Comparación de Azure Information Protection y AD RMS

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pertinente para: Cliente de etiquetado unificado de AIP y cliente clásico de AIP.

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Si conoce o ha implementado con anterioridad Active Directory Rights Management Services (AD RMS), es posible que se pregunte cuáles son las diferencias de Azure Information Protection en términos de funcionalidad y requisitos como solución de protección de la información.

Algunas de las principales diferencias de Azure Information Protection incluyen:

Resta Descripción
No se necesita ninguna infraestructura de servidor Azure Information Protection no necesita los servidores y certificados PKI adicionales que necesita AD RMS, ya que Microsoft Azure se encarga de ellos.

En consecuencia, esta solución en la nube es más rápida de implementar y fácil de mantener.
Autenticación basada en la nube Azure Information Protection usa Azure AD para la autenticación, tanto para los usuarios internos como para los usuarios de otras organizaciones.

Esto significa que los usuarios se pueden autenticar incluso cuando no están conectados a la red interna y es más fácil compartir contenido protegido con usuarios de otras organizaciones.

Muchas organizaciones ya tienen cuentas de usuario en Azure AD porque ejecutan servicios de Azure o tienen Microsoft 365. Pero si no es así, RMS para usuarios permite a los usuarios crear una cuenta gratuita, o puede utilizarse una cuenta Microsoft para las aplicaciones que admiten la autenticación de Azure Information Protection.

En comparación, para compartir AD RMS contenido protegido con otra organización, debe configurar confianzas explícitas con cada organización.
Compatibilidad integrada para dispositivos móviles No se necesitan cambios en la implementación para que Azure Information Protection admitan dispositivos móviles y equipos Mac.

Para admitir estos dispositivos con AD RMS, debe instalar la extensión para dispositivos móviles, configurar AD FS para la federación y crear registros adicionales para el servicio DNS público.
Plantillas predeterminadas Azure Information Protection crea automáticamente plantillas predeterminadas que restringen el acceso del contenido a su propia organización. Estas plantillas facilitan el inicio inmediato de la protección de datos confidenciales.

No hay plantillas predeterminadas para AD RMS.
Plantillas de Departamento También se conoce como plantillas con ámbito. Azure Information Protection admite plantillas de departamento para las plantillas adicionales que cree.

Esta configuración permite especificar un subconjunto de usuarios para que vean plantillas específicas en sus aplicaciones cliente. La limitación del número de plantillas que ven los usuarios les facilita la selección de la directiva correcta definida para los diferentes grupos de usuarios.

AD RMS no es compatible con las plantillas de departamento.
Seguimiento y revocación de documentos Azure Information Protection solo admite estas características con el cliente de Azure Information Protection clásico, mientras AD RMS no.
Clasificación y etiquetado Azure Information Protection admite etiquetas que aplican clasificación y, opcionalmente, protección. Estas funcionalidades se proporcionan tanto con el etiquetado Unificado de AIP como con los clientes clásicos.

Use el cliente de AIP para integrar la clasificación y el etiquetado con las aplicaciones de Office, el explorador de archivos, PowerShell y un escáner para almacenes de datos locales.

AD RMS no admite estas funcionalidades de clasificación y etiquetado.

Además, dado que Azure Information Protection es un servicio en la nube, puede entregar correcciones y características nuevas más rápidamente que una solución local basada en servidor. No hay características nuevas planeadas para AD RMS en Windows Server.

Comparación detallada entre AIP y AD RMS

Para obtener más información, use la tabla siguiente para una comparación en paralelo.

Si tiene preguntas acerca de una comparación específica de la seguridad, consulte la sección Controles criptográficos para firmas y cifrado en este artículo.

Resta Azure Information Protection AD RMS
Information Rights Management (IRM) Admite capacidades de IRM tanto en Microsoft Online Services como en productos de servidor de Microsoft locales. Es compatible con las capacidades de IRM para los productos de servidor de Microsoft locales y Exchange Online.
Colaboración segura Permite colaborar automáticamente de forma segura en los documentos con cualquier organización que también use Azure AD para la autenticación. Colaborar de forma segura en documentos de fuera de la organización requiere la definición explícita de confianzas de autenticación en una relación directa de punto a punto entre dos organizaciones.

Debe configurar dominios de usuario de confianza (TUD) o confianzas federadas que cree mediante Servicios de federación de Active Directory (AD FS).
Correos electrónicos protegidos Envíe un correo electrónico protegido (opcionalmente, con datos adjuntos a documentos de Office que estén protegidos automáticamente) a los usuarios cuando no exista ninguna relación de confianza de autenticación.

Este escenario se consigue mediante el uso de la federación con proveedores de redes sociales o un código de acceso de un solo uso y un explorador web para la visualización.
No admite el envío de correo electrónico protegido cuando no existe ninguna relación de confianza de autenticación.
Compatibilidad con clientes Admite tanto la etiqueta unificada de AIP como los clientes clásicos para las actividades de protección y consumo. Admite el cliente de etiquetado Unificado de AIP solo para el consumo y requiere la instalación de la extensión de dispositivo móvil Active Directory Rights Management Services.

Admite el cliente de AIP clásico para las actividades de protección y consumo.
Multi-Factor Authentication (MFA) Admite MFA para equipos y dispositivos móviles.

Para más información, vea Multi-Factor Authentication (MFA) y Azure Information Protection.
Admite la autenticación de tarjeta inteligente si IIS está configurado para solicitar certificados.
Modo criptográfico Es compatible con el modo criptográfico 2 de forma predeterminada, para proporcionar un nivel de seguridad recomendado para las longitudes de clave y los algoritmos de cifrado. Es compatible con el modo criptográfico 1 de forma predeterminada y requiere una configuración adicional para admitir el modo criptográfico 2 para un nivel de seguridad recomendado.

Para obtener más información, vea AD RMS Cryptographic Modes (Modos criptográficos de AD RMS).
Licencias Requiere una licencia de Azure Information Protection o de Azure Rights Management con Microsoft 365 para proteger el contenido.

No se requiere ninguna licencia para consumir contenido protegido por AIP (incluye usuarios de otra organización).

Para obtener más información acerca de las licencias, incluidas las diferencias entre una licencia P1 y P2, consulte la lista de características del sitio Azure Information Protection.
Requiere una licencia de RMS para proteger el contenido y para consumir el contenido que ha protegido AD RMS.

Para obtener más información sobre las licencias, consulte licencias de acceso de cliente y licencias de administración para obtener información general, pero póngase en contacto con su asociado de Microsoft o representante de Microsoft para obtener información específica.

Controles criptográficos para firmas y cifrado

De manera predeterminada, Azure Information Protection usa RSA 2048 para toda la criptografía de claves públicas y SHA 256 para operaciones de firma. En comparación, AD RMS admite RSA 1024 y RSA 2048, y SHA 1 o SHA 256 para operaciones de firma.

Tanto Azure Information Protection como AD RMS usan AES 128 para el cifrado simétrico.

Azure Information Protection cumple con la normativa FIPS 140-2 cuando el tamaño de la clave de inquilino es de 2048 bits, el valor predeterminado cuando está activo el servicio Azure Rights Management.

Para más información sobre los controles criptográficos, consulte Controles criptográficos usados por Azure RMS: Longitudes de clave y algoritmos.

Pasos siguientes

Para conocer los requisitos más detallados para usar Azure Information Protection, como la compatibilidad de dispositivos y las versiones mínimas, consulte requisitos de Azure Information Protection.

Si desea migrar de AD RMS a Azure Information Protection, consulte migración de AD RMS a Azure Information Protection.

Introducción a Active Directory Rights Management Services extensión de dispositivos móviles.

Puede que le interesen las siguientes preguntas más frecuentes: