比較 Azure 資訊保護與 AD RMS

注意

您是否正在尋找先前Microsoft 資訊保護 ( MIP) Microsoft Purview 資訊保護?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

如果您知道或先前已部署 Active Directory Rights Management Services (AD RMS),您可能會想要知道 Azure 資訊保護作為資訊保護解決方案在功能和需求方面與其比較起來如何。

Azure 資訊保護的一些主要差異包括:

差異 描述
不需要伺服器基礎結構 Azure 資訊保護不需要 AD RMS 所需的額外伺服器和 PKI 憑證,因為 Microsoft Azure 會為您處理這些需求。

這可讓此雲端解決方案更快速地部署且更輕鬆地維護。
雲端式驗證 Azure 資訊保護使用 Azure AD 進行驗證 - 適用於內部使用者以及其他組織的使用者。

這表示即使使用者未連線到內部網路,也可以驗證使用者,而且更容易與其他組織的使用者共用受保護的內容。

許多組織已在 Azure AD 中擁有使用者帳戶,因為它們正在執行 Azure 服務或擁有 Microsoft 365。 但如果沒有,個人版 RMS 可讓使用者建立免費帳戶,或建立可用於支援 Azure 資訊保護此驗證的應用程式的 Microsoft 帳戶。

相較之下,若要與另一個組織共用 AD RMS 保護的內容,您必須為每個組織設定明確信任。
行動裝置的內建支援 Azure 資訊保護不需要部署變更,即可支援行動裝置和 Mac 電腦。

若要使用 AD RMS 支援這些裝置,您必須安裝行動裝置擴充功能、設定 AD FS 進行同盟,以及為您的公用 DNS 服務建立額外的記錄。
預設範本 Azure 資訊保護會自動建立預設範本,以限制對您組織的內容存取。 這些範本可讓您輕鬆地立即開始保護敏感性資料。

AD RMS 沒有預設範本。
部門範本 亦稱為限域範本。 Azure 資訊保護支援您建立的其他範本使用部門範本。

此設定可讓您指定一組的使用者,來查看其用戶端應用程式中的特定範本。 限制使用者可看到的範本數,能讓使用者更輕鬆且準確地選取您為不同使用者群組所定義的原則。

AD RMS 不支援部門範本。
文件追蹤及撤銷 Azure 資訊保護僅支援 Rights Management Service 的這些功能
分類和標記 Azure 資訊保護支援套用分類和選擇性保護的標籤。

使用 AIP 用戶端來整合分類和標記與 Office 應用程式、檔案總管、PowerShell,以及內部部署資料存放區的掃描器。

AD RMS 不支援這些分類和標籤功能。

此外,Azure 資訊保護是雲端服務,因此提供新功能和修正程式的速度會比內部部署伺服器解決方案還要快。 Windows Server 中 AD RMS 的新功能並無規劃。

AIP 與 AD RMS 之間的詳細比較

如需詳細資訊,請使用下表進行並存比較。

如果您有安全性特定的比較問題,請參閱本文的進簽署和加密的密碼編譯控制一節。

差異 Azure 資訊保護 AD RMS
資訊版權管理 (IRM) 支援 Microsoft Online 服務和內部部署 Microsoft 伺服器產品的 IRM 功能。 支援內部部署 Microsoft 伺服器產品的 IRM 功能,以及Exchange Online。
安全共同作業 自動與也使用 Azure AD 進行驗證的所有組織,對文件啟用安全的共同作業。 在組織外部對文件進行安全共同作業,需要在兩個組織間的直接點對點關係中明確定義驗證信任。

您必須設定信任的使用者網域 (TUD) 或使用 Active Directory Federation Services (AD FS) 建立的同盟信任。
受保護的電子郵件 當沒有驗證信任關係時,將受保護的電子郵件 (或者使用自動受到保護的 Office 文件附件) 傳送給使用者。

與社交工具提供者結盟或使用單次密碼和網頁瀏覽器進行檢視,即可能實現這種案例。
沒有驗證信任關係時,不支援傳送受保護的電子郵件。
用戶端支援 支援 AIP 統一標籤用戶端。 僅支援 AIP 統一標籤用戶端以供取用,而且需要您安裝 Active Directory Rights Management Services 行動裝置擴充功能
Multi-Factor Authentication (MFA) 支援電腦和行動裝置的 MFA。

如需詳細資訊,請參閱 Multi-Factor Authentication (MFA) 和 Azure 資訊保護
如果 IIS 設定為要求憑證,支援智慧卡驗證。
密碼編譯模式 預設支援密碼編譯模式 2,以提供金鑰長度和加密演算法的建議安全性層級。 預設支援密碼編譯模式 1,而且需要額外的設定來支援密碼編譯模式 2,以取得建議的安全性層級。

如需詳細資訊,請參閱 AD RMS 密碼編譯模式
授權 需要具有 Microsoft 365 的 Azure 資訊保護授權或 Azure Rights Management 授權來保護內容。

取用 AIP 保護的內容不需要任何授權, (包含來自另一個組織的使用者) 。
需要 RMS 授權來保護內容,以及取用 AD RMS 所保護的內容。

如需授權的詳細資訊,請參閱 用戶端存取授權和管理授權 以取得一般資訊,但如需特定資訊,請連絡您的 Microsoft 合作夥伴或 Microsoft 代表。

簽署和加密的密碼編譯控制

Azure 資訊保護預設使用 RSA 2048 進行所有公開金鑰加密,以及使用 SHA 256 進行簽署操作。 相較之下,AD RMS 則支援 RSA 1024 和 RSA 2048,以及 SHA 1 或 SHA 256 進行簽署操作。

Azure 資訊保護和 AD RMS 都使用 AES 128 進行對稱式加密。

當您的租用戶金鑰大小是 2048 位元 (也就是 Azure 版權管理服務啟動時的預設項) 時,Azure 資訊保護會符合 FIPS 140-2 的規範。

如需密碼編譯控制項的詳細資訊,請參閱 Azure RMS 使用的密碼編譯控制項︰演算法和金鑰長度

後續步驟

如需使用 Azure 資訊保護的詳細需求,例如裝置支援和最低版本,請參閱Azure 資訊保護的需求

如果您想要從 AD RMS 移轉至 Azure 資訊保護,請參閱從 AD RMS 移轉至 Azure 資訊保護

開始使用 Active Directory Rights Management Services 行動裝置擴充功能

您可能對下列常見問題感興趣: