比较 Azure 信息保护与 AD RMS
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态。
如果你了解或以前部署过 Active Directory Rights Management Services (AD RMS),你可能想知道 Azure 信息保护作为信息保护解决方案在功能和要求方面与它相比有何差别。
Azure 信息保护的一些主要差异包括:
| 差 | 说明 |
|---|---|
| 不需要服务器基础结构 | Azure 信息保护不需要 AD RMS 所需的额外服务器和 PKI 证书,因为 Azure 会满足这些要求。 因而这一云解决方案可以更快部署且更易维护。 |
| 基于云的身份验证 | 对于内部用户和其他组织的用户,Azure 信息保护均使用 Microsoft Entra ID 进行身份验证。 这意味着,即使用户未连接到内部网络,也可以对其进行身份验证,并且可以让其更轻松地与其他组织的用户共享受保护的内容。 许多组织运行 Azure 服务或使用 Microsoft 365,所以在 Microsoft Entra ID 中已拥有用户帐户。 但是如果没有,个人的 RMS 可以让用户创建一个试用帐户,或者 Microsoft 帐户可以用于支持此 Azure 信息保护身份验证的应用程序。 相比之下,若要与另一个组织共享 AD RMS 受保护内容,你必须为每个组织配置显式信任关系。 |
| 对移动设备的内置支持 | 利用 Azure 信息保护来支持移动设备和 Mac 计算机无需更改部署。 若要使 AD RMS 支持这些设备,必须安装移动设备扩展、配置 AD FS 以便进行联合身份验证,并为公共 DNS 服务创建其他记录。 |
| 默认模板 | Azure 信息保护会自动创建默认模板,仅允许你自己的组织访问内容。 使用这些模板,可以轻松地立即开始保护敏感数据。 AD RMS 无默认模板。 |
| 部门模板 | 亦称为“作用域内模板”。 Azure 信息保护支持将部门模板用于用户创建的额外模板。 通过此配置,可指定部分用户在其客户端应用程序中看到特定模板。 通过限制用户可查看的模板数量,使他们更容易选择你为不同用户组定义的正确策略。 AD RMS 不支持部门模板。 |
| 文档跟踪和吊销 | Azure 信息保护只通过 Rights Management 服务支持这些功能 |
| 分类和标记 | Azure 信息保护支持那些应用分类和保护(可选)的标签。 使用 AIP 客户端将分类和标记与 Office 应用程序、文件资源管理器、PowerShell 以及用于本地数据存储的扫描程序集成。 AD RMS 不支持这些分类和标记功能。 |
此外,由于 Azure 信息保护是一项云服务,因此与基于本地服务器的解决方案相比,它可以更快交付新功能和修补程序。 Windows Server 中没有为 AD RMS 规划的新功能。
AIP 与 AD RMS 之间的详细对比
若要获得更多详细信息,请使用下表进行并排对比。
如果你有安全方面的比较问题,请参阅本文中的签名和加密的加密控制。
| 差 | Azure 信息保护 | AD RMS |
|---|---|---|
| 信息权限管理(IRM) | 在 Microsoft Online Services 和本地 Microsoft 服务器产品中都支持 IRM 功能。 | 支持将 IRM 功能用于本地 Microsoft 服务器产品和 Exchange Online。 |
| 安全协作 | 自动启用与任何也使用 Microsoft Entra ID 进行身份验证的组织的安全文档协作。 | 在组织外部实现文档的安全协作要求在两个组织之间以直接点对点的关系显式定义身份验证信任。 必须配置受信任的用户域 (TUD) 或使用 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。 |
| 受保护的电子邮件 | 如果不存在任何身份验证信任关系,则向用户发送受保护的电子邮件(可选择附加自动受到保护的 Office 文档附件)。 使用联合与社交提供程序或一次性密码和 Web 浏览器进行查看时可能需要采取这种操作。 |
如果不存在任何身份验证信任关系,则不支持发送受保护的电子邮件。 |
| 客户端支持 | 支持 AIP 统一标记客户端。 | 仅支持 AIP 统一标记客户端进行使用活动,并且需要安装 Active Directory Rights Management Services 移动设备扩展。 |
| 多重身份验证 (MFA) | 支持将 MFA 用于计算机和移动设备。 有关详细信息,请参阅多重身份验证 (MFA) 和 Azure 信息保护。 |
如果将 IIS 配置为请求证书,将支持智能卡身份验证。 |
| 加密模式 | 默认情况下支持加密模式 2,针对密钥长度和加密算法提供建议的安全级别。 | 默认情况下支持加密模式 1,需要额外配置才能支持加密算法 2 来提供建议的安全级别。 有关详细信息,请参阅 AD RMS Cryptographic Modes(AD RMS 加密模式)。 |
| 许可 | 需要使用 Microsoft 365 的 Azure 信息保护许可证或 Azure Rights Management 许可证来保护内容。 无需许可证即可使用已受 AIP(包括另一个组织的用户)保护的内容。 |
需要 RMS 许可证,才能保护内容以及使用已受 AD RMS 保护的内容。 若要了解有关许可的详细信息,请参阅客户端访问许可证和管理许可证来获取一般信息,但是对于特定信息,请联系 Microsoft 合作伙伴或 Microsoft 代表。 |
对签名和加密的加密控制
默认情况下,Azure 信息保护将 RSA 2048 用于所有公钥加密,将 SHA 256 用于签名操作。 相比之下,AD RMS 支持 RSA 1024 和 RSA 2048,还将 SHA 1 或 SHA 256 用于签名操作。
Azure 信息保护和 AD RMS 都将 AES 128 用于对称加密。
租户密钥大小为 2048 位时,Azure 信息保护符合 FIPS 140-2,这是激活 Azure Rights Management 服务时的默认设置。
有关加密控制的详细信息,请参阅 Azure RMS 使用的加密控制:算法和密钥长度。
后续步骤
若要更详细地了解使用 Azure 信息保护时的要求,例如设备支持和最低版本,请参阅 Azure 信息保护的要求。
你可能还对以下常见问题解答感兴趣: