Power Apps правительство США

В ответ на уникальные и изменяющиеся требования государственного сектора Соединённых Штатов корпорация Майкрософт создала Power Apps для правительства США, который состоит из нескольких планов для государственных организаций США. В этом разделе представлен обзор функций, относящихся к Power Apps правительства США. Рекомендуется прочитать этот дополнительный раздел вместе с Power Apps documentation, в котором рассматриваются сведения об общем описании службы Power Apps. Для краткости этот сервис обычно называется Power Apps Government Community Cloud (GCC) или Power Apps Government Community Cloud – High (GCC High), или Power Apps Department of Defense (DoD).

Описание службы Power Apps для государственных учреждений США предназначено для дополнения общего описания службы Power Apps. Данный документ определяет уникальные обязательства этой услуги и различия от предложений Power Apps, предлагавшихся нашим клиентам с октября 2016 года.

О средах и планах Power Apps для правительства США

Power Apps планы для правительства США представляют собой ежемесячные подписки, которые могут быть лицензированы на неограниченное количество пользователей.

Среда GCC Power Apps обеспечивает соответствие федеральным требованиям к облачным службам, включая FedRAMP High, DoD DISA IL2 и требования к системам уголовного правосудия (типы данных CJI).

Помимо функций и возможностей Power Apps, организации, использующие Power Apps правительство США, получают преимущества от следующих функций, уникальных для Power Apps правительства США:

  • Содержимое клиента вашей организации физически отделяется от содержимого клиента в коммерческих службах Power Apps от Майкрософт.
  • Содержимое клиента вашей организации хранится в Соединённых Штатах.
  • Доступ к содержимому клиента вашей организации ограничен проверенным персоналом Microsoft.
  • Power Apps для правительства США поддерживает сертификации и аккредитации, необходимые для клиентов из государственного сектора США.

С сентября 2019 года квалифицированные клиенты теперь могут выбрать развертывание Power Apps для правительства США в среде GCC High, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 GCC High. Майкрософт сконструировал платформу и наши рабочие процедуры, чтобы удовлетворять требованиям в соответствии с платформой соответствия DISA SRG IL4. Мы ожидаем, что наша клиентская база подрядчиков Министерства обороны США и других федеральных учреждений, которые в настоящее время используют Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps US Government GCC High, который обеспечивает и требует, чтобы клиенты использовали Microsoft Entra Government для идентификаций клиентов, в отличие от GCC, использующего общедоступный Microsoft Entra ID. Для нашей базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS, как задокументировано и требуется их контрактами с Министерством обороны США. Временные полномочия на использование предоставлены DISA.

Начиная с апреля 2021 г. соответствующие клиенты теперь могут выбрать развертывание Power Apps правительства США в среде DoD, которая обеспечивает единый вход и простую интеграцию с Microsoft 365 развертываниями DoD. Майкрософт сконструировал платформу и наши рабочие процедуры в соответствии с платформой соответствия DISA SRG IL5. Временные полномочия на использование предоставлены DISA.

Соответствие клиента

Power Apps правительство США доступно для (1) федеральных, государственных, местных, племенных и территориальных правительственных организаций и (2) других организаций, обрабатывающих данные, которые соответствуют нормативным требованиям и требованиям правительства США и где использование Power Apps правительство США подходит для удовлетворения этих требований, при условии проверки права. Подтверждение соответствия требованиям со стороны Microsoft будет включать подтверждение обработки данных, подпадающих под Правила международной торговли оружием (ITAR), данных правоохранительных органов, подпадающих под действие политики ФБР в области информационных служб уголовного правосудия (CJIS), или других данных, регулируемых или контролируемых государством. Подтверждение может потребовать спонсорской поддержки со стороны государственного органа с особыми требованиями к обработке данных.

Организации с вопросами о праве на использование Power Apps для правительства США должны обратиться к своей команде по работе с клиентами. При продлении контракта клиента для Power Apps правительства США требуется повторная проверка права.

Обратите внимание, что Power Apps для правительства США DoD доступно только для организаций Министерства обороны (DoD).

Планы Power Apps для правительства США

Доступ к планам Power Apps государственных организаций США ограничен следующими предложениями. Каждый план предлагается в виде ежемесячной подписки и может быть лицензирован неограниченному количеству пользователей:

  • План Power Apps на приложение для правительственных организаций
  • План Power Apps для отдельных пользователей для государственного сектора
  • Помимо автономных планов, возможности Power Apps и Power Automate также входят в государственные планы США Microsoft 365 и государственные планы США Dynamics 365, позволяя клиентам дорабатывать и настраивать приложения Microsoft 365, Power Platform и Dynamics 365 (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service и Dynamics 365 Project Service Automation).

Дополнительные сведения о различиях в функциональных возможностях этих групп лицензий подробно описаны на странице Power Apps сведения о лицензировании. Power Apps для правительственных организаций США доступно через корпоративное лицензирование и каналы покупки поставщиков облачных решений. В настоящее время программа поставщик облачных решений недоступна для клиентов GCC High.

Что такое данные клиента и содержимое клиента?

Данные клиентов, как определено в Условиях использования веб-служб, обозначают все данные, включая все текстовые, звуковые, видео- и графические файлы, а также программное обеспечение, переданные Microsoft клиентами или от имени клиентов при использовании веб-службы. Содержимое клиента относится к определенному подмножество данных клиента, которое было создано непосредственно пользователями, например содержимое, хранящееся в базах данных с помощью записей в сущностях Microsoft Dataverse (например, контактные данные). Содержимое в общем считается конфиденциальной информацией, и при нормальной работе службы не отправляется по Интернету без шифрования.

Дополнительные сведения о защите данных клиентов в Power Apps см. в Центре управления безопасностью Microsoft Online Services.

Разделение данных для облака Government Community Cloud.

При поставке в составе Power Apps для правительства США, служба Power Apps предоставляется в соответствии с Специальной публикацией 800-145 Национального института стандартов и технологий (NIST).

Помимо логического разделения содержимого клиента на уровне приложений, служба Power Apps государственных организаций США предоставляет вашей организации дополнительный уровень физической сегрегации для содержимого клиента с помощью инфраструктуры, отдельной от инфраструктуры, используемой для коммерческих Power Apps клиентов. Это включает использование служб Azure в облаке Azure для государственных организаций. Дополнительные сведения см. в разделе Azure для государственных организаций.

Содержимое клиента, расположенное в Соединённых Штатах

Услуги Power Apps для правительства США предоставляются из центров обработки данных, физически расположенных в Соединенных Штатах. Содержимое клиентов Power Apps для государственных организаций США хранится в состоянии покоя в центрах обработки данных, физически расположенных только в Соединенных Штатах.

Ограниченный доступ к данным для администраторов

Доступ к содержимому Power Apps клиентов Microsoft для государственных организаций США ограничен только администраторами, которые являются гражданами США. Этот персонал проходит проверку в соответствии с применимыми государственными стандартами.

Сотрудники службы поддержки и инженеры службы Power Apps не имеют постоянного доступа к содержимому клиентов, размещенному в Power Apps US Government. Любой персонал, запрашивающей временного увеличения полномочий, которое предоставит доступ к содержимому клиента, сначала должен пройти следующие проверки биографических данных.

Отбор персонала Microsoft и проверки биографических данных1 Описание
Гражданство США Проверка гражданства США
Проверка истории трудоустройства Проверка истории трудоустройства за семь лет (7)
Проверка образования Проверка наивысшей полученной степени
Поиск номера страхового полиса (SSN) Проверка действительности указанного номера SSN
Проверка уголовного прошлого Проверка семи (7) лет уголовных записей на предмет тяжких и незначительных правонарушений на уровне штата, округа и местном уровне, а также на федеральном уровне
Перечень управления по контролю за иностранными активами (OFAC) Проверка по перечню Министерства финансов США групп, с которыми персонал США не имеет права вести торговлю или проводить финансовые операции
Список Бюро промышленности и безопасности (BIS) Проверка по списку Министерства торговли лиц и организаций, которым запрещено участвовать в экспортных операциях
Перечень запрещенных лиц по контролю торговли с Министерством обороны (DDTC) Проверка по списку Госдепартамента лиц и организаций, которым запрещено участвовать в экспортных операциях, связанных с оборонной промышленностью
Проверка отпечатков пальцев Проверка отпечатков пальцев по базам данных ФБР
Проверка истории в CJIS Проверка криминальной истории, подтвержденная и утвержденная властями штата на федеральном и местном уровнях, проводимая назначенным органом CSA в каждом штате, подписавшем соглашение о программе Microsoft CJIS IA.
Министерство обороны IT-2 Персонал, запрашивающий повышенные разрешения для данных клиентов или привилегированный административный доступ к возможностям служб SRG L5 Министерства обороны, должен получить разрешение Министерства обороны IT-2 на основе успешного расследования OPM Tier 3

1 применяется только к персоналу с временным или постоянным доступом к содержимому клиента, размещенного в Power Apps средах для государственных организаций США (GCC, GCC High и DoD).

Сертификация и аккредитация

Power Apps для правительства США предназначено для поддержки федеральной программы управления рисками и авторизацией (FedRAMP) на уровне высокой степени влияния. Это подразумевает выравнивание до DoD DISA IL2. Артефакты FedRAMP доступны для проверки федеральными клиентами, которые должны соответствовать требованиям FedRAMP. Федеральные агентства могут ознакомиться с этими артефактами для поддержки своей проверки для предоставления правы работы (ATO).

Замечание

Power Apps был авторизован как услуга в Azure для государственных организаций FedRAMP ATO. Дополнительную информацию, в том числе о том, как получить доступ к документам FedRAMP, можно найти в FedRAMP Marketplace: https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20government

Power Apps для правительства США включает функции, предназначенные для поддержки требований политики CJIS клиентов из правоохранительных органов. Посетите страницу Power Apps продуктов для государственных организаций США в Центре управления безопасностью для получения более подробной информации, связанной с сертификациями и аккредитациями.

Корпорация Майкрософт разработала платформу и операционные процедуры для соответствия требованиям, согласованным со структурами соответствия DISA SRG IL4 и IL5, и получила необходимые временные полномочия DISA для работы. Мы ожидаем, что наша клиентская база подрядчиков Министерства обороны США и других федеральных учреждений, которые в настоящее время используют Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps US Government GCC High, который обеспечивает и требует, чтобы клиенты использовали Microsoft Entra Government для идентификаций клиентов, в отличие от GCC, использующего общедоступный Microsoft Entra ID. Для нашей базы клиентов подрядчика Министерства обороны США Майкрософт реализует сервис таким образом, чтобы позволить этим клиентам удовлетворять обязательству ITAR и нормам приобретения DFARS. Мы ожидаем, что наша клиентская база Министерства обороны США, которая в настоящее время использует Microsoft 365 DoD, будет использовать вариант развертывания Power Apps для правительства США.

Power Apps для правительства США и других сервисов Microsoft

Power Apps правительство США включает несколько функций, которые позволяют пользователям подключаться к другим корпоративным службам Майкрософт, таким как Microsoft 365 правительство США, Dynamics 365 правительство США и Microsoft Power Automate правительство США. Power Apps для правительства США развертывается в центрах обработки данных Майкрософт в соответствии с многотенантной, общедоступной облачной моделью развертывания; однако клиентские приложения, включая, но не ограничиваясь веб-клиентами, мобильными приложениями Power Apps или любыми сторонними клиентскими приложениями, подключающимися к Power Apps для правительства США, не являются частью границы аккредитации Power Apps для правительства США, и государственные клиенты несут ответственность за управление ими.

Power Apps для правительства США использует пользовательский интерфейс администратора Microsoft 365 для администрирования клиентов и выставления счетов. Power Apps для правительства США обеспечивает поддержку фактических ресурсов, управление потоками информации и данными, полагаясь на Microsoft 365 для предоставления визуальных стилей, которые представлены администратору клиентов через их консоль управления. В целях наследования ATO FedRAMP Power Apps правительство США использует Azure (в том числе Azure для государственных организаций и Azure DoD) для служб инфраструктуры и платформ соответственно.

Если вы используете службы федерации Active Directory (AD FS) (AD FS) 2.0 и настраиваете политики для обеспечения подключения пользователей к службам через единый вход, все содержимое клиента, временно кэшированное, будет находиться в США.

Power Apps для правительства США и сторонних услуг

Power Apps для правительства США предоставляет возможность интеграции сторонних приложений в службу с помощью коннекторов. Эти сторонние приложения и службы могут включать хранение, передачу и обработку данных клиентов вашей организации в сторонних системах, которые находятся за пределами инфраструктуры Power Apps государственных организаций США, поэтому не охватываются Power Apps обязательствами по соответствию требованиям и защите данных в США.

Рекомендуется просмотреть заявления о конфиденциальности и соответствию нормативам, предоставляемые третьими сторонами при оценке соответствующего использования этих сервисов для организации.

Power Apps для правительства США и служб Azure

Службы Power Apps государственных организаций США развертываются в Microsoft Azure для государственных организаций. Microsoft Entra не является частью границы аккредитации Power Apps правительства США, но зависит от клиента Microsoft Entra ID для работы с клиентскими узлами и функциями идентификации, включая аутентификацию, федеративную аутентификацию и лицензирование.

Когда пользователь организации, использующий AD FS, пытается получить доступ к Power Apps сша для государственных организаций, пользователь перенаправляется на страницу входа, размещенную на сервере AD FS организации. Пользователь затем должен предоставить свои учетные данные для входа на сервер AD FS организации. Сервер AD FS организации пытается пройти проверку подлинности учетных данных с помощью Active Directory инфраструктуры организации.

Если проверка подлинности прошла успешно, сервер AD FS организации выдает билет SAML (языка разметки обеспечения безопасности), содержащий сведения об удостоверении пользователя и членстве в группах.

Сервер AD FS клиента подписывает этот билет с помощью одной половины асимметричной пары ключей, а затем отправляет билет в Microsoft Entra через зашифрованный протокол TLS. Microsoft Entra ID проверяет подпись, используя другую половину пары асимметричных ключей, а затем предоставляет доступ на основе тикета.

Идентификатор пользователя и сведения о членстве в группах остаются зашифрованными в Microsoft Entra ID. Другими словами, в Microsoft Entra ID хранятся только ограниченные сведения, идентифицируемые пользователем.

Полные сведения об архитектуре безопасности Microsoft Entra и реализации управления можно найти в Azure SSP. Конечные пользователи не взаимодействуют напрямую с Microsoft Entra ID.

URL службы Power Apps для правительства США

Вы используете другой набор URL-адресов для доступа к средам Power Apps US Government, как показано в следующей таблице (коммерческие URL-адреса также отображены для справки, если они более вам знакомы).

URL-адрес коммерческой версии URL-адрес версии для государственных организаций США
https://make.powerapps.com https://make.gov.powerapps.us (GCC)
https://make.high.powerapps.us (GCC High)
https://make.apps.appsplatform.us (Министерство обороны США, DoD)
https://create.powerapps.com https://make.gov.powerapps.us (GCC)
https://make.high.powerapps.us (GCC High)
https://make.apps.appsplatform.us (Министерство обороны США, DoD)
https://flow.microsoft.com/connectors https://gov.flow.microsoft.us/connectors
https://high.flow.microsoft.us/connectors (GCC High)
https://flow.appsplatform.us (Министерство обороны США, DoD)
https://admin.powerplatform.microsoft.com https://gcc.admin.powerplatform.microsoft.us
https://high.admin.powerplatform.microsoft.us (GCC High)
https://admin.appsplatform.us (Министерство обороны США, DoD)
https://apps.powerapps.com https://play.apps.appsplatform.us (GCC)
https://apps.high.powerapps.us (GCC High)
https://play.apps.appsplatform.us (Министерство обороны США, DoD)

Для клиентов, которые реализуют ограничения сети, важно обеспечить конечным точкам пользователей доступа доступ к следующим доменам:

Клиенты GCC

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.azurefd.net
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us

Кроме того, обратитесь к Required IP Ranges, чтобы обеспечить доступ к средам, которые пользователи и администраторы могут создавать в среде клиентов, а также к другим сервисам Azure, используемым платформой:

  • GCC и GCC High: (внимание на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
  • DoD: внимание на USDoD East и USDoD Central

Клиенты GCC High и DoD:

*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.azurefd.net
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (Министерство обороны США)
*.crm.appsplatform.us (Министерство обороны)
*.appsplatformportals.us (DoD, Министерство обороны США)

Кроме того, обратитесь к Требуемые IP-диапазоны, чтобы обеспечить доступ к средам, которые пользователи и администраторы могут создавать в клиенте, а также к другим службам Azure, используемым платформой.

  • GCC и GCC High: (внимание на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
  • DoD: внимание на USDoD East и USDoD Central

Служба регионального обнаружения устарела

Со 2 марта 2020 г. региональнаяслужба обнаружения станет устаревшей. Дополнительные сведения: Служба регионального обнаружения устарела

Подключение между Power Apps правительством США и общедоступными Azure Cloud Services

Azure распределяется между несколькими облаками. По умолчанию клиентам разрешено открывать правила брандмауэра в облачной среде, но межоблачные сети отличаются друг от друга и требуют открытия определенных правил брандмауэра для взаимодействия между службами. Если вы являетесь клиентом Power Apps и у вас есть существующие SQL-среды в общедоступном облаке Azure, к которым нужен доступ, вам необходимо открыть определенные правила брандмауэра в SQL для IP-пространства облака Azure для государственных организаций для следующих центров обработки данных:

  • Правительство США Вирджиния
  • USGov Техас
  • Министерство обороны США Восток
  • Центральное командование Министерства обороны США

Ознакомьтесь с диапазонами IP-адресов Azure и Тегами служб – документом облаков правительства США, фокусируя внимание на AzureCloud.usgovtexas, AzureCloud.usgovvirginia и/или US DoD East и US DoD Central, как указано выше в документе. Также обратите внимание, что это диапазоны IP-адресов, необходимые для того, чтобы конечные пользователи имели доступ к URL-адресам службы.

Настроить мобильные клиенты

Для входа с помощью мобильного клиента Power Apps требуется несколько дополнительных действий по настройке.

  1. На странице входа щелкните значок шестеренки в правом нижнем углу.
  2. Выберите параметры Регион.
  3. Выберите один из следующих вариантов:
    • GCC: правительство США GCC
    • GCC High: для государственных организаций США GCC High
    • DoD: для государственных организаций США DOD
  4. Нажмите кнопку "ОК".
  5. На странице входа выберите Войти.

Мобильное приложение теперь будет использовать домен US Government.

Конфигурация локальный шлюз данных

Установите шлюз данных on-premises для быстрой и безопасной передачи данных между канвасным приложением, созданным в Power Apps, и источником данных, который не находится в облаке, например, базой данных SQL Server на локальном сервере или сайтом SharePoint на локальном сервере.

Если ваша организация (арендатор) уже настроила и успешно подключила локальный шлюз данных для Power BI для государственных организаций США, процесс и настройка, выполненные вашей организацией для этого, также обеспечат локальное подключение для Power Apps.

Раньше клиентам государственных организаций США приходилось обращаться в службу поддержки перед настройкой своего первого локального шлюза данных, так как служба поддержки должна была клиенту использовать шлюз. Это больше не требуется. Если у вас возникнут проблемы с настройкой или использованием локального шлюза данных, обратитесь за помощью в службу поддержки.

Данные телеметрии для Power Apps

Следующие URL-адреса необходимо добавить в список разрешений, чтобы обеспечить обмен данными через брандмауэры и другие механизмы безопасности для данных телеметрии Power Apps:

  • GCC и GCC High: https://tb.pipe.aria.microsoft.com/Collector/3.0https://tb.events.data.microsoft.com/OneCollector/1.0/
  • DoD: https://pf.pipe.aria.microsoft.com/Collector/3.0 и https://pf.events.data.microsoft.com/OneCollector/1.0/

Если вы фильтруете конечные точки по диапазонам IP-адресов, убедитесь, что вы разблокируете тег службы OneDsCollector.

Power Apps ограничения функциональности для государственных организаций США

Корпорация Майкрософт стремится поддерживать функциональный паритет между нашими коммерчески доступными службами и службами, доступными через наши облака для государственных организаций США. Эти службы называются Power Apps облаком сообщества государственных организаций (GCC) и GCC High. Обратитесь к средству Global Geograph Availability, чтобы узнать, где Power Apps доступен по всему миру, включая приблизительные временные шкалы доступности.

Существуют исключения из принципа поддержания функционального паритета продуктов в облаках правительства США. Подробные сведения о доступности функций см. в файле: Сводка по доступности бизнес-приложений для государственных организаций США.

Запрос на поддержку

Проблемы с вашей услугой? Можно создать запрос поддержки для устранения проблемы.

Дополнительные сведения см. в разделе Обращение в службу технической поддержки.

См. также

Microsoft Power Automate для государственных организаций США
Dynamics 365 правительство США

  • Last updated on