この記事は、Copilot Studio 政府機関コミュニティ クラウド (GCC) プランの一環として Copilot Studio を展開する米国政府機関のお客様を対象としています。 本書は、これらのプランに固有の機能の概要を提供します。
Government プランは、米国のコンプライアンスとセキュリティ標準を満たする必要がある組織の固有のニーズに合うように設計されています。
こちら記事と Copilot Studio の概要 をお読みになることをお勧めします。
Copilot Studio US Government サービスの説明は、一般的な Copilot Studio サービスの説明のオーバーレイとして機能します。 ここでは、2019 年 12 月からお客様に提供されている一般的な Copilot Studio のサービスと比較して、ユニークなコミットメントと差異が定義されます。
Copilot Studio US Government プランと環境について
Copilot Studio US Government プランのライセンスは、パブリック クラウドの場合と同じです。 これは、ボリューム ライセンスおよびクラウド ソリューション プロバイダーの購入チャネルを通じて取得できます。 詳細については、ユーザー ライセンスの割り当てとアクセスの管理 を参照してください。
Copilot Studio GCC 環境は、FedRAMP High などの、クラウド サービス向けの連邦の要件に準拠しています。
Copilot Studio の機能に加えて、Copilot Studio US Government プランを使う組織は次の固有の機能を活用できます。
- 組織の顧客コンテンツは、Copilot Studio 向け US-Government 以外のプランの顧客コンテンツから物理的に分離されています。
- 組織の顧客コンテンツは、米国内に保存されます。
- 組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
- Copilot Studio US Government は、米国公共部門の顧客が要求するすべての認証や認定に準拠します。
GCC High 環境
2022 年 2 月以降、対象となる顧客は Copilot Studio US Goverment を GCC High 環境に展開することを選択できるようになりました。
Microsoft は、DISA SRG IL4 (国防情報システム局セキュリティ要件ガイド影響レベル 4) コンプライアンス フレームワークに沿った要件を満たすように、プラットフォームおよび運用手順を設計しました。
このオプションは、顧客の ID 管理に政府機関向け Microsoft Entra ID の使用を有効化し、必須とします。 対照的に、GCC は一般向け Microsoft Entra ID を使用します。
米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらの顧客が国際武器取引規則 (ITAR) コミットメントおよび防衛連邦調達規則補足 (DFARS) 取得規制を満たすことができるようにサービスを運用します。 DISA は、暫定運用機関を付与しています。
顧客の有効性
Copilot Studio US Government プランは、次の場合に利用できます:
- (1) 米国の連邦、州、地方、部族、および領土の政府機関、および
- (2) 政府の規制や要件の対象となるデータを扱うその他のエンティティで、Copilot Studio US Government プランの利用がこれらの要件を満たすために適切である場合、適格性の検証を条件とします。
Microsoft による適格性の検証には、次のものが含まれます:
- ITAR 対象データの取扱い確認
- 連邦捜査局 (FBI) の刑事司法情報サービス (CJIS) ポリシーの対象となる法執行データ
- その他の政府が規制または管理するデータ
検証には、データの取り扱いに関する特定の要件を伴う政府機関の公的支援が必要となる場合があります。
Copilot Studio US Government の有効性について質問のあるエンティティは、アカウント チームに相談する必要があります。 Microsoft は、Copilot Studio US Government プランの顧客契約の更新時に、適格性を再検証します。
顧客データと顧客コンテンツの違い
オンライン サービス利用条件 で定義されている顧客データとは、オンライン サービスを使用している顧客またはその代理によって Microsoft に提供されるすべてのデータを意味します。 これには、すべてのテキスト、サウンド、ビデオ、画像ファイル、ソフトウェアが含まれます。
顧客コンテンツとは、ユーザーが直接作成した顧客データの特定のサブセットを指します。 これには、たとえば Dataverse エンティティ (例: 連絡先情報) のエントリを通じてデータベースに格納されたコンテンツが含まれます。 一般的に、コンテンツは機密情報と見なされ、通常のサービス運用では暗号化せずにインターネット経由で送信されることはありません。
Copilot Studio による顧客データを保護する方法の詳細については、Microsoft Online Services のセキュリティ センター を参照してください。
政府コミュニティ クラウドのデータの分離
Copilot Studio US Government プランの一部として準備されている場合は、Copilot Studio サービスは国立標準技術研究所 (NIST) に基づいて使用されます。
アプリケーション層における顧客コンテンツの論理的分離に加え、Copilot Studio US Government サービスは、組織に対して顧客コンテンツの物理的分離という二次的な分離層を提供します。 この分離は、商用 Copilot Studio の顧客向けインフラとは別のインフラを使用することで実現されています。 このタイプの使用には Azure の government クラウドのAzure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客の内容
Copilot Studio US Government サービスは、物理的に米国に所在するデータセンターで稼働しています。 顧客コンテンツは、物理的に米国にのみあるデータセンターに格納されます。
管理者による制限付きデータ アクセス
Copilot Studio US Government の顧客コンテンツへの Microsoft 管理者によるアクセスは、米国市民のユーザーに制限されます。 これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Copilot Studio のサポートおよびサービスのエンジニア スタッフは、Copilot Studio US Government サービスでホストされた顧客コンテンツに対して常時アクセス権を持ちません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
| Microsoft の人事審査と身辺調査 1 | プロパティ |
|---|---|
| 米国市民権 | 米国市民権の検証 |
| 職歴の確認 | (7) 年間の雇用歴の検証 |
| 学歴の検証 | 達成した最高学位の検証 |
| 社会保障番号 (SSN) の照合 | 職員が提示した SSN が有効であることの確認 |
| 犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
| 外国資産管理局オフィスのリスト (OFAC) | 米国人が貿易取引や金融取引に関与することを禁じられているグループの財務省のリストの確認 |
| 産業安全保障局のリスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
| 国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
| 指紋確認 | FBI データベースに対する指紋の身辺調査 |
| CJIS 身辺調査 | 州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました |
| 国防総省 IT-2 | 顧客データへ昇格されたアクセス許可または DoD SRG L5 サービス容量への特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて、DoD IT-2 裁定に合格する必要があります。 |
1.Copilot Studio 米国政府期間 (GCC と GCC High) でホストされている顧客のコンテンツに一時的または永続的アクセス権を持つ人員にのみ適用されます
認定資格と認証評価
Copilot Studio US Government プランは高い影響レベルで、連邦リスクと認可管理プログラム (FedRAMP) の認証評価をサポートするように設計されています。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) を付与するための確認の裏付けとして、これらの成果物を調査できます。
注意
Copilot Studio は Azure Government FedRAMP ATO のサービスとして承認されています。
FedRAMP ドキュメントの利用方法などの詳細は FedRAMP マーケットプレイス をご確認ください。
Copilot Studio US Government プランには、法執行機関のための顧客の CJIS ポリシーの要件をサポートするように設計された機能があります。
Copilot Studio US Government および他の Microsoft サービス
Copilot Studio US Government プランには、ユーザーが他の Microsoft エンタープライズ サービス (Power Apps、Power Automate US Government など) と接続したり統合したりできるようになる機能がいくつか含まれています。
Copilot Studio 米国政府向けサービスは、マルチテナントのパブリック クラウド展開モデルに準拠した方法で、マイクロソフトのデータセンター内で実行されます。 ただし、クライアント アプリケーションは Web ユーザー クライアントに限定されており、Microsoft Teams では使用できません。 政府機関の顧客がクライアント アプリケーションの管理を担当します。
Copilot Studio US Government プランは、顧客管理と請求に Office 365 顧客管理 UI を使用します。
Copilot Studio US Government サービスは、実際のリソース、情報フロー、データ管理を維持します。 FedRAMP ATO 継承の目的には、Copilot Studio US Government プランはインフラストラクチャとプラットフォーム サービスに、それぞれ Azure (Azure for Government を含む) ATO を活用します。
Active Directory フェデレーション サービス (ADFS) 2.0 の使用を採用し、ポリシーを設定してユーザーがシングル サインオンを使ってサービスに接続できるようにする場合は、一時的にキャッシュされている顧客コンテンツはすべて米国内に配置されます。
Copilot Studio US Government とサード パーティ サービス
Copilot Studio US Government プランには、コネクタとスキルを使用して Power Automate Cloud Flow 経由でサードパーティー アプリケーションをサービスに統合する機能が備わっています。 これらのサードパーティ製アプリケーションおよびサービスは、組織の顧客データを、Copilot Studio US Government インフラストラクチャ外のサードパーティ システム上で保存、送信、処理がされる可能性があります。 その結果、これらのサードパーティ製アプリケーションとサービスは、Copilot Studio の米国政府向けコンプライアンスおよびデータ保護に関する取り組みの対象外となります。
重要
自分の組織に対するこれらのサービスの適切な使用を評価する場合は、サード パーティによって提供されるプライバシーとコンプライアンスのステートメントを確認してください。
ガバナンスに関する考慮事項 では、アーキテクチャ、セキュリティ、アラートとアクション、監視など、関連するいくつかのテーマで利用できる機能について組織が認識するのに役立ちます。
Copilot Studio US Government と Azure サービス
Copilot Studio US Government サービスは、Microsoft Azure Government に展開されます。 Microsoft Entra ID は、Copilot Studio US Government の認定された境界の一部ではありません。 ただし、このサービスは、顧客テナントと ID の機能に関しては顧客の Microsoft Entra ID のテナントに依存します。 これには次のものが含まれます。
- 認証
- フェデレーション認証
- ライセンス
ADFS を使用している組織のユーザーが Copilot Studio US Government サービスにアクセスしようとすると、そのユーザーは組織の ADFS サーバー上でホストされているログイン ページにリダイレクトされます。
ユーザーは、その組織の ADFS サーバーに自分の資格情報を提供します。 組織の ADFS サーバーでは、組織の Active Directory インフラストラクチャを使用してその資格情報の認証を試みます。
認証が成功した場合は、組織の ADFS サーバーによって、ユーザーの ID とグループのメンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットが発行されます。
顧客の ADFS サーバーは、非対称的なキーの組の半分を使用してこのチケットに署名し、暗号化された Transport Layer Security (TLS) を介して Microsoft Entra ID にチケットを送信します。 Microsoft Entra ID は非対称的なキーの組の残りの半分を使用して署名を検証し、チケットに基づいてアクセスを許可します。
ユーザーの ID およびグループ メンバーシップ情報は、Microsoft Entra ID 内で暗号化されたままになります。 つまり、ユーザーを特定できる限られた情報のみが Microsoft Entra ID に格納されます。
Microsoft Entra ID のセキュリティ アーキテクチャと制御実装の詳細については、Azure システム セキュリティ計画 (SSP) を参照してください。
Microsoft Entra ID アカウント管理サービスは Microsoft Global Foundation Services (GFS) で管理されている物理的なサーバー上でホストされます。 これらのサーバーへのネットワーク アクセスは、Azure によって設定されたルールを使用する GFS で管理されたネットワーク デバイスによって制御されます。 ユーザーは Microsoft Entra ID と直接やり取りしません。
Microsoft Copilot Studio US Government サービスの URL
次の表に示すように、Copilot Studio US Government 環境にアクセスするには、異なる URL のセットを使用します。 この表には、コンテキスト参照用の商用 URL も含まれています。
| 商用 | 米国政府 (GCC) | US Government (GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| api.powerva.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
ネットワーク制限を行っている顧客については、ユーザーのアクセスポイントから以下のドメインへのアクセスが可能であることを確認してください。
GCC のお客様
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
ユーザーおよび管理者がお客様のテナント内に作成できる Dataverse インスタンスにアクセスできるようにするには、AzureCloud.usgovtexas および AzureCloud.usgovvirginia に対する IP 範囲を参照してください。
Copilot Studio US Government と公開してある Public Azure Cloud Services 間の接続
Azure は複数のクラウド間で配布されます。 既定では、テナントでクラウド固有のインスタンスに対するファイアウォール規則を開くことが許可されていますが、クラウド間ネットワークの場合は異なり、サービス間で通信するために特定のファイアウォール規則を開く必要があります。 Copilot Studio のユーザーであり、アクセスする必要がある Azure パブリック クラウドに既存の SQL インスタンスがある場合、次のデータセンターのために、Azure Government Cloud IP 空間に対する特定のファイアウォール ポートを SQL で開く必要があります。
USGov バージニア
USGov テキサス
AzureCloud.usgovtexas と AzureCloud.usgovvirginia に注目しながら、Azure IP 範囲とサービス タグ - US Government クラウド のドキュメントを参照してください。 さらに、ユーザーがサービス URL にアクセスするのに必要な IP 範囲である点にも注意してください。
Copilot Studio US Government の機能制限
Copilot Studioの商業バージョンで使用可能な機能の一部は、Copilot Studio US Government のユーザーは使用できません。 Copilot Studio チームは、US Government の顧客がこの機能を使用できるように積極的に取り組んでおり、この機能が使用可能になった時点でこの記事を更新する予定です。
注意
現在、Teams のエージェントを承認する唯一の方法は、管理者にエージェントを提出して承認を得ることです。
| 機能と特性 | GCC で使用可能 | GCC High で使用可能 |
|---|---|---|
| Copilot Studio Microsoft Teams アプリのエクスペリエンス | いいえ | いいえ |
| Copilot Studio Web アプリの Teams チャネル | イエス | いいえ |
| エージェントに転送 | イエス | いいえ |
| Teams & M365 Copilot チャネル | いいえ | いいえ |
| トリガー/自律エージェント | いいえ | いいえ |
| 生成オーケストレーション | イエス | いいえ |
| CopilotエージェントがM365を拡張する | いいえ | いいえ |
| 生成回答による高度な検索機能 | いいえ | いいえ |
| プロンプト アクション | イエス | いいえ |
| 回答生成のためのモデルのプレビュー | いいえ | いいえ |
| ナレッジ ソースとしての Azure AI Search | いいえ | いいえ |
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。