备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
Azure 信息保护加载项已停用,并已替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态。
如果以前部署了 Active Directory Rights Management Services(AD RMS),则可能想知道 Azure Rights Management 服务 在功能和要求方面如何作为信息保护解决方案进行比较。
Azure Rights Management 服务的一些主要区别包括:
| 差 | 说明 |
|---|---|
| 不需要服务器基础结构 | Azure Rights Management 服务不需要 AD RMS 需要的额外服务器和 PKI 证书,因为 Azure 会照顾这些要求。 因而这一云解决方案可以更快部署且更易维护。 |
| 基于云的身份验证 | Azure Rights Management 服务使用 Microsoft Entra ID 进行身份验证 - 对于来自其他组织的内部用户和用户。 这意味着,即使用户未连接到内部网络,也更容易与其他组织中的用户共享加密内容。 许多组织运行 Azure 服务或使用 Microsoft 365,所以在 Microsoft Entra ID 中已拥有用户帐户。 如果没有,Microsoft 账户或个人 RMS 允许用户创建试用进行身份验证。 相比之下,若要与另一个组织共享 AD RMS 受保护内容,你必须为每个组织配置显式信任关系。 |
| 对移动设备的内置支持 | Azure Rights Management 服务无需进行部署更改即可支持移动设备和 Mac 计算机。 若要通过 AD RMS 支持这些设备,必须安装移动设备扩展,为联合身份验证配置 Active Directory 联合身份验证服务(AD FS),并为公共 DNS 服务创建额外的记录。 |
| 默认模板 | Azure Rights Management 服务会自动创建默认模板,用于限制对你自己的组织的内容的访问。 使用这些模板,可以轻松地立即开始保护敏感数据。 AD RMS 无默认模板。 |
| 文档跟踪和吊销 | 只有 Azure Rights Management 服务支持 这些功能。 |
| 分类和标记 | Azure Rights Management 服务与来自 Microsoft Purview 信息保护和其他 Microsoft Purview 功能的敏感度标签集成。 这些标签应用分类和(可选)保护作,包括来自 Azure Rights Management 服务的加密。 敏感度标签内置于Microsoft 365 个应用和服务中,无需进行额外的安装。 (可选)使用 Microsoft Purview 信息保护客户端 将标签扩展到所有文件类型,使用 PowerShell 实现自动化,以及用于本地数据存储的扫描程序。 AD RMS 不支持这些分类和标记功能。 |
此外,由于 Azure Rights Management 服务是云服务,因此它可以比基于本地服务器的解决方案更快地提供新功能和修补程序。 Windows Server 中没有为 AD RMS 计划的任何新功能。
AIP 与 AD RMS 之间的详细对比
若要获得更多详细信息,请使用下表进行并排对比。
如果你有安全方面的比较问题,请参阅本文中的签名和加密的加密控制。
| 差 | Rights Management 服务 | AD RMS |
|---|---|---|
| 信息权限管理(IRM) | 在 Microsoft Online Services 和本地 Microsoft 服务器产品中都支持 IRM 功能。 | 支持将 IRM 功能用于本地 Microsoft 服务器产品和 Exchange Online。 |
| 安全协作 | 自动启用与任何也使用 Microsoft Entra ID 进行身份验证的组织的安全文档协作。 | 在组织外部实现文档的安全协作要求在两个组织之间以直接点对点的关系显式定义身份验证信任。 必须配置受信任的用户域 (TUD) 或使用 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。 |
| 加密的电子邮件 | 在不存在身份验证信任关系时,向用户发送加密的电子邮件(可选,使用自动加密的 Office 和 PDF 文档附件)。 使用联合与社交提供程序或一次性密码和 Web 浏览器进行查看时可能需要采取这种操作。 |
不支持在不存在身份验证信任关系时发送加密电子邮件。 |
| 多重身份验证 (MFA) | 支持将 MFA 用于计算机和移动设备。 有关详细信息,请参阅多重身份验证(MFA)。 |
如果将 IIS 配置为请求证书,将支持智能卡身份验证。 |
| 加密模式 | 默认情况下支持加密模式 2,针对密钥长度和加密算法提供建议的安全级别。 | 默认情况下支持加密模式 1,需要额外配置才能支持加密算法 2 来提供建议的安全级别。 有关详细信息,请参阅 AD RMS Cryptographic Modes(AD RMS 加密模式)。 |
| 许可 | 需要使用 Microsoft 365 加密内容的 Microsoft Purview 信息保护许可证。 无需许可证即可使用受 Azure Rights Management 服务保护的内容(包括来自另一个组织的用户)。 |
需要 RMS 许可证来加密内容,并使用 AD RMS 加密的内容。 若要了解有关许可的详细信息,请参阅客户端访问许可证和管理许可证来获取一般信息,但是对于特定信息,请联系 Microsoft 合作伙伴或 Microsoft 代表。 |
对签名和加密的加密控制
默认情况下,Azure Rights Management 服务对所有公钥加密使用 RSA 2048,SHA 256 用于签名作。 相比之下,AD RMS 支持 RSA 1024 和 RSA 2048,还将 SHA 1 或 SHA 256 用于签名操作。
Azure Rights Management 服务和 AD RMS 都使用 AES 128 进行对称加密。
当租户密钥大小为 2048 位时,Azure Rights Management 服务符合 FIPS 140-2,这是激活服务时的默认值。
有关加密控制的详细信息,请参阅 加密控制:算法和密钥长度。
后续步骤
有关使用 Azure Rights Management 服务的更详细要求,请参阅 Azure Rights Management 服务的要求。