Vergleich von Azure Information Protection und AD RMS

Gilt für: Active Directory Rights Management Services, Azure Information Protection , Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Wenn Sie Active Directory Rights Management Services (AD RMS) bereits kennen oder bereitgestellt haben, fragen Sie sich vielleicht, wie sich Azure Information Protection in Bezug auf die Funktionen und Anforderungen als Lösung für den Schutz von Daten unterscheidet.

Einige der Hauptunterschiede für Azure Information Protection sind:

Unterschied Beschreibung
Keine Serverinfrastruktur erforderlich Azure Information Protection benötigt nicht die zusätzlichen Server und PKI-Zertifikate, die AD RMS erfordert, da sich Microsoft Azure für Sie darum kümmert.

Dadurch kann diese Cloudlösung schneller bereitgestellt werden und ist leichter zu verwalten.
Cloudbasierte Authentifizierung Azure Information Protection verwendet Azure AD für die Authentifizierung – sowohl für interne Benutzer als auch für Benutzer anderer Organisationen.

Das bedeutet, dass Ihre Benutzer auch dann authentifiziert werden können, wenn sie nicht mit Ihrem internen Netzwerk verbunden sind und es einfacher ist, geschützte Inhalte für Benutzer aus anderen Organisationen freizugeben.

Viele Organisationen verfügen bereits über Benutzerkonten in Azure AD, da sie Azure-Dienste ausführen oder über Microsoft 365 verfügen. Wenn dies nicht der Fall ist, können Benutzer in Microsoft Rights Management for Individuals ein kostenloses Konto erstellen. Alternativ kann ein Microsoft-Konto für Anwendungen verwendet werden, die diese Authentifizierung für Azure Information Protection unterstützen.

Im Vergleich dazu müssen Sie explizite Vertrauensstellungen für jede Organisation konfigurieren, um AD RMS geschützten Inhalt für eine andere Organisation freizugeben.
Integrierte Unterstützung für mobile Geräte Es sind keine Bereitstellungsänderungen erforderlich, damit Azure Information Protection mobile Geräte und Macintosh-Computer unterstützen.

Sie müssen die Mobilgeräteerweiterung installieren, AD FS für den Verbund konfigurieren und zusätzliche Datensätze für Ihren öffentlichen DNS-Dienst erstellen, damit diese Geräte von AD RMS unterstützt werden.
Standardvorlagen Azure Information Protection erstellt automatisch Standardvorlagen, die den Zugriff auf den Inhalt auf Ihre eigene Organisation beschränken. Diese Vorlagen erleichtern den sofortigen Schutz vertraulicher Daten.

Es gibt keine Standardvorlagen für AD RMS.
Abteilungsvorlagen Auch bekannt als „bereichsbezogene Vorlagen“. Azure Information Protection unterstützt Abteilungsvorlagen für zusätzlich von Ihnen erstellte Vorlagen.

Mit dieser Konfiguration können Sie eine Teilmenge von Benutzern angeben, um bestimmte Vorlagen in deren Clientanwendungen anzuzeigen. Das Reduzieren der Anzahl von Vorlagen, die Benutzern angezeigt werden, erleichtert es ihnen, die richtige Richtlinie auszuwählen, die Sie für unterschiedliche Benutzergruppen definieren.

AD RMS unterstützt keine Abteilungsvorlagen.
Dokumentnachverfolgung und -sperrung Azure Information Protection unterstützt diese Features nur mit dem Azure Information Protection klassischen Client, während AD RMS überhaupt nicht unterstützt wird.
Klassifizierung und Bezeichnung Azure Information Protection unterstützt Bezeichnungen, die Klassifizierung und optional Schutz anwenden. Diese Funktionen werden sowohl mit der einheitlichen AIP-Bezeichnung alsauch mit klassischen Clients bereitgestellt.

Verwenden Sie den AIP-Client, um die Klassifizierung und Bezeichnung in Office Anwendungen, den Datei-Explorer, PowerShell und einen Scanner für lokale Datenspeicher zu integrieren.

AD RMS unterstützt diese Klassifizierungs- und Bezeichnungsfunktionen nicht.

Zudem kann Azure Information Protection neue Features und Fixes schneller bereitstellen als eine lokale, serverbasierte Lösung, da es sich dabei um einen Clouddienst handelt. Es sind keine neuen Features für AD RMS unter Windows Server geplant.

Detaillierter Vergleich zwischen AIP und AD RMS

Weitere Informationen finden Sie in der folgenden Tabelle für einen vergleichsseitigen Vergleich.

Antworten auf sicherheitsbezogene Fragen, die den Vergleich betreffen, finden Sie im Abschnitt Kryptografiesteuerelemente zum Signieren und Verschlüsseln in diesem Artikel.

Unterschied Azure Information Protection AD RMS
Information Rights Management (IRM) Unterstützt IRM-Funktionen sowohl in Microsoft Online-Diensten als auch in lokalen Microsoft-Serverprodukten. Unterstützt IRM-Funktionen für lokale Microsoft-Serverprodukte und Exchange Online.
Sichere Zusammenarbeit Aktiviert automatisch die sichere Kollaboration an Dokumenten mit jeder beliebigen Organisation, die ebenso Azure AD für die Authentifizierung verwendet. Eine sichere Zusammenarbeit an Dokumenten außerhalb der Organisation erfordert, dass die Vertrauensstellung der Authentifizierung explizit in einer direkten Punkt-zu-Punkt-Beziehung zwischen den beiden Organisationen definiert ist.

Sie müssen entweder vertrauenswürdige Benutzerdomänen (TUDs) oder Verbundvertrauensstellungen konfigurieren, die Sie mithilfe der Active Directory-Verbunddienste (AD FS) erstellen.
Geschützte E-Mails Senden Sie eine geschützte E-Mail (optional mit Office-Dokumentanlagen, die automatisch geschützt sind) an Benutzer, wenn keine Vertrauensstellungsbeziehung für die Authentifizierung existiert.

Dieses Szenario wird durch die Verwendung eines Verbunds mit sozialen Netzwerken oder einer Einmalkennung und eines Webbrowsers zur Ansicht möglich gemacht.
Unterstützt nicht das Senden geschützter E-Mails, wenn keine Vertrauensstellung für die Authentifizierung besteht.
Clientunterstützung Unterstützt sowohl die einheitliche AIP-Bezeichnung als auch klassische Clients für Schutz- und Nutzungsaktivitäten. Unterstützt den AIP-Client für einheitliche Bezeichnungen nur für die Nutzung und erfordert, dass Sie die Active Directory Rights Management Services-Erweiterungfür mobile Geräte installieren.

Unterstützt den klassischen AIP-Client für Schutz- und Nutzungsaktivitäten.
So funktioniert's: Azure Multi-Factor Authentication Unterstützt MFA für Computer und mobile Geräte.

Weitere Informationen finden Sie unter Multi-Factor Authentication (MFA) und Azure Information Protection.
Unterstützt Smartcard-Authentifizierung, wenn IIS so konfiguriert ist, dass Zertifikate angefordert werden.
Kryptografiemodus Unterstützt standardmäßig den Kryptografiemodus 2, um ein empfohlenes Maß an Sicherheit für Schlüssellängen und Verschlüsselungsalgorithmen bereitzustellen. Unterstützt standardmäßig Kryptografiemodus 1 und erfordert eine zusätzliche Konfiguration zur Unterstützung von Kryptografiemodus 2 für eine empfohlene Sicherheitsstufe.

Weitere Informationen finden Sie unter AD RMS-Kryptografiemodi.
Lizenzierung Erfordert eine Azure Information Protection- oder Azure Rights Management-Lizenz mit Microsoft 365, um Inhalte zu schützen.

Es ist keine Lizenz erforderlich, um Inhalte zu nutzen, die durch AIP geschützt wurden (einschließlich Benutzern aus einer anderen Organisation).

Weitere Informationen zur Lizenzierung, einschließlich der Unterschiede zwischen einer P1- und P2-Lizenz, finden Sie in der Featureliste auf der Azure Information Protection-Website.
Erfordert eine RMS-Lizenz, um Inhalte zu schützen, sowie zum Verwenden von Inhalten, die mit AD RMS geschützt wurden.

Weitere Informationen zur Lizenzierung finden Sie unter Clientzugriffslizenzen und Verwaltungslizenzen für allgemeine Informationen. Wenden Sie sich jedoch an Ihren Microsoft-Partner oder Microsoft-Vertreter, um spezifische Informationen zu erhalten.

Kryprotgrafiesteuerelemente zum Signieren und Verschlüsseln

Azure Information Protection verwendet standardmäßig RSA 2048 für alle Kryptografieaufgaben mit öffentlichem Schlüssel und SHA 256 für Signaturvorgänge. Im Vergleich unterstützt AD RMS RSA 1024 und RSA 2048 sowie SHA 1 und SHA 256 für Signaturvorgänge.

Sowohl Azure Information Protection als auch AD RMS verwenden AES 128 für die symmetrische Verschlüsselung.

Azure Information Protection ist mit FIPS 140-2 kompatibel, wenn Ihre Mandanten 2048-Bit-Schlüssel verwenden, dem Standard, wenn der Azure Rights Management-Dienst aktiviert wird.

Weitere Informationen über die kryptografischen Steuerelemente finden Sie unter Von Azure RMS verwendete kryptografische Steuerelemente: Algorithmen und Schlüssellänge.

Nächste Schritte

Ausführlichere Anforderungen für die Verwendung von Azure Information Protection, z. B. Geräteunterstützung und Mindestversionen, finden Sie unter Anforderungen für Azure Information Protection.

Informationen zur Migration von AD RMS zu Azure Information Protection finden Sie unter Migrieren von AD RMS zu Azure Information Protection.

Erste Schritte mit Active Directory Rights Management Services-Erweiterungfür mobile Geräte.

Möglicherweise interessieren Sie sich für die folgenden häufig gestellten Fragen: