Сравнение Azure Information Protection и AD RMS

Примечание

Ищете Information Protection Microsoft Purview, ранее Microsoft informācijas aizsardzība (MIP)?

Клиент унифицированных меток Azure Information Protection теперь находится в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Mer informasjon

Если вы знакомы со службами Active Directory Rights Management (AD RMS) или имели опыт их развертывания, вас, возможно, интересует, чем же Azure Information Protection отличается от них в плане функциональности и требований как решение по защите информации.

Ниже приведены некоторые основные отличия для Azure Information Protection.

Различие Описание
Инфраструктура сервера не требуется Azure Information Protection не требует дополнительных серверов и PKI-сертификатов, необходимых AD RMS, так как Microsoft Azure отвечает за эти требования.

Это ускоряет развертывание облачного решения и упрощает его обслуживание.
Облачная проверка подлинности Azure Information Protection использует Azure AD для проверки подлинности как внутренних пользователей, так и пользователей из других организаций.

Это означает, что пользователи могут проходить проверку подлинности, даже если они не подключены к внутренней сети и проще предоставлять доступ к защищенному содержимому пользователям из других организаций.

Многие организации уже имеют учетные записи пользователей в Azure AD, так как они работают со службами Azure или Microsoft 365. Если этих учетных записей нет, пользователи могут создать бесплатную учетную запись RMS для отдельных пользователей. Или же применить учетную запись Майкрософт для приложений, которые поддерживают такую аутентификацию для Azure Information Protection.

Для совместного использования защищенного содержимого AD RMS с другой организацией необходимо настроить явные отношения доверия с каждой организацией.
Встроенная поддержка мобильных устройств Для поддержки мобильных устройств и компьютеров Mac в Information Protection Azure не требуются изменения развертывания.

Для поддержки этих устройств с ad RMS необходимо установить расширение мобильного устройства, настроить AD FS для федерации и создать дополнительные записи для общедоступной службы DNS.
Шаблоны по умолчанию Azure Information Protection автоматически создает шаблоны по умолчанию, ограничивающие доступ к содержимому вашей организации. Эти шаблоны упрощают немедленную защиту конфиденциальных данных.

Для AD RMS шаблоны по умолчанию отсутствуют.
Шаблоны отделов также называются шаблонами с заданной областью. Azure Information Protection поддерживает дополнительные создаваемые шаблоны в качестве шаблонов для подразделений.

Эта конфигурация позволяет указать подмножество пользователей, которым разрешен просмотр определенных шаблонов в клиентских приложениях. Ограничение набора шаблонов, доступных пользователям, упрощает выбор правильной политики, задаваемой для разных групп пользователей.

AD RMS не поддерживает шаблоны для подразделений.
Отслеживание и отзыв документов Azure Information Protection поддерживает эти функции только со службой Rights Management.
Классификация и маркировка Azure Information Protection поддерживает метки, которые применяют классификацию и при необходимости защиту.

Используйте клиент AIP для интеграции классификации и маркировки с приложениями Office, проводник, PowerShell и сканером для локальных хранилищ данных.

AD RMS не поддерживает эти возможности классификации и маркировки.

Кроме того, поскольку Azure Information Protection является облачной службой, она способна предоставлять новые возможности и исправления быстрее локального серверного решения. В Windows Server для AD RMS не запланировано никаких новых компонентов.

Подробное сравнение AIP и AD RMS

Дополнительные сведения см. в следующей таблице для параллельного сравнения.

Если у вас есть вопросы по сравнению, касающиеся безопасности, см. раздел Элементы управления шифрования для подписывания и шифрования этой статьи.

Различие Azure Information Protection Службы Active Directory Rights Management
Управление правами на доступ к данным (IRM) Поддерживает возможности IRM как в службах Microsoft Online, так и в локальных серверных продуктах Майкрософт. Поддерживает возможности IRM для локальных серверных продуктов Майкрософт и Exchange Online.
Безопасная совместная работа Автоматически включает безопасную совместную работу над документами с любой организацией, которая также использует Azure AD для проверки подлинности. Для безопасной совместной работы над документами за пределами организации требуется, чтобы доверия проверки подлинности были определены явным образом в отношении между двумя организациями.

Необходимо настроить доверенные домены пользователей (TUD) или федеративные отношения доверия, создаваемые с помощью служб федерации Active Directory (AD FS).
Защищенные сообщения электронной почты Если отношение доверия проверки подлинности не существует, отправьте пользователям защищенное сообщение электронной почты (при необходимости с автоматически защищаемыми вложениями Office).

Это стало возможным благодаря использованию федерации с поставщиками социальных сетей или применению одноразового секретного кода и веб-браузера для просмотра.
Отправка защищенного сообщения при отсутствии отношения доверия проверки подлинности не поддерживается.
Поддержка клиентов. Поддерживает клиент унифицированных меток AIP. Поддерживает только клиент унифицированных меток AIP для использования и требует установки расширения мобильных устройств служб Active Directory Rights Management Services.
Многофакторная идентификация (MFA) Поддерживает MFA для компьютеров и мобильных устройств.

Дополнительные сведения см. в разделе Многофакторная идентификация (MFA) и Azure Information Protection.
Поддерживает проверку подлинности смарт-карты, если сервер IIS настроен для запроса сертификатов.
Режим шифрования Поддерживает режим шифрования 2 по умолчанию, чтобы обеспечить рекомендуемый уровень безопасности для длины ключей и алгоритмов шифрования. Поддерживает режим шифрования 1 по умолчанию и требует дополнительной настройки для поддержки режима шифрования 2 для рекомендуемого уровня безопасности.

Дополнительные сведения см. в разделе Режимы шифрования AD RMS.
Лицензирование Для защиты содержимого требуется лицензия Azure Information Protection или лицензия Azure Rights Management с Помощью Microsoft 365.

Лицензия не требуется для использования содержимого, защищенного AIP (включает пользователей из другой организации).
Требуется лицензия RMS для защиты содержимого и использования содержимого, защищенного AD RMS.

Дополнительные сведения о лицензировании см. в разделе "Лицензии клиентского доступа" и "Лицензии управления" для получения общих сведений, но обратитесь к своему партнеру Майкрософт или представителю Майкрософт.

Элементы управления шифрования для подписывания и шифрования

По умолчанию Azure Information Protection использует RSA 2048 для всех шифрований с открытым ключом и SHA 256 для операций подписывания. Для сравнения, AD RMS поддерживают RSA 1024 и RSA 2048, а также SHA 1 или SHA 256 для операций подписывания.

Azure Information Protection и AD RMS используют AES 128 для симметричного шифрования.

Azure Information Protection соответствует FIPS 140-2, если длина ключа клиента составляет 2048 бит (это длина по умолчанию при активации службы Azure Rights Management).

Дополнительные сведения о криптографических элементах управления см. в разделе Элементы управления шифрования, используемые Azure RMS: алгоритмы и длина ключей.

Дальнейшие шаги

Более подробные требования к использованию Azure Information Protection, такие как поддержка устройств и минимальные версии, см. в статье "Требования для azure Information Protection".

Если вы хотите выполнить миграцию с AD RMS в Azure Information Protection, см. статью "Миграция с AD RMS в Azure Information Protection".

Начало работы с расширением мобильных устройств служб Active Directory Rights Management Services.

Возможно, вас интересует следующее часто задаваемые вопросы: