Azure Information Protection versus AD RMS

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection, Office 365

Als u Active Directory Rights Management Services (AD RMS) eerder hebt gebruikt of geïmplementeerd, wilt u wellicht weten wat de verschillen met Azure Information Protection zijn op het gebied van functionaliteit en vereisten als een oplossing voor informatiebescherming.

Enkele van de belangrijkste verschillen voor Azure Information Protection:

  • Er is geen serverinfrastructuur vereist: Voor Azure Information Protection zijn, in tegenstelling tot AD RMS, geen extra servers en PKI-certificaten vereist, omdat deze al worden verzorgd door Microsoft Azure. Hierdoor is deze cloudoplossing sneller te implementeren en gemakkelijker te onderhouden.

  • Cloudverificatie: Azure Information Protection gebruikt Azure AD voor de verificatie, zowel voor interne gebruikers als voor gebruikers van andere organisaties. Dit betekent dat uw mobiele gebruikers kunnen worden geverifieerd, zelfs wanneer ze niet zijn verbonden met uw interne netwerk. Bovendien is het eenvoudiger beveiligde inhoud te delen met gebruikers van andere organisaties. Veel organisaties hebben al gebruikersaccounts in Azure AD omdat ze Azure-services of Office 365 gebruiken. Maar als dit niet het geval is, kunnen gebruikers in RMS voor personen een gratis account maken. Als u met AD RMS beveiligde inhoud wilt delen met een andere organisatie, moet u expliciete vertrouwensrelaties configureren met elke organisatie.

  • Ingebouwde ondersteuning voor mobiele apparaten: Er zijn geen implementatiewijzigingen nodig voor Azure RMS om ondersteuning te kunnen bieden voor mobiele apparaten en Mac-computers. Als u deze apparaten wilt ondersteunen met AD RMS, moet u de extensie voor mobiele apparaten installeren, AD FS voor federatie configureren en extra records maken voor uw openbare DNS-service.

  • Standaardsjablonen: Zodra de beveiligingsservice is geactiveerd, maakt Azure Information Protection twee standaardsjablonen. Hierdoor is het zeer eenvoudig om meteen te beginnen met het beveiligen van belangrijke gegevens. Er zijn geen standaardsjablonen voor AD RMS.

  • Afdelingssjablonen: Azure Information Protection ondersteunt afdelingssjablonen als configuratie-instelling voor extra sjablonen die u maakt. Met deze instelling kunt u opgeven welke gebruikers de sjabloon zien in hun clienttoepassingen (zoals Office-apps), waardoor het voor hen gemakkelijker wordt om het juiste beleid te selecteren dat u hebt gedefinieerd voor verschillende groepen gebruikers. AD RMS biedt geen ondersteuning voor afdelingssjablonen.

  • Documenttracking en -intrekking: Azure Information Protection ondersteunt deze functies met de Azure Information Protection-client. AD RMS biedt deze ondersteuning niet.

  • Classificatie en labels: Azure Information Protection ondersteunt deze functies met de Azure Information Protection-client die is geïntegreerd in Office-toepassingen en de Bestandenverkenner. AD RMS biedt geen ondersteuning.

En omdat Azure Information Protection een cloudservice is, kan het nieuwe functies en oplossingen sneller leveren dan een on-premises serveroplossing. Er zijn geen nieuwe functies gepland voor AD RMS in Windows Server 2016.

Gebruik de volgende tabel met een vergelijking van de functies en voordelen van Azure Information Protection en AD RMS voor meer details en andere verschillen. Zie de sectie Cryptografische besturingselementen voor ondertekening en versleuteling in dit artikel als u beveiligingsspecifieke vergelijkingsvragen hebt.

Opmerking

Een deel van deze informatie hier wordt herhaald uit Vereisten voor Azure Information Protecion om deze vergelijking eenvoudiger te maken. Gebruik deze bron voor meer gedetailleerde informatie over ondersteuning en versies voor Azure Rights Management.

Azure Information Protection AD RMS
Ondersteunt mogelijkheden voor Information Rights Management (IRM) in Microsoft Online-services, zoals Exchange Online en SharePoint Online, en Office 365.

Ondersteunt ook on-premises Microsoft Server-producten, zoals Exchange Server, SharePoint Server en bestandsservers waarop Windows Server en Infrastructuur voor bestandsclassificatie (FCI) worden uitgevoerd.
Ondersteunt on-premises Microsoft Server-producten, zoals Exchange Server, SharePoint Server en bestandsservers waarop Windows Server en Infrastructuur voor bestandsclassificatie (FCI) worden uitgevoerd.
Maakt impliciete vertrouwensrelatie tussen organisaties en gebruikers in elke organisatie mogelijk. Dit betekent dat beveiligde inhoud kan worden gedeeld tussen gebruikers binnen dezelfde organisatie of tussen verschillende organisaties wanneer gebruikers Microsoft Office 365 of Azure Rights Management hebben, of gebruikers zich aanmelden voor RMS voor personen. Vertrouwensrelaties moeten expliciet zijn gedefinieerd in een directe punt-naar-puntrelatie tussen twee organisaties met vertrouwde gebruikersdomeinen (TUD’s) of federatieve vertrouwensrelaties die u maakt met Active Directory Federation Services (AD FS).
Biedt twee rechtenbeleidssjablonen waarmee toegang tot inhoud tot uw eigen organisatie wordt beperkt; een sjabloon die alleen-lezenweergave van beveiligde inhoud biedt, en een andere sjabloon die machtigingen biedt voor schrijven en wijzigen voor de beveiligde inhoud.

U kunt ook uw eigen aangepaste sjablonen maken, waaronder afdelingssjablonen die alleen zichtbaar zijn voor een gebruikerssubset. Zie Aangepaste sjablonen configureren voor Azure Rights Management voor meer informatie.

Als de sjablonen niet voldoen aan de behoeften, kunnen gebruikers bovendien hun eigen set machtigingen definiëren.
Als er geen standaardrechtenbeleidssjablonen zijn, moet u deze maken en vervolgens distribueren. Zie AD RMS Policy Template Considerations (Overwegingen voor AD RMS-beleidssjablonen) voor meer informatie.

Als de sjablonen niet voldoen aan de behoeften, kunnen gebruikers bovendien hun eigen set machtigingen definiëren.
De minimaal ondersteunde versie van Microsoft Office is Office 2010. Hiervoor is de Azure Information Protection-client of de RMS sharing-toepassing vereist.

Microsoft Office voor Mac:

- Microsoft Office voor Mac 2016: ondersteund

- Microsoft Office voor Mac 2011: niet ondersteund
De minimaal ondersteunde versie van Microsoft Office is Office 2007.

Microsoft Office voor Mac:

- Microsoft Office voor Mac 2016: ondersteund

- Microsoft Office voor Mac 2011: ondersteund
Ondersteunt de Azure Information Protection-client voor Windows, iOS en Android. De ondersteuning van Mac-computers en Windows-telefoons door de RMS sharing-app blijft gehandhaafd.

Daarnaast ondersteunt de Azure Information Protection-client het volgende:

- Delen met personen in een andere organisatie.

- Een site voor documenttracking voor gebruikers, die de mogelijkheid bevat voor het intrekken van een document.
Ondersteunt de Azure Information Protection-client voor Windows, iOS en Android. De ondersteuning van Mac-computers en Windows-telefoons door de RMS sharing-app blijft gehandhaafd. Delen biedt echter geen ondersteuning voor delen met personen in een andere organisatie of met de site voor documenttracking en de mogelijkheid voor gebruikers om documenten in te trekken.
De meeste bestandstypen kunnen worden geclassificeerd en beveiligd wanneer u de Azure Information Protection-client gebruikt.

Raadpleeg de tabel in Azure RMS-vereisten: toepassingen voor andere toepassingen.
De meeste bestandstypen kunnen worden beveiligd wanneer u de Azure Information Protection-client gebruikt.

Raadpleeg de tabel in Azure RMS-vereisten: toepassingen voor andere toepassingen.
De minimaal ondersteunde versie van de Windows-client is Windows 7 SP1. De minimaal ondersteunde versie van de Windows-client is Windows Vista Service Pack 2.
Ondersteuning voor mobiele apparaten omvat Windows Phone, Android, iOS en Windows RT.

E-mailondersteuning met Exchange ActiveSync IRM wordt ook ondersteund op alle platformen voor mobiele apparaten die ondersteuning bieden voor dit protocol.
Ondersteuning voor mobiele apparaten omvat Windows Phone, Android, iOS en Windows RT. Hiervoor is de extensie voor mobiele apparaten voor Active Directory Rights Management Services vereist.

E-mailondersteuning met Exchange ActiveSync IRM wordt ondersteund op alle platformen voor mobiele apparaten die ondersteuning bieden voor dit protocol.
Ondersteunt Multi-Factor Authentication (MFA) voor computers en mobiele apparaten.

Zie Multi-Factor Authentication (MFA) en Azure Information Protection voor meer informatie.
Ondersteunt smartcardauthenticatie als IIS is geconfigureerd voor het aanvragen van certificaten.
Ondersteunt cryptografische modus 2 zonder aanvullende configuratie, voor betere beveiliging voor sleutellengten en versleutelingsalgoritmen.

Zie de sectie Cryptografische besturingselementen voor ondertekening en versleuteling in dit artikel en AD RMS Cryptographic Modes (Cryptografische modi van AD RMS)voor meer informatie.
Ondersteunt standaard cryptografische modus 1. Voor ondersteuning voor cryptografische modus 2 en een betere beveiliging is aanvullende configuratie vereist.

Zie de sectie Cryptografische besturingselementen voor ondertekening en versleuteling in dit artikel en AD RMS Cryptographic Modes (Cryptografische modi van AD RMS)voor meer informatie.
Ondersteunt de migratie van AD RMS en indien nodig, naar AD RMS:

- Migreren van AD RMS naar Azure Information Protection

- Azure Information Protection uit bedrijf nemen en deactiveren
Ondersteunt de migratie van Azure Information Protection en naar Azure Information Protection:

- Azure Rights Management uit bedrijf nemen en deactiveren

- Migreren van AD RMS naar Azure Information Protection
Vereist een Azure Information Protection-licentie of Azure Rights Management-licentie met Office 365 om inhoud te beveiligen. U hebt geen licentie nodig om inhoud te gebruiken die is beveiligd door Azure Information Protection (inclusief gebruikers van een andere organisatie).

Raadpleeg de functielijst op de Azure Information Protection-site voor meer informatie.
Voor het beveiligen en het verbruiken van inhoud die is beveiligd door AD RMS is een RMS-licentie vereist.

Zie Client Access Licenses and Management Licenses (Licenties voor clienttoegang en beheerlicenties) voor algemene informatie over licenties voor AD RMS, maar neem contact op met uw Microsoft-partner of Microsoft-vertegenwoordiger voor specifieke informatie.

Cryptografische besturingselementen voor ondertekening en versleuteling

Azure Information Protection gebruikt standaard RSA 2048 voor alle cryptografie met openbare sleutels en SHA 256 voor ondertekening. Ter vergelijking: AD RMS ondersteunt RSA 1024 en RSA 2048, en SHA 1 of SHA 256 voor ondertekening.

Zowel Azure Information Protection als AD RMS gebruiken AES-128 voor symmetrische versleuteling.

Azure Information Protection voldoet aan FIPS 140-2 wanneer de grootte van uw tenant 2048 bits is; dit is standaard als de Azure Rights Management-service is geactiveerd.

Zie Cryptografische besturingselementen die worden gebruikt door Azure RMS: algoritmen en sleutellengten voor meer informatie over de cryptografische besturingselementen.

Volgende stappen

Zie Migreren van AD RMS naar Azure Information Protection als u wilt migreren van AD RMS naar Azure Information Protection.

Opmerkingen

Voordat u opmerking invoert, vragen we u onze regels door te lezen.