Power Apps US Government
為了因應美國公共部門獨特且不斷變換的需求,Microsoft 建立了 Power Apps US Government,其中包含適用於美國政府組織的多項方案。 本節提供 Power Apps US Government 專屬功能的概觀。 建議您閱讀此補充章節以及 Power Apps 文件,其中包含一般 Power Apps 服務描述的資訊。 為求簡潔,這項服務通常稱為 Power Apps 政府社群雲端 (GCC)、或 Power Apps 政府社群雲端 - High (GCC High) 或 Power Apps 國防部 (DoD)。
Power Apps 美國政府服務描述的設計目的是要做為一 般Power Apps 服務描述的疊加。 它定義了此服務的獨特承諾,以及自 2016 年 10 月以來為客戶提供的 Power Apps 供應項目的差異。
關於 Power Apps 美國政府環境和方案
Power Apps 美國政府方案為每月訂閱,而且可以授權給不限數量的使用者。
Power Apps GCC 環境符合聯邦對雲端服務的要求,包括 FedRAMP High、DOD DISA IL2 和刑事司法制度的要求 (CJI 資料類型)。
除了 Power Apps 的功能之外,使用 Power Apps 美國政府的組織可從 Power Apps 美國政府特有的下列功能受益:
- 您組織的客戶內容與 Microsoft 商業 Power Apps 服務中的客戶內容在實際上是分開的。
- 您組織的客戶內容是儲存在美國境內。
- 只有經過篩選的 Microsoft 人員才能存取您組織的客戶內容。
- Power Apps 美國政府符合美國公共部門客戶要求的認證及鑑定。
從 2019 年 9 月開始,合格的客戶現在可以選擇將 Power Apps 美國政府部署至「GCC High」環境,這會啟用單一登入,並與 Microsoft 365 GCC High 部署緊密整合。 Microsoft 已設計平台和作業程序來達到與 DISA SRG IL4 合規性架構一致的要求。 我們會讓美國國防部護承包商客戶群以及其他目前在運用 Microsoft 365 GCC High 的聯邦機構,提前使用 Power Apps 美國政府 GCC High 部署選項,這會促使客戶必須運用 Microsoft Entra Government,與 GCC 運用公用 Microsoft Entra 識別碼不同。 對於我們的美國國防部轉包商客戶群,Microsoft 會以可讓這些客戶符合他們與美國國防部所訂合約中所記載並要求之 ITAR 承諾及 DFARS 採購規範的方式經營服務。 DISA 已授與操作的臨時權限。
從 2021 年 4 月開始,合格的客戶現在可以選擇將 Power Apps US Government 部署至「DoD」環境,這會啟用單一登入,並與 Microsoft 365 DoD 部署緊密整合。 Microsoft 已根據 DISA SRG IL5 合規性架構設計平台和作業程序。 DISA 已授與操作的臨時權限。
客戶資格
Power Apps 美國政府適用於 (1) 美國聯邦,州,地方,部落和地區政府實體,以及 (2) 處理符合政府法規與要求之資料以及適合使用 Power Apps 美國政府以滿足這些要求的其他實體,但必須經過資格驗證。 Microsoft 對資格的驗證將包括確認處理受國際武器貿易條例 (ITAR) 約束的資料、受 FBI 刑事司法資訊服務系統 (CJIS) 原則約束的執法資料,或其他政府監管或控制的資料。 驗證可能需要由具有資料處理特定需求的政府機構贊助。
對於使用 Power Apps 美國政府之資格有疑問的實體,應諮詢其客戶團隊。 續訂 Power Apps 美國政府的客戶合約後,就必須重新驗證資格。
注意 Power Apps 美國政府 DoD 只供 DoD 實體使用。
Power Apps 美國政府方案
存取 Power Apps 美國政府方案受限於下述供應項目,每個方案皆以每月訂閱的方式提供,並且可授權給不限數目的使用者:
- Power Apps 政府機關版個別應用程式方案
- Power Apps 政府機關版個別使用者計畫
- 除了獨立計畫之外,Power Apps 和 Power Automate 功能還包含在某些 Microsoft 365 US Government 和 Dynamics 365 US Government 方案中,允許客戶擴充和自訂 Microsoft 365、Power Platform 和 Dynamics 365 應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service 和 Dynamics 365 Project Service Automation)。
有關這些授權群組間功能差異的其他資訊,將在 Power Apps授權資訊頁面中更加詳細地描述。 Power Apps 美國政府可透過大量授權和雲端解決方案供應商購買管道提供。 雲端解決方案提供者計劃目前不適用於 GCC High 客戶。
什麼是客戶資料和客戶內容?
「客戶資料」如線上服務條款中所定義,係指由於客戶 (或代表客戶之人士) 使用線上服務,而提供給 Microsoft 的所有資料,包括所有文字、聲音、視訊或影像檔,或是軟體。 「客戶內容」是指使用者直接建立的客戶資料的特定子集,例如,透過 Microsoft Dataverse 實體中的項目儲存在資料庫中的資料 (如連絡人資訊)。 內容通常會視為機密資訊,而且在服務正常運作時,不會在未經加密的情況下透過網際網路傳送。
如需 Power Apps 的客戶資料保護的詳細資訊,請參閱 Microsoft Online Services 信任中心。
政府社群雲端的資料隔離
做為 Power Apps 美國政府的一部分佈建時,Power Apps 服務是依據美國國家標準技術研究院 (NIST) 的特刊 800-145 提供。
除了在應用程式層邏輯隔離客戶內容之外,Power Apps 美國政府服務還會為您的組織提供另一層客戶內容的實體隔離,藉由與商業 Power Apps 客戶分開使用不同的基礎結構。 這包括在 Azure Government 雲端使用 Azure 服務。 若要深入了解,請參閱 Azure Government。
位於美國境內的客戶內容
Power Apps 美國政府服務是從實際位於美國境內的資料中心提供。 Power Apps 美國政府客戶內容以靜止狀態儲存在僅實際位於美國境內的資料中心。
管理員的受限資料存取
Microsoft 管理員對 Power Apps 美國政府客戶內容的存取僅限身為美國公民的人員。 這些人員必須經過身家調查,依據相關政府標準。
Power Apps 支援和服務工程人員沒有長期存取託管於 Power Apps 美國政府之客戶內容的權限。 任何要求暫時提高權限准予存取客戶內容的人員都必須先通過下列背景調查。
Microsoft 人員篩選和背景調查1 | Description |
---|---|
美國公民身分 | 美國公民身分驗證 |
工作經歷檢查 | 七 (7) 年工作經歷驗證 |
教育驗證 | 最高學歷驗證 |
社會安全號碼 (SSN) 搜尋 | 驗證提供的 SSN 有效 |
刑事紀錄檢查 | 州、郡、地方各級與聯邦一級的七 (7) 年輕重罪刑事記錄檢查 |
美國財政部外國資產管制局 (OFAC) 清單 | 驗證美國人員不得與之從事貿易或金融交易的美國財政部列管團體。 |
美國商務部產業及安全局 (BIS) 清單 | 驗證禁止其從事出口活動的美國商務部列管個別及實體 |
美國國務院國防貿易管制辦公室 (DDTC) 禁止貿易方名單 | 驗證禁止其從事軍工產業相關出口活動的美國國務院列管個別及實體 |
指紋檢查 | 依據 FBI 資料庫進行指紋背景調查 |
CJIS 背景篩選 | 由美利堅聯盟國 (CSA) 在已簽署加入 Microsoft CJIS IA 計劃之各州中委派職權的州政府對聯邦及州刑事記錄進行州級裁定審查 |
國防部 IT-2 | 要求對客戶資料有較高權限或對要求對國防部 SRG L5 服務容量擁有管理存取權的人員,必須基於成功的 OPM 第 3 級調查,通過國防部 IT-2 裁決 |
1 僅適用於對美國政府環境 (GCC Power Apps 和 DoD) 中託管 GCC High的客戶內容具有臨時或長期訪問許可權的人員。
驗證與認證
Power Apps 美國政府的設計可支援高影響等級的美國聯邦風險與授權管理計畫 (Federal Risk and Authorization Management Program,FedRAMP) 認證。 這表明符合 DOD DISA IL2。 FedRAMP 的成品可供需要遵循 FedRAMP 的聯邦客戶審核。 聯邦調查員可檢視這些成品,以支援其審核,以便授與操作授權 (Authority to Operate,ATO)。
Note
Power Apps 已被授權為 Azure Government FedRAMP ATO 內的服務。 更多資訊,包括如何存取 FedRAMP 文件,請參閱 FedRAMP 市集:https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20government
Power Apps 美國政府具備專為支援客戶應遵循的執法機關的 CJIS 原則需求所設計的功能。 如需有關驗證與認證的詳細資訊,請瀏覽信任中心的 Power Apps US Government 產品頁面。
Microsoft 已設計好平台及作業程序,達到遵守 DISA SRG IL4 和 IL5 合規性框架的需求,並已接收到必要的 DISA 臨時授權來作業。 我們會讓美國國防部護承包商客戶群以及其他目前在運用 Microsoft 365 GCC High 的聯邦機構,提前使用 Power Apps 美國政府 GCC High 部署選項,這會促使客戶必須運用 Microsoft Entra Government,與 GCC 運用公用 Microsoft Entra 識別碼不同。 對於我們的美國國防部轉包商客戶群,Microsoft 會以可讓這些客戶符合 ITAR 承諾及 DFARS 採購規範的方式經營服務。 同樣地,我們希望美國國防部客戶群目前利用 Microsoft 365 DoD 來使用 Power Apps US Government DoD 部署選項。
Power Apps US Government 和其他 Microsoft 服務
Power Apps US Government 包含數個功能,可讓使用者與其他 Microsoft 企業服務產品連結並整合,例如 Microsoft 365 US Government、 Dynamics 365 US Government 和 Microsoft Power Automate US Government。 Power Apps US Government 部署於 Microsoft 資料中心內,採用與多組織使用者共用、公用雲端部署模式一致的方式;不過,包含 (但不限於) Web 使用者用戶端、Power Apps Mobile 應用程式在內的用戶端應用程式或任何連線至 Power Apps US Government 的協力廠商用戶端應用程式,都不屬於 Power Apps US Government 認證範圍的一部分,且政府機關客戶應負責管理它們。
Power Apps 美國政府利用 Microsoft 365 客戶管理員 UI 進行客戶管理及計費 – Power Apps 美國政府維護實際的資源、資訊流程及資料管理,同時倚賴 Microsoft 365 提供視覺樣式,透過自己的管理主控台對客戶管理員呈現。 為了要做到 FedRAMP ATO 繼承,Power Apps US Government 分別運用基礎結構和平台服務的 Azure (包括 Azure Government 及 Azure DoD) ATO。
如果您採用 Active Directory Federation Services (AD FS) 2.0,並設定原則來確保使用者透過單一登入連線至服務,則任何暫時快取的內容將會位於美國境內。
Power Apps 美國政府及第三方服務
Power Apps 美國政府透過連接器提供整合協力廠商應用程式到服務中的能力。 這些協力廠商應用程式和服務可能涉及儲存、傳輸及處理您組織的客戶資料,在位於 Power Apps 美國政府基礎結構外部的協力商系統上,因此不在 Power Apps 美國政府合規性與資料保護承諾的範圍內。
我們建議您檢閱協力廠商提供的隱私權和合規性聲明,以評估組織是否適當使用這些服務。
Power Apps 美國政府及 Azure 服務
Power Apps 美國政府服務會部署至 Microsoft Azure Government。 Microsoft Entra 不屬於 Power Apps 美國政府認證範圍的一部分,但是依靠客戶的 Microsoft Entra ID 租用戶實現客戶用戶和身份功能,包括身份驗證、同盟驗證和授權。
當採用 AD FS 的組織的使用者嘗試存取 Power Apps 美國政府時,該使用者會重新導向至組織的 AD FS 伺服器上託管的登入頁面。 使用者向其組織的 AD FS 伺服器提供認證。 組織的 AD FS 伺服器會嘗試驗證認證,使用組織現有的 Active Directory 基礎結構。
如果驗證成功,組織的 AD FS 伺服器會發出 SAML (Security Assertion Markup Language) 票證,當中包含有關使用者的身分識別和群組成員資格的資訊。
客戶的 AD FS 伺服器會使用非對稱金鑰組的另一半簽署此票證,並且透過加密的傳輸層安全性 (TLS) 將票證傳送至 Microsoft Entra。 Microsoft Entra ID 使用非對稱金鑰組的另一半驗證簽章,並依據票證授與存取權。
使用者的身分識別與群組成員資格資訊會在 Microsoft Entra ID 中保持加密。 換句話說,只有受限的使用者可識別資訊會儲存在 Microsoft Entra ID 中。
您可在 Azure SSP 中找到 Microsoft Entra 安全性架構和控制實作的完整詳細資料。 使用者不會直接與 Microsoft Entra ID 互動。
Power Apps 美國政府服務 URL
您可以使用不同的 URL 集來存取 Power Apps 美國政府環境,如下表所示(也會顯示商業 URL 以供上下文參考,以防您較熟悉它們)。
對於實施網路限制的客戶,請確定終端使用者的存取點可以取得下列網域的存取權:
GCC 客戶:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us
此外,請參閱必要的 IP 範圍,以存取使用者和管理員可能在您的租用戶內建立的環境,以及平台使用的其他 Azure 服務:
- GCC 和 GCC High:(重點在 AzureCloud.usgovtexas and AzureCloud.usgovvirginia)
- DoD:著重在 USDoD 東部和 USDoD 中部
GCC High 和 DoD 客戶:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)
此外,請參照必要的 IP 範圍,對使用者與系統管理員在可能您的租用戶中建立的環境以及平台使用到的其他 Azure 服務,啟用存取權。
- GCC 和 GCC High:(重點在 AzureCloud.usgovtexas and AzureCloud.usgovvirginia)
- DoD:著重在 USDoD 東部和 USDoD 中部
地區探索服務已被取代
自 2020 年 3 月 2 日起生效,地區的探索服務將會被取代。 其他資訊:地區探索服務已被取代
Power Apps 美國政府和公用 Azure 雲端服務之間的連接
Azure 分佈在多個雲端。 根據預設,會允許用戶將防火牆規則開放至特定雲端環境,但是跨雲端網路是不同的,而且需要開啟特定的防火牆規則,才能在服務之間進行通訊。 如果您是 Power Apps 客戶,而且您在 Azure 公用雲端中已有您需要存取的 SQL 環境,則您必須在 SQL 中將特定的防火牆規則開啟給 Azure Government 雲端 IP 空間,以用於下列資料中心:
- USGov Virginia
- USGov Texas
- US DoD 東部
- US DoD 中部
請參照 Azure IP 範圍和 服務標籤 – US Government 雲端文件,並注意前面提及的 AzureCloud.usgovtexas、AzureCloud.usgovvirginia 和/或 US DoD 東部與 US DoD 中部。 還要注意,這些是您的使用者有權存取服務 URL 所需的 IP 範圍。
設定行動用戶端
若要使用 Power Apps 行動用戶端登入,需要進行一些額外的設定步驟。
- 在登入頁面上,選取右下角的齒輪圖示。
- 選取 區域 設定。
- 選取下列其中一項:
- GCC:美國政府 GCC
- GCC High:美國政府 GCC High
- DoD:美國政府 DOD
- 選取確定。
- 在登入頁面上,選取登入。
行動裝置應用程式現在將使用 US Government Cloud 網域。
內部部署資料閘道設定
安裝內部部署資料閘道,在內建於 Power Apps 的畫布應用程式和不位於雲端的資料來源 (例如內部部署 SQL Server 資料庫或內部部署 SharePoint 網站) 之間快速且安全地傳輸資料。
如果您的組織(用戶)已設定好並成功地連接 Power BI 美國政府的內部部署資料閘道,則組織執行以啟用的程序和設定也會啟用 Power Apps 的內部部署連接。
之前,US Government 客戶在設定其第一個內部部署的資料閘道之前,必須先聯繫支援人員,因為支援部門必須先將租用戶放入「允許清單」,才能使用閘道。 但目前已經不是必要的了。 如果您在設定或使用內部部署的資料閘道時遇到任何問題,請與支援部門聯繫以取得協助。
模型導向應用程式的遙測
必須將以下 URL 新增至允許清單中,以確保模型導向應用程式遙測資訊透過防火牆和其他安全機制進行通訊:
- GCC 和 GCC High:
https://tb.pipe.aria.microsoft.com/Collector/3.0
- 國防部:
https://pf.pipe.aria.microsoft.com/Collector/3.0
Power Apps 美國政府功能限制
Microsoft 致力於維持商用服務與透過美國政府雲端啟用的功能間的平衡。 這些服務稱為 Power Apps Government Community Cloud (GCC) 和 GCC High。 請參閱全球化地理可用性工具,以了解 Power Apps 在世界各地的可用情況,包括大致的可用性時間表。
在美國政府雲端中保持產品功能均等的原則存在例外情況。 如需功能可用性的詳細資訊,請下載以下檔案:Business Applications US Government - 可用性摘要。
要求支援
您的服務遇到問題了嗎? 您可以建立支援要求讓問題獲得解決。
其他資訊:連絡技術支援
請參閱
Microsoft Power Automate US Government
Dynamics 365 US Government