Power Automate US Government
为了响应美国公共部门独特和不断发展的要求,Microsoft 制定了 Power Automate US Government 计划。 本节提供特定于 Power Automate US Government 的功能的概述。 建议您阅读此补充部分以及 Power Automate 服务入门主题。 为简洁起见,此服务通常称为 Power Automate Government 社区云 (GCC)、Power Automate Government 社区云 – High (GCC High) 或 Power Automate 国防部 (DoD)。
Power Automate US Government 服务说明基于常规 Power Automate 服务说明。 相比 2016 年 10 月以来我们为客户提供的常规 Power Automate 产品/服务,Microsoft Flow US Government 服务定义了独特承诺和差异。
关于 Power Automate US Government 环境和计划
Power Automate US Government 计划是每月订阅,并且可以授权给无限数量的用户。
Power Automate GCC 环境符合联邦政府对云服务的要求,包括 FedRAMP High 和 DoD DISA IL2。 它还符合刑事司法系统(CJI 数据类型)的要求。
除了 Power Automate 的特性和功能之外,使用 Power Automate US Government 的组织还会从以下独特功能中受益:
以物理方式将组织的客户内容从 Power Automate 商业产品/服务的客户内容分离开来。
您的组织的客户内容存储在美国。
只有经过筛选的 Microsoft 人员才能访问您的组织的客户内容。
Power Automate US Government 符合美国公共部门客户要求的所有证书和认证。
从 2019 年 9 月开始,合格的客户现在可以选择将 Power Automate US Government 部署到 GCC High 环境,从而实现单一登录以及与 Microsoft Office 365 GCC High 部署的无缝集成。
Microsoft 设计了平台和我们的操作过程来满足与 DISA SRG IL4 合规框架一致的要求。 我们期望当前利用 Office 365 GCC High 的美国国防部转包商客户群及其他联邦机构使用 Power Automate US Government GCC High 部署选项。 此选项允许并要求客户利用 Microsoft Entra Government 获取客户身份,而 GCC 则利用公共 Microsoft Entra ID。 对于美国国防部转包商客户群,Microsoft 以让这些客户遵守 ITAR 承诺和 DFARS 采购法规的方式运营此服务,如其与美国国防部签订的合同所记录和要求的。 DISA 已授予临时运作权。
从 2021 年 4 月开始,合格的客户现在可以选择将 Power Automate US Government 部署到“DoD”环境,从而实现单一登录以及与 Microsoft 365 DoD 部署的无缝集成。 Microsoft 根据 DISA SRG IL5 合规框架设计了平台和操作过程。 DISA 授予了临时运作权。
客户资格
Power Automate US Government US Government 适用于 (1) 美国联邦、州、地方、部落和区域政府实体,以及 (2) 处理受政府法规和要求(且使用 Power Automate US Government 适合满足这些要求)约束的数据的其他实体,但须经过资格验证。 Microsoft 的资格验证包括确认处理受国际武器贸易条例 (ITAR) 约束的数据、受 FBI 刑事司法信息服务 (CJIS) 政策约束的执法数据,或其他政府监管或控制的数据。 验证可能需要具有处理数据特定要求的政府实体的赞助。
对 Power Automate US Government 的资格有疑问的实体应咨询其帐户团队。 Microsoft 会在续订 Power Automate US Government 的客户合同时重新验证其是否符合资格。
备注
Power Automate US Government DoD 仅对 DoD 实体可用。
Power Automate US Government 计划
仅限以下部分中所述的产品/服务访问 Power Automate US Government 计划;每个计划都以月度订阅的形式提供,并且可以授权给无限数量的用户:
适用于政府的 Power Automate Process 计划(以前称为 Power Automate 每流)
适用于政府的 Power Automate Premium 计划(Power Automate 每用户)
除了独立计划外,Microsoft 365 US Government 和 Dynamics 365 US Government 计划还包括 Power Apps 和 Power Automate 功能,允许客户扩展和自定义 Microsoft 365 和客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service 和 Dynamics 365 Project Service Automation)。
下面更详细地描述了其他信息以及有关这些许可证组之间功能差异的详细信息:Power Automate 授权信息。
Power Automate US Government 可通过批量许可和云解决方案提供商购买渠道获得。 云解决方案提供商计划现在不适用于 GCC High 客户。
客户数据和客户内容之间的差异
联机服务条款中定义的“客户数据”表示客户或代表客户通过对联机服务的使用提供给 Microsoft 的所有数据,包括所有文本、声音、视频或图像文件以及软件。
客户内容指由用户通过在 Dataverse 实体中输入直接创建的客户数据的特定子集(例如数据库中存储的内容)(例如,联系人信息)。 通常,内容被视为机密信息,并且在正常服务操作中,不会通过未加密的 Internet 进行发送。
有关 Power Automate 如何保护客户数据的详细信息,请参阅 Microsoft 联机服务信任中心。
政府社区云的数据分离
如果配置为 Power Automate US Government 的一部分,Power Automate 服务根据国家标准与技术研究所 (NIST) 特刊 800-145 提供。
除了在应用程序层的客户内容的逻辑分离外,Power Automate Government 服务通过使用独立于用于商业 Power Automate 客户的基础结构的基础结构来向您的组织提供客户内容物理分离的辅助层。 这包括在 Azure 政府云中使用 Azure 服务。 若要了解详细信息,请参阅 Azure 政府。
位于美国的客户内容
Power Automate US Government 在物理上位于美国的数据中心中运行,并将客户内容静态存储在仅物理上位于美国的数据中心。
由管理员限制数据访问
Microsoft 管理员对 Power Automate US Government 客户内容的访问限制为美国公民身份的个人。 这些人员根据相关政府标准接受背景调查。
Power Automate 支持和服务工程员工没有对 Power Automate US Government 中托管的客户内容的长期访问权限。 请求会授予客户内容访问权限的临时权限评估的所有员工首先必须通过以下后台检查。
Microsoft 人员筛选和后台检查1 | 描述 |
---|---|
美国公民身份 | 美国公民身份验证 |
雇佣历史记录检查 | 七 (7) 年雇佣历史记录验证 |
教育验证 | 所获的最高学历验证 |
身份证号 (SSN) 搜索 | 验证员工提供的 SSN 是否有效 |
犯罪历史记录检查 | 七 (7) 年犯罪记录检查是否有州、县和地方级别以及联邦级别的重罪和轻罪。 |
海外资产控制办公室名单 (OFAC) | 根据财政部包含禁止贸易或金融交易往来的美国人员的组织名单进行验证。 |
工业和安全局名单 (BIS) | 根据商务部禁止参与出口活动的个人和实体名单进行验证 |
美国国防贸易管制办公室禁止人员名单 (DDTC) | 根据国务部禁止参与涉及国防工业的出口活动的个人和实体名单进行验证 |
指纹检查 | 根据 FBI 数据库进行指纹后台检查 |
CJIS 后台筛选 | 每个州(已注册加入 Microsoft CJIS IA 计划)的州 CSA 委任机构提供的州宣判的联邦和州犯罪历史记录审查 |
国防部 IT-2 | 请求对客户数据的提升权限或对 DoD SRG L5 服务功能的特权管理访问权限的员工必须基于成功的 OPM Tier 3 调查通过 DoD IT-2 裁定。 |
1. 仅适用于可以临时或长期访问 Power Automate US Government(GCC、GCC High 和 DoD)中托管的客户内容的人员。
认证和认可
Power Automate US Government 旨在在高影响级别支持联邦风险和授权管理计划 (FedRAMP) 认证。 此计划意指符合 DoD DISA IL2。 FedRAMP 信息可供需要遵守 FedRAMP 的联邦客户查看。 联邦机构可以仔细浏览这些项目以支持其审查,从而授予运营权 (ATO)。
备注
Power Automate 已获得充当 Azure Government FedRAMP ATO 内的服务的授权。 有关详细信息,包括如何访问 FedRAMP 文档,请参阅 FedRAMP 市场。
Power Automate US Government 拥有旨在支持执法机构的客户 CJIS 策略要求的功能。 有关证书和认证的更多详细信息,请访问信任中心的 Power Automate US Government 产品页。
Microsoft 设计了此平台及其操作过程来满足 DISA SRG IL4 和 IL5 合规框架的要求,并且接收了必需的 DISA 临时运作权。 Microsoft 期望当前利用Microsoft Office 365 GCC High 的美国国防部转包商客户群及其他联邦机构使用 Power Automate US Government GCC High 部署选项,这支持并要求客户利用 Microsoft Entra Government 来进行客户身份验证,与利用 Microsoft Entra ID 的 GCC 不同。 对于美国国防部转包商客户群,Microsoft 以让这些客户遵守 ITAR 承诺和 DFARS 采购法规的方式运营此服务。 此外,Microsoft 希望目前使用 Microsoft 365 DoD 的美国国防部客户使用 Power Automate US Government DoD 部署选项。
Power Automate US Government 以及其他 Microsoft 服务
Power Automate US Government 包括一些功能,允许用户连接到其他 Microsoft 企业服务产品并与之集成,例如 Office 365 US Government、Dynamics 365 US Government 和 Power Apps US Government。
Power Automate US Government 在 Microsoft 数据中心运行,其方式与多租户的公共云部署模式一致;但是,客户端应用程序,包括但不限于 Web 用户客户端、Power Automate 移动应用程序(如果可用)及与 Power Automate US Government 连接的任何第三方客户端应用程序,不是 Power Automate US Government 认证边界的一部分,由政府客户负责管理。 政府客户负责管理它们。
Power Automate US Government 利用 Office 365 客户管理员 UI 进行客户管理和记帐。
Power Automate US Government 维护实际的资源、信息流和数据管理,同时依靠 Office 365 提供通过客户管理控制台向客户管理员呈现的视觉样式。 出于 FedRAMP ATO 继承目的,Power Automate US Government 利用 Azure(包括 Azure 政府版和 Azure DoD)ATO 分别提供基础结构和平台服务。
如果您使用 Active Directory 联合身份验证服务 (AD FS) 2.0 并设置策略以帮助确保用户通过单一登录连接到服务,所有临时缓存的客户内容都将位于美国。
Power Automate US Government 和第三方服务
Power Automate US Government 可用于通过连接器将第三方应用程序集成到服务。 这些第三方应用程序和服务可能涉及存储、传输和在 Power Automate US Government 基础结构以外的第三方系统中处理您组织的客户数据,因而不受 Power Automate US Government 合规和数据保护承诺约束。
小费
在评估组织是否正确使用这些服务时,请查看第三方提供的隐私和符合性声明。
Power Apps 和 Power Automate 治理注意事项可以帮助您的组织了解关于多种相关主题(如体系结构、安全性、警报和操作和监视)的可用功能。
配置移动客户端
必须先执行以下步骤才能使用 Power Automate 移动客户端登录。
- 在登录页面上,选择右上角的 (带有齿轮标志的 wifi 图标)。
- 选择区域设置。
- 选择 GCC:US Government GCC
- 选择确定。
- 在登录页,选择登录。
此移动应用将立即使用 US Government 云。
Power Automate US Government 和 Azure 服务
Power Automate US Government 服务将部署到 Microsoft Azure Government。 Microsoft Entra 不属于 Power Automate US Government 认证范围,但依赖于客户的 Microsoft Entra ID 租户来获取客户租户和标识功能,包括身份验证、联合身份验证和许可。
当使用 ADFS 的组织的用户尝试访问 Power Automate US Government 时,用户将被重定向到组织的 ADFS 服务器托管的登录页。
用户向组织的 ADFS 服务器提供凭据。 组织的 ADFS 服务器尝试使用组织的 Active Directory 基础结构对凭据进行身份验证。
如果身份验证成功,组织的 ADFS 服务器将颁发 SAML(安全断言标记语言)票证,其中包含有关用户身份和组成员身份的信息。
客户的 ADFS 服务器使用不对称密钥对的一半签署此票证,然后通过加密的 TLS 将票证发送到 Microsoft Entra。 Microsoft Entra ID 使用不对称密钥对的另一半验证签名,然后根据票证授予访问权。
用户的身份和组成员资格信息在 Microsoft Entra ID 中保持加密状态。 换句话说,只有可用于识别用户身份的有限信息存储在 Microsoft Entra ID 中。
可以在 Azure SSP 中找到 Microsoft Entra 安全架构和控制实施的完整详细信息。
Microsoft Entra 帐户管理服务在 Microsoft Global Foundation Services (GFS) 管理的物理服务器上托管。 对这些服务器的网络访问由 GFS 托管网络设备使用 Azure 设置的规则控制。 用户不直接与 Microsoft Entra ID 交互。
Power Automate US Government 服务 URL
您可以使用一组不同的 URL 来访问 Power Automate US Government 环境,如下表所示。 表中还包含供参考上下文的商业 URL,以便您更快地熟悉它们。
对于那些实施网络限制的客户,请确保最终用户的访问点可以访问下列域:
GCC 客户:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.com
- .microsoft.com
- .windows.net
- .azureedge.net
- .azure.net
- .crm9.dynamics.com
- .powerautomate.us
请参阅 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia 的 IP 范围,以启用用户和管理员可在租户中创建 Dataverse 实例的访问权限。
GCC High 客户:
- .microsoft.us
- .azure-apihub.us
- .azure.us
- .usgovcloudapi.net
- .microsoftonline.us
- .azureedge.net
- .azure.net
- .crm.microsoftdynamics.us(GCC High)
- *.high.dynamics365portals.us (GCC High)
- *.crm.appsplatform.us (DoD)
- *.appsplatformportals.us (DoD)
另请参阅 IP 范围,使您能够访问用户和管理员可以在您的租户内创建的其他 Dataverse 环境以及该平台利用的其他 Azure 服务,包括:
- GCC 和 GCC High:侧重 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia
- DoD:主要针对 USDoD 东部和 USDoD 中部。
Power Automate US Government 与公共 Azure 云服务之间的连接
Azure 分布在多个云中。 默认情况下,允许租户打开特定于云的实例的防火墙规则,但跨云网络则不同,需要打开特定的防火墙规则才能在服务之间进行通信。 如果您是 Power Automate 客户,并且拥有需要访问的 Azure 公有云中的现有 SQL 实例,则必须在 SQL 中打开通往以下数据中心的 Azure 政府云 IP 空间的特定防火墙端口:
- USGov Virginia
- USGov Texas
- US DoD 东部
- US DoD 中部
请参阅 Azure IP 范围和服务标记 – US Government 云文档,其中重点介绍了 AzureCloud.usgovtexas 和 AzureCloud.usgovvirginia 和/或 US DoD 东部和 US DoD 中部,如本文前面所述。 另请注意,这些是最终用户访问服务 URL 所需的 IP 范围。
本地数据网关配置
安装本地数据网关,以便在 Power Automate 的内置画布应用和不在云中的数据源之间快速安全地传输数据。 示例包括本地 SQL Server 数据库或本地 SharePoint 站点。
如果贵组织(租户)已经对 PowerBI US Government 配置并成功连接了本地数据网关,则组织执行以启用该功能的流程也将启用 Power Automate 的本地连接。
以前,美国政府客户需要在配置第一个本地数据网关之前联系支持人员,因为支持人员需要向租户授予允许使用网关的权限。 不再需要执行此步骤。 如果您在配置或使用本地数据网关时遇到任何问题,您可以联系支持人员寻求帮助。
Power Automate US Government 功能限制
Microsoft 努力保持我们的商用服务与通过我们的美国政府云启用的服务之间的功能一致性。 这些服务被称为 Power Automate 政府社区云 (GCC) 和 GCC High。 请参照全球地区可用性工具,了解 Power Automate 在世界各地的可用位置,包括大致的可用时间线。
在美国政府云中保持产品功能对等的原则存在例外情况。 有关功能可用性的详细信息,请下载此文件:Business Applications US Government - 可用性摘要。