. Bundesbehörden können diese Artefakte zur Unterstützung ihrer Überprüfung einsehen, um eine Betriebserlaubnis (Authority to Operate, ATO) zu erteilen.
Notiz
Copilot Studio ist als Dienst innerhalb der FedRAMP ATO des Azure Government autorisiert.
Weitere Informationen, einschließlich des Zugriffs auf die FedRAMP-Dokumente, finden Sie im FedRAMP Marktplatz.
Copilot Studio US Government-Pläne verfügen über Funktionen, die die Anforderungen der CJIS-Richtlinien für Strafverfolgungsbehörden der Kunden unterstützen.
Copilot Studio für US-Regierungsbehörden und andere Microsoft-Dienste
Copilot Studio-Pläne der US-Regierung enthalten mehrere Funktionen, die es Benutzern erlauben, sich mit anderen Microsoft-Unternehmensdienstangeboten wie Power Apps und Power Automate US Government zu verbinden und diese zu integrieren.
Copilot Studio-Dienste für US-Regierungsbehören werden innerhalb von Microsoft-Rechenzentren ausgeführt. Diese Ausführung entspricht der eines Bereitstellungsmodells für öffentliche Clouds mit mehreren Mandanten. Client-Anwendungen sind jedoch auf den Web-Benutzer-Client beschränkt und in Microsoft Teams nicht verfügbar. Kunden der Regierung sind für die Verwaltung von Client-Anwendungen verantwortlich.
Copilot Studio-Pläne der US Government verwenden die Office 365-Kundenadministrator-Benutzeroberfläche für die Kundenverwaltung und -abrechnung.
Der Copilot Studio US Government-Service verwaltet die tatsächlichen Ressourcen, den Informationsfluss und die Datenverwaltung. Für die Zwecke der FedRAMP ATO-Vererbung verwenden Copilot Studio US Government-Pläne Azure (einschließlich Azure for Government) ATOs für Infrastruktur- bzw. Plattformdienste.
Wenn Sie die Verwendung von Active Directory Federation Services (ADFS) 2.0 adaptieren und Richtlinien festlegen, um sicherzustellen, dass sich Ihre Benutzer über Single Sign-On mit den Diensten verbinden, werden alle vorübergehend zwischengespeicherten Kundeninhalte in den USA liegen.
Copilot Studio für US-Regierungsbehörden und Drittanbieter-Dienste
Copilot Studio US Government-Pläne bieten die Möglichkeit, Anwendungen von Drittanbietern über Power Automate Cloud-Flow in den Dienst zu integrieren, der Konnektoren und Fähigkeiten verwendet. Diese Drittanbieteranwendungen und -dienste können das Speichern oder Verarbeiten der Kundendaten Ihrer Organisation auf Drittanbietersystemen oder das Übertragen der Daten an Drittanbietersysteme umfassen, die sich außerhalb der Copilot Studio-Infrastruktur für US-Regierungsbehörden befinden. Daher sind diese Drittanbieteranwendungen und -dienste nicht durch die Compliance- und Datenschutzbestimmungen von Copilot Studio für US-Regierungsbehörden abgedeckt.
Wichtig
Überprüfen Sie die von den Drittanbietern bereitgestellten Datenschutz- und Konformitätserklärungen, wenn Sie die etwaige Nutzung dieser Dienste für Ihre Organisation prüfen.
Überlegungen zur Governance können Ihrer Organisation dabei helfen, das Bewusstsein für die Funktionalitäten zu schärfen, die über mehrere zusammenhängende Themen wie Architektur, Sicherheit, Warnung und Maßnahmen sowie Überwachung verfügbar sind.
Copilot Studio US Government und Azure-Dienste
Die Copilot Studio-Dienste für US-Regierungsbehörden werden von Microsoft Azure für Regierungsbehörden bereitgestellt. Microsoft Entra-ID ist nicht Teil der Akkreditierungsgrenze von Copilot Studio für US-Regierungsbehörden. Für Kundenmandanten- und Identitätsfunktionen sind die Dienste jedoch auf den Microsoft Entra-ID-Mandanten eines Kunden angewiesen. Hierzu haben Sie unter anderem folgende Möglichkeiten:
- Authentifizierung
- Verbundene Authentifizierung
- Lizenzierung
Wenn ein Benutzer einer Organisation, die ADFS einsetzt, versucht, auf den Copilot Studio US Government-Dienst zuzugreifen, wird der Benutzer auf eine Anmeldeseite umgeleitet, die auf dem ADFS-Server der Organisation gehostet wird.
Der Benutzer gibt seine Anmeldeinformationen für den ADFS-Server der Organisation ein. Der ADFS-Server der Organisation versucht, die Anmeldeinformationen mithilfe der Active Directory-Infrastruktur der Organisation zu authentifizieren.
Wenn die Authentifizierung erfolgreich ist, stellt der ADFS-Server der Organisation ein SAML-Ticket (Security Assertion Markup Language) aus, das Informationen über die Identität und Gruppenmitgliedschaft des Benutzers enthält.
Der ADFS-Server des Kunden signiert das Ticket mithilfe einer Hälfte eines asymetrischen Schlüsselpaars und sendet das Ticket via verschlüsselter TLS (Transport Layer Security) an Microsoft Entra-ID. Microsoft Entra ID überprüft die Signatur mit der anderen Hälfte des asymmetrischen Schlüsselpaares und gewährt dann basierend auf dem Ticket den Zugriff.
Die Identität des Benutzenden und Informationen zur Gruppenzugehörigkeit bleiben in Microsoft Entra ID verschlüsselt. Mit anderen Worten werden in Microsoft Entra ID nur begrenzte Informationen gespeichert, die Benutzende identifizieren können.
Ausführliche Details der Sicherheitsarchitektur der Microsoft Entra-ID und der Steuerungsimplementierung können im Azure System Security Plan (SSP) eingesehen werden.
Die Microsoft Entra ID-Kontoverwaltungsdienste werden auf physischen Servern gehostet, die von den Microsoft Global Foundation Services (GFS) verwaltet werden. Netzwerkzugriff auf diese Servern wird durch GFS-verwaltete Netzwerkgeräte mithilfe des Regelsatzes von Azure gesteuert. Benutzer interagieren nicht direkt mit Microsoft Entra-ID.
Microsoft Copilot Studio-Dienst-URLs für US-Regierungsbehörden
Für den Zugriff auf Umgebungen mit Copilot Studio US Government verwenden Sie andere URLs, als in der folgenden Tabelle gezeigt. Die Tabelle enthält auch die kommerziellen URLs für den Kontextbezug.
Commercial | US Government (GCC) | US Government (GCC High) |
---|---|---|
copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
Für Kunden, die Netzwerkbeschränkungen einführen, stellen Sie sicher, dass die Endbenutzer über Zugriffspunkte auf die folgenden Domänen zugreifen können:
GCC-Kunden
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
Beachten Sie die IP-Bereiche für AzureCloud.usgovtexas und AzureCloud.usgovvvirginia, um den Zugriff auf Dataverse-Instanzen zu ermöglichen, die Benutzer und Administratoren innerhalb Ihres Mandanten erstellen können.
Konnektivität zwischen Copilot Studio US Government und öffentlichen Azure Cloud Services
Azure wird unter mehreren Clouds aufgeteilt. Standardmäßig ist es Mandanten erlaubt, Firewallregeln für eine cloudspezifische Instanz zu öffnen, aber der cloudübergreifende Netzwerkbetrieb gestaltet sich anders und erfordert das Öffnen spezifischer Firewallregeln für die Kommunikation zwischen Diensten. Wenn Sie Copilot Studio-Kunde sind und über bestehende SQL-Instanzen in der öffentlichen Azure-Cloud verfügen, auf die Sie zugreifen müssen, müssen Sie bestimmte Firewallports in SQL für den IP-Bereich der Azure Government-Cloud für die folgenden Rechenzentren öffnen:
USGov Virginia
USGov Texas
Lesen Sie das Dokument Azure IP-Bereiche und Diensttags – US Government Cloud und konzentrieren Sie sich auf AzureCloud.usgovtexas und AzureCloud.usgovvirginia. Beachten Sie auch, dass dies die IP-Bereiche sind, die Ihre Endbenutzer benötigen, um Zugriff auf die Service-URLs zu haben.
Funktionsbeschränkungen für Copilot Studio für US-Regierungsbehörden
Einige der in der kommerziellen Version von Copilot Studio verfügbaren Funktionen sind nicht für Copilot Studio-Kunden für Regierungsbehörden verfügbar. Das Copilot Studio-Team arbeitet aktiv daran, diese Funktionen US-Behördenkunden verfügbar zu machen, und es wird diesen Artikel aktualisieren, sobald diese Funktionen verfügbar sind.
Funktion oder Fähigkeit | Verfügbar in GCC | Verfügbar in GCC High |
---|---|---|
Copilot Studio Analytics1 | ✖ Keine |
✖ Keine |
Copilot Studio Microsoft Teams-App-Erfahrung | ✖ Keine |
✖ Keine |
Teams-Kanal in der Copilot Studio-Web-App | ✔ Ja |
✖ Keine |
Übertragen an Agents | ✔ Ja |
✖ Keine |
1. Alternativ können Sie benutzerdefinierte Analysen mit einem Power BI-Dashboard (Blog) erstellen.
Anfordern von Support
Haben Sie ein Problem mit Ihrem Dienst? Sie können eine Supportanfrage erstellen, um das Problem zu lösen.
Weitere Informationen: Den technischen Support kontaktieren