Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article est destiné aux clients du secteur public des États-Unis qui déploient Copilot Studio dans le cadre d’un plan Copilot Studio Cloud de la communauté des organismes d’état (GCC). Il vous donne un aperçu des fonctionnalités spécifiques à ces plans.
Les abonnements pour le secteur public sont prévus pour répondre aux besoins spécifiques des organisations qui doivent respecter les normes de conformité et de sécurité des États-Unis.
Nous vous recommandons de lire cet article et la présentation de Copilot Studio.
La description du service Copilot Studio pour le secteur public américain vient compléter la description du service Copilot Studio général. Elle définit les engagements uniques et les différences par rapport aux offres Copilot Studio générales, disponibles pour nos clients depuis décembre 2019.
Plans et environnements Copilot Studio pour le secteur public américain
Licence pour les plans pour le secteur public américain Copilot Studio sont les mêmes que pour le cloud public. Elles sont disponibles via les canaux d’achat Licences en volume et Fournisseur de solutions cloud. Pour plus d’informations, consultez Attribuer des licences utilisateur et gérer l’accès
L’environnement Copilot Studio GCC est conforme aux exigences fédérales en matière de services cloud, notamment FedRAMP (niveau High).
Outre les fonctionnalités de Copilot Studio, les organisations qui font appel aux plans pour le secteur public américain Copilot Studio bénéficient des fonctionnalités suivantes :
- Le contenu client de votre organisation est physiquement séparé du contenu client dans les plans non gouvernementaux des États-Unis pour Copilot Studio.
- Le contenu client de votre organisation est enregistré aux États-Unis.
- L’accès au contenu client de votre organisation est restreint au personnel Microsoft filtré.
- Copilot Studio pour le secteur public américain respecte toutes les certifications et accréditations exigées par les clients du secteur public américain.
Environnement GCC High
À partir de février 2022, les clients éligibles peuvent choisir de déployer Copilot Studio pour le secteur public américain à l’environnement GCC High.
Microsoft a conçu la plateforme et nos procédures opérationnelles pour répondre aux exigences qui correspondent au cadre de conformité DISA SRG IL4 (Defense Information Systems Agency Security Requirements Guide Impact Level 4).
Cette option permet et nécessite que le client utilise Microsoft Entra ID pour le secteur public pour les identités des clients. En revanche, GCC utilise le Microsoft Entra ID public.
Pour la base de clients contractuels du Ministère de la Défense des États-Unis, Microsoft exploite le service d’une manière qui permet aux clients de répondre à l’engagement ITAR (International Traffic in Arms Regulations) et aux réglementations d’acquisition DFARS (Defense Federal Acquisition Regulation Supplement), comme documenté et requis par leurs contrats avec le Ministère de la Défense des États-Unis. DISA a accordé une autorisation provisoire d’opérer.
Éligibilité du client
Les plans pour le secteur public américain Copilot Studio sont disponibles pour :
- (1) Les entités gouvernementales fédérales, étatiques, locales, tribales et territoriales des États-Unis,
- (2) d’autres entités, qui traitent des données soumises aux réglementations et exigences gouvernementales et où l’utilisation des plans Copilot Studio pour le secteur public américain sont appropriés pour répondre à ces exigences, sous réserve de la validation de l’éligibilité.
La validation de l’éligibilité de Microsoft comprend :
- Confirmation du traitement des données soumises à l’ITAR
- Données d’application de la loi soumises à la politique des Services d’information sur le droit pénal (CJIS) du Bureau fédéral d’investigation (FBI)
- Autres données réglementées ou contrôlées par le gouvernement
La validation peut exiger un parrainage par une entité gouvernementale avec des exigences spécifiques pour le traitement des données.
Les entités avec des questions concernant l’éligibilité pour Copilot Studio pour le secteur public américain doivent consulter l’équipe de leur compte. Microsoft revalide une nouvelle fois l’éligibilité lors du renouvellement des contrats clients pour les plans Copilot Studio pour le secteur public américain.
Différences entre les données clientes et le contenu client
Les données du client, telles que définies dans les Conditions d’utilisation du service en ligne, désignent toutes les données fournies à Microsoft par, ou au nom, des clients qui utilisent un service en ligne. Cela inclut tous les fichiers texte, audio, vidéo, image et les logiciels.
Le contenu du client fait référence à un sous-ensemble spécifique de données du client qui a été directement créé par les utilisateurs. Cela pourrait inclure, par exemple, le contenu stocké dans des bases de données via des entrées dans les entités Dataverse (par exemple, les informations de contact). Le contenu est généralement considéré comme des informations confidentielles et, dans le cadre des opérations de service normales, il n’est pas envoyé via Internet sans avoir été préalablement chiffré.
Pour plus d’informations sur la protection des données clients par Copilot Studio, consultez le Centre de gestion de la confidentialité Microsoft Online Services.
Ségrégation de données pour le Cloud de la communauté des organismes d’état
Une fois mis en service dans le cadre des plans pour le secteur public américain Copilot Studio, le service Copilot Studio est proposé conformément au National Institute of Standards and Technology (NIST).
Outre la séparation logique du contenu client au niveau de la couche de l’application, le service Copilot Studio pour le secteur public américain fournit à votre organisation une couche secondaire de séparation physique pour le contenu client. Cette ségrégation est obtenue en utilisant une infrastructure distincte de l’infrastructure utilisée pour les clients commerciaux Copilot Studio. Ce type d’utilisation inclut l’utilisation des services Azure dans le Cloud d’Azure destiné aux organismes d’état. Pour en savoir plus, consultez Azure Government.
Contenu client situé aux États-Unis
Le service Copilot Studio pour le secteur public américain s’exécute dans des centres de données situés physiquement aux États-Unis. Il stocke le contenu client au repos dans des centres de données situés physiquement aux États-Unis uniquement.
Accès aux données limité par les administrateurs
L’accès au contenu client Copilot Studio pour le secteur public américain par des administrateurs Microsoft est limité aux citoyens américains. Ces personnes procèdent à des enquêtes conformément aux normes gouvernementales adéquates.
Le personnel de support et d’ingénierie de service Copilot Studio n’a pas accès permanent au contenu client hébergé dans le service Copilot Studio pour le secteur public américain. Tout personnel qui demande une élévation d’autorisation temporaire qui accorderait l’accès au contenu client doit d’abord avoir passé les contrôles d’antécédents suivants.
| Filtrage et contrôle des antécédents du personnel Microsoft1 | Descriptif |
|---|---|
| Citoyenneté américaine | Vérification de la citoyenneté américaine |
| Vérification de l’historique d’emploi | Vérification de l’historique d’emploi sur sept (7) ans |
| Vérification des études | Vérification du diplôme le plus élevé atteint |
| Recherche du numéro de sécurité sociale | Vérification de la validité du numéro de sécurité sociale (USA) fourni par les employés |
| Vérification du casier judiciaire | Une vérification du casier judiciaire de sept (7) ans pour les infractions et délits au niveau de l’état, du comté et au niveau local et au niveau fédéral |
| Liste du Bureau du contrôle des avoirs étrangers (OFAC) | Validation par rapport à la liste du Département du Trésor des groupes avec lesquels les ressortissants américains ne sont pas autorisés à effectuer des transactions commerciales ou financières |
| Liste du Bureau de l’industrie et de la sécurité (BIS) | Validation auprès du Ministère du commerce de la liste des personnes et des entités interdites de s’engager dans des activités d’exportation |
| Liste des personnes interdites du Bureau du contrôle du commerce militaire (DDTC) | Validation auprès du Département d’État de la liste des personnes et des entités interdites de s’engager dans des activités d’exportation en lien avec l’industrie militaire |
| Vérification d’empreintes digitales | Vérification d’empreintes digitales sur les bases de données du FBI |
| Filtrage des antécédents CJIS | Examen requis par l’État du casier judiciaire fédéral et d’état par l’autorité désignée par le CSA d’état dans chaque état participant au programme Microsoft CJIS IA |
| Département de la Défense IT-2 | Le personnel demandant des autorisations élevées aux données des clients ou un accès administratif privilégié aux capacités de service SRG L5 du DoD doit réussir l’adjudication DoD IT-2 sur la base d’une enquête OPM Tier 3 réussie. |
1. Applicable uniquement au personnel avec accès temporaire ou permanent au contenu client hébergé dans Copilot Studio pour le secteur public américain (GCC et GCC High)
Certification et accréditation
Les plans Copilot Studio pour le secteur public américain sont conçus pour prendre en charge l’accréditation Federal Risk and Authorization Management Program (FedRAMP) à un niveau d’impact élevé. Les documents FedRAMP peuvent être consultés par des clients au niveau fédéral qui doivent se conformer à FedRAMP. Les agences fédérales peuvent consulter ces artefacts pour soutenir leur examen visant à accorder une autorisation ATO (Authority to Operate).
Remarque
Copilot Studio est autorisé en tant que service dans Azure Government FedRAMP ATO.
Pour plus d’informations, notamment comment accéder aux documents FedRAMP, consultez le marché FedRAMP.
Les plans Copilot Studio pour le secteur public américain présentent des fonctionnalités pour prendre en charge les besoins de stratégie CJIS des clients pour les organismes judiciaires.
Copilot Studio pour le secteur américain et autres services Microsoft
Les plans Copilot Studio pour le secteur américain incluent plusieurs fonctionnalités qui permettent aux utilisateurs de se connecter aux autres offres de service d’entreprise Microsoft telles que Power Apps et Power Automate US Government.
Les services Copilot Studio pour le secteur américain s’exécutent dans les centres de données Microsoft d’une manière cohérente avec un modèle de déploiement de cloud public à plusieurs clients. Toutefois, les applications clientes sont limitées au client utilisateur web et ne sont pas disponibles dans Microsoft Teams. Les clients du secteur public sont responsables de leur applications clientes.
Les plans Copilot Studio pour le secteur public américain utilisent l’interface utilisateur de l’administrateur du client Office 365 pour l’administration et la facturation du client.
Le service Copilot Studio pour le secteur public américain maintient les ressources réelles, le flux d’informations et la gestion des données. Pour les besoins de l’héritage FedRAMP ATO, les plans Copilot Studio pour le secteur public américain s’appuient sur les ATO Azure (y compris Azure for Government) pour les services d’infrastructure et de plateforme, respectivement.
Si vous adoptez l’utilisation des services de fédération Active Directory (AD FS) 2.0 et configurez des stratégies visant à garantir que vos utilisateurs se connectent aux services via l’authentification unique, tout contenu client mis temporairement en cache sera situé aux États-Unis.
Copilot Studio pour le secteur public américain et services tiers
Les plans Copilot Studio pour le secteur public américain offrent la possibilité d’intégrer des applications tierces au service via le flux de cloud Power Automate utilisant des Connecteurs et des Compétences. Ces applications et services tiers peuvent impliquer le stockage, l’émission et le traitement des données client de votre organisation dans des systèmes tiers qui sont en dehors de l’infrastructure Copilot Studio pour le secteur américain. Par conséquent, ces applications et services tiers ne sont pas couverts par les engagements de conformité et de protection des données de Copilot Studio pour le secteur américain.
Important
Consultez les déclarations de confidentialité et de conformité fournies par les tiers lors de l’évaluation de l’utilisation appropriée de ces services pour votre organisation.
Considérations relatives à la gouvernance peut aider votre organisation à faire connaître les capacités disponibles sur plusieurs thèmes connexes, tels que l’architecture, la sécurité, les alertes et les actions, et la surveillance.
Copilot Studio pour le secteur américain et Services Azure
Les services Copilot Studio pour le service américain sont déployés vers Microsoft Azure Government. Microsoft Entra ID ne fait pas partie de la limite d’accréditation de Copilot Studio pour le secteur américain. Cependant, les services se basent sur le locataire Microsoft Entra ID d’un client pour les fonctions de locataire et d’identité du client. Vous pouvez notamment :
- Authentification
- Authentification fédérée
- Gestion des licences
Lorsqu’un utilisateur d’une organisation qui utilise ADFS tente d’accéder à au service Copilot Studio pour le secteur public américain, l’utilisateur est redirigé vers une page de connexion hébergée sur le serveur ADFS de l’organisation.
L’utilisateur fournit ses informations d’identification au serveur ADFS de son organisation. Le serveur ADFS de l’organisation tente d’authentifier les informations d’identification à l’aide de l’infrastructure Active Directory de l’organisation.
Si l’authentification réussit, le serveur ADFS de l’organisation émet un ticket SAML (Security Assertion Markup Language) qui contient des informations sur l’identité et le groupe d’appartenance de l’utilisateur.
Le serveur AD FS du client signe ce ticket à l’aide d’une moitié de clé asymétrique et il envoie le ticket à Microsoft Entra ID via TLS chiffré. Microsoft Entra ID valide la signature à l’aide de l’autre moitié de la clé asymétrique et autorise l’accès en fonction du ticket.
Les informations d’adhésion au groupe et d’identité de l’utilisateur restent chiffrées dans Microsoft Entra ID. En d’autres termes, seules des informations identifiables de l’utilisateur limitées sont enregistrées dans Microsoft Entra ID.
Vous trouverez des détails complets sur l’architecture de sécurité Microsoft Entra ID et l’implémentation du contrôle dans Azure System Security Plan (SSP).
Les services de gestion des comptes Microsoft Entra ID sont hébergés sur des serveurs physiques gérés par les services Microsoft Global Foundation Services (GFS). Un accès réseau à ces serveurs est contrôlé par des périphériques réseau gérés par GFS à l’aide de règles définies par Azure. Les utilisateurs n’interagissent pas directement avec Microsoft Entra ID.
URL de service Microsoft Copilot Studio pour le secteur public américain
Vous utilisez un ensemble différent d’URL pour accéder aux environnements Copilot Studio pour le secteur public américain, comme indiqué dans le tableau suivant. Le tableau comprend également les URL commerciales pour référence contextuelle.
| Locaux commerciaux | Secteur public américain (cloud de la communauté du secteur public, GCC) | Secteur public américain (cloud de la communauté du secteur public, GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| api.powerva.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
Pour les clients qui implémentent des restrictions réseau, assurez-vous que l’accès aux domaines suivants est disponible pour les points d’accès des utilisateurs :
Clients GCC
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
Reportez-vous aux plages d’adresses IP pour AzureCloud.usgovtexas et AzureCloud.usgovvirginia pour activer l’accès aux instances de Dataverse que les utilisateurs et administrateurs peuvent créer au sein de votre client.
Connectivité entre Copilot Studio pour le secteur public américain et les services Azure Cloud publics
Azure est réparti entre plusieurs clouds. Par défaut, les locataires sont autorisés à ouvrir des règles de pare-feu sur une instance spécifique du cloud, mais la mise en réseau entre les clouds est différente et requiert l’ouverture de règles de pare-feu spécifiques pour la communication entre les services. Si vous êtes un client Copilot Studio et que vous avez des instances SQL existantes dans le cloud public Azure auquel vous devez accéder, vous devez ouvrir des ports de pare-feu spécifiques dans l’espace d’adresses IP du cloud Azure Government pour les centres de données suivants :
Gouvernement des États-Unis - Virginie
Gouvernement des États-Unis - Texas
Reportez-vous au document Plages d’adresses IP et étiquettes de service Azure - Cloud de la communauté du secteur public, en vous concentrant sur AzureCloud.usgovtexas et AzureCloud.usgovvirginia. Notez également qu’il s’agit des plages d’adresses IP nécessaires pour que vos utilisateurs aient accès aux URL des services.
Limitations des fonctionnalités de Copilot Studio pour le secteur américain
Certaines des fonctionnalités disponibles dans la version commerciale de Copilot Studio ne sont pas disponibles pour les clients de Copilot Studio pour le secteur public américain. L’équipe Copilot Studio travaille activement pour rendre ces fonctionnalités disponibles aux clients US Government et mettra à jour cet article une fois ces fonctionnalités disponibles.
Remarque
Actuellement, la seule façon d’approuver un assistant pour Teams consiste à soumettre l’assistant à un administrateur pour approbation.
| Fonction ou fonctionnalité | Disponible dans GCC | Disponible dans GCC High |
|---|---|---|
| Expérience de l’application Copilot Studio Microsoft Teams | Non | Non |
| Canal Teams dans l’application web Copilot Studio | Oui | Non |
| Transfert aux agents | Oui | Non |
| Teams & M365 Copilot Channel | Non | Non |
| Déclencheurs / Agents autonomes | Non | Non |
| Orchestration générative | Oui | Non |
| Les assistants Copilot étendent M365 | Non | Non |
| Recherche améliorée par des réponses génératives | Non | Non |
| Action rapide | Oui | Non |
| Modèles d’aperçu pour la génération de réponses | Non | Non |
| Recherche d’IA Azure en tant que source de connaissances | Non | Non |
Demande de support
Vous avez un problème avec votre service ? Vous pouvez créer une demande de support pour que le problème soit résolu.
Informations complémentaires : Contacter le support technique