Udostępnij za pośrednictwem


Porównanie usług Azure Information Protection i AD RMS

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Jeśli wiesz, czy wcześniej wdrożono Usługi Active Directory Rights Management (AD RMS), możesz się zastanawiać, w jaki sposób usługa Azure Information Protection porównuje się pod względem funkcjonalności i wymagań jako rozwiązania do ochrony informacji.

Oto niektóre główne różnice dotyczące usługi Azure Information Protection:

Różnica opis
Brak wymaganej infrastruktury serwera Usługa Azure Information Protection nie wymaga dodatkowych serwerów i certyfikatów PKI, których potrzebuje usługa AD RMS, ponieważ platforma Microsoft Azure zajmuje się tymi wymaganiami.

Dzięki temu rozwiązanie w chmurze jest szybsze w przypadku wdrażania i łatwiejszego utrzymania.
Uwierzytelnianie oparte na chmurze Usługa Azure Information Protection używa identyfikatora Entra firmy Microsoft do uwierzytelniania — zarówno dla użytkowników wewnętrznych, jak i użytkowników z innych organizacji.

Oznacza to, że użytkownicy mogą być uwierzytelniani nawet wtedy, gdy nie są połączeni z siecią wewnętrzną i łatwiej jest udostępniać chronioną zawartość użytkownikom z innych organizacji.

Wiele organizacji ma już konta użytkowników w usłudze Microsoft Entra ID, ponieważ są uruchomione usługi platformy Azure lub mają platformę Microsoft 365. Jednak jeśli nie, usługa RMS dla użytkowników indywidualnych umożliwia użytkownikom tworzenie bezpłatnego konta lub konto Microsoft może być używane w przypadku aplikacji obsługujących to uwierzytelnianie w usłudze Azure Information Protection.

Dla porównania, aby udostępnić zawartość chronioną za pomocą usług AD RMS innej organizacji, należy skonfigurować jawne relacje zaufania z każdą organizacją.
Wbudowana obsługa urządzeń przenośnych Do obsługi urządzeń przenośnych i komputerów Mac nie są wymagane żadne zmiany wdrożenia usługi Azure Information Protection.

Aby obsługiwać te urządzenia z usługami AD RMS, należy zainstalować rozszerzenie urządzenia przenośnego, skonfigurować usługi AD FS na potrzeby federacji i utworzyć dodatkowe rekordy dla publicznej usługi DNS.
Szablony domyślne Usługa Azure Information Protection automatycznie tworzy szablony domyślne, które ograniczają dostęp do zawartości do własnej organizacji. Te szablony ułatwiają natychmiastowe rozpoczęcie ochrony poufnych danych.

Brak szablonów domyślnych dla usług AD RMS.
Szablony dla działów Znany również jako szablony o określonym zakresie. Usługa Azure Information Protection obsługuje szablony dla działów dla dodatkowych utworzonych szablonów.

Ta konfiguracja umożliwia określenie podzbioru użytkowników w celu wyświetlenia określonych szablonów w aplikacjach klienckich. Ograniczenie liczby szablonów widocznych przez użytkowników ułatwia wybranie odpowiednich zasad zdefiniowanych dla różnych grup użytkowników.

Usługi AD RMS nie obsługują szablonów działów.
Śledzenie i odwoływanie dokumentów Usługa Azure Information Protection obsługuje te funkcje tylko z usługą Rights Management
Klasyfikacja i etykietowanie Usługa Azure Information Protection obsługuje etykiety, które stosują klasyfikację i opcjonalnie ochronę.

Użyj klienta usługi AIP, aby zintegrować klasyfikację i etykietowanie z aplikacja pakietu Office licacjami, Eksplorator plików, programem PowerShell i skanerem dla lokalnych magazynów danych.

Usługi AD RMS nie obsługują tych możliwości klasyfikacji i etykietowania.

Ponadto, ponieważ usługa Azure Information Protection jest usługą w chmurze, może dostarczać nowe funkcje i poprawki szybciej niż lokalne rozwiązanie oparte na serwerze. W systemie Windows Server nie są planowane żadne nowe funkcje usług AD RMS.

Szczegółowe porównanie usług AIP i AD RMS

Aby uzyskać więcej informacji, skorzystaj z poniższej tabeli w celu porównania równoległego.

Jeśli masz pytania porównawcze specyficzne dla zabezpieczeń, zobacz sekcję Formanty kryptograficzne dotyczące podpisywania i szyfrowania w tym artykule.

Różnica Azure Information Protection AD RMS
Zarządzanie prawami do informacji (IRM) Obsługuje funkcje usługi IRM zarówno w usługach Online firmy Microsoft, jak i w lokalnych produktach serwerowych firmy Microsoft. Obsługuje funkcje usługi IRM dla lokalnych produktów serwerowych firmy Microsoft i usługi Exchange Online.
Bezpieczna współpraca Automatycznie umożliwia bezpieczną współpracę w dokumentach z dowolną organizacją, która również używa identyfikatora Entra firmy Microsoft do uwierzytelniania. Bezpieczna współpraca nad dokumentami spoza organizacji wymaga, aby relacje zaufania uwierzytelniania zostały jawnie zdefiniowane w bezpośredniej relacji punkt-punkt między dwiema organizacjami.

Należy skonfigurować zaufane domeny użytkowników (TUD) lub federacyjne relacje zaufania tworzone przy użyciu usług Active Directory Federation Services (AD FS).
Chronione wiadomości e-mail Wyślij chronioną wiadomość e-mail (opcjonalnie z załącznikami dokumentów pakietu Office, które są automatycznie chronione) do użytkowników, gdy nie istnieje żadna relacja zaufania uwierzytelniania.

Ten scenariusz jest możliwy przy użyciu federacji z dostawcami społecznościowymi lub jednorazowego kodu dostępu i przeglądarki internetowej do wyświetlania.
Nie obsługuje wysyłania chronionej wiadomości e-mail, gdy nie istnieje żadna relacja zaufania uwierzytelniania.
Obsługa klienta Obsługuje klienta ujednoliconego etykietowania usługi AIP. Obsługuje tylko ujednoliconego klienta etykietowania usługi AIP i wymaga zainstalowania rozszerzenia urządzenia przenośnego Usługi Active Directory Rights Management.
Uwierzytelnianie wieloskładnikowe (MFA) Obsługuje uwierzytelnianie wieloskładnikowe dla komputerów i urządzeń przenośnych.

Aby uzyskać więcej informacji, zobacz Usługi Multi-Factor Authentication (MFA) i Azure Information Protection.
Obsługuje uwierzytelnianie za pomocą karty inteligentnej, jeśli usługi IIS są skonfigurowane do żądania certyfikatów.
Tryb kryptograficzny Obsługuje domyślnie tryb kryptograficzny 2, aby zapewnić zalecany poziom zabezpieczeń dla długości kluczy i algorytmów szyfrowania. Obsługuje tryb kryptograficzny 1 domyślnie i wymaga dodatkowej konfiguracji do obsługi trybu kryptograficznego 2 w celu uzyskania zalecanego poziomu zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Tryby kryptograficzne usług AD RMS.
Licencjonowanie Wymaga licencji usługi Azure Information Protection lub licencji usługi Azure Rights Management z platformą Microsoft 365 w celu ochrony zawartości.

Do korzystania z zawartości chronionej przez usługę AIP (łącznie z użytkownikami z innej organizacji) nie jest wymagana licencja.
Wymaga licencji usługi RMS do ochrony zawartości i korzystania z zawartości chronionej przez usługi AD RMS.

Aby uzyskać więcej informacji na temat licencjonowania, zobacz Licencje dostępu klienta i licencje zarządzania, aby uzyskać ogólne informacje, ale skontaktuj się z partnerem firmy Microsoft lub przedstawicielem firmy Microsoft, aby uzyskać szczegółowe informacje.

Kontrolki kryptograficzne do podpisywania i szyfrowania

Usługa Azure Information Protection domyślnie używa protokołu RSA 2048 dla wszystkich kryptografii klucza publicznego i algorytmu SHA 256 na potrzeby operacji podpisywania. Dla porównania usługi AD RMS obsługują algorytm RSA 1024 i RSA 2048 oraz SHA 1 lub SHA 256 na potrzeby operacji podpisywania.

Zarówno usługi Azure Information Protection, jak i AD RMS używają algorytmu AES 128 do szyfrowania symetrycznego.

Usługa Azure Information Protection jest zgodna z standardem FIPS 140-2, gdy rozmiar klucza dzierżawy to 2048 bitów, co jest ustawieniem domyślnym po aktywowaniu usługi Azure Rights Management.

Aby uzyskać więcej informacji na temat kontrolek kryptograficznych, zobacz Kryptograficzne kontrolki używane przez usługę Azure RMS: algorytmy i długość klucza.

Następne kroki

Aby uzyskać bardziej szczegółowe wymagania dotyczące korzystania z usługi Azure Information Protection, takiej jak obsługa urządzeń i minimalne wersje, zobacz Wymagania dotyczące usługi Azure Information Protection.

Jeśli chcesz przeprowadzić migrację z usług AD RMS do usługi Azure Information Protection, zobacz Migrowanie z usług AD RMS do usługi Azure Information Protection.

Rozpocznij pracę z rozszerzeniem urządzenia przenośnego Usługi Active Directory Rights Management.

Mogą Cię zainteresować następujące często zadawane pytania: