你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于商业和美国政府客户的云功能可用性

  • 项目

本文介绍 Microsoft Azure 和 Azure 政府云中的功能可用性。 以下安全服务的功能列为 GA(正式版)、公共预览版不可用

注意

本文中即将添加其他安全服务。

Azure Government

Azure 政府版使用与 Azure(有时称为 Azure 商业版或 Azure 公共版)相同的基础技术,其中包括基础结构即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS) 的核心组件。 Azure 和 Azure 政府版均实施全面的安全控制以及 Microsoft 对保护客户数据的承诺。

Azure 政府版拥有物理隔离的云环境,专用于美国联邦、州、地方、部落政府及其合作伙伴。 尽管 Azure 和 Azure 政府版云环境均在 FedRAMP High 影响级别进行评估和授权,但 Azure 政府版通过与在美国存储客户数据有关的合同承诺,并仅限经过筛选的美国人员才能访问处理客户数据的系统,为客户提供额外一层保护。 使用云来存储或处理受美国出口管制法规(如 EAR、ITAR 和 DoE 10 CFR 第 810 部分)限制的数据的客户可能会对这些承诺感兴趣。

有关 Azure 政府版的详细信息,请参阅什么是 Azure 政府版?

注意

这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。

Microsoft 365 集成

产品之间的集成依赖于 Azure 和 Office 平台之间的互操作性。 可从 Microsoft 365 企业版和 Microsoft 365 政府版平台访问 Azure 环境中托管的产品/服务。 Office 365 和 Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。

Microsoft 云的层次结构以及它们之间的相互关系如下图所示。

Microsoft 365 cloud integration.

Office 365 GCC 环境可帮助客户遵守 FedRAMP High、CJIS 和 IRS 1075 等美国政府要求。 Office 365 GCC High 和 DoD 环境可为需要遵守 DoD IL4/5、DFARS 7012、NIST 800-171 和 ITAR 的客户提供支持。

有关 Office 365 美国政府版环境的详细信息,请参阅:

以下各节标识了服务与 Microsoft 365 集成的时间以及 Office 365 GCC、Office 365 High 和 Office 365 DoD 的功能可用性。

Azure 信息保护

Azure 信息保护 (AIP) 是一种基于云的解决方案,可帮助组织通过将标签应用到内容来对文档和电子邮件进行发现、分类和保护。

AIP 是 Microsoft Purview 信息保护 (MIP) 解决方案的一部分,并扩展了 Microsoft 365 提供的标记分类功能。

有关详细信息,请参阅 Azure 信息保护产品文档

  • Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。 请务必注意 Azure 环境,以了解可实现互操作性之处。 在下表中,无法实现的互操作性以破折号 (-) 进行标记,表示不相关的支持。

  • GCC-High 和 DoD 客户需要完成额外的配置。 有关详细信息,请参阅 Azure 信息保护高级政府服务说明

注意

表下方的脚注中列出了有关对政府客户的支持的更多详细信息。

为 GCC High 和 DoD 客户配置 Azure 信息保护所要执行的额外步骤。 有关详细信息,请参阅 Azure 信息保护高级政府服务说明

功能/服务 Azure Azure Government
Azure 信息保护扫描程序1
- Office 365 GCC GA -
- Office 365 GCC High - GA
- Office 365 DoD - GA
管理
用于扫描程序管理的 Azure 信息保护门户
- Office 365 GCC GA -
- Office 365 GCC High - GA
- Office 365 DoD - GA
分类和标记2
用于将默认标签应用于本地文件服务器/存储库中所有文件的 AIP 扫描程序
- Office 365 GCC GA -
- Office 365 GCC High - GA
- Office 365 DoD - GA
用于自动分类、标记和保护受支持本地文件的 AIP 扫描程序
- Office 365 GCC GA -
- Office 365 GCC High - GA
- Office 365 DoD - GA

1 在没有 Office 365 的情况下,扫描程序可以运行以便仅扫描文件。 在没有 Office 365 的情况下,扫描程序无法将标签应用于文件。

2 分类和标记加载项仅支持使用 Microsoft 365 应用(9126.1001 或更高版本,包括 Professional Plus (ProPlus) 和 Click-to-Run (C2R) 版本)的政府客户。 不支持 Office 2010,Office 2013 和其他 Office 2016 版本。

Office 365 功能

功能/服务 Office 365 GCC Office 365 GCC 高级版 Office 365 DoD
管理
- 用于 RMS 服务管理的 PowerShell GA GA GA
- 用于 AIP UL 客户端批量操作的 PowerShell
SDK
- MIP 和 AIP 软件开发工具包 (SDK) GA GA GA
自定义
- 文档跟踪和吊销 GA 不可用 不可用
密钥管理
- 创建自己的密钥 (BYOK) GA GA GA
- 双重密钥加密 (DKE) GA GA GA
Office 文件3
- Microsoft Exchange Online、Microsoft SharePoint Online 和 Microsoft OneDrive for Business 保护 GA GA 4 GA 4
- 通过 Rights Management 连接器保护本地 Exchange 和 SharePoint 内容 GA 5 GA 6 GA 6
- Office 365 消息加密 GA GA GA
- 将标签设置为在 Outlook 中自动应用预配置的 M/MIME 保护 GA GA GA
- 控制使用 Outlook 时的信息过度共享 GA GA 7 GA 7
分类和标记2 / 8
- 自定义模板,包括部门模板 GA GA GA
- 手动、默认和强制文档分类 GA GA GA
- 配置自动分类和建议分类的条件 GA GA GA
- 保护非 Microsoft Office文件格式,包括 PTXT、PJPG 和 PFILE(常规保护) GA GA GA

3 AD RMS 的移动设备扩展目前不适用于政府客户。

4 目前无法在 SharePoint Online 中使用 Information Rights Management(IRM 保护的站点和库)。

5 Information Rights Management (IRM) 仅支持 Microsoft 365 应用(9126.1001 或更高版本),包括 Professional Plus (ProPlus) 和 Click-to-Run (C2R) 版本。 不支持 Office 2010,Office 2013 和其他 Office 2016 版本。

6 仅支持内部部署 Exchange。 不支持 Outlook 保护规则。 不支持文件分类基础结构。 不支持内部部署 SharePoint。

7 目前无法与商业云中的用户共享政府云中的受保护文档和电子邮件。 包括商业云中的 Microsoft 365 应用用户、商业云中的非 Microsoft 365 应用用户,以及使用 RMS 个人许可证的用户。

8 Microsoft Purview 合规性门户的敏感信息类型数量因区域而异。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 是一个统一的基础结构安全管理系统,可以增强数据中心的安全态势,以及为云中(无论是否在 Azure 中)和本地的混合工作负载提供高级威胁防护。

有关详细信息,请参阅 Microsoft Defender for Cloud 产品文档

下表显示 Azure 和 Azure 政府中当前 Defender for Cloud 的功能可用性。

功能/服务 Azure Azure Government
Microsoft Defender for Cloud 免费功能
  • 连续导出
    		•  GA GA
  • 工作流自动化
    		•  GA GA
  • 建议例外规则
    		•  公共预览版 不可用
  • 警报抑制规则
    		•  GA GA
  • 安全警报的电子邮件通知
    		•  GA GA
  • 代理和扩展的自动预配
    		•  GA GA
  • 资产清单
    		•  GA GA
  • Microsoft Defender for Cloud 工作簿库中的 Azure Monitor 工作簿报表
    		•  GA GA
    Microsoft Defender 计划和扩展
  • 适用于服务器的 Microsoft Defender
    		•  GA GA
  • 适用于应用服务的 Microsoft Defender
    		•  GA 不可用
  • 适用于 DNS 的 Microsoft Defender
    		•  不适用于新订阅 不适用于新订阅
  • 适用于容器的 Microsoft Defender9
    		•  GA GA
  • 适用于容器注册表的 Microsoft Defender1(已弃用)
    		•  GA GA 2
  • 扫描 CI/CD 工作流中映像的适用于容器注册表的 Microsoft Defender3
    		•  公共预览版 不可用
  • Microsoft Defender for Kubernetes4(已弃用)
    		•  GA GA
  • 适用于已启用 Arc 的 Kubernetes、服务器或数据服务的 Defender 扩展5
    		•  公共预览版 不可用
  • 适用于 Azure SQL 数据库服务器的 Microsoft Defender
    		•  GA GA
  • 计算机上适用于 SQL 服务器的 Microsoft Defender
    		•  GA GA
  • 适用于开放源代码关系数据库的 Microsoft Defender
    		•  GA 不可用
  • 适用于 Key Vault 的 Microsoft Defender
    		•  GA 不可用
  • 适用于资源管理器的 Microsoft Defender
    		•  GA GA
  • 适用于存储的 Microsoft Defender6
    		•  GA GA(活动监视)
  • Microsoft Defender for Azure Cosmos DB
    		•  GA 不可用
  • Kubernetes 工作负载保护
    		•  GA GA
  • 使用 Microsoft Sentinel 进行双向警报同步
    		•  公共预览版 公共预览版
    适用于服务器的 Microsoft Defender 功能7
  • 恰时 VM 访问
    		•  GA GA
  • 文件完整性监视
    		•  GA GA
  • 自适应应用程序控制
    		•  GA GA
  • 自适应网络强化
    		•  GA 不可用
  • Docker 主机强化
    		•  GA GA
  • 计算机的集成漏洞评估
    		•  GA 不可用
  • 合规性仪表板和报表8
    		•  GA GA
  • Microsoft Defender for Endpoint 部署和集成许可证
    		•  GA GA
  • 连接 AWS 帐户
    		•  GA 不可用
  • 连接 GCP 帐户
    		•  GA 不可用

    1 部分 GA:禁用漏洞扫描的特定发现的功能处于公共预览状态。

    2 Azure Gov 上容器注册表的漏洞扫描只能通过“推送扫描”功能来执行。

    3 需要适用于容器注册表的 Microsoft Defender。

    4 部分正式发布:对已启用 Azure Arc 的群集的支持现为公共预览版,不可用于 Azure 政府。

    5 需要 Microsoft Defender for Kubernetes。

    6 部分 GA:适用于存储的 Microsoft Defender 中的部分威胁防护警报处于公共预览状态。

    7 这些功能都需要适用于服务器的 Microsoft Defender

    8 每个云类型提供的标准可能存在差异。

    9 部分 GA:对启用了 Arc 的 Kubernetes 群集(因此也包括 AWS EKS)的支持处于公开预览状态,在 Azure 政府中不可用。 容器映像中漏洞的运行时可见性也是一项预览功能。

    Microsoft Sentinel

    Microsoft Sentinel 是可缩放的云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

    有关详细信息,请参阅 Microsoft Sentinel 产品文档

    有关 Azure、Azure 政府和 Azure 中国世纪互联中的 Microsoft Sentinel 功能可用性,请参阅对 Azure 云的 Microsoft Sentinel 功能支持

    Microsoft Purview 数据连接器

    Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。

    提示

    请务必注意 Azure 环境,以了解可实现互操作性之处。 在下表中,无法实现的互操作性以破折号 (-) 进行标记,表示不相关的支持。

    连接器 Azure Azure Government
    Office IRM
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    Dynamics 365
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    Microsoft Defender XDR
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 公共预览版
    - Office 365 DoD - 公共预览版
    Microsoft Defender for Cloud Apps
    - Office 365 GCC GA -
    - Office 365 GCC High - GA
    - Office 365 DoD - GA
    Microsoft Defender for Cloud Apps
    影子 IT 日志
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 公共预览版
    - Office 365 DoD - 公共预览版
    Microsoft Defender for Cloud Apps
    警报
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 公共预览版
    - Office 365 DoD - 公共预览版
    用于终结点的 Microsoft Defender
    - Office 365 GCC GA -
    - Office 365 GCC High - GA
    - Office 365 DoD - GA
    Microsoft Defender for Identity
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    Microsoft Defender for Office 365
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    - Microsoft Power BI-
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    - Microsoft Project-
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用
    Office 365
    - Office 365 GCC GA -
    - Office 365 GCC High - GA
    - Office 365 DoD - GA
    Teams
    - Office 365 GCC 公共预览版 -
    - Office 365 GCC High - 不可用
    - Office 365 DoD - 不可用

    Microsoft Defender for IoT

    Microsoft Defender for IoT 使你可以通过在所有 IoT/OT 设备上提供全面的安全来加速 IoT/OT 创新。 对于最终用户组织,Microsoft Defender for IoT 提供无代理网络层安全性,可快速部署、使用各种工业设备,以及与 Microsoft Sentinel 和其他 SOC 工具互操作。 部署在本地或与 Azure 连接的环境中。 对于 IoT 设备生成器,Microsoft Defender for IoT 安全代理使你可以直接在新的 IoT 设备和 Azure IoT 项目中构建安全性。 微代理具有灵活的部署选项,包括以二进制包进行部署或修改源代码的功能。 微代理适用于标准 IoT 操作系统,如 Linux 和 Azure RTO。 有关详细信息,请参阅 Microsoft Defender for IoT 产品文档

    下表显示 Azure 和 Azure 政府中当前 Microsoft Defender for IoT 的功能可用性。

    对于组织

    功能 Azure Azure Government
    本地设备发现和清单 GA GA
    漏洞管理 GA GA
    通过 IoT 和 OT 行为分析进行威胁检测 GA GA
    手动和自动威胁情报更新 GA GA
    通过 SIEM、SOAR 和 XDR 统一 IT 和 OT 安全性
    Active Directory GA GA
    ArcSight GA GA
    ClearPass(警报和清单) GA GA
    CyberArk PSM GA GA
    电子邮件 GA GA
    FortiGate GA GA
    FortiSIEM GA GA
    Microsoft Sentinel GA GA
    NetWitness GA GA
    Palo Alto NGFW GA GA
    Palo Alto Panorama GA GA
    ServiceNow(警报和清单) GA GA
    SNMP MIB 监视 GA GA
    Splunk GA GA
    SYSLOG 服务器(CEF 格式) GA GA
    SYSLOG 服务器(LEEF 格式) GA GA
    SYSLOG 服务器(对象) GA GA
    SYSLOG 服务器(文本消息) GA GA
    Web 回调 (Webhook) GA GA

    对于设备构建者

    功能 Azure Azure Government
    适用于 Azure RTOS 的微代理 GA GA
    使用 Microsoft Defender for IoT 配置 Sentinel GA GA
    适用于 Linux 的独立微代理概述
    独立代理二进制安装 公共预览版 公共预览版

    Azure 证明

    Microsoft Azure 证明是一个统一的解决方案,用于远程验证平台的可信度和在该平台中运行的二进制文件的完整性。 该服务从平台接收证据,根据安全标准对其进行验证,根据可配置的策略对其进行评估,并为基于声明的应用程序(例如,信赖方、审核机构)生成证明令牌。

    Azure 证明目前已在多个区域的 Azure 公有云和政府云中推出。 在 Azure 政府云中,该服务已在 US Gov 弗吉尼亚州和 US Gov 亚利桑那州推出预览版。

    有关详细信息,请参阅 Azure 证明公共文档

    功能 Azure Azure Government
    用于执行控制平面和数据平面操作的门户体验 GA -
    用于执行控制平面和数据平面操作的 PowerShell 体验 GA GA
    强制执行 TLS 1.2 GA GA
    BCDR 支持 GA -
    服务标记集成 GA GA
    不可变日志存储 GA GA
    使用专用链接实现网络隔离 公共预览版 -
    FedRAMP High 认证 GA -
    客户密码箱 GA -

    后续步骤