Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel richtet sich an Kunden von US-Behörden, die Copilot Studio als Bestandteil eines Copilot Studio Government Community Cloud (GCC) Plans bereitstellen. Er bietet Ihnen einen Überblick über die Funktionen, die für diese Pläne spezifisch sind.
Die Government-Pläne sind für die besonderen Anforderungen von Organisationen konzipiert, die die US-Compliance- und Sicherheitsstandards erfüllen müssen.
Wir empfehlen, dass Sie diesen Artikel und den Copilot Studio Überblick lesen.
Die Service-Beschreibung von Copilot Studio für US Regierungsbehörden dient als Ergänzung der allgemeinen Copilot Studio Service-Beschreibung. Es definiert die einzigartigen Verpflichtungen und Unterschiede im Vergleich zu den allgemeinen Copilot Studio-Angeboten, die unseren Kunden seit Dezember 2019 zur Verfügung stehen.
Copilot Studio für US Regierungsbehörden Pläne und Umgebungen
Die Lizenzierung für Copilot Studio für US Regierungsbehörden Pläne ist die gleiche wie für die Public Cloud. Sie sind über die Kanäle Volumenlizenzierung und Cloud Solution Provider zum Kauf erhältlich. Weitere Informationen siehe Benutzerlizenzen zuweisen und Zugriff verwalten.
Die Copilot Studio GCC Umgebung ist konform mit den Bundesanforderungen für Cloud Services, einschließlich FedRAMP High.
Zusätzlich zu den Funktionen und Funktionalitäten von Copilot Studio profitieren Organisationen, die Pläne von Copilot Studio für US Regierungsbehörden nutzen, von den folgenden einzigartigen Funktionen:
- Der Kunden-Inhalt Ihrer Organisation wird physisch vom Kunden-Inhalt in Nicht-US-Behörden-Plänen für Copilot Studio getrennt.
- Der Kundeninhalt Ihrer Organisation wird in den USA gespeichert.
- Der Zugriff auf die Kundeninhalte Ihres Unternehmens ist auf geprüfte Microsoft-Mitarbeiter beschränkt.
- Copilot Studio für US Regierungsbehörden verfügt über alle Zertifizierungen und Zulassungen, die Kunden aus dem öffentlichen Sektor in den USA benötigen.
GCC High-Umgebung
Ab Februar 2022 können sich berechtigte Kunden für die Bereitstellung von Copilot Studio für US Regierungsbehörden in der GCC High-Umgebung entscheiden.
Microsoft hat die Plattform und unsere Vorgänge so gestaltet, dass sie den Anforderungen des Compliance-Frameworks des DISA SRG IL4 (Defense Information Systems Agency Security Requirements Guide Impact Level 4) entsprechen.
Diese Option ermöglicht es dem Kunden und erfordert es von ihm, Microsoft Entra ID for Government für Kundenidentitäten zu verwenden. Im Gegensatz dazu verwendet GCC die öffentliche Microsoft Entra ID.
Für den Kundenbestand im US-Verteidigungsministerium betreibt Microsoft den Service so, dass diese Kunden die ITAR-Bestimmungen (International Traffic in Arms Regulations) und die DFARS-Beschaffungsvorschriften (Defense Federal Acquisition Regulation Supplement) erfüllen können, wie sie in ihren Verträgen mit dem US-Verteidigungsministerium dokumentiert und gefordert sind. DISA hat eine provisorische Betriebserlaubnis erteilt.
Kundenberechtigung
Pläne für Copilot Studio für US Regierungsbehörden sind verfügbar für:
- (1) US-Bundes-, Landes-, Kommunal-, Stammes- und territoriale Regierungs-Entitäten, und
- (2) andere Entitäten, die Daten verarbeiten, die staatlichen Vorschriften und Anforderungen unterliegen und bei denen die Verwendung von Plänen von Copilot Studio für US Regierungsbehörden geeignet ist, diese Anforderungen zu erfüllen, vorbehaltlich der Validierung der Berechtigung.
Die Überprüfung der Berechtigung durch Microsoft beinhaltet:
- Bestätigung des Umgangs mit Daten, die der ITAR unterliegen
- Strafverfolgungsdaten, die der Criminal Justice Information Services (CJIS)-Richtlinie des Federal Bureau of Investigation (FBI) unterliegen
- Andere staatlich regulierte oder kontrollierte Daten
Die Bestätigung kann die Befürwortung durch eine staatliche Stelle mit besonderen Anforderungen an die Datenverarbeitung erfordern.
Entitäten mit Fragen zur Berechtigung für Copilot Studio für US Regierungsbehörden sollten sich bei ihrem Accountteam erkundigen. Microsoft überprüft die Berechtigung erneut, wenn es Kundenverträge für Pläne von Copilot Studio für US Regierungsbehörden erneuert.
Unterschiede zwischen Kundendaten und Kundeninhalten
Unter Kundendaten im Sinne der Bedingungen für Online-Dienste versteht man alle Daten, die Microsoft von oder im Namen von Kunden bereitgestellt werden, die einen Online-Dienst nutzen. Dies beinhaltet sämtliche Text-, Ton-, Video- und Bilddateien sowie Software.
Kundeninhalte beziehen sich auf eine bestimmte Teilmenge von Kundendaten, die direkt von Benutzern erstellt wurden. Dazu können beispielsweise Inhalte gehören, die durch Einträge in Dataverse-Entitäten in Datenbanken gespeichert werden (z. B. Kontaktinformationen). Inhalte gelten allgemein als vertraulich und werden im normalen Dienstbetrieb nicht unverschlüsselt über das Internet übertragen.
Weitere Informationen dazu, wie Copilot Studio Kundendaten schützt, finden Sie unter Microsoft Online Services Trust Center.
Datentrennung für die Government-Community-Cloud
Bei Bereitstellung im Rahmen von Plänen von Copilot Studio für US Regierungsbehörden wird der Copilot Studio-Dienst in Übereinstimmung mit dem National Institute of Standards and Technology (NIST) angeboten.
Zusätzlich zur logischen Trennung des Kundeninhalts auf der Anwendungsschicht bietet der Copilot Studio-Dienst für US-Regierungsbehörden Ihrer Organisation eine sekundäre Schicht der physischen Trennung für Kundeninhalte. Diese Trennung wird durch die Nutzung einer Infrastruktur erreicht, die von der Infrastruktur für gewerbliche Copilot Studio-Kunden getrennt ist. Diese Art der Nutzung beinhaltet die Verwendung von Azure-Diensten in der Azure Government Cloud. Weitere Informationen finden Sie unter Azure Government.
Kundeninhalt innerhalb der USA
Der Service Copilot Studio für US Regierungsbehörden wird in Rechenzentren ausgeführt, die sich physisch in den USA befinden. Sie speichern Kundeninhalte im Ruhezustand in Rechenzentren, die sich physisch nur in den USA befinden.
Eingeschränkter Datenzugriff durch Administratoren
Der Zugriff auf Kundeninhalte von Copilot Studio für US Regierungsbehörden durch Microsoft-Administratoren wird auf Mitarbeiter begrenzt, die US-Bürger sind. Dieses Personal muss sich gemäß den relevanten staatlichen Normen Umfeldermittlungen unterziehen.
Copilot Studio Support- und technische Mitarbeiter haben keinen ständigen Zugriff auf Kundeninhalte, die im Service von Copilot Studio für US Regierungsbehörde gehostet werden. Jeder Mitarbeiter, der eine temporäre Berechtigungserhöhung beantragt, die Zugriff auf Kundeninhalte gewährt, muss zuvor die folgenden Hintergrundprüfungen bestanden haben.
| Personaluntersuchung und Hintergrundprüfungen von Microsoft 1 | Beschreibung |
|---|---|
| US-Staatsbürgerschaft | Überprüfung der US-Staatsbürgerschaft |
| Prüfung der Berufslaufbahn | Überprüfung von sieben (7) Jahren der Berufslaufbahn |
| Ausbildungsüberprüfung | Überprüfung des höchsten Bildungsabschlusses |
| Sozialversicherungsnummer (SSN)-Suche | Bestätigung der Gültigkeit der vom Mitarbeiter angegebenen US-Sozialversicherungsnummer |
| Überprüfung der Vorstrafen | Eine Überprüfung der Vorstrafen für sieben (7) Jahre im Hinblick auf Straftaten und Vergehen auf Bundesland-, Landkreis-, lokaler und Landesebene |
| Liste des Office of Foreign Assets Control (OFAC, Amt für Kontrolle von Auslandsvermögen) | Überprüfung anhand der Liste des US-Finanzministeriums von Gruppen, mit denen US-Bürger im Rahmen von Handels- oder Finanztransaktionen nicht interagieren dürfen |
| Liste des Bureau of Industry and Security (BIS, Amt für Industrie und Sicherheit) | Validierung anhand der Liste des Handelsministeriums von natürlichen und juristischen Personen, die von Exportaktivitäten ausgeschlossen sind |
| Office of Defense Trade Controls Debarred Persons List (DDTC, Liste gesperrter Personen des Kontrollgremiums für den Handel mit Verteidigungswaffen) | Überprüfung der Liste von Einzelpersonen und Entitäten des Außenministeriums, die keine Exportaktivitäten im Zusammenhang mit der Verteidigungsindustrie ausüben dürfen |
| Fingerabdruckprüfung | Hintergrundprüfung von Fingerabdrücken in FBI-Datenbanken |
| CJIS-Hintergrundprüfung | Vom Bundesstaat zugesprochene Überprüfung des Vorstrafenregisters auf Bundes- und Bundesstaatebene, durchgeführt durch eine von der CSA ernannte Behörde in jedem Bundesstaat, der sich für die Teilnahme am Microsoft CJIS-IA-Programm registriert hat. |
| Verteidigungsministerium IT-2 | Mitarbeiter, die erhöhte Berechtigungen für Kundendaten oder privilegierten administrativen Zugriff auf DoD SRG L5 Service-Kapazitäten beantragen, müssen die DoD IT-2-Bescheidung, basierend auf einer erfolgreichen OPM Tier 3-Untersuchung, bestehen. |
1. Gilt nur für Personen mit vorübergehendem oder beständigem Zugriff auf Kundeninhalte, die in Copilot Studio für US Regierungsbehörden (GCC und GCC High) gehostet werden
Zertifizierung und Akkreditierung
Pläne für Copilot Studio für US Regierungsbehörden sind so konzipiert, dass sie die Akkreditierung des Federal Risk and Authorization Management Program (FedRAMP) auf einer hohen Auswirkungsstufe unterstützen. FedRAMP-Artefakte sind für die Prüfung durch bundesstaatliche Kunden verfügbar, die angehalten sind, FedRAMP zu erfüllen. Bundesbehörden können diese Artefakte zur Unterstützung ihrer Überprüfung einsehen, um eine Betriebserlaubnis (Authority to Operate, ATO) zu erteilen.
Notiz
Copilot Studio ist als Service innerhalb der FedRAMP ATO des Azure Government autorisiert.
Weitere Informationen, einschließlich des Zugriffs auf die FedRAMP-Dokumente, finden Sie im FedRAMP Marktplatz.
Pläne von Copilot Studio für US Regierungsbehörden verfügen über Funktionen, die die Anforderungen der CJIS-Richtlinien für Strafverfolgungsbehörden der Kunden unterstützen.
Copilot Studio für US Regierungsbehörden und andere Microsoft Services
Pläne für Copilot Studio für US Regierungsbehörden umfassen verschiedene Features, mit denen Benutzer eine Verbindung mit anderen Microsoft Unternehmensdiensten herstellen und eine Integration in diese vornehmen können, wie beispielsweise Power Apps und Power Automate US Government.
Copilot Studio für US Regierungsbehörden Services werden innerhalb von Microsoft-Rechenzentren ausgeführt. Diese Ausführung entspricht der eines Bereitstellungsmodells für öffentliche Clouds mit mehreren Mandanten. Client-Anwendungen sind jedoch auf den Web-Benutzer-Client beschränkt und in Microsoft Teams nicht verfügbar. Kunden der Regierung sind für die Verwaltung von Client-Anwendungen verantwortlich.
Pläne für Copilot Studio für US Regierungsbehörden verwenden die Office 365-Kundenadministrator-Benutzeroberfläche für die Kundenverwaltung und -abrechnung.
Der Service für Copilot Studio für US Regierungsbehörden verwaltet die tatsächlichen Ressourcen, den Informationsfluss und die Datenverwaltung. Für die Zwecke der FedRAMP ATO-Vererbung verwenden Pläne für Copilot Studio für US Regierungsbehörden Azure (einschließlich Azure for Government) ATOs für Infrastruktur- bzw. Plattformdienste.
Wenn Sie die Verwendung von Active Directory Federation Services (ADFS) 2.0 adaptieren und Richtlinien festlegen, um sicherzustellen, dass sich Ihre Benutzer über Single Sign-On mit den Diensten verbinden, werden alle vorübergehend zwischengespeicherten Kundeninhalte in den USA liegen.
Copilot Studio für US Regierungsbehörden und Drittanbieter Services
Pläne für Copilot Studio für US Regierungsbehörde bieten die Möglichkeit, Anwendungen von Drittanbietern über Power Automate Cloud Flow in den Service zu integrieren, der Konnektoren und Fähigkeiten verwendet. Diese Drittanbieteranwendungen und -dienste können das Speichern oder Verarbeiten der Kundendaten Ihrer Organisation auf Drittanbietersystemen oder das Übertragen der Daten an Drittanbietersysteme umfassen, die sich außerhalb der Copilot Studio-Infrastruktur für US-Regierungsbehörden befinden. Daher sind diese Drittanbieteranwendungen und -dienste nicht durch die Compliance- und Datenschutzbestimmungen von Copilot Studio für US-Regierungsbehörden abgedeckt.
Wichtig
Überprüfen Sie die von den Drittanbietern bereitgestellten Datenschutz- und Konformitätserklärungen, wenn Sie die etwaige Nutzung dieser Dienste für Ihre Organisation prüfen.
Überlegungen zur Governance können Ihrer Organisation dabei helfen, das Bewusstsein für die Funktionalitäten zu schärfen, die über mehrere zusammenhängende Themen wie Architektur, Sicherheit, Warnung und Maßnahmen sowie Überwachung verfügbar sind.
Copilot Studio für US Regierungsbehörden und Azure-Dienste
Die Service von Copilot Studio für US Regierungsbehörden werden von Microsoft Azure Government bereitgestellt. Microsoft Entra ID ist nicht Teil der Akkreditierungsgrenze von Copilot Studio für US-Regierungsbehörden. Für Kundenmandanten- und Identitätsfunktionen sind die Dienste jedoch auf den Microsoft Entra ID-Mandanten eines Kunden angewiesen. Hierzu haben Sie unter anderem folgende Möglichkeiten:
- Authentifizierung
- Verbundene Authentifizierung
- Lizenzierung
Wenn ein Benutzer einer Organisation, die ADFS einsetzt, versucht, auf den Service von Copilot Studio für US-Regierungsbehörden zuzugreifen, wird der Benutzer auf eine Anmeldeseite umgeleitet, die auf dem ADFS-Server der Organisation gehostet wird.
Der Benutzer gibt seine Anmeldeinformationen für den ADFS-Server der Organisation ein. Der ADFS-Server der Organisation versucht, die Anmeldeinformationen mithilfe der Active Directory-Infrastruktur der Organisation zu authentifizieren.
Wenn die Authentifizierung erfolgreich ist, stellt der ADFS-Server der Organisation ein SAML-Ticket (Security Assertion Markup Language) aus, das Informationen über die Identität und Gruppenmitgliedschaft des Benutzers enthält.
Der ADFS-Server des Kunden signiert das Ticket mithilfe einer Hälfte eines asymmetrischen Schlüsselpaars und sendet das Ticket via verschlüsselter TLS (Transport Layer Security)an Microsoft Entra ID. Microsoft Entra ID überprüft die Signatur mithilfe der anderen Hälfte des asymmetrischen Schlüsselpaars und gewährt dann Zugriff gemäß dem Ticket.
Die Informationen zu Identität und Gruppenmitgliedschaft des Benutzers bleiben in Microsoft Entra ID verschlüsselt. Mit anderen Worten: Nur begrenzte benutzeridentifizierbare Informationen werden in Microsoft Entra ID gespeichert.
Ausführliche Details der Sicherheitsarchitektur der Microsoft Entra ID und der Steuerungsimplementierung können im Azure System Sicherheitsplan (SSP) eingesehen werden.
Die Microsoft Entra ID Kontoverwaltungsservices werden auf physischen Servern gehostet, die von den Microsoft Global Foundation Services (GFS) verwaltet werden. Netzwerkzugriff auf diese Servern wird durch GFS-verwaltete Netzwerkgeräte mithilfe des Regelsatzes von Azure gesteuert. Benutzer interagieren nicht direkt mit Microsoft Entra ID.
Service URLs von Microsoft Copilot Studio für US Regierungsbehörden
Für den Zugriff auf Umgebungen mit Copilot Studio für US Regierungsbehörden verwenden Sie andere URLs, als in der folgenden Tabelle gezeigt. Die Tabelle enthält auch die kommerziellen URLs für den Kontextbezug.
| Kommerziell | US-Regierung (GCC) | US Government (GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| admin.powerplatform.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
Für Kunden, die Netzwerkbeschränkungen einführen, stellen Sie sicher, dass Benutzende über Zugriffspunkte auf die folgenden Domänen zugreifen können:
GCC-Kunden
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
Gehen Sie zu IP-Bereiche für AzureCloud.usgovtexas und AzureCloud.usgovvirginia, um den Zugriff auf Dataverse-Instanzen zu ermöglichen, die Benutzer und Administratoren innerhalb Ihres Mandanten erstellen können.
Konnektivität zwischen Copilot Studio für US-Regierungsbehörden und öffentlichen Azure Cloud Services
Azure wird unter mehreren Clouds aufgeteilt. Standardmäßig ist es Mandanten erlaubt, Firewallregeln für eine cloudspezifische Instanz zu öffnen, aber der cloudübergreifende Netzwerkbetrieb gestaltet sich anders und erfordert das Öffnen spezifischer Firewallregeln für die Kommunikation zwischen Diensten. Wenn Sie ein Copilot Studio-Kunde sind und Sie bestehende SQL-Instanzen in der Azure Public Cloud haben, auf die Sie zugreifen müssen, müssen Sie bestimmte Firewall-Ports in SQL für den Azure Government Cloud-IP-Raum für die folgenden Rechenzentren öffnen:
US Government, Virginia
USGov Texas
Lesen Sie das Dokument Azure IP-Bereiche und Diensttags – US Government Cloud und konzentrieren Sie sich auf AzureCloud.usgovtexas und AzureCloud.usgovvirginia. Beachten Sie auch, dass dies die IP-Bereiche sind, die Ihre Benutzenden für den Zugriff auf die Dienst-URLs benötigen.
Funktionsbeschränkungen für Copilot Studio für US-Regierungsbehörden
Einige der in der kommerziellen Version von Copilot Studio verfügbaren Funktionen sind nicht für Copilot Studio-Kunden für Regierungsbehörden verfügbar. Das Copilot Studio Team arbeitet aktiv daran, diese Funktionen für US Government-Kunden zur Verfügung zu stellen und wird diesen Artikel aktualisieren, sobald diese Funktionen verfügbar sind.
Anmerkung
Derzeit besteht die einzige Möglichkeit, einen Agenten für Teams zu genehmigen, darin, den Agenten zur Genehmigung an einen Administrator zu übermitteln.
| Funktion oder Fähigkeit | Verfügbar in GCC | Verfügbar in GCC High |
|---|---|---|
| Copilot Studio Microsoft Teams-App-Erfahrung | Nein | Nein |
| Teams-Kanal in der Copilot Studio Web-App | Ja | Nein |
| Übertragen an Agents | Ja | Nein |
| Teams & M365 Copilot Channel | Nein | Nein |
| Trigger / Autonome Agenten | Nein | Nein |
| Generative Orchestrierung | Ja | Nein |
| Copilot Agents verlängern M365 | Nein | Nein |
| Erweiterte Suche mit generativen Antworten | Nein | Nein |
| Schnelle Aktion | Ja | Nein |
| Vorschaumodelle für die Antwortgenerierung | Nein | Nein |
| Azure AI Search als Wissensquelle | Nein | Nein |
Support anfordern
Haben Sie ein Problem mit Ihrem Dienst? Sie können eine Support-Anfrage erstellen, um das Problem zu beheben.
Weitere Informationen: Den technischen Support kontaktieren