次の方法で共有


Azure Information Protection と AD RMSの比較

Note

Microsoft Purview Information Protectionをお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは 廃止 され、 Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

Microsoft Purview Information Protection クライアント (アドインなし) は 一般提供されています

Active Directory Rights Management サービス (AD RMS) を既にデプロイしている場合、または以前にデプロイしたことがある場合は、情報保護ソリューションとしての機能と要件の観点から Azure Information Protection がどのように比較されているか疑問に思うかもしれません。

Azure Information Protection の主な違いの一部は次のとおりです。

相違点 説明
サーバー インフラストラクチャは必要ない Azure Information Protection では、AD RMS で必要な追加のサーバーや PKI 証明書は必要ありません。Microsoft Azure が自動的にこれらの要件を満たすためです。

これにより、このクラウド ソリューションのデプロイが迅速になり、維持が簡単になります。
クラウドベースの認証 Azure Information Protection では、内部ユーザーと他の組織のユーザーの両方に対して、認証に Microsoft Entra ID が使用されます。

これは、ユーザーが内部ネットワークに接続していないときでも認証され、他の組織のユーザーと保護されたコンテンツをより簡単に共有できることを意味します。

多くの組織が Azure サービスを実行していたり、Microsoft 365 を持っているため、Microsoft Entra ID にユーザー アカウントが既にあります。 ただし、そうでない場合は、個人用 RMS を使用してユーザーが無料アカウントを作成できます。または、 Azure Information Protectionでこの認証をサポートするアプリケーションに Microsoft アカウントを使用できます。

一方、AD RMS で保護されたコンテンツを別の組織と共有するには、各組織との明示的な信頼関係を構成する必要があります。
モバイル デバイスの組み込みサポート Azure Information Protection でモバイル デバイスや Mac コンピューターをサポートする場合でも、デプロイを変更する必要はありません。

AD RMS でこれらのデバイスをサポートするには、モバイル デバイス拡張機能をインストールし、フェデレーション用に AD FS を構成し、パブリック DNS サービス用に追加のレコードを作成する必要があります。
既定のテンプレート Azure Information Protection を使用すると、ご自身の組織だけがコンテンツにアクセスできるように制限する既定のテンプレートが自動的に作成されます。 これらのテンプレートを使用して機密データの保護をすぐに簡単に開始できます。

AD RMS の既定のテンプレートはありません。
部門別テンプレート スコープ付きテンプレートとも呼ばれます。 Azure Information Protection では、作成した追加のテンプレート用の部門別テンプレートがサポートされています。

この構成では、ユーザーのサブセットを指定して、クライアント アプリケーション内の特定のテンプレートを表示できます。 ユーザーに表示されるテンプレートの数を制限すると、さまざまなユーザー グループに対して定義した適切なポリシーを選択しやすくなります。

AD RMS では、部門別テンプレートはサポートされていません。
ドキュメントの追跡と取り消し Azure Information Protection では、Rights Management サービスでのみこれらの機能がサポートされる
分類とラベル付け Azure Information Protection では、分類と、必要に応じて保護を適用するラベルがサポートされています。

AIP クライアントを使用して、Office アプリケーション、エクスプローラー、PowerShell、オンプレミス データ ストア用のスキャナーに分類とラベル付けを統合します。

これらの分類とラベル付け機能は AD RMS ではサポートされていません。

さらに、Azure Information Protection はクラウド サービスであるため、オンプレミスのサーバー ベースのソリューションよりも迅速に新機能と修正プログラムを提供できます。 Windows Server では、AD RMS の新機能は計画されていません。

AIP と AD RMS の詳細な比較

詳細については、並べて比較した次の表を参照してください。

セキュリティ固有の比較に関する質問がある場合は、この記事の 「署名と暗号化の暗号化制御」セクションを参照してください。

相違点 Azure Information Protection AD RMS
Information Rights Management (IRM) Microsoft Online Services とオンプレミスの Microsoft サーバー製品の両方で IRM 機能をサポートします。 オンプレミスの Microsoft サーバー製品、および Exchange Online で IRM 機能をサポートします。
セキュリティで保護されたコラボレーション 認証に Microsoft Entra ID も使用する組織とのドキュメントのセキュリティで保護されたコラボレーションを自動的に有効にします。 組織外のドキュメントでセキュリティで保護されたコラボレーションを行うには、2 つの組織間の直接のポイントツーポイント関係で認証信頼を明示的に定義する必要があります。

信頼されたユーザー ドメイン (TUD)、または Active Directory フェデレーション サービス (AD FS) を使用して作成したフェデレーション信頼のいずれかを構成する必要があります。
保護されたメール 認証の信頼関係が存在しない場合は、保護された電子メール (必要に応じて、自動的に保護された Office ドキュメントの添付ファイルを含む) をユーザーに送信します。

このシナリオは、ソーシャル プロバイダーとのフェデレーションを使用するか、ワンタイム パスコードと Web ブラウザーを使用して表示することで実現されます。
認証の信頼関係がない場合、保護されたメールの送信はサポートされません。
クライアントのサポート AIP統合ラベル付けクライアントをサポートします。 AIP 統合ラベル付けクライアントを使用のみについてサポートし、 Active Directory Rights Management サービス モバイル デバイス拡張機能をインストールする必要があります。
多要素認証 (MFA) コンピューターとモバイル デバイスに対して MFA をサポートします。

詳細については、 多要素認証 (MFA) と Azure Information Protectionを参照してください。
IIS が証明書を要求するように構成されている場合は、スマート カード認証をサポートします。
暗号化モード 暗号化モード 2 を既定でサポートし、キーの長さと暗号化アルゴリズムに関して推奨されるレベルのセキュリティを提供します。 暗号化モード 1 を既定でサポートし、推奨されるレベルのセキュリティのために暗号化モード 2 をサポートするには追加の構成が必要です。

詳細については、「AD RMS暗号サービス」を参照してください。
ライセンス コンテンツを保護するには、Azure Information Protection ライセンスまたは Azure Rights Management ライセンスと Microsoft 365 が必要です。

AIP によって保護されたコンテンツを使用するのに、ライセンスは必要ありません (別の組織のユーザーも含みます)。
AD RMS によってコンテンツを保護し、保護されたコンテンツを使用するには、RMS ライセンスが必要です。

ライセンスの概要については、「クライアント アクセス ライセンスとマネジメント ライセンス」を参照してください。具体的な情報については、Microsoft パートナーまたは Microsoft の担当者に問い合わせてください。

署名と暗号化のための暗号化制御

既定では、Azure Information Protection では、すべての公開キー暗号化に RSA 2048、署名操作に SHA 256 が使用されます。 これに対し、AD RMS では、署名操作用に RSA 1024 と RSA 2048、SHA 1 または SHA 256 がサポートされています。

Azure Information Protection と AD RMS の両方で、対称暗号化に AES 128 が使用されます。

テナント キー サイズが 2048 ビットである場合、Azure Information Protection は FIPS 140-2 に準拠しています。これは、Azure Rights Management サービスがアクティブ化されるときに既定です。

暗号化制御の詳細については、「Azure RMS で使用される暗号化制御: アルゴリズムとキーの長さ」を参照してください。

次のステップ

デバイスのサポートや最小バージョンなど、Azure Information Protection を使用するための詳細な要件については、「Azure Information Protection の要件」を参照してください。

AD RMS から Azure Information Protection に移行する場合は、「AD RMS から Azure Information Protection への移行」を参照してください。

Active Directory Rights Management サービス モバイル デバイス拡張機能の使用を開始します。

次の FAQ を確認することをお勧めします。