Comparación de Azure Information Protection y AD RMS

Nota

¿Buscas Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

Azure Information Protection cliente de etiquetado unificado está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

Si conoce o ha implementado con anterioridad Active Directory Rights Management Services (AD RMS), es posible que se pregunte cuáles son las diferencias de Azure Information Protection en términos de funcionalidad y requisitos como solución de protección de la información.

Algunas de las principales diferencias de Azure Information Protection incluyen:

Resta Descripción
No se necesita ninguna infraestructura de servidor Azure Information Protection no requiere los servidores adicionales y los certificados PKI que necesita AD RMS, ya que Microsoft Azure se encarga de esos requisitos.

En consecuencia, esta solución en la nube es más rápida de implementar y fácil de mantener.
Autenticación basada en la nube Azure Information Protection usa Azure AD para la autenticación, tanto para los usuarios internos como para los usuarios de otras organizaciones.

Esto significa que los usuarios se pueden autenticar incluso cuando no están conectados a la red interna y es más fácil compartir contenido protegido con usuarios de otras organizaciones.

Muchas organizaciones ya tienen cuentas de usuario en Azure AD porque ejecutan servicios de Azure o tienen Microsoft 365. Pero si no es así, RMS para usuarios permite a los usuarios crear una cuenta gratuita, o puede utilizarse una cuenta Microsoft para las aplicaciones que admiten la autenticación de Azure Information Protection.

En comparación, para compartir contenido protegido de AD RMS con otra organización, debe configurar confianzas explícitas con cada organización.
Compatibilidad integrada con dispositivos móviles No se necesitan cambios de implementación para que Azure Information Protection admita dispositivos móviles y equipos Mac.

Para admitir estos dispositivos con AD RMS, debe instalar la extensión de dispositivo móvil, configurar AD FS para la federación y crear registros adicionales para el servicio DNS público.
Plantillas predeterminadas Azure Information Protection crea automáticamente plantillas predeterminadas que restringen el acceso del contenido a su propia organización. Estas plantillas facilitan la protección de datos confidenciales inmediatamente.

No hay plantillas predeterminadas para AD RMS.
Plantillas de departamento También se conoce como plantillas con ámbito. Azure Information Protection admite plantillas de departamento para las plantillas adicionales que cree.

Esta configuración permite especificar un subconjunto de usuarios para que vean plantillas específicas en sus aplicaciones cliente. La limitación del número de plantillas que ven los usuarios les facilita la selección de la directiva correcta definida para los diferentes grupos de usuarios.

AD RMS no es compatible con las plantillas de departamento.
Seguimiento y revocación de documentos Azure Information Protection solo admite estas características con Rights Management Service.
Clasificación y etiquetado Azure Information Protection admite etiquetas que aplican la clasificación y, opcionalmente, la protección.

Use el cliente de AIP para integrar la clasificación y el etiquetado con aplicaciones de Office, Explorador de archivos, PowerShell y un analizador para almacenes de datos locales.

AD RMS no admite estas funcionalidades de clasificación y etiquetado.

Además, dado que Azure Information Protection es un servicio en la nube, puede entregar correcciones y características nuevas más rápidamente que una solución local basada en servidor. No hay características nuevas planeadas para AD RMS en Windows Server.

Comparación detallada entre AIP y AD RMS

Para obtener más información, use la tabla siguiente para una comparación en paralelo.

Si tiene preguntas acerca de una comparación específica de la seguridad, consulte la sección Controles criptográficos para firmas y cifrado en este artículo.

Resta Azure Information Protection AD RMS
Information Rights Management (IRM) Admite las funcionalidades de IRM tanto en los servicios en línea de Microsoft como en los productos de servidor de Microsoft locales. Admite funcionalidades de IRM para productos de servidor de Microsoft locales y Exchange Online.
Colaboración segura Permite colaborar automáticamente de forma segura en los documentos con cualquier organización que también use Azure AD para la autenticación. Colaborar de forma segura en documentos de fuera de la organización requiere la definición explícita de confianzas de autenticación en una relación directa de punto a punto entre dos organizaciones.

Debe configurar dominios de usuario de confianza (TUD) o confianzas federadas que cree mediante Servicios de federación de Active Directory (AD FS).
Correos electrónicos protegidos Envíe un correo electrónico protegido (opcionalmente, con datos adjuntos a documentos de Office que estén protegidos automáticamente) a los usuarios cuando no exista ninguna relación de confianza de autenticación.

Este escenario se consigue mediante el uso de la federación con proveedores de redes sociales o un código de acceso de un solo uso y un explorador web para la visualización.
No admite el envío de correo electrónico protegido cuando no existe ninguna relación de confianza de autenticación.
Compatibilidad con clientes Admite el cliente de etiquetado unificado de AIP. Admite el cliente de etiquetado unificado de AIP solo para su consumo y requiere que instale la extensión de dispositivo móvil de Active Directory Rights Management Services.
Multi-Factor Authentication (MFA) Admite MFA para equipos y dispositivos móviles.

Para más información, vea Multi-Factor Authentication (MFA) y Azure Information Protection.
Admite la autenticación de tarjeta inteligente si IIS está configurado para solicitar certificados.
Modo criptográfico Admite el modo criptográfico 2 de forma predeterminada para proporcionar un nivel de seguridad recomendado para las longitudes de clave y los algoritmos de cifrado. Admite el modo criptográfico 1 de forma predeterminada y requiere una configuración adicional para admitir el modo criptográfico 2 para un nivel de seguridad recomendado.

Para obtener más información, vea AD RMS Cryptographic Modes (Modos criptográficos de AD RMS).
Licencias Requiere una licencia de Azure Information Protection o una licencia de Azure Rights Management con Microsoft 365 para proteger el contenido.

No se requiere ninguna licencia para consumir contenido protegido por AIP (incluye usuarios de otra organización).
Requiere una licencia de RMS para proteger el contenido y consumir contenido protegido por AD RMS.

Para obtener más información sobre las licencias, consulte Licencias de acceso de cliente y Licencias de administración para obtener información general, pero póngase en contacto con su asociado de Microsoft o representante de Microsoft para obtener información específica.

Controles criptográficos para firmas y cifrado

De manera predeterminada, Azure Information Protection usa RSA 2048 para toda la criptografía de claves públicas y SHA 256 para operaciones de firma. En comparación, AD RMS admite RSA 1024 y RSA 2048, y SHA 1 o SHA 256 para operaciones de firma.

Tanto Azure Information Protection como AD RMS usan AES 128 para el cifrado simétrico.

Azure Information Protection cumple con la normativa FIPS 140-2 cuando el tamaño de la clave de inquilino es de 2048 bits, el valor predeterminado cuando está activo el servicio Azure Rights Management.

Para más información sobre los controles criptográficos, consulte Controles criptográficos usados por Azure RMS: Longitudes de clave y algoritmos.

Pasos siguientes

Para conocer los requisitos más detallados para usar Azure Information Protection, como la compatibilidad con dispositivos y las versiones mínimas, consulte Requisitos de Azure Information Protection.

Si desea migrar de AD RMS a Azure Information Protection, consulte Migración de AD RMS a Azure Information Protection.

Introducción a la extensión de dispositivos móviles de Active Directory Rights Management Services.

Es posible que le interesen las preguntas más frecuentes siguientes: