Power Apps US Government
В ответ для уникальных и меняющихся требований государственного сектора США Microsoft создано Power Apps правительство США, которое состоит из нескольких планов для организаций правительства США. В этом разделе содержится обзор функция, специфичных для Power Apps US Government. Рекомендуется прочитать этот дополнительный раздел вместе с документациией по Power Apps, которая охватывает информацию об общем описании службы Power Apps. Для краткости эту службу обычно называют Облако сообщества для государственных организаций Power Apps (GCC) или Облако сообщества для государственных организаций — High (GCC High) Power Apps или Министерство обороны Power Apps (DoD).
Описание службы Power Apps для государственных организаций США предназначено для наложения на общее описание службы Power Apps. Оно определяет уникальные предложения этой службы и отличия от предложений Power Apps, которые были доступны для наших клиентов с октября 2016 года.
О средах и планах Power Apps для государственных организаций США
Планы Power Apps для государственных организаций США являются ежемесячной подпиской и могут быть лицензированы для неограниченного числа пользователей.
Среда Power Apps GCC обеспечивает соответствие федеральным требованиям к облачным службам, включая FedRAMP High, DoD DISA IL2, и требованиям к системам уголовного правосудия (типы данных CJI).
В дополнение к функциям и возможностям Power Apps, организации, которые используют Power Apps для государственных организаций США, извлекают преимущество из следующих функций, уникальных для Power Apps для государственных организаций США:
- Клиентский контент вашей организации физически отделен от клиентского контента в коммерческих Microsoftуслугах Power Apps .
- Содержимое клиента вашей организации хранится в США.
- Доступ к клиентскому контенту вашей организации ограничен проверенным Microsoft персоналом.
- Power Apps для государственных организаций США отвечает сертификатам и аккредитациям, необходимым для клиентов государственного сектора США.
Начиная с сентября 2019 года подходящие клиенты теперь могут выбрать развертывание Power Apps US Government в среде “GCC High”, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 GCC High. Microsoft разработала платформу и наши операционные процедуры с учетом требований, соответствующих рамке соответствия DISA SRG IL4. Мы ожидаем, что наша база клиентов подрядчика Министерства обороны США и других федеральных агентств, которая в настоящее время использует Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps GCC High для государственных организаций США, который обеспечивает и требует от клиентов использовать Microsoft Entra для государственных организаций для идентификации клиентов, в отличие от GCC, в котором используется открытая служба Microsoft Entra ID. Для нашей клиентской базы подрядчиков Министерства обороны США Microsoft оказывает услугу таким образом, чтобы эти клиенты могли соблюдать обязательства ITAR и правила закупок DFARS, как это задокументировано и требуется их контрактами с Министерством обороны США. Временные полномочия на использование предоставлены DISA.
Начиная с апреля 2021 года подходящие клиенты теперь могут выбрать развертывание Power Apps US Government в среде “DoD”, которая обеспечивает единый вход и бесшовную интеграцию с развертываниями Microsoft 365 DoD. Microsoft разработала платформу и наши операционные процедуры в соответствии с рамкой соответствия DISA SRG IL5. Временные полномочия на использование предоставлены DISA.
Соответствие клиента
Power Apps для государственных организаций США доступно (1) федеральным, штатным, местным, племенным и территориальным правительственным органам США и (2) другим организациям, которые обрабатывают данные, подпадающие под действие правительственных постановлений и требований, а также при использовании Power Apps для государственных организаций США должно соответствовать этим требованиям при условии подтверждения права на участие. Проверка соответствия требованиям Microsoft будет включать подтверждение обработки данных, подпадающих под действие Правил международной торговли оружием (ITAR), данных правоохранительных органов, подпадающих под действие политики ФБР в отношении информационных служб уголовного правосудия (CJIS), или других регулируемых или контролируемых государством данных. Подтверждение может потребовать спонсорской поддержки со стороны государственного органа с особыми требованиями к обработке данных.
Лица с вопросами о праве на участие в Power Apps для государственных организаций США должны проконсультироваться со своей службой технической поддержки учетных записей. При возобновлении договора с клиентом для Power Apps для государственных организаций США, повторная проверка соответствия не требуется.
Обратите внимание, что DoD Power Apps для государственных организаций США доступно только организаций DoD.
Планы Power Apps US Government
Доступ к планам Power Apps для государственных организаций США ограничен следующими предложениями, каждый план предлагается как ежемесячная подписка и может быть лицензирован неограниченному количеству пользователей:
- Power Apps на план приложений для государственных организаций
- Power Apps на план пользователей для государственных организаций
- В дополнение к автономным планам, возможности Power Apps и Power Automate также включены в некоторые планы Microsoft 365 US Government и Dynamics 365 US Government, позволяющие клиентам расширять и настраивать Microsoft 365, Power Platform и приложения Dynamics 365 (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service и Dynamics 365 Project Service Automation).
Дополнительная информация о различиях в функциональности между этими группами лицензий более подробно описана на странице сведения о лицензировании Power Apps. Power Apps для государственных организаций США доступно через каналы закупок поставщика корпоративного лицензирования и облачных решений. Программа поставщика облачных решений в настоящее время недоступна для клиентов GCC High.
Что такое данные клиента и содержимое клиента?
Данные клиентов, как определено в Условиях предоставления онлайн-услуг, означают все данные, включая все текстовые, звуковые, видеофайлы или файлы изображений, а также программное обеспечение, которые предоставляются Microsoft клиентами или от имени клиентов посредством использования онлайн-услуг. Содержимое клиента ссылается на определенную часть данных клиента, которые были непосредственно созданы пользователями, например, содержимое, хранящееся в базах данных в виде записей в сущностях Microsoft Dataverse (например, контактная информация). Содержимое в общем считается конфиденциальной информацией, и при нормальной работе службы не отправляется по Интернету без шифрования.
Дополнительную информацию о Power Apps защите данных клиентов см. в Microsoft Центре доверия онлайн-сервисов.
Разделение данных для облака государственного сообщества
При подготовке в составе Power Apps для государственных организаций США служба Power Apps предлагается в соответствии со специальной публикацией 800-145 Национального института стандартизации и технологии (NIST).
В дополнение к логическому разделению содержимого клиентов на уровне приложения, сервис Power Apps для государственных организаций США предоставляет вашей организации дополнительный уровень физического разделения содержимого клиентов за счет использования инфраструктуры, отдельной от инфраструктуры, используемой для коммерческих клиентов Power Apps. Это включает использование служб Azure в облаке Azure для государственных организаций. Чтобы узнать больше, см. раздел Azure для государственных организаций.
Содержимое клиента, расположенное в США
Службы Power Apps для государственных организаций США предоставляются из центров обработки данных, физически расположенных в США. Содержимое клиентов Power Apps для государственных организаций США надежно хранится в центрах обработки данных, физически расположенных в США.
Ограниченный доступ к данным для администраторов
Доступ Power Apps администраторов к клиентскому контенту правительства США ограничен персоналом, являющимся гражданами США. Microsoft Этот персонала проходит проверку в соответствии с соответствующими государственными стандартами.
Технический персонал службы поддержки и обслуживания Power Apps не имеет постоянного доступа к содержимому клиентов, размещенному в Power Apps для государственных организаций США. Любой персонал, запрашивающей временного увеличения полномочий, которое предоставит доступ к содержимому клиента, сначала должен пройти следующие проверки биографических данных.
| Microsoft проверка персонала и биографических данных1 | Описание |
|---|---|
| Гражданство США | Проверка гражданства США |
| Проверка истории трудоустройства | Проверить семи (7) лет истории трудоустройства |
| Проверка образования | Проверка наивысшей полученной степени |
| Поиск номера страхового полиса (SSN) | Проверка действительности указанного номера SSN |
| Проверка уголовного прошлого | Проверка семи (7) лет уголовных записей на предмет тяжких и незначительных правонарушений на уровне штата, округа и местном уровне, а также на федеральном уровне |
| Перечень управления по контролю за иностранными активами (OFAC) | Проверка по перечню Министерства финансов США групп, с которыми персонал США не имеет права вести торговлю или проводить финансовые операции |
| Список Бюро промышленности и безопасности (BIS) | Проверка по списку Министерства торговли лиц и организаций, которым запрещено участвовать в экспортных операциях |
| Перечень запрещенных лиц по контролю торговли с Министерством обороны (DDTC) | Проверка по списку Госдепартамента лиц и организаций, которым запрещено участвовать в экспортных операциях, связанных с оборонной промышленностью |
| Проверка отпечатков пальцев | Проверка отпечатков пальцев по базам данных ФБР |
| Проверка истории в CJIS | Рассмотрение федеральной и государственной криминальной истории, проводимое уполномоченным органом CSA штата в каждом штате, который подписался на Microsoft программу CJIS IA |
| Министерство обороны IT-2 | Персонал, запрашивающий повышенные разрешения для данных клиентов или привилегированный административный доступ к возможностям служб SRG L5 Министерства обороны, должен получить разрешение Министерства обороны IT-2 на основе успешного расследования OPM Tier 3 |
1 Применяется только к персоналу с временным или постоянным доступом к клиентскому контенту, размещенному в Power Apps средах правительства США (GCC, GCC High и DoD).
Сертификация и аккредитация
Power Apps для государственных организаций США предназначается для поддержки аккредитации в программе управления федеральными рисками и авторизации (FedRAMP) на уровне высокого воздействия. Это подразумевает выравнивание до DoD DISA IL2. Артефакты FedRAMP доступны для проверки федеральными клиентами, которые должны соответствовать требованиям FedRAMP. Федеральные агентства могут ознакомиться с этими артефактами для поддержки своей проверки для предоставления правы работы (ATO).
Заметка
Power Apps разрешен в качестве службы в Azure для государственных организаций FedRAMP ATO. Дополнительную информацию, в том числе о том, как получить доступ к документам FedRAMP, можно найти в FedRAMP Marketplace: https://marketplace.fedramp.gov/#!/product/azure-government-includes-dynamics-365?sort=productName&productNameSearch=azure%20government
Power Apps для государственных организаций США содержит функции, предназначенные для поддержки требований клиента к политике CJIS для правоохранительных органов. См. сведения о сертификациях и аккредитациях на странице продуктов Power Apps для государственных организаций США в центре управления безопасностью.
Microsoft разработала платформу и наши операционные процедуры в соответствии с требованиями, соответствующими рамкам соответствия DISA SRG IL4 и IL5, и получила необходимые временные полномочия DISA на осуществление деятельности. Мы ожидаем, что наша база клиентов подрядчика Министерства обороны США и других федеральных агентств, которая в настоящее время использует Microsoft 365 GCC High, будет использовать вариант развертывания Power Apps GCC High для государственных организаций США, который обеспечивает и требует от клиентов использовать Microsoft Entra для государственных организаций для идентификации клиентов, в отличие от GCC, в котором используется открытая служба Microsoft Entra ID. Для нашей клиентской базы подрядчиков Министерства обороны США Microsoft осуществляет обслуживание таким образом, чтобы эти клиенты могли соблюдать обязательства ITAR и правила закупок DFARS. Аналогичным образом, мы ожидаем, что наша клиентская база Министерства обороны США в настоящее время использует Microsoft 365 DoD для реализации развертывания Power Apps для государственных организаций США DoD.
Power Apps Правительство США и другие Microsoft службы
Power Apps Правительство США включает в себя несколько функций, которые позволяют пользователям подключаться и интегрироваться с другими Microsoft предложениями корпоративных услуг, такими как Microsoft 365 Правительство США, Dynamics 365 US Government и Microsoft Power Automate US Government. Power Apps Правительство США развертывается в Microsoft центрах обработки данных способом, соответствующим многопользовательской модели развертывания публичного облака; однако клиентские приложения, включая, помимо прочего, веб-клиент, Power Apps мобильные приложения или любые сторонние клиентские приложения, которые подключаются к Power Apps правительству США, не входят в Power Apps границу аккредитации правительства США, и ответственность за управление ими несут государственные клиенты.
Power Apps для государственных организаций США использует пользовательский интерфейс администратора клиента Microsoft 365 для администрирования клиентов и выставления счетов — Power Apps для государственных организаций США ведет фактические ресурсы, информационные потоки и управление данными, полагаясь на Microsoft 365 для предоставления визуальных стилей, которые представляются администратору клиента через его консоль управления. Для целей наследования разрешения ATO FedRAMP Power Apps для государственных организаций США использует разрешения ATO (включая Azure Government и Azure DoD) для услуг инфраструктуры и платформы, соответственно.
Если вы принимаете использование службы федерации Active Directory (AD FS) 2.0 и настроили политики, помогающие обеспечить подключение ваших пользователей через единый вход, любое содержимое клиента, которое временно кэшируется, будет расположено в США.
Power Apps для государственных организаций США и службы сторонних разработчиков
Power Apps для государственных организаций США обеспечивает возможности интеграции приложений сторонних разработчиков в сервис посредством соединителей. Эти сторонние приложения и сервисы могут включать хранение, передачу и обработку данных клиентов вашей организации на системах стороннего разработчика, которые находятся вне инфраструктуры Power Apps для государственных организаций США и, поэтому, не покрываются обязательствами по соответствию нормативам и защите данных Power Apps для государственных организаций США.
Рекомендуется просмотреть заявления о конфиденциальности и соответствию нормативам, предоставляемые третьими сторонами при оценке соответствующего использования этих сервисов для организации.
Power Apps для государственных организаций США и службы Azure
Службы Power Apps для государственных организаций США развернуты в Microsoft Azure для государственных организаций. Microsoft Entra не входит в границы аккредитации Power Apps для государственных организаций США, но полагается на клиент Microsoft Entra ID клиента для клиента клиента и функции идентификации, включая проверку подлинности, федеративную проверку подлинности и лицензирование.
Когда пользователь организации, использующей AD FS, пытается получить доступ к Power Apps для государственных организаций США, этот пользователь направляется на страницу входа, расположенную на сервере AD FS организации. Пользователь затем должен предоставить свои учетные данные для входа на сервер AD FS организации. Сервер AD FS организации пытается аутентифицировать учетные данные с использованием инфраструктуры Active Directory организации.
Если проверка подлинности прошла успешно, сервер AD FS организации выдает билет SAML (языка разметки обеспечения безопасности), содержащий сведения об удостоверении пользователя и членстве в группах.
Сервер AD FS клиента подписывает этот билет с помощью одной из половин несимметричной пары ключей и затем отправляет билет в Microsoft Entra по протоколу TLS. Microsoft Entra ID проверяет подпись с помощью другой половины несимметричной пары ключей и затем предоставляет доступ на основе билета.
Идентификационные данные пользователя и информация о членстве в группе остаются в зашифрованном виде в Microsoft Entra ID. Другими словами, только ограниченная идентифицируемая пользователем информация хранится в Microsoft Entra ID.
Подробные описания архитектуры безопасности Microsoft Entra и реализации управления можно найти в Azure SSP. Конечные пользователи не взаимодействуют напрямую с Microsoft Entra ID.
URL-адреса службы Power Apps для государственных организаций США
Вы используете другой набор URL-адресов для доступа к средам Power Apps для государственных организаций США, как показано в следующей таблице (коммерческие URL-адреса также показаны для контекстной ссылки, если они вам более знакомы).
| URL коммерческой версии | URL-адрес версии правительства США |
|---|---|
| https://make.powerapps.com | https://make.gov.powerapps.us (ССЗ) https://make.high.powerapps.us (GCC High) https://make.apps.appsplatform.us (МО) |
| https://create.powerapps.com | https://make.gov.powerapps.us (ССЗ) https://make.high.powerapps.us (GCC High) https://make.apps.appsplatform.us (МО) |
| https://flow.microsoft.com/connectors | https://gov.flow.microsoft.us/connectors https://high.flow.microsoft.us/connectors (GCC High) https://flow.appsplatform.us (МО) |
| https://admin.powerplatform.microsoft.com | https://gcc.admin.powerplatform.microsoft.us https://high.admin.powerplatform.microsoft.us (GCC High) https://admin.appsplatform.us (МО) |
| https://apps.powerapps.com | https://play.apps.appsplatform.us (ССЗ) https://apps.high.powerapps.us (GCC High) https://play.apps.appsplatform.us (МО) |
Для клиентов, которые реализуют ограничения сети, важно обеспечить конечным точкам пользователей доступа доступ к следующим доменам:
Клиенты из стран ССЗ:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.com
*.microsoft.com
*.windows.net
*.crm9.dynamics.com
*.dynamics365portals.us
Также см. требуемые диапазоны IP-адресов, чтобы разрешить доступ к средам, которые пользователи и администраторы могут создавать в рамках ваших клиентов, а также другие службы Azure, используемые платформой:
- GCC и GCC High: (Сосредоточьтесь на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
- DoD: внимание на USDoD East и USDoD Central
GCC High и клиенты Министерства обороны:
*.microsoft.us
*.powerapps.us
*.azure-apihub.us
*.azure.net
*.azure.us
*.azureedge.net
*.azureedge.us
*.usgovcloudapi.net
*.microsoftonline.us
*.microsoftdynamics.us (GCC High)
*.crm.microsoftdynamics.us (GCC High)
*.high.dynamics365portals.us (GCC High)
*.appsplatform.us (DoD)
*.crm.appsplatform.us (DoD)
*.appsplatformportals.us (DoD)
Также см. Требуемые диапазоны IP-адресов, чтобы разрешить доступ к средам, которые пользователи и администраторы могут создавать в вашем клиенте, а также другие службы Azure, используемые платформой:
- GCC и GCC High: (Сосредоточьтесь на AzureCloud.usgovtexas и AzureCloud.usgovvirginia)
- DoD: внимание на USDoD East и USDoD Central
Служба регионального обнаружения устарела
Со 2 марта 2020 г. региональнаяслужба обнаружения станет устаревшей. Дополнительные сведения: Служба регионального обнаружения устарела
Возможность подключения между Power Apps для государственных организаций США и общественными облачными службами Azure
Azure распространяется среди нескольких облаков. По умолчанию клиентам разрешено открывать правила брандмауэра в облачной среде, но межоблачные сети отличаются друг от друга и требуют открытия определенных правил брандмауэра для взаимодействия между службами. Если вы клиент Power Apps, и у вас есть существующие среды SQL в общедоступном облаке Azure, к которым вам нужно получить доступ, вы должны открыть определенные правила брандмауэра в SQL для IP-пространства облака Azure для государственных организаций для следующих центров обработки данных:
- USGov Вирджиния
- USGov Техас
- Восточный регион US DoD
- Центральный регион US DoD
Ознакомьтесь с документом Диапазоны IP-адресов и теги служб Azure — облако для государственных организаций США, обратив внимание на AzureCloud.usgovtexas, AzureCloud.usgovvirginia, и/или восточный регион US DoD и центральный регион US DoD, как указано выше. Также обратите внимание, что это диапазоны IP-адресов, необходимые для того, чтобы конечные пользователи имели доступ к URL-адресам службы.
Настроить мобильные клиенты
Чтобы войти с помощью мобильного клиента Power Apps требуется несколько дополнительных шагов настройки.
- На странице входа щелкните значок шестеренки в правом нижнем углу.
- Выберите параметры Регион.
- Выберите один из следующих вариантов:
- GCC: Правительство США GCC
- GCC High: Правительство США GCC High
- DoD: Министерство обороны правительства США
- Выберите OK.
- На странице входа выберите Войти.
Мобильное приложение теперь будет использовать домен US Government.
Конфигурация локальный шлюз данных
Установите локальный шлюз данных для быстрой и безопасной передачи данных между приложением на основе холста, встроенным в Power Apps, и источником данных, который не находится в облаке, таким как локальная база данных сервера SQL или локальный сайт SharePoint.
Если ваша организация (клиент) уже настроила и успешно подключила локальный шлюз данных для Power BI для государственных организаций США, то процесс и конфигурация, которые ваша организация выполнила, чтобы включить это, также включит локальную возможность подключения для Power Apps.
Раньше клиентам государственных организаций США приходилось обращаться в службу поддержки перед настройкой своего первого локального шлюза данных, так как служба поддержки должна была клиенту использовать шлюз. Это больше не требуется. Если у вас возникнут проблемы с настройкой или использованием локального шлюза данных, обратитесь за помощью в службу поддержки.
Телеметрия для приложений на основе модели
Необходимо добавить следующий URL-адрес в список разрешений для обеспечения связи через брандмауэры и другие механизмы безопасности для информации телеметрии приложений на основе модели:
- GCC и GCC High:
https://tb.pipe.aria.microsoft.com/Collector/3.0 - МО:
https://pf.pipe.aria.microsoft.com/Collector/3.0
Ограничения функций Power Apps для государственных организаций США
Microsoft стремится поддерживать функциональный паритет между нашими коммерчески доступными услугами и услугами, доступными через наши облака правительства США. Эти службы называются Power Apps Government Community Cloud (GCC) и GCC High. См. инструмент Глобальная географическая доступность, чтобы узнать, где Power Apps доступно по всему миру, включая приблизительные сроки доступности.
Существуют исключения из принципа поддержания функционального паритета продуктов в облаках правительства США. Подробные сведения о доступности функций см. в файле: Сводка по доступности бизнес-приложений для государственных организаций США.
Запрос поддержки
Проблема со службой? Можно создать запрос поддержки для устранения проблемы.
Дополнительные сведения см. в разделе Обращение в службу технической поддержки.
См. также
Microsoft Power Automate US Government
Dynamics 365 Правительство США