Power Apps US Government
米国の公的部門の特有の要件または進化しつつある要件に応じて、Microsoft は複数の米国政府組織機関プランにより構成される Power Apps US Government を作成しました。 このセクションでは、Power Apps US Government に特有の機能の概要を示します。 Power Apps ドキュメント と併せて一般的な Power Apps サービスの説明に関する情報を含む、この補足のセクションを参照することをお勧めします。 簡潔にするために、このサービスは一般的に Power Apps Government Community Cloud (GCC)、または Power Apps Government Community Cloud – High (GCC High)、または Power Apps 国防総省 (DoD) と呼ばれています。
Power Apps US Government サービスの説明は、一般的な Power Apps サービスの説明のオーバーレイとして機能するように設計されています。 このサービスの一意のコミットメントおよび 2016 年 10 月から顧客が使用可能な Power Apps の提供物の違いを定義しています。
Power Apps US Government の環境とプランについて
Power Apps US Government プランは月額のサブスクリプションで、無制限の数のユーザーにライセンスできます。
Power Apps GCC の環境は、edRAMP High、DoD DISA IL2、および刑事司法制度に対する要件 (CJI データ タイプ) を含め、クラウド サービスに対する政府の要件への準拠を提供します。
Power Apps の機能に加えて、Power Apps US Government を使用する組織には、Power Apps US Government に固有の次の機能からメリットがあります。
- 組織の顧客コンテンツは、Microsoft の顧客の商用 Power Apps サービスの顧客コンテンツから物理的にセグメント化されています。
- 組織の顧客コンテンツは、米国内に保存されます。
- 組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
- Power Apps US Government は、米国の公的部門の顧客に必要な認定資格および認証評価に準拠しています。
2019 年 9 月からは、対象のお客様は Power Apps US Government を "GCC High" 環境で展開することを選択できるようになり、シングル サインオンと Microsoft 365 GCC High 展開とのシームレスな統合が可能になります。 Microsoft は DISA SRG IL4 コンプライアンス フレームワークにそった要件を満たすよう、プラットフォームと運用手順を設計しました。 米国国防総省の請負顧客ベースおよび他の連邦機関が、現在 Microsoft 365 GCC High を活用して Power Apps US Government GCC High 展開オプションを使用すると予想しています。これにより、公共の Microsoft Entra ID を活用する GCC とは対照的に、顧客の身元確認のために Microsoft Entra 政府機関を利用するように顧客に要求できます。 米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらのお客様が ITAR コミットメントおよび DFARS 取得規制を満たすことができるサービスを運用しています。 DISA により、暫定運用機関が付与されました。
2021 年 4 月初頭から、対象のお客様は Power Apps US Government を "DoD" 環境で展開することを選択できるようになり、シングル サインオンと Microsoft 365 DoD 展開とのシームレスな統合が可能になります。 Microsoft は DISA SRG IL5 コンプライアンス フレームワークに従って、プラットフォームと運用手順を設計しました。 DISA により、暫定運用機関が付与されました。
顧客の有効性
Power Apps US Government は 次に対して使用可能です。(1) 米国連邦、州、ローカル、種族、および領土行政機関エンティティ、および (2) 政府の規制および要件に応じたデータを取り扱い、Power Apps US Government の使用が有効性の検証に応じてこれらの要件に合致する他のエンティティ。 Microsoft による有効性の検証には、国際武器取引規制 (ITAR) の対象となるデータ、FBI 刑事司法情報サービス (CJIS) ポリシーの対象となる法執行機関のデータ、または政府が規制または管理するその他のデータの取り扱いの確認が含まれます。 検証には、データの取り扱いに対する特定要件のある政府機関エンティティよるスポンサーシップが必要なことがあります。
Power Apps US Government の有効性について質問のあるエンティティは、アカウント チームに相談する必要があります。 Power Apps US Government の顧客契約の更新の際、有効性の再検証が必要です。
Power Apps US Government DoD は、DoD エンティティのみが利用できることにご注意ください。
Power Apps US Government プラン
Power Apps US Government のプランへのアクセスは、次の提供物に制限されます。各プランは、月額サブスクリプションとして提供され、無制限の数のユーザーにライセンスできます。
- 政府機関向け Power Apps のアプリごとプラン
- 政府機関向け Power Apps のユーザーごとプラン
- Power Apps と Power Automate の機能は、スタンドアロン プランだけでなく特定の Microsoft 365 US Government および Dynamics 365 US Government プランにも含まれ、顧客は Microsoft 365、Power Platform、および Dynamics 365 アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Project Service Automation) を拡張およびカスタマイズできます。
これらのライセンス グループ間での機能の違いに関する追加情報は、Power Apps ライセンス情報 ページの詳細で説明します。 Power Apps US Government は、ボリューム ライセンスおよびクラウド ソリューション プロバイダーの購入チャネルを通して使用可能です。 GCC High の顧客は、クラウド ソリューション プロバイダー プログラムを現在ご利用いただけません。
顧客データおよび顧客コンテンツとは
オンライン サービスの条項で定義される、顧客データとは、オンライン サービスの使用を介してお客様から直接的または間接的に Microsoft に提供されたテキスト ファイル、サウンド ファイル、ビデオ ファイル、またはイメージ ファイル、およびソフトウェアすべてを含む、あらゆるデータを指します。 顧客コンテンツは、ユーザーによって直接作成された Microsoft Dataverse のエンティティ (たとえば、連絡先情報) のエントリからデータベースに格納されている内容など、顧客データの一部を示します。 コンテンツは通常、機密情報として扱われ、通常のサービス業務で暗号化されずにインターネットに送信されることはありません。
顧客データの Power Apps 保護に関する詳細については、Microsoft Online Services トラスト センター を参照してください。
政府コミュニティ クラウドのデータの分離
Power Apps US Government の一部として準備されている場合は、Power Apps サービスは国立標準技術研究所 (NIST) Special Publication 800-145 に基づいて使用されます。
アプリケーション層での顧客の内容の論理的分離に加え、Power Apps US Government サービスにより、社内の組織に商用 Power Apps のお客様に使用されるインフラストラクチャとは分離したインフラストラクチャを使用して、顧客の内容のための物理的に分離したセカンダリ層を使用できます。 これには Azure Government クラウドの Azure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客の内容
Power Apps US Government サービスは、物理的に米国内にあるデータセンターから提供されます。 Power Apps US Government の顧客コンテンツは、物理的に米国のみにあるデータセンターに格納されます。
管理者による制限付きデータ アクセス
Power Apps US Government の顧客コンテンツへの Microsoft 管理者によるアクセスは、米国市民のユーザーに制限されます。 これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Power Apps のサポートおよびサービスのエンジニア スタッフは Power Apps US Government でホストされた顧客コンテンツに対して常時アクセス権は持ちません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
| Microsoft の人事審査と身辺調査1 | 説明 |
|---|---|
| 米国市民権 | 米国市民権の検証 |
| 職歴の確認 | (7) 年間の雇用歴の検証 |
| 学歴の検証 | 達成した最高学位の検証 |
| 社会保障番号 (SSN) の照合 | 提供された SSN が有効であることの確認 |
| 犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
| 外国資産管理局リスト (OFAC) | 米国人が貿易取引や金融取引に参加することを許されないグループの、財務省のリストに対する検証 |
| 産業安全保障局リスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
| 国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
| 指紋確認 | FBI データベースに対する指紋の身辺調査 |
| CJIS 身辺調査 | 州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました |
| 国防総省 IT-2 | 顧客データへの昇格されたアクセス許可または国防総省の SRG L5 サービス キャパシティへの特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて国防総省 IT-2 の裁定に合格する必要があります |
1 Power Apps US Government 環境 (GCC、GCC High および DoD) でホストされる顧客コンテンツに一時的または永続的なアクセス権を持つ担当者にのみ適用されます。
認定資格と認証評価
Power Apps US Government は高い影響レベルで、連邦リスクと認可管理プログラム (FedRAMP) の認証評価をサポートするように設計されています。 これにより、DoD DISA IL2 に配置されます。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) 付与のレビューに、これらのアーティファクトを確認できます。
Note
Power Apps は Azure Government FedRAMP ATO 内のサービスとして承認されています。 FedRAMP ドキュメントへのアクセス方法などの詳細については、FedRAMP マーケットプレイス: https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20governmentを参照してください
Power Apps US Government は、法執行機関のための顧客の CJIS ポリシー要件をサポートするよう設計された機能実装しています。 認証と認定の詳細情報については、セキュリティ センターにある Power Apps US Government の製品ページをご覧ください。
Microsoft は、DISA SRG IL4 および IL5 コンプライアンス フレームワークに沿った要件を満たすように、プラットフォームおよび運用手順を設計し、必要な DISA 暫定運用機関を取得しました。 米国国防総省の請負顧客ベースおよび他の連邦機関が、現在 Microsoft 365 GCC High を活用して Power Apps US Government GCC High 展開オプションを使用すると予想しています。これにより、公共の Microsoft Entra ID を活用する GCC とは対照的に、顧客の身元確認のために Microsoft Entra 政府機関を利用するように顧客に要求できます。 米国国防総省の請負顧客ベースでは、Microsoft はこれらのお客様が ITAR コミットメントおよび DFARS 取得規制を満たすことができるサービスを運用しています。 同様に、米国国防総省の顧客ベースが現在、Microsoft 365 DoD を活用して、Power Apps US Government DoD 展開オプションを使用していることを期待しています。
Power Apps US Government および他の Microsoft サービス
Power Apps US Government には、ユーザーが他の Microsoft エンタープライズ サービス内容 (Microsoft 365 US Government、Dynamics 365 US Government、Microsoft Power Automate US Government など) と接続したり統合したりできるようになる機能がいくつか含まれています。 Power Apps US Government は、マルチテナント型、パブリック クラウド展開モデルに一致する方法で Microsoft データセンターで展開されます。ただし、クライアント アプリケーションを含みますが Web ユーザー クライアントに限定されません。Power Apps モバイル アプリケーションや Power Apps US Government に接続されるすべてのサード パーティのクライアント アプリケーションは Power Apps US Government の認証評価の範囲の一部ではなく、政府機関の顧客がそれらの管理に責任を持ちます。
Power Apps US Government は、Microsoft 365 顧客管理者 UI、請求 (Power Apps US Government が実際のリソースを管理します)、情報フロー、およびデータ管理、Microsoft 365 の使用中に管理コンソールを通じて顧客管理者に提供される表示上のスタイルを活用します。 FedRAMP ATO を継承する目的で、Power Apps US Government はインフラストラクチャとプラットフォーム サービスに、それぞれ Azure (Azure Government および Azure DoD を含む) ATO を活用します。
Active Directory フェデレーション サービス (AD FS) 2.0 の使用を導入し、ユーザーがシングル サインオンにより確実にサービスに接続できるようにポリシーを設定する場合、一時的にキャッシュされた顧客の内容は米国にあります。
Power Apps US Government とサード パーティ サービス
Power Apps US Government には、コネクタ を通してサードパーティ アプリケーションをサービスに統合する機能があります。 これらのサードパーティのアプリケーションおよびサービスには、Power Apps US Government のインフラストラクチャの外にあるサードパーティのシステム上で、お客様の組織の顧客データを保存、送信、処理することが含まれている場合があり、そのため、 Power Apps US Government のコンプライアンスおよびデータ保護義務の対象外となります。
組織でのこれらのサービスの適切な利用について評価する際には、サード パーティによって提供される個人および法令遵守ステートメントを確認することをお勧めします。
Power Apps US Government および Azure サービス
Power Apps US Government サービスは、Microsoft Azure Government に展開されます。 Microsoft Entra は Power Apps US Government の境界線一部ではありませんが、顧客の Microsoft Entra ID テナントに依存して、認証、統合認証、およびライセンスを含む顧客のテナントおよび ID 機能を実現しています。
AD FS を採用している組織のユーザーが Power Apps US Government にアクセスしようとすると、組織の AD FS サーバでホストされているログインページにリダイレクトされます。 ユーザーは、組織の AD FS サーバーに自身の資格情報を入力します。 組織の AD FS サーバーは、組織の Active Directory インフラストラクチャを使用して資格情報の認証を試みます。
認証が成功した場合、組織の AD FS サーバは、ユーザの ID とグループ メンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットを発行します。
顧客の AD FS サーバーは、非対称的なキーの組の半分を使用してこのチケットに署名し、暗号化された Transport Layer Security (TLS) を介して Microsoft Entra にチケットを送信します。 Microsoft Entra ID では、非対称キー ペアのもう片方を使って署名を検証し、その後チケットに基づくアクセス権を付与します。
Microsoft Entra ID では、ユーザーの ID とグループのメンバーシップに関する情報は暗号化されたままです。 つまり、ユーザーを特定できる一部の情報のみが Microsoft Entra ID に格納されます。
Microsoft Entra セキュリティ アーキテクチャおよび Azure SSP のコントロールの実装に関する詳細を確認することができます。 エンド ユーザーは Microsoft Entra ID と直接やり取りしません。
Power Apps US Government サービスの URL
次の表に示すように (よりなじみやすいように、商用 URL はコンテキスト参照に対しても表示されます)、異なる URL のセットを使用して、Power Apps US Government 環境にアクセスできます。
ネットワーク制限を実装しているお客様については、エンド ユーザーのアクセス ポイントで次のドメインへのアクセスを利用できることを確認してください。
GCC の顧客:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us
また、必要な IP 範囲を参照して、プラットフォームが他の Azure サービスを起動したときに、ユーザーと管理者がテナント ウェル内で作成した可能性のある環境へのアクセスを有効にします。
- GCC および GCC High: (AzureCloud.usgovtexas および AzureCloud.usgovvirginia にフォーカス)
- DoD: USDoD 東部および USDoD 中部にフォーカスします
GCC High および DoD 顧客:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)
また、必要な IP 範囲を参照して、ユーザーや管理者がテナント内に作成する環境や、プラットフォームで利用する他の Azure サービスへのアクセスを有効にしてください。
- GCC および GCC High: (AzureCloud.usgovtexas および AzureCloud.usgovvirginia にフォーカス)
- DoD: USDoD 東部および USDoD 中部にフォーカスします
地域の探索サービスは廃止されました
2020 年 3 月 2 日をもって、地域探索サービス は廃止されます。 詳細 : 地域の探索サービスは廃止されました
Power Apps US Government と公開してある Azure Cloud Services 間の接続
Azure は複数のクラウド間で配布されます。 既定では、テナントはクラウド固有の環境に対してファイアウォール ルールを開くことができますが、クロス クラウド ネットワークは異なり、特定のファイアウォール ルールを開いてサービス間で通信する必要があります。 Power Apps の顧客で、アクセスする必要がある Azure の公開クラウドに既存の SQL 環境がある場合、次のデータセンターについて、Azure Government クラウド IP スペースに対して SQL の特定のファイアウォール ルールを開く必要があります。
- USGov バージニア
- USGov テキサス
- US DoD 東部
- US DoD 中部
上述の AzureCloud.usgovtexas と AzureCloud.usgovvirginia や US DoD 東部および US DoD 中部にフォーカスしながら、Azure IP 範囲とサービス タグ – US Government Cloud のドキュメント を参照してください。 また、エンド ユーザーがサービス URL へのアクセス許可を持つのに必要な IP 範囲であることに注意してください。
モバイル クライアントの構成
Power Apps モバイル クライアントでサインインするには、いくつかの追加の構成手順が必要です。
- サインイン ページの右下隅から歯車アイコンを選択します。
- リージョンの設定を選択します。
- 次のいずれかを選択します:
- GCC: 米国政府 GCC
- GCC High: US Government GCC High
- DoD: 米国政府 DOD
- OK を選びます。
- サインイン ページで、サインインを選択します。
今後はモバイル アプリケーションが米国政府クラウド ドメインを使用します。
オンプレミス データ ゲートウェイの構成
Power Apps でビルドされたキャンバス アプリと、オンプレミス SQL Server データベースやオンプレミス SharePoint サイトなど、クラウドではないデータ ソースの間でデータを簡単かつセキュリティ移行するため、オンプレミス データ ゲートウェイ をインストールします。
組織 (テナント) がすでに構成済みで、Power BI US Government のオンプレミス データ ゲートウェイへの接続が成功している場合、組織が実行したプロセスおよび構成によって、Power Apps のオンプレミス接続が有効になります。
以前は、サポートがゲートウェイ使用のためにテナントを「許可リスト」に載せる必要があったため、米国政府顧客は、最初のオンプレミス データ ゲートウェイを構成する前にサポートに問い合わせる必要がありました。 これはもう必要ありません。 オンプレミス データ ゲートウェイの構成または使用中に問題が発生した場合は、サポートにお問い合わせください。
モデル駆動型アプリのテレメトリ
次の URL を許可リストに追加して、モデル駆動型アプリのテレメトリ情報のファイアウォールやその他のセキュリティ メカニズムで通信できるようにする必要があります。
-
GCC および GCC High:
https://tb.pipe.aria.microsoft.com/Collector/3.0 -
DoD:
https://pf.pipe.aria.microsoft.com/Collector/3.0
Power Apps US Government の機能制限
マイクロソフトは、市販のサービスと、米国政府機関のクラウドを通じて実現されるサービスとの間の機能の同等性を維持するよう努めています。 これらのサービスは、Power Apps Government Community Cloud (GCC) および GCC High と呼ばれます。 グローバル利用可能地域ツールを参照して、Power Apps が世界中のどこで利用可能であるかを確認することができます (おおよその可用性のタイムラインを含む)。
米国政府機関のクラウド内で製品機能の同等性を維持するという原則には例外があります。 機能の提供の詳細については、Business Applications US Government - 利用可能性の概要を参照してください。
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。
参照
Microsoft Power Automate US Government
Dynamics 365 US Government