この記事は、Copilot Studio Government Community Cloud (GCC) プランの一部として Copilot Studio をデプロイしている米国政府のお客様を対象としています。 本書は、これらのプランに固有の機能の概要を提供します。
Government プランは、米国のコンプライアンスとセキュリティ標準を満たする必要がある組織の固有のニーズに合うように設計されています。
この記事と Copilot Studio の概要をお読みすることをお勧めします。
Copilot Studio US Government サービスの説明は、一般的な Copilot Studio サービスの説明のオーバーレイとして機能します。 2019 年 12 月以降、お客様が利用できる一般的な Copilot Studio オファリングと比較して、独自のコミットメントと違いを定義します。
米国政府向けCopilot Studioの計画と環境
Copilot Studio US Government プランのライセンスは、パブリック クラウドの場合と同じです。 ボリューム ライセンスとCloud Solution Provider購入チャネルを通じて利用できます。 詳細については、ユーザー ライセンスの割り当てとアクセスの管理 を参照してください。
Copilot Studio GCC 環境は、FedRAMP High を含むクラウド サービスの連邦要件に準拠しています。
Copilot Studio の機能に加えて、Copilot Studio US Government プランを使用する組織には、次の固有の機能があります。
- 組織の顧客コンテンツは、Copilot Studio のUS-Government 以外のプランの顧客コンテンツから物理的に分離されます。
- 組織の顧客コンテンツは、United States内に格納されます。
- 組織の顧客コンテンツへのアクセスは、スクリーンされた Microsoft 担当者に限定されます。
- Copilot Studio US Government は、米国公共部門のお客様が必要とするすべての認定と認定に準拠しています。
GCC High 環境
2022 年 2 月以降、対象となるお客様は、GCC High 環境に Copilot Studio US Government をデプロイすることを選択できます。
Microsoft は、DISA SRG IL4 (国防情報システム局セキュリティ要件ガイド影響レベル 4) コンプライアンス フレームワークに沿った要件を満たすように、プラットフォームおよび運用手順を設計しました。
このオプションを使用すると、顧客は顧客IDに対して政府向け Microsoft Entra ID を使用することが義務付けられます。 これに対し、GCC はパブリック Microsoft Entra IDを使用します。
米国国防総省の請負顧客ベースでは、米国国防総省との契約によって文書化および要求されているとおり、Microsoft はこれらの顧客が国際武器取引規則 (ITAR) コミットメントおよび防衛連邦調達規則補足 (DFARS) 取得規制を満たすことができるようにサービスを運用します。 DISA は、暫定運用機関を付与しています。
顧客の有効性
Copilot Studio US Government プランは、次の機能を利用できます。
- (1) 米国の連邦、州、地方、部族、および領土の政府機関、および
- (2) 政府の規制や要件の対象となるデータを処理し、Copilot Studio US Government プランの使用がこれらの要件を満たすのに適しているその他のエンティティ。適格性の検証の対象となります。
Microsoft による適格性の検証には、次のものが含まれます:
- ITAR 対象データの取扱い確認
- 連邦捜査局 (FBI) の刑事司法情報サービス (CJIS) ポリシーの対象となる法執行データ
- その他の政府が規制または管理するデータ
検証には、データの取り扱いに関する特定の要件を伴う政府機関の公的支援が必要となる場合があります。
Copilot Studio US Government の適格性に関する質問があるエンティティは、アカウント チームに問い合わせてください。 Microsoft は、Copilot Studio US Government プランの顧客契約を更新するときに、資格を再検証します。
顧客データと顧客コンテンツの違い
オンライン サービス利用条件 で定義されている顧客データとは、オンライン サービスを使用している顧客またはその代理によって Microsoft に提供されるすべてのデータを意味します。 これには、すべてのテキスト、サウンド、ビデオ、画像ファイル、ソフトウェアが含まれます。
顧客コンテンツとは、ユーザーが直接作成した顧客データの特定のサブセットを指します。 これには、たとえば Dataverse エンティティ (例: 連絡先情報) のエントリを通じてデータベースに格納されたコンテンツが含まれます。 一般的に、コンテンツは機密情報と見なされ、通常のサービス運用では暗号化せずにインターネット経由で送信されることはありません。
Copilot Studio が顧客データを保護する方法の詳細については、Microsoft Online Services セキュリティ センターを参照してください。
政府コミュニティ クラウドのデータの分離
Copilot Studio US Government プランの一部としてプロビジョニングされた場合、Copilot Studio サービスは国立標準技術研究所 (NIST) に従って提供されます。
Copilot Studio US Government サービスは、アプリケーション 層での顧客コンテンツの論理的な分離に加えて、顧客コンテンツの物理的分離のセカンダリ レイヤーを組織に提供します。 この分離は、商用Copilot Studio のお客様に使用されるインフラストラクチャとは別のインフラストラクチャを使用して実現されます。 この種類の使用には、Azureの Government Cloud でのAzure サービスの使用が含まれます。 詳細については、Azure Government を参照してください。
米国内にある顧客コンテンツ
Copilot Studio US Government サービスは、United Statesに物理的に配置されたデータセンターで実行されます。 お客様のコンテンツは、米国にのみ物理的に配置されたデータセンターに保存されます。
管理者による制限付きデータ アクセス
Microsoft 管理者による Copilot Studio US Government の顧客コンテンツへのアクセスは、米国市民の担当者に制限されます。 これらの担当者は関連する政府の基準に従ってバックグラウンド調査を実施します。
Copilot Studio サポートおよびサービス エンジニアリング スタッフは、Copilot Studio US Government サービスでホストされている顧客コンテンツに永続的にアクセスすることはできません。 顧客コンテンツにアクセスできる一時的なアクセス許可に昇格を要求するスタッフは、最初に次の身辺調査に合格する必要があります。
| Microsoft の人事審査と身辺調査 1 | プロパティ |
|---|---|
| 米国市民権 | 米国市民権の検証 |
| 職歴の確認 | (7) 年間の雇用歴の検証 |
| 学歴の検証 | 達成した最高学位の検証 |
| 社会保障番号 (SSN) の照合 | 職員が提示した SSN が有効であることの確認 |
| 犯罪歴の確認 | 州、郡、地方および連邦レベルでの、重罪と微罪に対する 7 年間の犯罪歴の確認 |
| 外国資産管理局オフィスのリスト (OFAC) | 米国人が貿易取引や金融取引に関与することを禁じられているグループの財務省のリストの確認 |
| 産業安全保障局のリスト (BIS) | 輸出活動の従事を禁止された個人と団体の、商務省リストに対する検証 |
| 国防総省貿易管理部の規制対象者リスト (DDTC) | 防衛産業に関する輸出活動の従事を禁止された個人と団体の、国務省リストに対する検証 |
| 指紋確認 | FBI データベースに対する指紋の身辺調査 |
| CJIS 身辺調査 | 州 CSA による連邦および州の犯罪歴の州判決による審査が、Microsoft CJIS IA プログラムにサインアップした各州の権限を任命しました |
| 国防総省 IT-2 | 顧客データへ昇格されたアクセス許可または DoD SRG L5 サービス容量への特権管理アクセスを要求するスタッフは、OPM Tier 3 調査の成功に基づいて、DoD IT-2 裁定に合格する必要があります。 |
1. Copilot Studio US Government (GCC および GCC High) でホストされている顧客コンテンツへの一時的または永続的なアクセス権を持つ担当者にのみ適用されます
認定資格と認証評価
Copilot Studio US Government プランは、影響度の高いレベルで連邦リスクおよび承認管理プログラム (FedRAMP) 認定をサポートするように設計されています。 FedRAMP のアーティファクトは FedRAMP に準拠する必要がある政府顧客による確認のために使用できます。 連邦政府機関は、Authority to Operate (ATO) を付与するための確認の裏付けとして、これらの成果物を調査できます。
注意
Copilot Studio は、Azure Government FedRAMP ATO 内のサービスとして承認されています。
FedRAMP ドキュメントの利用方法などの詳細は FedRAMP マーケットプレイス をご確認ください。
Copilot Studio US Government プランには、法執行機関に対するお客様の CJIS ポリシー要件をサポートするように設計された機能があります。
Copilot Studio US Government およびその他の Microsoft サービス
Copilot Studio US Government プランには、Power Appsや米国政府Power Automateなどの他の Microsoft エンタープライズ サービス オファリングにユーザーが接続して統合できるいくつかの機能が含まれています。
Copilot Studio US Government サービスは、マルチテナントパブリック クラウド デプロイ モデルと一致する方法で Microsoft データセンター内で実行されます。 ただし、クライアント アプリケーションは Web ユーザー クライアントに限定されており、Microsoft Teamsでは使用できません。 政府機関の顧客がクライアント アプリケーションの管理を担当します。
Copilot Studio US Government プランでは、顧客の管理と課金にOffice 365顧客管理者 UI を使用します。
Copilot Studio US Government サービスは、実際のリソース、情報フロー、およびデータ管理を維持します。 FedRAMP ATO の継承を目的として、Copilot Studio US Government プランでは、インフラストラクチャ サービスとプラットフォーム サービスにそれぞれ Azure (政府機関向けAzureを含む) ATO が使用されます。
Active Directory Federation Services (ADFS) 2.0 の使用を採用し、ユーザーがシングル サインオンを使用してサービスに確実に接続できるようにポリシーを設定した場合、一時的にキャッシュされた顧客コンテンツはUnited Statesに含まれます。
Copilot Studio US Government およびサード パーティのサービス
Copilot Studio US Government プランでは、Connectors と Skills を使用する Power Automate Cloud Flow を使用して、サードパーティのアプリケーションをサービスに統合する機能が提供されます。 これらのサード パーティ製のアプリケーションとサービスには、Copilot Studio US Government インフラストラクチャの外部にあるサード パーティ のシステムで、組織の顧客データの格納、送信、および処理が含まれる場合があります。 その結果、これらのサード パーティ製のアプリケーションとサービスは、Copilot Studio US Government のコンプライアンスとデータ保護のコミットメントの対象になりません。
重要
自分の組織に対するこれらのサービスの適切な使用を評価する場合は、サード パーティによって提供されるプライバシーとコンプライアンスのステートメントを確認してください。
ガバナンスに関する考慮事項 では、アーキテクチャ、セキュリティ、アラートとアクション、監視など、関連するいくつかのテーマで利用できる機能について組織が認識するのに役立ちます。
Copilot Studio US Government および Azure サービス
Copilot Studio US Government サービスは、Microsoft Azure Governmentに展開されます。 Microsoft Entra IDは、Copilot Studio US Government 認定境界の一部ではありません。 ただし、サービスは、顧客の Microsoft Entra ID テナントに、顧客のテナント機能とID機能を依存しています。 これには次のものが含まれます。
- 認証
- フェデレーション認証
- ライセンス
ADFS を使用している組織のユーザーが Copilot Studio US Government サービスにアクセスしようとすると、そのユーザーは組織の ADFS サーバーでホストされているログイン ページにリダイレクトされます。
ユーザーは、その組織の ADFS サーバーに自分の資格情報を提供します。 組織の ADFS サーバーは、組織のActive Directory インフラストラクチャを使用して資格情報の認証を試みます。
認証が成功した場合は、組織の ADFS サーバーによって、ユーザーの ID とグループのメンバーシップに関する情報を含む SAML (Security Assertion Markup Language) チケットが発行されます。
顧客の ADFS サーバーは、非対称キー ペアの半分を使用してこのチケットに署名し、暗号化された TLS (トランスポート層セキュリティ) を介してチケットをMicrosoft Entra IDに送信します。 Microsoft Entra IDは、非対称キー ペアの残りの半分を使用して署名を検証し、チケットに基づいてアクセス権を付与します。
ユーザーの ID とグループ メンバーシップの情報は、Microsoft Entra IDで暗号化されたままになります。 つまり、ユーザーを特定できる限られた情報のみがMicrosoft Entra IDに格納されます。
Microsoft Entra IDセキュリティ アーキテクチャと制御の実装の詳細については、Azure システム セキュリティ プラン (SSP) を参照してください。
Microsoft Entra ID アカウント管理サービスは、Microsoft Global Foundation Services (GFS) によって管理される物理サーバーでホストされます。 これらのサーバーへのネットワーク アクセスは、Azureによって設定された規則を使用して、GFS で管理されるネットワーク デバイスによって制御されます。 ユーザーはMicrosoft Entra IDと直接対話しません。
Microsoft Copilot Studio 米国政府機関のサービス URL
アメリカ政府の Copilot Studio 環境にアクセスするには、次の表に示されている異なる URL セットを使用します。 この表には、コンテキスト参照用の商用 URL も含まれています。
| 商用 | 米国政府 (GCC) | 米国政府 (GCC High) |
|---|---|---|
| copilotstudio.microsoft.com | gcc.powerva.microsoft.us | high.powerva.microsoft.us |
| flow.microsoft.com | gov.flow.microsoft.us | high.flow.microsoft.us |
| make.powerapps.com | make.gov.powerapps.us | make.high.powerapps.us |
| flow.microsoft.com/connectors | gov.flow.microsoft.us/connectors | high.flow.microsoft.us/connectors |
| admin.powerplatform.microsoft.com | gcc.admin.powerplatform.microsoft.us | high.admin.powerplatform.microsoft.us |
| api.powerva.microsoft.com | gcc.api.powerva.microsoft.us | high.api.powerva.microsoft.us |
ネットワーク制限を行っている顧客については、ユーザーのアクセスポイントから以下のドメインへのアクセスが可能であることを確認してください。
GCC のお客様
- .azure.net
- .azure.us
- .azure-apihub.us
- .azureedge.net
- .crm9.dynamics.com
- .microsoft.com
- .microsoft.us
- .microsoftonline.com
- .usgovcloudapi.net
- .windows.net
ユーザーおよび管理者がお客様のテナント内に作成できる Dataverse インスタンスにアクセスできるようにするには、AzureCloud.usgovtexas および AzureCloud.usgovvirginia に対する IP 範囲を参照してください。
Copilot Studio US Government とパブリック Azure クラウド サービス間の接続
Azureは複数のクラウドに分散されます。 既定では、テナントでクラウド固有のインスタンスに対するファイアウォール規則を開くことが許可されていますが、クラウド間ネットワークの場合は異なり、サービス間で通信するために特定のファイアウォール規則を開く必要があります。 Copilot Studio のお客様で、アクセスする必要があるパブリック クラウドAzure既存の SQL インスタンスがある場合は、次のデータセンターの Azure Government クラウド IP 空間に対して SQL の特定のファイアウォール ポートを開く必要があります。
USGov バージニア
USGov テキサス
Azure IP 範囲とサービス タグ - US Government Cloud ドキュメントを参照して、AzureCloud.usgovtexas、および AzureCloud.usgovvirginia に注目してください。 さらに、ユーザーがサービス URL にアクセスするのに必要な IP 範囲である点にも注意してください。
Copilot Studio US Government の機能制限事項
Copilot Studio の商用バージョンで使用できる機能の一部は、Copilot Studio US Government のお客様には利用できません。 Copilot Studio チームは、これらの機能を米国政府のお客様が利用できるように積極的に取り組んでおり、これらの機能が利用可能になったときにこの記事を更新します。
注意
現在、Teams のエージェントを承認する唯一の方法は、管理者にエージェントを提出して承認を得ることです。
| 機能と特性 | GCC で使用可能 | GCC High で使用可能 |
|---|---|---|
| Copilot Studio Microsoft Teams アプリ エクスペリエンス | いいえ | いいえ |
| Copilot Studio Web アプリの Teams チャネル | イエス | いいえ |
| エージェントに転送 | イエス | いいえ |
| いいえ | いいえ | |
| トリガー/自律エージェント | いいえ | いいえ |
| 生成オーケストレーション | イエス | イエス |
| Copilot エージェントは M365を拡張します | いいえ | いいえ |
| 生成回答による高度な検索機能 | いいえ | いいえ |
| プロンプト アクション | イエス | いいえ |
| 回答生成のためのモデルのプレビュー | いいえ | いいえ |
| Azure AI Searchをナレッジ ソースとして | いいえ | いいえ |
サポートの要求
サービスに関する問題がありますか。 問題を解決するためにサポートの要請を作成できます。