Azure信息保護(hù)與AD RMS對比分析

1、Azure 信息保護(hù)與 AD RMS對比分析如果你了解或以前部署過 Active Directory Rights Management Services (AD RMS)，你可能想知道 Azure 信息保護(hù)作為信息保護(hù)解決方案在功能和要求方面與它相比有何差別。Azure 信息保護(hù)的一些主要差異：不需要服務(wù)器基礎(chǔ)結(jié)構(gòu)：Azure 信息保護(hù)不需要 AD RMS 所需的額外服務(wù)器和 PKI 證書，因?yàn)?Microsoft Azure 將處理這些內(nèi)容。 因而這一云解決方案可以更快部署且更易維護(hù)?；谠频纳矸蒡?yàn)證：對于內(nèi)部用戶和來自其他組織的用戶，Azure 信息保護(hù)都使用 Azure AD 進(jìn)行身份

2、驗(yàn)證。 這意味著即使移動(dòng)用戶未連接到你的內(nèi)部網(wǎng)絡(luò)，也可對其進(jìn)行身份驗(yàn)證，并且你可以更輕松地與來自其他組織的用戶共享受保護(hù)的內(nèi)容。 許多組織由于運(yùn)行 Azure 服務(wù)或使用 Office 365，因而在 Azure AD 中已擁有用戶帳戶。 但如果沒有，用戶可通過個(gè)人 RMS 創(chuàng)建免費(fèi)帳戶。 若要與其他組織共享受 AD RMS 保護(hù)的內(nèi)容，則需要對每個(gè)組織配置顯式信任。對移動(dòng)設(shè)備的內(nèi)置支持：無需進(jìn)行部署更改，Azure RMS 即可支持移動(dòng)設(shè)備和 Mac 計(jì)算機(jī)。 若要使 AD RMS 支持這些設(shè)備，必須安裝移動(dòng)設(shè)備擴(kuò)展、配置 AD FS 以便進(jìn)行聯(lián)合身份驗(yàn)證，并為公共 DNS 服務(wù)創(chuàng)建其他記錄

3、。默認(rèn)模板：激活 Azure 信息保護(hù)后，該保護(hù)服務(wù)將創(chuàng)建兩個(gè)默認(rèn)模板，讓你可以非常輕松地立即開始保護(hù)重要數(shù)據(jù)。 AD RMS 無默認(rèn)模板。部門模板：Azure 信息保護(hù)支持部門模板，它是你所創(chuàng)建額外模板的一項(xiàng)配置設(shè)置。 此設(shè)置允許指定可以在其客戶端應(yīng)用程序（例如 Office 應(yīng)用）中看到該模板的用戶，讓他們能夠更輕松地選擇你為不同用戶組選擇定義的適當(dāng)策略。 AD RMS 不支持部門模板。文檔跟蹤和吊銷：Azure 信息保護(hù)通過 Azure信息保護(hù)客戶端支持這些功能，而 AD RMS 不支持。分類和標(biāo)記： Azure 信息保護(hù)通過與 Office 應(yīng)用程序和文件資源瀏覽器集成的 Azure

4、信息保護(hù)客戶端支持這些功能，而 AD RMS 不支持。此外，由于 Azure 信息保護(hù)是一項(xiàng)云服務(wù)，因此與基于本地服務(wù)器的解決方案相比，它可以更快交付新功能和修補(bǔ)程序。 Windows Server 2016 中未為 AD RMS 規(guī)劃新功能。有關(guān)詳細(xì)信息和其他差別，請使用以下表格并排比較 Azure 信息保護(hù)和 AD RMS 的功能和優(yōu)勢。 如果你有安全方面的比較問題，請參閱本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md

5、 l cryptographic-controls-for-signing-and-encryption 簽名和加密的加密控制。!NOTE 為了簡化這種比較，本文重復(fù)了 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-azure-rms.md Azure 信息保護(hù)的要求中的一些信息。 使用該資源了解有關(guān) !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/include

6、s/aad_rightsmanagement_1_md.md aad_rightsmanagement_1 的更具體的支持和版本信息。Azure 信息保護(hù)AD RMS支持 Microsoft Online Services（例如 Exchange Online 和 SharePoint Online 以及 Office 365）中的信息權(quán)限管理 (IRM) 功能。還支持本地 Microsoft 服務(wù)器產(chǎn)品，例如 Exchange Server、SharePoint Server 以及運(yùn)行 Windows Server 和文件分類基礎(chǔ)結(jié)構(gòu) (FCI) 的文件服務(wù)器。支持本地 Microsoft

7、服務(wù)器產(chǎn)品，例如 Exchange Server、SharePoint Server 以及運(yùn)行 Windows Server 和文件分類基礎(chǔ)結(jié)構(gòu) (FCI) 的文件服務(wù)器。實(shí)現(xiàn)組織之間和任何組織內(nèi)用戶之間的隱式信任。 這意味著在用戶使用 !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/includes/o365_1_md.md o365_1 或 !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/in

8、cludes/aad_rightsmanagement_1_md.md aad_rightsmanagement_1的情況下，或在用戶注冊了個(gè)人 RMS 的情況下，受保護(hù)內(nèi)容可在同一組織或不同組織的用戶之間共享。信任必須在兩個(gè)組織間以直接點(diǎn)對點(diǎn)的關(guān)系顯式定義，方法是使用受信任用戶域 (TUD) 或使用 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) 創(chuàng)建的聯(lián)合信任。提供兩個(gè)默認(rèn)權(quán)限策略模板，將內(nèi)容的訪問權(quán)限僅限于自己的組織范圍內(nèi)；一個(gè)模板提供受保護(hù)內(nèi)容的只讀查看，另一個(gè)模板提供受保護(hù)內(nèi)容的寫入或修改權(quán)限。你還可以創(chuàng)建自己的自定義模板，其中包括只對用戶的子集可見的部門模板。

9、有關(guān)詳細(xì)信息，請參閱 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/configure-custom-templates.md 為 Azure Rights Management 服務(wù)配置自定義模板。此外，如果模板不能滿足需求，用戶可以定義自己的一組權(quán)限。沒有默認(rèn)權(quán)限策略模板；必須創(chuàng)建這些模板，然后分發(fā)它們。 有關(guān)詳細(xì)信息，請參閱 HYPERLINK /fwlink/?LinkId=154765 AD RMS 策略模板注意事項(xiàng)。此外，如果模板不能滿足需求，用戶可以定義自己的一組權(quán)限。支持的

10、 Microsoft Office 最低版本為 Office 2010，它需要 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保護(hù)客戶端或 RMS 共享應(yīng)用程序。Microsoft Office for Mac：- Microsoft Office for Mac 2016：受支持- Microsoft Office for Mac 2011：不受支持支持的 Microsoft Office 最低版本為 Office 2007。Microsoft

11、 Office for Mac：- Microsoft Office for Mac 2016：受支持- Microsoft Office for Mac 2011：受支持支持適用于 Windows、iOS 和 Android 的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保護(hù)客戶端。 RMS 共享應(yīng)用繼續(xù)支持 Mac 計(jì)算機(jī)和 Windows Phone。此外，Azure 信息保護(hù)客戶端支持以下各項(xiàng)：- 與其他組織的用戶共享。- 適用于用戶

12、的文檔跟蹤站點(diǎn)，包括撤消文檔的功能。支持適用于 Windows、iOS 和 Android 的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保護(hù)客戶端。 RMS 共享應(yīng)用繼續(xù)支持 Mac 計(jì)算機(jī)和 Windows Phone。 但是，共享不支持與其他組織的用戶共享或文檔跟蹤站點(diǎn)以及用戶撤銷文檔的功能。使用 Azure 信息保護(hù)客戶端時(shí)，可以對大多數(shù) HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/li

13、ve/Azure-RMSDocs/rms-client/client-admin-guide-file-types.md 文件類型進(jìn)行分類和保護(hù)。對于其他應(yīng)用程序，檢查 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-applications.md 支持 Azure Rights Management 數(shù)據(jù)保護(hù)的應(yīng)用程序中的表。使用 Azure 信息保護(hù)客戶端時(shí)，可以對大多數(shù) HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blo

14、b/live/Azure-RMSDocs/rms-client/client-admin-guide-file-types.md 文件類型進(jìn)行保護(hù)。對于其他應(yīng)用程序，檢查 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-applications.md 支持 Azure Rights Management 數(shù)據(jù)保護(hù)的應(yīng)用程序中的表。支持的 Windows 客戶端最低版本為 Windows 7 SP1。支持的 Windows 客戶端最低版本為 Windows Vist

15、a Service Pack 2。移動(dòng)設(shè)備支持包括 Windows Phone、Android、iOS 和 Windows RT。在支持 Exchange ActiveSync IRM 協(xié)議的所有移動(dòng)設(shè)備平臺(tái)上，也支持使用該協(xié)議管理電子郵件。移動(dòng)設(shè)備支持包括 Windows Phone、Android、iOS 和 Windows RT，并需要 HYPERLINK /library/dn673574.aspx Active Directory Rights Management 服務(wù)移動(dòng)設(shè)備擴(kuò)展。在支持 Exchange ActiveSync IRM 協(xié)議的所有移動(dòng)設(shè)備平臺(tái)上，支持使用 Exch

16、ange ActiveSync IRM 管理電子郵件。支持適用于計(jì)算機(jī)和移動(dòng)設(shè)備的多因素身份驗(yàn)證 (MFA)。有關(guān)詳細(xì)信息，請參閱 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-azure-ad.md l multi-factor-authentication-mfa-and-azure-information-protection 多重身份驗(yàn)證 (MFA) 和 Azure 信息保護(hù)。如果將 IIS 配置為請求證書，將支持智能卡身份驗(yàn)證。支持加密模式 2，而無需

17、額外配置，該模式針對各種密鑰長度和加密算法提供更強(qiáng)大的安全性。有關(guān)詳細(xì)信息，請參閱本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md l cryptographic-controls-for-signing-and-encryption 對簽名和加密的加密控制部分以及 HYPERLINK /fwlink/?LinkId=266659 AD RMS 加密模式。默認(rèn)情況下支持加密模式 1，需要額外配置才能支持加密算法 2，以提供更

18、強(qiáng)大的安全性。有關(guān)詳細(xì)信息，請參閱本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md l cryptographic-controls-for-signing-and-encryption 對簽名和加密的加密控制部分以及 HYPERLINK /fwlink/?LinkId=266659 AD RMS 加密模式。支持從 AD RMS 遷移，如果需要，支持遷移到 AD RMS：- HYPERLINK /Microsoft/Azur

19、e-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-design/migrate-from-ad-rms-to-azure-rms.md 從 AD RMS 遷移到 Azure 信息保護(hù)- HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/decommission-deactivate.md 解除 Azure 信息保護(hù)授權(quán)并停用 Azure 信息保護(hù)支持從 Azure 信息保護(hù)遷移以及遷移到 Azure 信息保護(hù)：- HYPERLINK /Microsoft

20、/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/decommission-deactivate.md 解除 Azure 權(quán)限管理授權(quán)并停用 Azure 權(quán)限管理- HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-design/migrate-from-ad-rms-to-azure-rms.md 從 AD RMS 遷移到 Azure 信息保護(hù)需要 Office 365 的 Azure 信息保護(hù)許可證或 Azure 權(quán)限管理許可證才能保護(hù)內(nèi)容

21、。 無需許可證即可使用已受 Azure 信息保護(hù)（包括另一個(gè)組織的用戶）保護(hù)的內(nèi)容。有關(guān)詳細(xì)信息，請參閱 Azure 信息保護(hù)網(wǎng)站上的 HYPERLINK /cloud-platform/azure-information-protection-features 功能列表。需要 RMS 許可證才能保護(hù)內(nèi)容，以及使用已受 AD RMS 保護(hù)的內(nèi)容。有關(guān) AD RMS 授權(quán)的詳細(xì)信息，如果是一般信息，請參閱 HYPERLINK /en-us/Licensing/product-licensing/client-access-license.aspx 客戶端訪問許可證和管理許可證 ，如果是特定信息，

22、請聯(lián)系 Microsoft 合作伙伴或 Microsoft 代表。對簽名和加密的加密控制默認(rèn)情況下，Azure 信息保護(hù)將 RSA 2048 用于所有公鑰加密，將 SHA 256 用于簽名操作。 相比之下，AD RMS 支持 RSA 1024 和 RSA 2048，還將 SHA 1 或 SHA 256 用于簽名操作。Azure 信息保護(hù)和 AD RMS 都將 AES 128 用于對稱加密。租戶密鑰大小為 2048 位時(shí)，Azure 信息保護(hù)符合 FIPS 140-2，這是激活 Azure Rights Management 服務(wù)時(shí)的默認(rèn)設(shè)置。有關(guān)加密控制的詳細(xì)信息，請參閱 HYPERLINK

23、/Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/how-does-it-work.md l cryptographic-controls-used-by-azure-rms-algorithms-and-key-lengths Azure RMS 使用的加密控制：算法和密鑰長度。后續(xù)步驟如果希望從 AD RMS 遷移到 Azure 信息保護(hù)，請參閱 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-desi

24、gn/migrate-from-ad-rms-to-azure-rms.md 從 AD RMS 遷移到 Azure 信息保護(hù)Azure 信息保護(hù)的要求2017-4-7 1 分鐘閱讀時(shí)長 作者 本文內(nèi)容 HYPERLINK /zh-cn/information-protection/get-started/requirements l a-namecommentsa注釋 注釋適用于：Azure 信息保護(hù)、Office 365為組織部署 Azure 信息保護(hù)之前，請確保具備以下必備條件。 要求更多信息Azure 信息保護(hù)的訂閱查看 Azure 信息保護(hù)網(wǎng)站上的 HYPERLINK /cloud-p

25、latform/azure-information-protection-pricing 訂閱信息和 HYPERLINK /cloud-platform/azure-information-protection-features 功能列表，以確保組織的訂閱具有想要使用的 Azure 信息保護(hù)功能。Azure Active Directory你的組織必須具有 Azure Active Directory (Azure AD)，以此支持 Azure 信息保護(hù)的用戶身份驗(yàn)證。 此外，如果你希望使用本地目錄 (AD DS) 中的用戶帳戶，則還必須配置目錄集成。具有所需客戶端軟件并正確配置 MFA 支持

26、基礎(chǔ)結(jié)構(gòu)后，Azure 信息保護(hù)將支持多重身份驗(yàn)證 (MFA)。有關(guān)詳細(xì)信息，請參閱 HYPERLINK /zh-cn/information-protection/get-started/requirements-azure-ad Azure 信息保護(hù)的 Azure Active Directory 要求?？蛻舳嗽O(shè)備用戶必須擁有運(yùn)行支持 Azure 信息保護(hù)的操作系統(tǒng)的客戶端設(shè)備（計(jì)算機(jī)或移動(dòng)設(shè)備）。以下設(shè)備支持 Azure 信息保護(hù)客戶端，它可使用戶分類并標(biāo)記其 Office 文檔和電子郵件：- Windows 10（x86、x64）- Windows 8.1（x86、x64）- Wind

27、ows 8（x86、x64）- Windows 7 Service Pack 1（x86、x64）當(dāng)此客戶端可以通過使用 Azure 權(quán)限管理服務(wù)保護(hù)數(shù)據(jù)時(shí)，支持 Azure 權(quán)限管理服務(wù)的同一設(shè)備（Windows、Mac、iOS、Android）可以使用此數(shù)據(jù)。 有關(guān)支持 Azure Rights Management 服務(wù)的設(shè)備的詳細(xì)信息，請參閱 HYPERLINK /zh-cn/information-protection/get-started/requirements-client-devices 支持 Azure Rights Management 數(shù)據(jù)保護(hù)的客戶端設(shè)備。應(yīng)用程序A

28、zure 信息保護(hù)客戶端可使用以下 Office 套件中的 Word、Excel、PowerPoint 和 Outlook 等 Office 應(yīng)用程序?qū)ξ募碗娮余]件設(shè)置標(biāo)簽和進(jìn)行保護(hù)：- 含 2016 應(yīng)用或 2013 應(yīng)用的 Office 365 ProPlus（即點(diǎn)即用或基于 Windows Installer 的安裝）- Office Professional Plus 2016- Office Professional Plus 2013 Service Pack 1- Office Professional Plus 2010 有關(guān)支持?jǐn)?shù)據(jù)保護(hù)服務(wù)的 Office 版本的信息，請參

29、閱 HYPERLINK /zh-cn/information-protection/get-started/requirements-applications 支持 Azure Rights Management 數(shù)據(jù)保護(hù)的應(yīng)用程序。支持連接到 Internet 及所依賴的云服務(wù)的基礎(chǔ)結(jié)構(gòu)如果你有必須配置為允許特定連接的防火墻或類似中介網(wǎng)絡(luò)設(shè)備，請參閱以下 Office 文章的 HYPERLINK /en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=en-US&rs=en-US&ad=US l bkmk_portal-identity Office 365 portal and shared（Office 365 門戶和共享）部分的有關(guān) Azure 權(quán)限管理 (RMS) 的信息： HYPERLINK /en-US/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2 Offi