Confronto tra Azure Information Protection e AD RMS

Si applica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Se già si conosce o si è distribuito in precedenza Active Directory Rights Management Services (AD RMS), è possibile chiedersi quali siano le differenze con Azure Information Protection in termini di funzionalità e requisiti come soluzione di protezione delle informazioni.

Di seguito sono descritte alcune delle differenze principali di Azure Information Protection:

  • Nessuna infrastruttura server necessaria: Azure Information Protection non richiede i server aggiuntivi e i certificati PKI richiesti da AD RMS poiché vengono forniti da Microsoft Azure. Ciò rende questa soluzione cloud più veloce da distribuire e più semplice da gestire.

  • Autenticazione basata sul cloud: Azure Information Protection usa Azure AD per l'autenticazione di utenti interni e di utenti di altre organizzazioni. Ciò consente di eseguire l'autenticazione degli utenti mobili anche quando non sono connessi alla rete interna e rende più facile la condivisione di contenuto protetto con utenti di altre organizzazioni. Molte organizzazioni che eseguono servizi Azure o usano Office 365 hanno già account utente in Azure AD. In caso contrario, RMS per utenti singoli consente di creare un account gratuito. Per condividere contenuto protetto tramite AD RMS con un'altra organizzazione è necessario configurare trust espliciti con ogni organizzazione.

  • Supporto integrato per dispositivi mobili: non è necessaria alcuna modifica alla distribuzione di Azure RMS per supportare dispositivi mobili e computer Mac. Per supportare questi dispositivi con AD RMS, è necessario installare l'estensione per dispositivi mobili, configurare AD FS per la federazione e creare record aggiuntivi per il servizio DNS pubblico.

  • Modelli predefiniti: Azure Information Protection crea due modelli predefiniti al momento dell'attivazione del servizio di protezione consentendo di proteggere immediatamente i dati importanti. Non sono disponibili modelli predefiniti per AD RMS.

  • Modelli di reparto: Azure Information Protection supporta i modelli di reparto come impostazione di configurazione per modelli aggiuntivi creati. Questa impostazione consente di specificare gli utenti per i quali il modello è visibile nelle applicazioni client, ad esempio nelle app di Office, rendendo più semplice per gli utenti la selezione dei criteri corretti definiti per i diversi gruppi di utenti. AD RMS non supporta i modelli di reparto.

  • Rilevamento e revoca dei documenti: Azure Information Protection supporta queste funzionalità con il client Azure Information Protection, mentre AD RMS non le supporta.

  • Classificazione e assegnazione di etichette: Azure Information Protection supporta queste funzionalità con il client Azure Information Protection che si integra con le applicazioni di Office ed Esplora file, mentre AD RMS non le supporta.

Inoltre, poiché è un servizio cloud, Azure Information Protection può distribuire nuove funzionalità e correzioni in modo più rapido rispetto a una soluzione locale basata su server. Non sono previste nuove funzionalità per AD RMS in Windows Server 2016.

Per altre informazioni e differenze, vedere la tabella seguente per un confronto delle funzionalità e dei vantaggi offerti da Azure Information Protection e AD RMS. Per domande di confronto specifiche sulla sicurezza, vedere la sezione Controlli crittografici per la firma e la crittografia in questo articolo.

Nota

Per un confronto più agevole, alcune delle informazioni riportate di seguito sono tratte da Requisiti per Azure Information Protection. Fare riferimento a tale articolo per informazioni più specifiche sul supporto e le versioni di Azure Rights Management.

Azure Information Protection AD RMS
Supporta le funzionalità IRM (Information Rights Management) nei Microsoft Online Services come Exchange Online e SharePoint Online, nonché Office 365.

Supporta inoltre i prodotti server Microsoft locali, ad esempio Exchange Server, SharePoint Server e i file server che eseguono Windows Server e l'infrastruttura di classificazione file.
Supporta i prodotti server Microsoft locali, ad esempio Exchange Server, SharePoint Server e i file server che eseguono Windows Server e l'infrastruttura di classificazione file.
Consente il trust implicito tra le organizzazioni e gli utenti in qualsiasi organizzazione. Questo significa che è possibile condividere il contenuto protetto tra gli utenti all'interno della stessa organizzazione o in organizzazioni diverse quando gli utenti dispongono di Microsoft Office 365 o Azure Rights Management oppure si iscrivono a RMS per singoli. I trust devono essere definiti in modo esplicito in una relazione punto a punto diretta tra due organizzazioni mediante domini utente affidabili o trust federativi creati mediante Active Directory Federation Services (AD FS).
Fornisce due modelli predefiniti di criteri per i diritti di utilizzo che limitano l'accesso al contenuto per l'organizzazione: uno fornisce la visualizzazione in sola lettura del contenuto protetto e l'altro fornisce le autorizzazioni di scrittura o modifica del contenuto protetto.

È anche possibile creare modelli personalizzati, inclusi modelli di reparto, visibili solo per un sottoinsieme di utenti. Per altre informazioni, vedere Configurazione di modelli personalizzati per il servizio Azure Rights Management.

Gli utenti inoltre possono definire un proprio set di autorizzazioni se i modelli non sono sufficienti.
Non sono disponibili modelli predefiniti di criteri per i diritti di utilizzo, è quindi necessario creare e distribuirli. Per altre informazioni, vedere Considerazioni sui modelli di criteri di AD RMS.

Gli utenti inoltre possono definire un proprio set di autorizzazioni se i modelli non sono sufficienti.
La versione minima supportata di Microsoft Office è Office 2010, che richiede il client Azure Information Protection o l'applicazione RMS sharing.

Microsoft Office per Mac:

- Microsoft Office per Mac 2016: supportato

- Microsoft Office per Mac 2011: non supportato
La versione minima supportata di Microsoft Office è Office 2007.

Microsoft Office per Mac:

- Microsoft Office per Mac 2016: supportato

- Microsoft Office per Mac 2011: supportato
Supporta il client Azure Information Protection per Windows, iOS e Android. I computer Mac e i dispositivi Windows Phone continuano a essere supportati dall'app RMS sharing.

Il client Azure Information Protection supporta inoltre quanto segue:

- Condivisione con utenti di un'altra organizzazione.

- Sito di rilevamento dei documenti per gli utenti che include la possibilità di revocare un documento.
Supporta il client Azure Information Protection per Windows, iOS e Android. I computer Mac e i dispositivi Windows Phone continuano a essere supportati dall'app RMS sharing. Non sono tuttavia supportati la condivisione con persone di un'altra organizzazione, il sito di rilevamento dei documenti e la possibilità per gli utenti di revocare i documenti.
Con il client Azure Information Protection è possibile classificare e proteggere la maggior parte dei tipi di file.

Per altre applicazioni, controllare la tabella Requisiti per Azure RMS: applicazioni.
Con il client Azure Information Protection è possibile proteggere la maggior parte dei tipi di file.

Per altre applicazioni, controllare la tabella Requisiti per Azure RMS: applicazioni.
La versione minima supportata del client Windows è Windows 7 SP1. La versione minima supportata del client Windows è Windows Vista Service Pack 2.
Il supporto dei dispositivi mobili include Windows Phone, Android, iOS e Windows RT.

In tutte le piattaforme per dispositivi mobili che supportano il protocollo Exchange ActiveSync IRM è garantito anche il supporto per la posta elettronica tramite tale protocollo.
Il supporto dei dispositivi mobili include Windows Phone, Android, iOS e Windows RT e richiede l'estensione per dispositivo mobile di Active Directory Rights Management Services.

La posta elettronica mediante IRM di Exchange ActiveSync è supportata in tutte le piattaforme di dispositivi mobili che supportano questo protocollo.
Supporta Multi-Factor Authentication (MFA) per i computer e dispositivi mobili.

Per altre informazioni, vedere Multi-Factor Authentication (MFA) e Azure Information Protection.
Supporta l'autenticazione con smart card se IIS è configurato per richiedere i certificati.
Supporta la modalità crittografia 2 senza configurazioni aggiuntive, pertanto è garantita una sicurezza più avanzata per la lunghezza delle chiavi e gli algoritmi di crittografia.

Per altre informazioni, vedere la sezione Controlli crittografici per la firma e la crittografia di questo articolo e Modalità crittografia di AD RMS.
Supporta la modalità crittografia 1 per impostazione predefinita e richiede configurazioni aggiuntive per supportare la modalità crittografia 2 per una sicurezza più avanzata.

Per altre informazioni, vedere la sezione Controlli crittografici per la firma e la crittografia di questo articolo e Modalità crittografia di AD RMS.
Supporta la migrazione da AD RMS e, se richiesto, ad AD RMS:

- Migrazione da AD RMS ad Azure Information Protection

- Rimozione delle autorizzazioni e disattivazione di Azure Information Protection
Supporta la migrazione da e verso Azure Information Protection:

- Rimozione delle autorizzazioni e disattivazione di Azure Rights Management

- Migrazione da AD RMS ad Azure Information Protection
Per proteggere il contenuto, è richiesta una licenza di Azure Information Protection o Azure Rights Management con Office 365. Per utilizzare il contenuto protetto da Azure Information Protection (inclusi gli utenti di un'altra organizzazione) non è necessaria alcuna licenza.

Per altre informazioni, vedere l'elenco delle funzionalità nel sito Azure Information Protection.
Richiede una licenza di RMS per proteggere il contenuto e di utilizzare il contenuto protetto da RMS di AD.

Per ulteriori informazioni sulle licenze per AD RMS, vedere Licenze di accesso client e gestione delle licenze per informazioni di carattere generale, ma contattare il partner Microsoft o il rappresentante Microsoft per informazioni specifiche.

Controlli crittografici per la firma e la crittografia

Per impostazione predefinita, Azure Information Protection usa RSA 2048 per la crittografia a chiave pubblica e SHA 256 per le operazioni di firma. AD RMS invece supporta RSA 1024 e RSA 2048, nonché SHA 1 o SHA 256 per le operazioni di firma.

Azure Information Protection e AD RMS usano entrambi AES 128 per la crittografia simmetrica.

Azure Information Protection è conforme a FIPS 140-2 se la dimensione della chiave del tenant è 2048 bit, ovvero l'impostazione predefinita al momento dell'attivazione del servizio Azure Rights Management.

Per altre informazioni sui controlli crittografici, vedere Controlli crittografici usati in Azure RMS: algoritmi e lunghezze delle chiavi.

Passaggi successivi

Se si vuole passare da AD RMS ad Azure Information Protection, vedere Migrazione da AD RMS ad Azure Information Protection.

Commenti

Prima di inserire i commenti, esaminare le regole interne.