Aplikacja Copilot Studio dla klientów z sektora US Government
Ten artykuł dotyczy klientów rządowych USA, którzy wdrażają usługę Copilot Studio w ramach planu usługi Copilot Studio dla instytucji rządowych (GCC). Zawiera omówienie funkcji określonych w tych planach.
Plany dla instytucji rządowych są projektowane pod kątem spełniania unikatowych potrzeb organizacji, które muszą działać zgodnie ze standardami w zakresie zgodności i bezpieczeństwa obowiązującymi w Stanach Zjednoczonych.
Zalecamy przeczytanie tego artykułu i Copilot Studio przeglądu.
Opis usługi Copilot Studio US Government jest nakładką ogólnego opisu usługi Copilot Studio. Definiuje unikalne zobowiązania i różnice w porównaniu z ogólną ofertą Copilot Studio, która jest dostępna dla naszych klientów od grudnia 2019 r.
Copilot Studio Plany i środowiska rządu USA
Plany Copilot Studio US Government (US Government) są takie same jak w przypadku usług w chmurze publicznej. Są one dostępne za pośrednictwem kanałów zakupu Licencjonowanie zbiorowe i Dostawca rozwiązań w chmurze. Aby uzyskać więcej informacji, zobacz Przypisywanie licencji użytkownika i zarządzanie dostępem.
Środowisko usługi Copilot Studio GCC jest zgodne z federalnymi wymaganiami w zakresie usług w chmurze, w tym z wymaganiami FedRAMP High.
Oprócz funkcji i możliwości usługi Copilot Studio, organizacje używające usługi Copilot Studio US Government korzystają z zalet następujących unikatowych funkcji:
- Zawartość klientów w organizacji jest fizycznie oddzielona od zawartości klientów w planach Copilot Studio spoza Stanów Zjednoczonych.
- Zawartość klientów w organizacji jest przechowywana w Stanach Zjednoczonych.
- Dostęp do informacji o klientach Twojej organizacji jest zabroniony do wykrywania przez pracowników Microsoft użytkowników.
- Usługa Copilot Studio US Government jest zgodna z wszystkimi certyfikacjami i akredytacjami, których wymagają klienci z sektora publicznego USA.
GCC High środowisko
Od lutego 2022 r. uprawnieni klienci mogą wybrać opcję wdrożenia Copilot Studio US Government w środowisku GCC High.
Firma Microsoft zaprojektowała platformę i procedury operacyjne, aby spełniały wymagania zgodne z wytycznymi zgodności DISA SRG IL4 (Defense Information Systems Agency Security Requirements Guide Impact Level 4).
Ta opcja umożliwia klientowi użycie usługi Microsoft Entra ID dla instytucji rządowych na potrzeby tożsamości klienta. Dla kontrastu, GCC korzysta z publicznych Microsoft Entra ID.
Dla bazy klientów wykonawców Ministerstwa Obrony USA firma Microsoft działa w taki sposób, który umożliwia tym klientom spełnienie zobowiązania ITAR (International Traffic in Arms Regulations) i przepisów nabywania DFARS (Defense Federal Acquisition Regulation Supplement), zgodnie z dokumentacją i wymogami umów z Ministerstwem Obrony USA. DISA przyznał uprawnienia do działania w urzędu certyfikacji.
Kwalifikowalność klienta
Plany Copilot Studio administracji państwowej Stanów Zjednoczonych są dostępne dla:
- (1) Amerykańskie federalne, stanowe, lokalne, plemienne i terytorialne jednostki rządowe oraz
- (2) inne podmioty, które przetwarzają dane podlegające regulacjom i wymogom rządowym oraz w przypadku których użycie planów Copilot Studio US Government jest odpowiednie do spełnienia tych wymagań, z zastrzeżeniem potwierdzenia kwalifikowalności.
Sprawdzanie poprawności kwalifikowania przez firmę Microsoft obejmuje:
- Potwierdzenie obsługi tematu danych iTAR
- Dane organów ochrony porządku publicznego podlegają zasadom FBI (CJIS, Criminal Justice Information Services) lub
- Inne dane kontrolowane lub regulowane przez administrację rządową
Weryfikacja może wymagać sponsora w postaci jednostki rządowej z określonymi wymaganiami dotyczącymi obsługi danych.
Podmioty z pytaniami dotyczącymi kwalifikowania do Copilot Studio US Government powinny zasięgnąć opinii zespołu ds. świadczenia. Firma Microsoft ponownie weryfikuje uprawnienia, gdy odnawia umowy z klientami dotyczące planów Copilot Studio US Government.
Różnice między danymi klientów i zawartością klientów
Dane klienta, zgodnie z definicją w Warunkach świadczenia usług online, oznaczają wszystkie dane udostępniane Microsoft przez klientów korzystających z usługi online lub w ich imieniu. Obejmuje to cały tekst, dźwięki, film wideo, pliki obrazów oraz oprogramowanie.
Zawartość klienta odnosi się do określonego podzbioru danych klienta, które zostały utworzone bezpośrednio przez użytkowników. Może to obejmować na przykład zawartość przechowywaną w bazach danych za pośrednictwem wpisów w encjach Dataverse (na przykład informacji o kontakcie). Zawartość jest ogólnie uważana za informacje poufne, a w przypadku zwykłych operacji usługi nie jest wysyłana za pośrednictwem Internetu bez szyfrowania.
Aby uzyskać więcej informacji na temat ochrony danych klienta za pomocą Copilot Studio, zobacz Centrum zaufania usług online Microsoft.
Segregacja danych dla Government Community Cloud
Zapewniana jako część Copilot Studio US Government, usługa Copilot Studio jest oferowana zgodnie z wytycznymi Krajowego Instytutu Norm i Technologii (NIST).
Poza logicznym wydzieleniem zawartości klienta w warstwie aplikacji usługa Copilot Studio US Government udostępnia organizacji dodatkową warstwę fizyczną zawartości klienta. Tę segregację można uzyskać przy użyciu infrastruktury oddzielonej od infrastruktury używanej przez klientów komercyjnych Copilot Studio. Obejmuje to korzystanie z usług w chmurze Azure dla instytucji rządowych (Azure Government Cloud). Aby dowiedzieć się więcej, zobacz Azure dla instytucji rządowych.
Treści klientów znajdujących się na terenie Stanów Zjednoczonych
Usługa Copilot Studio US Government jest uruchomiona w centrach danych fizycznie zlokalizowanych w Stanach Zjednoczonych. Przechowuje zawartość klienta w centrum danych fizycznie zlokalizowanych tylko w Stanach Zjednoczonych.
Dostęp do danych chronionych przez administratorów
Dostęp do treści klienta Copilot Studio US Government uzyskiwany przez administratorów Microsoft jest ograniczony do osób, które są obywatelami Stanów Zjednoczonych. Pracownicy przechodzą weryfikację zgodnie z odpowiednimi standardami rządowymi.
Personel inżynieryjny wsparcia i pomocy technicznej usługi Copilot Studio nie ma stałego dostępu do zawartości klientów hostowanej w usłudze Copilot Studio US Government. Pracownicy, którzy wnioskują o tymczasowe uprawnienia, zapewniające dostęp do zawartości klienta muszą najpierw przejść następujące kontrole.
Sprawdzanie danych i przeszłości pracowników Microsoft 1 | Opis |
---|---|
Obywatelstwo Stanów Zjednoczonych | Weryfikacja obywatelstwa Stanów Zjednoczonych |
Historia zatrudnienia | Weryfikacja siedmiu (7) lat historii zatrudnienia |
Weryfikacja wykształcenia | Weryfikacja najwyższego osiągniętego stopnia |
Sprawdzenie numeru ubezpieczenia społecznego (SSN) | Sprawdzanie, czy numer SSN podany przez pracownika jest prawidłowy |
Sprawdzenie przeszłości kryminalnej | Sprawdzenie siedmiu (7) lat przeszłości kryminalnej pod kątem przestępstw i wykroczeń na poziomie stanowym, regionalnym, lokalnym i federalnym |
Biuro ds. kontroli zasobów zagranicznych (OFAC) | Weryfikacja względem przygotowanej przez Departament Skarbu listy grup, z którymi obywatele USA nie mogą prowadzić transakcji handlowych ani finansowych |
Lista Biura Przemysłu i bezpieczeństwa (BIS) | Porównanie ze sporządzoną przez Departament Handlu listą osób fizycznych lub podmiotów, którym zakazano angażowania się w działania związane z eksportem |
Sporządzona przez Biuro kontroli handlu materiałami związanymi z obronnością lista osób wykluczonych (DDTC) | Porównanie ze sporządzoną przez Departament Stanu listą osób fizycznych lub podmiotów, którym zakazano angażowania się w działania związane z eksportem związanym z przemysłem obronnym |
Sprawdzenie odcisków palców | Sprawdzenie odcisków w bazie danych FBI |
Sprawdzenie w Wydziale Informacji Kryminalnych | Potwierdzona analiza historii kryminalnej federalnej i stanowej przeprowadzona przez państwowe władze wyznaczone przez CSA wpisane do programu Microsoft CJIS IA |
Departament Obrony IT-2 | Pracownicy, którzy żądają podwyższonych uprawnień do danych klientów lub uprzywilejowanego dostępu administracyjnego do zdolności usługi DoD SRG L5, muszą przejść orzeczenie DoD IT-2 na podstawie pomyślnego dochodzenia OPM Tier 3. |
1. Dotyczy tylko personelu z tymczasowym lub stałym dostępem do zawartości klientów hostowanej w usłudze Copilot Studio US Government (GCC i GCC High)
Certyfikacja i akredytacja
Plany Copilot Studio US Government są zaprojektowane, aby wspierać akredytację programu Federal Risk and Authorization Management Program (FedRAMP) na poziomie High Impact. Artefakty FedRAMP są dostępne do wglądu przez klientów federalnych, którzy muszą postępować zgodnie z FedRAMP. Agencje federalne mogą zapoznawać się z tymi artefaktami, przeprowadzając swoje przeglądy, w celu udzielenia Autoryzacji do działania (ATO).
Uwaga
Copilot Studio jest autoryzowany jako usługa w ramach Azure Government FedRAMP ATO.
Więcej informacji na ten temat, w tym jak uzyskać dostęp do dokumentów programu FedRAMP, można znaleźć w witrynie FedRAMP Marketplace.
Plany Copilot Studio US Government mają funkcje opracowane z myślą o spełnianiu przez klientów wymagań polityki CJIS dla organów ścigania.
Copilot Studio US Government i inne usługi Microsoft
Plany Copilot Studio US Government obejmują kilka funkcji, które umożliwiają użytkownikom łączenie się i integrację z innymi usługami firmy Microsoft dla przedsiębiorstw, takimi jak Power Apps i Power Automate US Government.
Usługi Copilot Studio US Government działają w centrach danych Microsoft zgodnie z wielodostępnym, publicznym modelem wdrażania w chmurze. Jednak aplikacje klienckie są ograniczone do klienta użytkownika sieci Web i nie są dostępne w Microsoft Teams. Klienci rządowi są odpowiedzialni za zarządzanie aplikacjami klienckimi.
Plany Copilot Studio US Government korzystają z interfejsu użytkownika administratora klienta usługi Office 365 do administrowania klientami i rozliczeniami.
Usługa Copilot Studio US Government obsługuje rzeczywiste zasoby, przepływ informacji i zarządzanie danymi. Dla potrzeb dziedziczenia FedRAMP ATO, plany Copilot Studio US Government używają Azure (w tym Azure for Governement) dla platform usług i infrastruktury.
Jeśli zdecydujesz się na korzystanie z usług Active Directory Federation Services (ADFS) 2.0 i skonfigurujesz zasady, aby użytkownicy mogli łączyć się z usługami za pomocą logowania jednokrotnego, tymczasowo buforowana zawartość klienta będzie znajdować się w Stanach Zjednoczonych.
Copilot Studio US Government i inne usługi
Plany Copilot Studio US Government zapewniają możliwość integracji aplikacji innych firm z usługą za pośrednictwem usługi Power Automate Cloud Flow, która wykorzystuje Łączniki i Umiejętności. Te aplikacje i usługi innych firm mogą obejmować przechowywanie, przekazywanie i przetwarzanie danych klienta organizacji w systemach innych firm, znajdujących się poza infrastrukturą Copilot Studio US Government. W związku z tym te aplikacje i usługi innych firm nie są objęte zobowiązaniami usługi Copilot Studio US Government dotyczących zgodności i zasad ochrony danych.
Ważne
Aby ocenić prawidłowy sposób użycia tych usług w organizacji, zapoznaj się z oświadczeniami innych firm w zakresie zachowania zgodności i prywatności.
Rozważania dotyczące bezpieczeństwa mogą pomóc organizacji w zwiększenia świadomości na temat możliwości dostępnych w wielu powiązanych motywach, takich jak architektura, zabezpieczenia, alerty, działania i monitorowanie.
Usługi Copilot Studio US Government i Azure Services
Usługi Copilot Studio US Government są rozmieszczone na administracji państwowej Microsoft Azure. Microsoft Entra ID nie należy do granicy administracji Copilot Studio US Government. Jednak usługi korzystają z dzierżawcy Microsoft Entra ID na potrzeby dzierżawcy klientów i funkcji tożsamości. Te obszary to:
- Uwierzytelnianie
- Uwierzytelnianie federacyjne
- Licencjonowanie
Gdy użytkownik w organizacji korzystającej z usług ADFS próbuje uzyskać dostęp do usługi Copilot Studio US Government, jest przekierowywany na stronę logowania hostowaną na serwerze usług ADFS w organizacji.
Użytkownik udostępnia poświadczenia serwerowi ADFS w swojej organizacji. Serwer ADFS w organizacji podejmuje próbę uwierzytelnienia poświadczeń przy użyciu infrastruktury usługi Active Directory w organizacji.
Jeśli uwierzytelnianie zakończy się pomyślnie, serwer usług ADFS w organizacji wystawia bilet SAML (Security Assertion Markup Language), który zawiera informacje dotyczące tożsamości użytkownika i jego członkostwa w grupie.
Serwer usług ADFS klienta podpisuje ten bilet przy użyciu połowy pary kluczy asymetrycznych, a następnie wysyła go do usługi Microsoft Entra ID za pośrednictwem zaszyfrowanego protokołu TLS (Transport Layer Security). Tożsamość Microsoft Entra sprawdza podpis przy użyciu drugiej połowy kluczy asymetrycznych, a następnie przyznaje dostęp w oparciu o bilet.
Identyfikacja użytkownika i informacje o jego członkostwie w grupie pozostaną zaszyfrowane w tożsamości Microsoft Entra. Mówiąc inaczej, tylko ograniczone dane osobowe będą przechowywane w tożsamości Microsoft Entra.
Szczegółowe informacje na temat implementacji kontroli i architektury zabezpieczeń usługi Microsoft Entra ID zawiera plan SSP (System Security Plan) platformy Azure.
Usługi zarządzania kontami usługi Microsoft Entra ID są hostowane na serwerach fizycznych zarządzanych przez usługi Microsoft Global Foundation Services (GFS). Dostęp sieciowy do tych serwerów jest kontrolowany przez urządzenia sieciowe zarządzane przez usługi GFS przy użyciu reguł ustawionych przez platformę Azure. Użytkownicy nie kontaktują się bezpośrednio z usługą Microsoft Entra ID.
Adresy URL Microsoft Copilot Studio US Government
W celu uzyskania dostępu do środowisk usługi Copilot Studio US Government używany jest inny zestaw adresów URL, jak pokazano w poniższej tabeli. Tabela zawiera również komercyjne adresy URL dla odwoływać się do kontekstu.
Komercyjne | US Government (GCC) | US Government (GCC High) |
---|---|---|
copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
W przypadku klientów, którzy wdrażają ograniczenia sieciowe, należy zapewnić dostęp do następujących domen dla punktów dostępu użytkowników końcowych:
Klienci GCC
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
Aby włączyć dostęp do wystąpień usługi Dataverse, które mogą zostać utworzone przez użytkowników i administratorów Twojej dzierżawy, zobacz zakresy adresów IP domen AzureCloud.usgovtexas i AzureCloud.usgovvirginia.
Łączność między Copilot Studio US Government a publicznymi usługami w chmurze usługi Azure
Platforma Azure jest rozprowadzana między wiele chmur. Domyślnie dzierżawy mogą otwierać reguły zapory na potrzeby wystąpienia specyficznego dla chmury, ale połączenia sieciowe między chmurami są inne i wymagają otwarcia określonych reguł zapory na potrzeby komunikacji między usługami. Jeśli jesteś klientem usługi Copilot Studio i w chmurze publicznej platformy Azure masz istniejące wystąpienia SQL, do których chcesz uzyskiwać dostęp, musisz otworzyć określone porty zapory w bazie danych SQL dla przestrzeni adresów IP chmury Azure Government Cloud w przypadku następujących centrów danych:
USGov Wirginia
USGov Teksas
Zapoznaj się z dokumentem Zakresy adresów IP i tagi usług platformy Azure — Chmura instytucji rządowych USA koncentrującym się na usługach AzureCloud.usgovtexas i AzureCloud.usgovvirginia. Zauważ również, że są to zakresy adresów IP, których użytkownicy końcowi potrzebują do uzyskiwania dostępu do adresów URL usługi.
Ograniczenia funkcji Copilot Studio US Government
Niektóre funkcje dostępne w komercyjnej wersji usługi Copilot Studio nie są dostępne dla klientów usługi Copilot Studio US Government. Zespół usługi Copilot Studio stale pracuje nad udostępnieniem tych funkcji klientom rządowym w Stanach Zjednoczonych, a niniejszy artykuł zostanie zaktualizowany, gdy funkcje zostaną udostępnione.
Funkcja lub możliwości | Dostępne w GCC | Dostępne w GCC High |
---|---|---|
Analityka Copilot Studio1 | ✖ Nie |
✖ Nie |
Środowisko aplikacji Copilot Studio Microsoft Teams | ✖ Nie |
✖ Nie |
Kanał Zespoły w aplikacji sieci web Copilot Studio | ✔ Tak |
✖ Nie |
Przekaż do agenta | ✔ Tak |
✖ Nie |
1. Możesz również utworzyć niestandardową analizę przy użyciu pulpitu Power BI nawigacyjnego (blog).
Żądanie pomocy technicznej
Masz problem z usługą? Możesz utworzyć żądanie pomocy technicznej, aby rozwiązać problem.
Więcej informacji: Skontaktuj się z pomocą techniczną