US Government 向け Copilot Studio のお客様
この記事は、Copilot Studio 政府機関コミュニティ クラウド (GCC) プランの一環として Copilot Studio をデプロイする米国政府機関のお客様を対象としています。 本書は、これらのプランに固有の機能の概要を提供します。
Government プランは、米国のコンプライアンスとセキュリティ標準を満たする必要がある組織の固有のニーズに合うように設計されています。
この記事と Copilot Studio 概要をお読みになることをお勧めします。
Copilot Studio US Government サービスの説明は、一般的な Copilot Studio サービスの説明のオーバーレイとして機能します。 ここでは、2019 年 12 月からお客様に提供されている一般的な Copilot Studio オファリングと比較して、ユニークなコミットメントと差異が定義されます。
Copilot Studio 米国政府の計画と環境
Copilot Studio US Government プランのライセンスは、パブリック クラウドの場合と同じです。 これは、ボリューム ライセンスおよびクラウド ソリューション プロバイダーの購入チャネルを通じて取得できます。 詳細については、ユーザー ライセンスの割り当てとアクセスの管理 を参照してください。
Copilot Studio GCC 環境は、FedRAMP High などの、クラウド サービス向けの連邦の要件に準拠しています。
Copilot Studio の機能に加えて、Copilot Studio US Government プランを使う組織は次の固有の機能を活用できます。
- 組織の顧客コンテンツは、Copilot Studio 向け US-Government 以外のプランの顧客コンテンツから物理的に分離されています。
- 組織の顧客コンテンツは、米国内に保存されます。
- 組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
- Copilot Studio US Government は、米国公共部門の顧客が要求するすべての認証や認定に準拠します。
GCC High 環境
2022 年 2 月以降、対象となる顧客は Copilot Studio US Goverment を GCC High 環境に展開することを選択できるようになりました。
Microsoft は、DISA SRG IL4 (国防情報システム局セキュリティ要件ガイド影響レベル 4) コンプライアンス フレームワークに沿った要件を満たすように、プラットフォームおよび運用手順を設計しました。
このオプションを選択すると、顧客は顧客 ID に政府機関向け Microsoft Entra ID を使用することができ、それが必要になります。 対照的に、GCC はパブリック Microsoft Entra ID を使用します。
米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらの顧客が国際武器取引規則 (ITAR) コミットメントおよび防衛連邦調達規則補足 (DFARS) 取得規制を満たすことができるようにサービスを運用します。 DISA は、暫定運用機関を付与しています。
顧客の有効性
Copilot Studio US Government プランは、次の場合に利用できます。
- (1) 米国の連邦、州、地方、部族、および領土の政府機関、および
- (2) 政府の規制や要件の対象となるデータを扱うその他のエンティティで、Copilot Studio US Government プランの利用がこれらの要件を満たすために適切である場合、適格性の検証を条件とします。
Microsoft による適格性の検証には、次のものが含まれます:
- ITAR 対象データの取扱い確認
- 連邦捜査局 (FBI) の刑事司法情報サービス (CJIS) ポリシーの対象となる法執行データ
- その他の政府が規制または管理するデータ
検証には、データの取り扱いに関する特定の要件を伴う政府機関の公的支援が必要となる場合があります。
Copilot Studio US Government の有効性について質問のあるエンティティは、アカウント チームに相談する必要があります。 Microsoft は、Copilot Studio US Government プランの顧客契約の更新時に、適格性を再検証します。
顧客データと顧客コンテンツの違い
オンライン サービス利用条件 で定義されている顧客データとは、オンライン サービスを使用している顧客またはその代理によって Microsoft に提供されるすべてのデータを意味します。 これには、すべてのテキスト、サウンド、ビデオ、画像ファイル、ソフトウェアが含まれます。
顧客コンテンツとは、ユーザーが直接作成した顧客データの特定のサブセットを指します。 これには、たとえば、Dataverse エンティティ (例: 連絡先情報) のエントリを通じてデータベースに格納されたコンテンツが含まれます。 一般的に、コンテンツは機密情報と見なされ、通常のサービス運用では暗号化せずにインターネット経由で送信されることはありません。
Copilot Studio による顧客データを保護する方法の詳細については、Microsoft Online Services のセキュリティ センター を参照してください。
政府コミュニティ クラウドのデータの分離
Copilot Studio US Government プランの一部として準備されている場合は、Copilot Studio サービスは国立標準技術研究所 (NIST) に基づいて使用されます。
アプリケーション層での顧客コンテンツの論理的分離に加え、Copilot Studio US Government サービスは、顧客コンテンツの物理的分離のセカンダリ層を組織に提供します。 この分離は、商用 Copilot Studio 顧客向けに使用されるインフラストラクチャとは別のインフラストラクチャを使用することで実現されます。 このタイプの使用には Azure の government クラウドのAzure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客の内容
Copilot Studio US Government サービスは、物理的に米国内にあるデータセンターで実行されます。 顧客コンテンツは、物理的に米国にのみあるデータセンターに格納されます。
管理者による制限付きデータ アクセス
Copilot Studio US Government の顧客コンテンツへの Microsoft 管理者によるアクセスは、米国市民のユーザーに制限されます。 これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Copilot Studio のサポートおよびサービスのエンジニア スタッフは、Copilot Studio US Government サービスでホストされた顧客コンテンツに常時アクセスすることはできません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
Microsoft の人事審査と身辺調査 1 | 内容 |
---|---|
米国市民権 | 米国市民権の検証 |
職歴の確認 | (7) 年間の雇用歴の検証 |
学歴の検証 | 達成した最高学位の検証 |
社会保障番号 (SSN) の照合 | 職員が提示した SSN が有効であることの確認 |
犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
外国資産管理局オフィスのリスト (OFAC) | 米国人が貿易取引や金融取引に関与することを禁じられているグループの財務省のリストの確認 |
産業安全保障局のリスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
指紋確認 | FBI データベースに対する指紋の身辺調査 |
CJIS 身辺調査 | 州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました |
国防総省 IT-2 | 顧客データへ昇格されたアクセス許可または DoD SRG L5 サービス容量への特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて、DoD IT-2 裁定に合格する必要があります。 |
1.Copilot Studio US Government (GCC および GCC High) でホストされる顧客コンテンツに一時的または永続的なアクセス権を持つ担当者にのみ適用されます
認定資格と認証評価
Copilot Studio US Government プランは高い影響レベルで、連邦リスクと認可管理プログラム (FedRAMP) の認証評価をサポートするように設計されています。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) を付与するための確認の裏付けとして、これらの成果物を調査できます。
注意
Copilot Studio は Azure Government FedRAMP ATO のサービスとして承認されています。
FedRAMP ドキュメントの利用方法などの詳細は FedRAMP マーケットプレイス をご確認ください。
Copilot Studio US Government プランには、法執行機関のための顧客の CJIS ポリシーの要件をサポートするように設計された機能があります。
Copilot Studio US Government および他の Microsoft サービス
Copilot Studio US Government プランには、ユーザーが Power Apps や Power Automate US Governmentのような他のマイクロソフト エンタープライズ サービスに接続して統合できるようにするいくつかの機能が含まれています。
Copilot Studio US Government サービスは、マルチテナント型のパブリック クラウド展開モデルと一致する方法で Microsoft データセンター内で実行されます。 ただし、クライアント アプリケーションは Web ユーザー クライアントに限定されており、Microsoft Teams では使用できません。 政府機関の顧客がクライアント アプリケーションの管理を担当します。
Copilot Studio US Government プランは、顧客管理と請求に Office 365 顧客管理 UI を使用します。
Copilot Studio US Government サービスは、実際のリソース、情報フロー、およびデータ管理を維持します。 FedRAMP ATO 継承の目的には、Copilot Studio US Government プランはインフラストラクチャとプラットフォーム サービスに、それぞれ Azure (Azure for Government を含む) ATO を活用します。
Active Directory フェデレーション サービス (ADFS) 2.0 の使用を採用し、ポリシーを設定してユーザーがシングル サインオンを使ってサービスに接続できるようにする場合は、一時的にキャッシュされている顧客コンテンツはすべて米国内に配置されます。
Copilot Studio US Government とサード パーティ サービス
Copilot Studio US Government プランには、コネクタ と スキル を使って Power Automate Cloud Flow 経由でサードパーティー アプリケーションをサービスに統合する機能が備わっています。 これらのサード パーティのアプリケーションやサービスは、組織の顧客データを Copilot Studio US Government インフラストラクチャの外部にあるサード パーティ システム上で、格納、転送、および処理することになる場合があります。 そのため、これらのサードパーティのアプリケーションとサービスは、Copilot Studio US Government のコンプライアンスおよびデータ保護に関するコミットメントの対象外となります。
重要
自分の組織に対するこれらのサービスの適切な使用を評価する場合は、サード パーティによって提供されるプライバシーとコンプライアンスのステートメントを確認してください。
ガバナンスに関する考慮事項 は、アーキテクチャ、セキュリティ、アラートとアクション、監視など、関連するいくつかのテーマで利用できる機能について組織が認識を高める際に活用できます。
Copilot Studio US Government と Azure サービス
Copilot Studio US Government サービスは、Microsoft Azure Government に展開されます。 Microsoft Entra ID は、Copilot Studio US Government の認定境界の一部ではありません。 ただし、このサービスは、顧客テナントと ID の機能に関しては顧客の Microsoft Entra ID テナントに依存します。 これには次のものが含まれます。
- 認証
- フェデレーション認証
- ライセンス
ADFS を使用している組織のユーザーが Copilot Studio US Government サービスにアクセスしようとすると、そのユーザーは組織の ADFS サーバー上でホストされているログイン ページにリダイレクトされます。
ユーザーは、その組織の ADFS サーバーに自分の資格情報を提供します。 組織の ADFS サーバーでは、組織の Active Directory インフラストラクチャを使用してその資格情報の認証を試みます。
認証が成功した場合は、組織の ADFS サーバーによって、ユーザーの ID とグループのメンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットが発行されます。
顧客の ADFS サーバーは、非対称キー ペアの片方使用してこのチケットに署名し、暗号化された TLS (トランスポート層セキュリティ) を介して Microsoft Entra ID にチケットを送信します。 Microsoft Entra ID では、非対称キー ペアのもう片方を使って署名を検証し、その後チケットに基づくアクセス権を付与します。
Microsoft Entra ID では、ユーザーの ID とグループのメンバーシップに関する情報は暗号化されたままです。 つまり、ユーザーを特定できる一部の情報のみが Microsoft Entra ID に格納されます。
Microsoft Entra ID セキュリティ アーキテクチャおよびコントロールの実装に関する詳細については、Azure System Security Plan (SSP) を参照してください。
Microsoft Entra ID のアカウント管理サービスは、Microsoft Global Foundation Services (GFS) によって管理されている物理サーバー上でホストされています。 これらのサーバーへのネットワーク アクセスは、Azure によって設定されたルールを使用する GFS で管理されたネットワーク デバイスによって制御されます。 ユーザーは Microsoft Entra ID と直接やり取りしません。
Microsoft Copilot Studio US Government サービスの URL
次の表に示すように、Copilot Studio US Government 環境にアクセスするには、異なる URL のセットを使用します。 この表には、コンテキスト参照用の商用 URL も含まれています。
商用 | US Government (GCC) | 米国政府 (GCC High) |
---|---|---|
copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
ネットワーク制限を行っている顧客については、エンドユーザーのアクセスポイントから以下のドメインへのアクセスが可能であることを確認してください。
GCC のお客様
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
ユーザーおよび管理者がお客様のテナント内に作成できる Dataverse インスタンスにアクセスできるようにするには、AzureCloud.usgovtexas および AzureCloud.usgovvirginia に対する IP 範囲 を参照してください。
Copilot Studio US Government とパブリック Azure Cloud Services 間の接続
Azure は複数のクラウド間で配布されます。 既定では、テナントでクラウド固有のインスタンスに対するファイアウォール規則を開くことが許可されていますが、クラウド間ネットワークの場合は異なり、サービス間で通信するために特定のファイアウォール規則を開く必要があります。 Copilot Studio の顧客であり、アクセスする必要がある Azure パブリック クラウドに既存の SQL インスタンスがある場合、次のデータセンター用に、Azure Government Cloud IP 空間に対する特定のファイアウォール ポートを SQL で開く必要があります。
USGov バージニア
USGov テキサス
AzureCloud.usgovtexas と AzureCloud.usgovvirginia に注目しながら、Azure IP 範囲とサービス タグ - US Government クラウド のドキュメントを参照してください。 また、これらが、エンド ユーザーがサービス URL にアクセスするために必要な IP 範囲ですので注意してください。
Copilot Studio US Government の機能制限
Copilot Studio の商業バージョンで使用可能な機能の一部は、Copilot Studio US Government の顧客は使用できません。 Copilot Studio チームは、US Government の顧客がこれらの機能を使用できるように積極的な作業を行っており、これらの機能が使用可能になった時点でこの記事を更新します。
機能と特性 | GCC で使用可能 | GCC High で使用可能 |
---|---|---|
Copilot Studio 分析1 | ✖ いいえ |
✖ いいえ |
Copilot Studio Microsoft Teams アプリ エクスペリエンス | ✖ いいえ |
✖ いいえ |
Copilot Studio ウェブ アプリケーションの Teams チャネル | ✔ 有効 |
✖ いいえ |
エージェントに転送 | ✔ 有効 |
✖ いいえ |
1. または、Power BI ダッシュボード (ブログ) を使用した分析のカスタマイズを作成することもできます。
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。