比较 Azure 信息保护和 AD RMS

适用于:Active Directory Rights Management Services、Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

如果知道或之前已Active Directory Rights Management Services (AD RMS) ,你可能想知道 Azure 信息保护如何将功能和要求作为信息保护解决方案进行比较。

Azure 信息保护的一些主要区别包括:

差异 说明
无需服务器基础结构 Azure 信息保护不需要 AD RMS 所需的其他服务器和 PKI 证书,Microsoft Azure这些证书。

这使得此云解决方案部署更快、维护更轻松。
基于云的身份验证 Azure 信息保护使用Azure AD身份验证 - 适用于内部用户和其他组织的用户。

这意味着,即使用户未连接到内部网络,也可以进行身份验证,并且可以更轻松地与其他组织的用户共享受保护的内容。

许多组织已拥有用户帐户,Azure AD运行 Azure 服务或拥有Microsoft 365。 但如果没有,个人 RMS 允许用户创建一个免费帐户,或者 Microsoft 帐户可用于支持 Azure信息保护的此身份验证的应用程序。

相比之下,若要与另一个组织共享受 AD RMS 保护的内容,必须与每个组织配置显式信任。
对移动设备的内置支持 Azure 信息保护无需部署更改,支持移动设备和 Mac 计算机。

若要使用 AD RMS 支持这些设备,必须安装移动设备扩展,配置 AD FS 进行联合身份验证,并创建公共 DNS 服务的其他记录。
默认模板 Azure 信息保护会自动创建默认模板,用于限制向自己的组织访问内容。 使用这些模板可以轻松立即开始保护敏感数据。

AD RMS 没有默认模板。
部门模板 也称为作用域模板。 Azure 信息保护支持创建的其他模板的部门模板。

此配置允许指定一部分用户,以查看其客户端应用程序中的特定模板。 限制用户看到的模板数量可让用户更轻松地选择为不同用户组定义的正确策略。

AD RMS 不支持部门模板。
文档跟踪和吊销 Azure 信息保护仅支持 Azure 信息保护经典客户端的这些功能,而 AD RMS 则完全不支持。
分类和标签 Azure 信息保护支持应用分类和选择性保护的标签。 这些功能同时提供 AIP 统一标签和经典客户端

使用 AIP 客户端将分类和标签Office应用程序、文件资源管理器、PowerShell 和扫描程序集成到本地数据存储。

AD RMS 不支持这些分类和标签功能。

此外,由于 Azure 信息保护是一种云服务,因此它比基于本地服务器的解决方案更快速地提供新功能和修复。 未计划在 Windows Server 中为 AD RMS Windows功能。

AIP 和 AD RMS 之间的详细比较

有关详细信息,请使用下表进行并排比较。

如果有特定于安全性的比较问题,请参阅本文中的加密 控制签名 和加密部分。

差异 Azure 信息保护 AD RMS
信息权限管理 (IRM) 支持 Microsoft Online 服务和本地 Microsoft 服务器产品的 IRM 功能。 支持本地 Microsoft 服务器产品的 IRM 功能,Exchange Online。
安全协作 自动启用与同样使用 Azure AD 进行身份验证的任何组织对文档进行安全协作。 组织外部文档的安全协作要求在两个组织之间的直接点到点关系中显式定义身份验证信任。

必须使用 Active Directory 联合身份验证服务 (AD FS) 配置受信任的用户域或联合 (元) 。
受保护的电子邮件 可选择向用户发送 (电子邮件附件,Office不存在身份验证信任关系时,) 自动保护的文档附件发送给用户。

此方案通过使用与社交提供商联合,或者使用一次密码和 Web 浏览器进行查看。
不支持在不存在身份验证信任关系时发送受保护的电子邮件。
客户端支持 支持 AIP 统一标签和经典客户端,用于保护和使用活动。 仅支持使用 AIP 统一标签客户端,并且要求安装Active Directory Rights Management Services扩展。

支持 AIP 经典客户端进行保护和使用活动。
多重身份验证 (MFA) 支持计算机和移动设备的 MFA。

有关详细信息,请参阅多重身份验证 (MFA) Azure 信息保护
如果 IIS 配置为请求证书,则支持智能卡身份验证。
加密模式 默认支持加密模式 2,为密钥长度和加密算法提供建议的安全级别。 默认支持加密模式 1,需要其他配置来支持加密模式 2,提供建议的安全级别。

有关详细信息,请参阅 AD RMS 加密模式
许可 需要 Azure 信息保护许可证或 Azure Rights Management 许可证Microsoft 365保护内容。

使用受 AIP 保护的内容不需要许可证 (来自另一个组织的用户) 。

有关许可(包括 P1 和 P2 许可证之间的差异)详细信息,请参阅 Azure信息保护站点中的功能列表。
需要 RMS 许可证才能保护内容,以及使用受 AD RMS 保护的内容。

有关许可详细信息,请参阅 客户端访问许可证和管理 许可证了解一般信息,但请联系 Microsoft 合作伙伴或 Microsoft 代表获取特定信息。

用于签名和加密的加密控件

默认情况下,Azure 信息保护将 RSA 2048 用于所有公钥加密,将 SHA 256 用于签名操作。 相比之下,AD RMS 支持 RSA 1024 和 RSA 2048,SHA 1 或 SHA 256 用于签名操作。

Azure 信息保护和 AD RMS 都使用 AES 128 进行对称加密。

当租户密钥大小为 2048 位时,Azure 信息保护符合 FIPS 140-2,这是激活 Azure Rights Management 服务时默认设置。

有关加密控件详细信息,请参阅 Azure RMS 使用的加密控件:算法和密钥长度

下一步

有关使用 Azure 信息保护的更详细要求,例如设备支持和最低版本,请参阅 Azure 信息保护的要求

若要从 AD RMS 迁移到 Azure 信息保护,请参阅 从 AD RMS 迁移到 Azure 信息保护

移动设备扩展Active Directory Rights Management Services入门

你可能对以下常见问题感兴趣: