Partager via


Comparer Azure Information Protection et AD RMS

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le client Protection des données Microsoft Purview (sans complément) est généralement disponible.

Si vous connaissez ou avez déjà déployé services AD RMS (Active Directory Rights Management Services) (AD RMS), vous vous demandez peut-être comment Azure Information Protection compare les fonctionnalités et les exigences en tant que solution de protection des données.

Voici quelques-unes des principales différences pour Azure Information Protection :

Différence Description
Aucune infrastructure serveur requise Azure Information Protection ne nécessite pas les serveurs supplémentaires et les certificats PKI dont AD RMS a besoin, car Microsoft Azure s’occupe de ces exigences pour vous.

Cela rend cette solution cloud plus rapide à déployer et à gérer plus facilement.
Authentification informatique Azure Information Protection utilise l’ID Microsoft Entra pour l’authentification : pour les utilisateurs internes et les utilisateurs d’autres organisations.

Cela signifie que vos utilisateurs peuvent être authentifiés même lorsqu’ils ne sont pas connectés à votre réseau interne et qu’il est plus facile de partager du contenu protégé avec des utilisateurs d’autres organisations.

De nombreuses organisations disposent déjà de comptes d’utilisateur dans Microsoft Entra ID, car elles exécutent des services Azure ou disposent de Microsoft 365. Mais si ce n’est pas le cas, RMS pour les individus permet aux utilisateurs de créer un compte gratuit, ou un compte Microsoft peut être utilisé pour les applications qui prennent en charge cette authentification pour Azure Information Protection.

En comparaison, pour partager du contenu protégé AD RMS avec une autre organisation, vous devez configurer des approbations explicites avec chaque organisation.
Support intégré pour les appareils mobiles Aucune modification de déploiement n’est nécessaire pour Azure Information Protection pour prendre en charge les appareils mobiles et les ordinateurs Mac.

Pour prendre en charge ces appareils avec AD RMS, vous devez installer l’extension d’appareil mobile, configurer AD FS pour la fédération et créer des enregistrements supplémentaires pour votre service DNS public.
Modèles par défaut Azure Information Protection crée automatiquement des modèles par défaut qui limitent l’accès au contenu à votre propre organisation. Ces modèles facilitent la protection immédiate des données sensibles.

Il n’existe aucun modèle par défaut pour AD RMS.
Modèles de service Également appelé modèles délimités. Azure Information Protection prend en charge les modèles de service pour des modèles supplémentaires que vous créez.

Cette configuration vous permet de spécifier un sous-ensemble d’utilisateurs pour voir des modèles spécifiques dans leurs applications clientes. La limitation du nombre de modèles que les utilisateurs voient facilite la sélection de la stratégie appropriée que vous définissez pour différents groupes d’utilisateurs.

AD RMS ne prend pas en charge les modèles de service.
Suivi et révocation de documents Azure Information Protection prend uniquement en charge ces fonctionnalités avec le service Rights Management
Classification et étiquetage Les étiquettes appliquent une classification et elles appliquent ou suppriment éventuellement la protection.

Utilisez le client AIP pour intégrer la classification et l’étiquetage à des applications Office, Explorateur de fichiers, PowerShell et un scanneur pour les magasins de données locaux.

AD RMS ne prend pas en charge ces fonctionnalités de classification et d’étiquetage.

En outre, étant donné qu’Azure Information Protection est un service cloud, il peut fournir de nouvelles fonctionnalités et des correctifs plus rapidement qu’une solution basée sur un serveur local. Aucune nouvelle fonctionnalité n’est prévue pour AD RMS dans Windows Server.

Comparaison détaillée entre AIP et AD RMS

Pour plus d’informations, utilisez le tableau suivant pour une comparaison côte à côte.

Si vous avez des questions de comparaison spécifiques à la sécurité, consultez la section Contrôles de chiffrement pour la signature et le chiffrement dans cet article.

Différence Azure Information Protection AD RMS
Gestion des droits relatifs à l’information (IRM) Prend en charge les fonctionnalités IRM dans les services Microsoft Online et les produits serveurs Microsoft locaux. Prend en charge les fonctionnalités IRM pour les produits serveurs Microsoft locaux et Exchange Online.
Collaboration sécurisée Active automatiquement la collaboration sécurisée sur les documents avec n’importe quelle organisation qui utilise également l’ID Microsoft Entra pour l’authentification. La collaboration sécurisée sur les documents en dehors de l’organisation nécessite que les approbations d’authentification soient explicitement définies dans une relation point à point directe entre deux organisations.

Vous devez configurer des domaines utilisateur approuvés (TUD) ou des approbations fédérées que vous créez à l’aide de services de fédération Active Directory (AD FS) (AD FS).
Emails protégés Envoyez un email protégé (éventuellement, avec Bureau pièces jointes de document qui sont automatiquement protégées) aux utilisateurs lorsqu’aucune relation d’approbation d’authentification n’existe.

Ce scénario est rendu possible en utilisant la fédération avec des fournisseurs sociaux ou un code secret à usage unique et un navigateur web pour l’affichage.
Ne prend pas en charge l’envoi d’emails protégés lorsqu’aucune relation d’approbation d’authentification n’existe.
Prise en charge du client Prend en charge le client d’étiquetage unifié AIP. Prend en charge le client d’étiquetage unifié AIP pour consommation uniquement et nécessite l’installation de l’extension d’appareil mobile services AD RMS (Active Directory Rights Management Services).
Authentification multifacteur (MFA) Prise en charge de MFA pour les ordinateurs et les appareils mobiles.

Pour plus d’informations, consultez l’authentification multifacteur (MFA) et Azure Information Protection.
Prend en charge l’authentification intelligente carte si IIS est configuré pour demander des certificats.
Mode de chiffrement Prend en charge le mode de chiffrement 2 par défaut pour fournir un niveau de sécurité recommandé pour les longueurs de clé et les algorithmes de chiffrement. Prend en charge le mode de chiffrement 1 par défaut et nécessite une configuration supplémentaire pour prendre en charge le mode de chiffrement 2 pour un niveau de sécurité recommandé.

Pour plus d’informations, consultez Modes de chiffrement AD RMS.
Gestion des licences Nécessite une licence Azure Information Protection ou une licence Azure Rights Management avec Microsoft 365 pour protéger le contenu.

Aucune licence n’est requise pour consommer du contenu protégé par AIP (inclut les utilisateurs d’une autre organisation).
Nécessite une licence RMS pour protéger le contenu et consommer du contenu protégé par AD RMS.

Pour plus d’informations sur les licences, consultez Licences d’accès client et licences de gestion pour obtenir des informations générales, mais contactez votre partenaire Microsoft ou représentant Microsoft pour obtenir des informations spécifiques.

Contrôles de chiffrement pour la signature et le chiffrement

Azure Information Protection par défaut utilise RSA 2048 pour tous les chiffrements à clé publique et SHA 256 pour les opérations de signature. Par comparaison, AD RMS prend en charge RSA 1024 et RSA 2048 et SHA 1 ou SHA 256 pour les opérations de signature.

Azure Information Protection et AD RMS utilisent AES 128 pour le chiffrement symétrique.

Azure Information Protection est conforme à FIPS 140-2 lorsque la taille de la clé client est de 2048 bits, ce qui est la valeur par défaut lorsque le service Azure Rights Management est activé.

Pour plus d’informations sur les contrôles de chiffrement, consultez Contrôles de chiffrement utilisés par Azure RMS : algorithmes et longueur de clé.

Étapes suivantes

Pour obtenir des exigences plus détaillées pour utiliser Azure Information Protection, telles que la prise en charge des appareils et les versions minimales, consultez Configuration requise pour Azure Information Protection.

Si vous souhaitez migrer d’AD RMS vers Azure Information Protection, consultez Migration d’AD RMS vers Azure Information Protection.

Prise en main de services AD RMS (Active Directory Rights Management Services) extension d’appareil mobile.

Les FAQ suivantes pourraient vous intéresser :