适用于 US Government 客户的 Copilot Studio
本文适用于部署 Copilot Studio 作为 Copilot Studio 政府社区云 (GCC) 计划的一部分的美国政府客户。 它向您概述了特定于这些计划的功能。
政府版计划设计用于满足必须符合美国合规性和安全性标准的组织的独特需求。
我们建议您阅读本文和 Copilot Studio 概述。
Copilot Studio US Government 服务说明基于常规 Copilot Studio 服务说明。 相比 2019 年 12 月以来为客户提供的常规 Copilot Studio 产品/服务,它定义了独特承诺和差异。
Copilot Studio 美国政府计划和环境
Copilot Studio US Government 计划的许可与用于公有云的许可相同。 它们可通过批量许可和云解决方案提供商购买渠道获得。 有关详细信息,请参阅分派用户许可证和管理访问权限。
Copilot Studio GCC 环境符合联邦政府对云服务的要求,包括 FedRAMP High。
除了 Copilot Studio 的特性和功能之外,使用 Copilot Studio US Government 计划的组织还会从以下独特功能中受益:
- 您组织的客户内容在物理上与 Copilot Studio 的非 US-Government 计划中的客户内容分离。
- 您的组织的客户内容存储在美国。
- 只有经过筛选的 Microsoft 人员才能访问您的组织的客户内容。
- Copilot Studio US Government 符合美国公共部门客户要求的所有证书和认证。
GCC High 环境
从 2022 年 2 月开始,合格的客户可以选择将 Copilot Studio US Government 部署到 GCC High 环境。
Microsoft 设计了平台和我们的操作过程来满足与 DISA·SRG IL4(国防信息系统局安全要求指南影响等级 4)合规框架一致的要求。
此选项允许并要求客户利用 Government 的 Microsoft Entra ID 获取客户身份, 相比之下,GCC 使用公共 Microsoft Entra ID。
对于美国国防部转包商客户群,Microsoft 以让这些客户遵守国际武器贸易条例 (ITAR) 承诺和国防联邦采购法规补充 (DFARS) 采购法规,如其与美国国防部签订的合同所记录和要求的。 DISA 授予了临时运作权。
客户资格
Copilot Studio US Government 计划可用于:
- (1) 美国联邦、州、地方、部落和区域政府实体,以及
- (2) 处理受政府法规和要求(且使用 Copilot Studio US Government 计划适合满足这些要求)约束的数据的其他实体,但须经过资格验证。
Microsoft 的资格验证包括:
- 确认处理受 ITAR 约束的数据
- 受联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 政策约束的执法数据
- 其他政府监管或控制的数据
验证可能需要具有处理数据特定要求的政府实体的赞助。
对 Copilot Studio US Government 资格有疑虑的实体应该咨询自己的客户团队。 Microsoft 会在续订 Copilot Studio US Government 计划的客户合同时重新验证其是否符合资格。
客户数据和客户内容之间的差异
联机服务条款中定义的“客户数据”表示使用联机服务的客户或代表客户提供给 Microsoft 的所有数据。 这包括所有文本、声音、视频、图像文件和软件。
客户内容是指由用户直接创建的客户数据的特定子集。 例如,这可能包括通过 Dataverse 实体中的条目存储在数据库中的内容(例如,联系人信息)。 通常,内容被视为机密信息,并且在正常服务操作中,不会通过未加密的 Internet 进行发送。
有关 Copilot Studio 如何保护客户数据的详细信息,请参阅 Microsoft 联机服务信任中心。
政府社区云的数据分离
如果预配为 Copilot Studio US Government 计划的一部分,Copilot Studio 服务根据国家标准与技术研究所 (NIST) 提供。
除了在应用程序层的客户内容的逻辑分离外,Copilot Studio US Government 服务还为您的组织提供客户内容物理分离的辅助层。 这种隔离是通过使用独立于商业 Copilot Studio 客户基础设施的基础设施来实现的。 此类型的使用情况包括在 Azure 的政府云中使用 Azure 服务。 若要了解详细信息,请参阅 Azure 政府。
位于美国的客户内容
Copilot Studio US Government 服务在实际位于美国的数据中心运行。 客户内容长期存储在仅实际位于美国的数据中心。
由管理员限制数据访问
Microsoft 管理员对 Copilot Studio US Government 客户内容的访问限制为美国公民身份的个人。 这些人员根据相关政府标准接受背景调查。
Copilot Studio 支持和服务工程员工没有对 Copilot Studio US Government 服务中托管的客户内容的长期访问权限。 请求会授予客户内容访问权限的临时权限评估的所有员工首先必须通过以下后台检查。
Microsoft 人员筛选和后台检查1 | 描述 |
---|---|
美国公民身份 | 美国公民身份验证 |
雇佣历史记录检查 | 七 (7) 年雇佣历史记录验证 |
教育验证 | 所获的最高学历验证 |
身份证号 (SSN) 搜索 | 验证员工提供的 SSN 是否有效 |
犯罪历史记录检查 | 七 (7) 年犯罪记录检查是否有州、县和地方级别以及联邦级别的重罪和轻罪。 |
海外资产控制办公室名单 (OFAC) | 根据财政部包含禁止贸易或金融交易往来的美国人员的组织名单进行验证 |
工业和安全局名单 (BIS) | 根据商务部禁止参与出口活动的个人和实体名单进行验证 |
美国国防贸易管制办公室禁止人员名单 (DDTC) | 根据国务部禁止参与涉及国防工业的出口活动的个人和实体名单进行验证 |
指纹检查 | 根据 FBI 数据库进行指纹后台检查 |
CJIS 后台筛选 | 每个州(已注册加入 Microsoft CJIS IA 计划)的州 CSA 委任机构提供的州宣判的联邦和州犯罪历史记录审查 |
国防部 IT-2 | 请求对客户数据的提升权限或对 DoD SRG L5 服务功能的特权管理访问权限的员工必须基于成功的 OPM Tier 3 调查通过 DoD IT-2 裁定。 |
1. 仅适用于可以临时或长期访问 Copilot Studio US Government (GCC和 GCC High) 中托管的客户内容的人员
认证和认可
Copilot Studio US Government 计划旨在在高影响级别支持联邦风险与授权管理计划 (FedRAMP) 认证。 FedRAMP 信息可供需要遵守 FedRAMP 的联邦客户查看。 联邦机构可以仔细浏览这些项目以支持其审查,从而授予运营权 (ATO)。
备注
Copilot Studio 已获得充当 Azure Government FedRAMP ATO 内的服务的授权。
有关详细信息,包括如何访问 FedRAMP 文档,请参阅 FedRAMP 市场。
Copilot Studio US Government 计划拥有旨在支持执法机构的客户 CJIS 策略要求的功能。
Copilot Studio US Government 和其他 Microsoft 服务
Copilot Studio US Government 计划包括多项功能,允许用户连接到或集成其他 Microsoft 企业服务产品(例如 Power Apps 和 Power Automate US Government)。
Copilot Studio US Government 服务以与多租户、公有云部署模型一致的方式在 Microsoft 数据中心内运行。 但是,客户端应用程序限制于 Web 用户客户端并且不可用于 Microsoft Teams。 政府客户负责管理客户端应用程序。
Copilot Studio US Government 计划使用 Office 365 客户管理员 UI 进行客户管理和记帐。
Copilot Studio US Government 服务维护实际资源、信息流和数据管理。 出于 FedRAMP ATO 继承目的,Copilot Studio US Government 计划使用 Azure(包括 Azure 政府版)ATO 分别提供基础结构和平台服务。
如果采用 Active Directory 联合身份验证服务 (ADFS) 2.0 并设置策略,以帮助确保用户通过单一登录连接到服务,则临时缓存的任何客户内容都将位于美国境内。
Copilot Studio US Government 和第三方服务
Copilot Studio US Government 计划提供了通过使用连接器和技能的 Power Automate 云端流将第三方应用程序集成到服务中的功能。 这些第三方应用程序和服务可能涉及存储、传输和在 Copilot Studio US Government 基础结构以外的第三方系统中处理您组织的客户数据。 因此,这些第三方应用程序和服务不受 Copilot Studio US Government 合规和数据保护承诺约束。
重要提示
在评估组织是否正确使用这些服务时,请查看第三方提供的隐私和符合性声明。
治理注意事项可以帮助您的组织了解跨多个相关主题可用的功能,例如体系结构、安全性、警报和操作以及监视。
Copilot Studio US Government 和 Azure 服务
将把 Copilot Studio US Government 服务部署到 Microsoft Azure Government。 Microsoft Entra ID 不是 Copilot Studio US Government 认证边界的一部分。 但是,这些服务依赖于客户的 Microsoft Entra ID 租户来获取客户租户和标识功能。 其中包括:
- 身份验证
- 联合身份验证
- 许可
当使用 ADFS 的组织的用户尝试访问 Copilot Studio US Government 服务时,用户将重定向到组织的 ADFS 服务器上托管的登录页面。
用户向组织的 ADFS 服务器提供凭据。 组织的 ADFS 服务器尝试使用组织的 Active Directory 基础结构对凭据进行身份验证。
如果身份验证成功,组织的 ADFS 服务器将颁发 SAML(安全断言标记语言)票证,其中包含有关用户身份和组成员身份的信息。
客户的 ADFS 服务器使用不对称密钥对的一半签署此票证,并通过加密的传输层安全 (TLS) 将票证发送到 Microsoft Entra ID。 Microsoft Entra ID 使用不对称密钥对的另一半验证签名,然后根据票证授予访问权。
用户的身份和组成员资格信息在 Microsoft Entra ID 中保持加密状态。 换句话说,只有可用于识别用户身份的有限信息存储在 Microsoft Entra ID 中。
可以在 Azure System Security Plan (SSP) 中找到 Microsoft Entra ID 安全架构和控制实施的完整详细信息。
Microsoft Entra ID 帐户管理服务在 Microsoft Global Foundation Services (GFS) 管理的物理服务器上托管。 对这些服务器的网络访问由 GFS 托管网络设备使用 Azure 设置的规则控制。 用户不直接与 Microsoft Entra ID 交互。
Microsoft Copilot Studio US Government 服务 URL
您可以使用一组不同的 URL 来访问 Copilot Studio US Government 环境,如下表所示。 该表还包括上下文引用的商业 URL。
商业 | 美国政府 (GCC) | 美国政府 (GCC High) |
---|---|---|
copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
对于那些实施网络限制的客户,请确保最终用户的访问点可以访问下列域:
GCC 客户
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
请参阅 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia 的 IP 范围,以启用用户和管理员可在租户中创建 Dataverse 实例的访问权限。
Copilot Studio US Government 与公共 Azure 云服务之间的连接
Azure 分布在多个云中。 默认情况下,允许租户打开特定于云的实例的防火墙规则,但跨云网络则不同,需要打开特定的防火墙规则才能在服务之间进行通信。 如果您是 Copilot Studio 客户,并且拥有需要访问的 Azure 公有云中的现有 SQL 实例,则必须在 SQL 中打开通往以下数据中心的 Azure 政府云 IP 空间的特定防火墙端口:
USGov Virginia
USGov Texas
请参阅 Azure IP 范围和服务标记 - 美国政府云文档,其中重点介绍了 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia。 另请注意,这些是最终用户访问服务 URL 所需的 IP 范围。
Copilot Studio US Government 功能限制
Copilot Studio 商业版中的某些功能不适用于 Copilot Studio US Government 客户。 Copilot Studio 团队正在积极致力于向 US Government 客户提供这些功能,并在这些功能可用时更新本文。
特性或功能 | 在 GCC 中提供 | 在 GCC High 中可用 |
---|---|---|
Copilot Studio 分析1 | ✖ 否 |
✖ 否 |
Copilot Studio Microsoft Teams 应用体验 | ✖ 否 |
✖ 否 |
Copilot Studio Web 应用中的 Teams 渠道 | ✔ 是 |
✖ 否 |
传输到代理 | ✔ 是 |
✖ 否 |
1. 或者,您可以创建使用 Power BI 仪表板的自定义分析(博客)。
请求支持
使用服务时遇到问题? 您可以创建支持请求来解决问题。
详细信息:联系技术支持