Confronto tra Azure Information Protection e AD RMS

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Se già si conosce o si è distribuito in precedenza Active Directory Rights Management Services (AD RMS), è possibile chiedersi quali siano le differenze con Azure Information Protection in termini di funzionalità e requisiti come soluzione di protezione delle informazioni.

Alcune delle principali differenze per Azure Information Protection includono:

Differenza Descrizione
Nessuna necessità di infrastruttura server Azure Information Protection non richiede i server aggiuntivi e i certificati PKI necessari per AD RMS, perché Microsoft Azure si occupa di tali requisiti.

Ciò rende questa soluzione cloud più veloce da distribuire e più semplice da gestire.
Autenticazione basata sul cloud Azure Information Protection usa Azure AD per l'autenticazione di utenti interni e di utenti di altre organizzazioni.

Ciò significa che gli utenti possono essere autenticati anche quando non sono connessi alla rete interna ed è più facile condividere contenuto protetto con utenti di altre organizzazioni.

Molte organizzazioni hanno già account utente in Azure AD perché eseguono servizi di Azure o hanno Microsoft 365. In caso contrario, RMS per utenti singoli consente agli utenti di creare un account gratuito oppure è possibile usare un account Microsoft per le applicazioni che supportano questo tipo di autenticazione per Azure Information Protection.

Per condividere invece il contenuto protetto di AD RMS con un'altra organizzazione, è necessario configurare trust espliciti con ogni organizzazione.
Supporto predefinito per i dispositivi mobili Non sono necessarie modifiche alla distribuzione per azure Information Protection per supportare i dispositivi mobili e i computer Mac.

Per supportare questi dispositivi con AD RMS, è necessario installare l'estensione del dispositivo mobile, configurare AD FS per la federazione e creare record aggiuntivi per il servizio DNS pubblico.
Modelli predefiniti Azure Information Protection crea automaticamente modelli predefiniti che limitano l'accesso al contenuto alla propria organizzazione. Questi modelli semplificano immediatamente la protezione dei dati sensibili.

Non sono disponibili modelli predefiniti per AD RMS.
Modelli di reparto anche noti come modelli con ambito. Azure Information Protection supporta i modelli di reparto per i modelli aggiuntivi che vengono creati.

Questa configurazione consente di specificare un sottoinsieme di utenti che possono visualizzare modelli specifici nelle applicazioni client. Limitando il numero di modelli che gli utenti visualizzano, si semplifica la selezione dei criteri corretti definiti per i diversi gruppi di utenti.

AD RMS non supporta i modelli di reparto.
Rilevamento e revoca dei documenti Azure Information Protection supporta queste funzionalità solo con il servizio Rights Management
Classificazione e etichettatura Azure Information Protection supporta le etichette che applicano la classificazione e, facoltativamente, la protezione.

Usare il client AIP per integrare la classificazione e l'etichettatura con applicazioni di Office, Esplora file, PowerShell e uno scanner per gli archivi dati locali.

AD RMS non supporta queste funzionalità di classificazione e etichettatura.

Inoltre, poiché è un servizio cloud, Azure Information Protection può distribuire nuove funzionalità e correzioni in modo più rapido rispetto a una soluzione locale basata su server. Non sono previste nuove funzionalità per AD RMS in Windows Server.

Confronto dettagliato tra AIP e AD RMS

Per altri dettagli, usare la tabella seguente per un confronto affiancato.

Per domande di confronto specifiche sulla sicurezza, vedere la sezione Controlli crittografici per la firma e la crittografia in questo articolo.

Differenza Azure Information Protection AD RMS
Information Rights Management (IRM) Supporta le funzionalità IRM sia nei servizi Microsoft Online che nei prodotti server Microsoft locali. Supporta le funzionalità IRM per i prodotti server Microsoft locali e Exchange Online.
Collaborazione sicura Abilita automaticamente la collaborazione sicura su documenti con qualsiasi organizzazione che usa Azure AD per l'autenticazione. La collaborazione sicura sui documenti all'esterno dell'organizzazione richiede la definizione di relazioni di trust di autenticazione in modo esplicito in una relazione point-to-point diretta tra le due organizzazioni.

È necessario configurare domini utente trusted o relazioni di trust federative mediante Active Directory Federation Services (AD FS).
Messaggi di posta elettronica protetti Inviare un messaggio di posta elettronica protetto (eventualmente con documenti di Office allegati protetti automaticamente) agli utenti quando non esiste alcuna relazione di trust di autenticazione.

Questo scenario è reso possibile usando la federazione con provider social o un passcode monouso e un browser Web per la visualizzazione.
Non è supportato l'invio di posta elettronica protetta se non esiste alcuna relazione di trust di autenticazione.
Supporto client Supporta il client di etichettatura unificata AIP. Supporta il client di etichettatura unificata AIP solo per l'utilizzo e richiede l'installazione dell'estensione per dispositivi mobili di Active Directory Rights Management Services.
Multi-Factor Authentication (MFA) Supporta l'autenticazione a più fattori per computer e dispositivi mobili.

Per altre informazioni, vedere Multi-Factor Authentication (MFA) e Azure Information Protection.
Supporta l'autenticazione con smart card se IIS è configurato per richiedere i certificati.
Modalità di crittografia Supporta la modalità di crittografia 2 per impostazione predefinita, per fornire un livello di sicurezza consigliato per le lunghezze delle chiavi e gli algoritmi di crittografia. Supporta la modalità crittografia 1 per impostazione predefinita e richiede una configurazione aggiuntiva per supportare la modalità crittografia 2 per un livello di sicurezza consigliato.

Per altre informazioni, vedere AD RMS Cryptographic Modes (Modalità di crittografia di AD RMS).
Licenza Richiede una licenza di Azure Information Protection o una licenza di Azure Rights Management con Microsoft 365 per proteggere il contenuto.

Non è necessaria alcuna licenza per utilizzare il contenuto protetto da AIP (include gli utenti di un'altra organizzazione).
Richiede una licenza RMS per proteggere il contenuto e per utilizzare il contenuto protetto da AD RMS.

Per altre informazioni sulle licenze, vedere Licenze di accesso client e licenze di gestione per informazioni generali, ma contattare il partner Microsoft o il rappresentante Microsoft per informazioni specifiche.

Controlli crittografici per la firma e la crittografia

Per impostazione predefinita, Azure Information Protection usa RSA 2048 per la crittografia a chiave pubblica e SHA 256 per le operazioni di firma. AD RMS invece supporta RSA 1024 e RSA 2048, nonché SHA 1 o SHA 256 per le operazioni di firma.

Azure Information Protection e AD RMS usano entrambi AES 128 per la crittografia simmetrica.

Azure Information Protection è conforme a FIPS 140-2 se le dimensioni della chiave del tenant sono 2048 bit, ovvero l'impostazione predefinita al momento dell'attivazione del servizio Azure Rights Management.

Per altre informazioni sui controlli crittografici, vedere Controlli crittografici usati in Azure RMS: algoritmi e lunghezze delle chiavi.

Passaggi successivi

Per requisiti più dettagliati per l'uso di Azure Information Protection, ad esempio il supporto dei dispositivi e le versioni minime, vedere Requisiti per Azure Information Protection.

Per eseguire la migrazione da AD RMS ad Azure Information Protection, vedere Migrazione da AD RMS ad Azure Information Protection.

Introduzione all'estensione per dispositivi mobili di Active Directory Rights Management Services.

È possibile che si siano interessati alle domande frequenti seguenti: