Azure信息保护与AD RMS对比分析

1、Azure 信息保护与 AD RMS对比分析如果你了解或以前部署过 Active Directory Rights Management Services (AD RMS)，你可能想知道 Azure 信息保护作为信息保护解决方案在功能和要求方面与它相比有何差别。Azure 信息保护的一些主要差异：不需要服务器基础结构：Azure 信息保护不需要 AD RMS 所需的额外服务器和 PKI 证书，因为 Microsoft Azure 将处理这些内容。 因而这一云解决方案可以更快部署且更易维护。基于云的身份验证：对于内部用户和来自其他组织的用户，Azure 信息保护都使用 Azure AD 进行身份

2、验证。 这意味着即使移动用户未连接到你的内部网络，也可对其进行身份验证，并且你可以更轻松地与来自其他组织的用户共享受保护的内容。 许多组织由于运行 Azure 服务或使用 Office 365，因而在 Azure AD 中已拥有用户帐户。 但如果没有，用户可通过个人 RMS 创建免费帐户。 若要与其他组织共享受 AD RMS 保护的内容，则需要对每个组织配置显式信任。对移动设备的内置支持：无需进行部署更改，Azure RMS 即可支持移动设备和 Mac 计算机。 若要使 AD RMS 支持这些设备，必须安装移动设备扩展、配置 AD FS 以便进行联合身份验证，并为公共 DNS 服务创建其他记录

3、。默认模板：激活 Azure 信息保护后，该保护服务将创建两个默认模板，让你可以非常轻松地立即开始保护重要数据。 AD RMS 无默认模板。部门模板：Azure 信息保护支持部门模板，它是你所创建额外模板的一项配置设置。 此设置允许指定可以在其客户端应用程序（例如 Office 应用）中看到该模板的用户，让他们能够更轻松地选择你为不同用户组选择定义的适当策略。 AD RMS 不支持部门模板。文档跟踪和吊销：Azure 信息保护通过 Azure信息保护客户端支持这些功能，而 AD RMS 不支持。分类和标记： Azure 信息保护通过与 Office 应用程序和文件资源浏览器集成的 Azure

4、信息保护客户端支持这些功能，而 AD RMS 不支持。此外，由于 Azure 信息保护是一项云服务，因此与基于本地服务器的解决方案相比，它可以更快交付新功能和修补程序。 Windows Server 2016 中未为 AD RMS 规划新功能。有关详细信息和其他差别，请使用以下表格并排比较 Azure 信息保护和 AD RMS 的功能和优势。 如果你有安全方面的比较问题，请参阅本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md

5、 l cryptographic-controls-for-signing-and-encryption 签名和加密的加密控制。!NOTE 为了简化这种比较，本文重复了 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-azure-rms.md Azure 信息保护的要求中的一些信息。 使用该资源了解有关 !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/include

6、s/aad_rightsmanagement_1_md.md aad_rightsmanagement_1 的更具体的支持和版本信息。Azure 信息保护AD RMS支持 Microsoft Online Services（例如 Exchange Online 和 SharePoint Online 以及 Office 365）中的信息权限管理 (IRM) 功能。还支持本地 Microsoft 服务器产品，例如 Exchange Server、SharePoint Server 以及运行 Windows Server 和文件分类基础结构 (FCI) 的文件服务器。支持本地 Microsoft

7、服务器产品，例如 Exchange Server、SharePoint Server 以及运行 Windows Server 和文件分类基础结构 (FCI) 的文件服务器。实现组织之间和任何组织内用户之间的隐式信任。 这意味着在用户使用 !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/includes/o365_1_md.md o365_1 或 !INCLUDE HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/in

8、cludes/aad_rightsmanagement_1_md.md aad_rightsmanagement_1的情况下，或在用户注册了个人 RMS 的情况下，受保护内容可在同一组织或不同组织的用户之间共享。信任必须在两个组织间以直接点对点的关系显式定义，方法是使用受信任用户域 (TUD) 或使用 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。提供两个默认权限策略模板，将内容的访问权限仅限于自己的组织范围内；一个模板提供受保护内容的只读查看，另一个模板提供受保护内容的写入或修改权限。你还可以创建自己的自定义模板，其中包括只对用户的子集可见的部门模板。

9、有关详细信息，请参阅 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/configure-custom-templates.md 为 Azure Rights Management 服务配置自定义模板。此外，如果模板不能满足需求，用户可以定义自己的一组权限。没有默认权限策略模板；必须创建这些模板，然后分发它们。 有关详细信息，请参阅 HYPERLINK /fwlink/?LinkId=154765 AD RMS 策略模板注意事项。此外，如果模板不能满足需求，用户可以定义自己的一组权限。支持的

10、 Microsoft Office 最低版本为 Office 2010，它需要 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保护客户端或 RMS 共享应用程序。Microsoft Office for Mac：- Microsoft Office for Mac 2016：受支持- Microsoft Office for Mac 2011：不受支持支持的 Microsoft Office 最低版本为 Office 2007。Microsoft

11、 Office for Mac：- Microsoft Office for Mac 2016：受支持- Microsoft Office for Mac 2011：受支持支持适用于 Windows、iOS 和 Android 的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保护客户端。 RMS 共享应用继续支持 Mac 计算机和 Windows Phone。此外，Azure 信息保护客户端支持以下各项：- 与其他组织的用户共享。- 适用于用户

12、的文档跟踪站点，包括撤消文档的功能。支持适用于 Windows、iOS 和 Android 的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/rms-client/aip-client.md Azure 信息保护客户端。 RMS 共享应用继续支持 Mac 计算机和 Windows Phone。 但是，共享不支持与其他组织的用户共享或文档跟踪站点以及用户撤销文档的功能。使用 Azure 信息保护客户端时，可以对大多数 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/li

13、ve/Azure-RMSDocs/rms-client/client-admin-guide-file-types.md 文件类型进行分类和保护。对于其他应用程序，检查 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-applications.md 支持 Azure Rights Management 数据保护的应用程序中的表。使用 Azure 信息保护客户端时，可以对大多数 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blo

14、b/live/Azure-RMSDocs/rms-client/client-admin-guide-file-types.md 文件类型进行保护。对于其他应用程序，检查 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-applications.md 支持 Azure Rights Management 数据保护的应用程序中的表。支持的 Windows 客户端最低版本为 Windows 7 SP1。支持的 Windows 客户端最低版本为 Windows Vist

15、a Service Pack 2。移动设备支持包括 Windows Phone、Android、iOS 和 Windows RT。在支持 Exchange ActiveSync IRM 协议的所有移动设备平台上，也支持使用该协议管理电子邮件。移动设备支持包括 Windows Phone、Android、iOS 和 Windows RT，并需要 HYPERLINK /library/dn673574.aspx Active Directory Rights Management 服务移动设备扩展。在支持 Exchange ActiveSync IRM 协议的所有移动设备平台上，支持使用 Exch

16、ange ActiveSync IRM 管理电子邮件。支持适用于计算机和移动设备的多因素身份验证 (MFA)。有关详细信息，请参阅 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/get-started/requirements-azure-ad.md l multi-factor-authentication-mfa-and-azure-information-protection 多重身份验证 (MFA) 和 Azure 信息保护。如果将 IIS 配置为请求证书，将支持智能卡身份验证。支持加密模式 2，而无需

17、额外配置，该模式针对各种密钥长度和加密算法提供更强大的安全性。有关详细信息，请参阅本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md l cryptographic-controls-for-signing-and-encryption 对签名和加密的加密控制部分以及 HYPERLINK /fwlink/?LinkId=266659 AD RMS 加密模式。默认情况下支持加密模式 1，需要额外配置才能支持加密算法 2，以提供更

18、强大的安全性。有关详细信息，请参阅本文中的 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/compare-on-premise.md l cryptographic-controls-for-signing-and-encryption 对签名和加密的加密控制部分以及 HYPERLINK /fwlink/?LinkId=266659 AD RMS 加密模式。支持从 AD RMS 迁移，如果需要，支持迁移到 AD RMS：- HYPERLINK /Microsoft/Azur

19、e-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-design/migrate-from-ad-rms-to-azure-rms.md 从 AD RMS 迁移到 Azure 信息保护- HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/decommission-deactivate.md 解除 Azure 信息保护授权并停用 Azure 信息保护支持从 Azure 信息保护迁移以及迁移到 Azure 信息保护：- HYPERLINK /Microsoft

20、/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/deploy-use/decommission-deactivate.md 解除 Azure 权限管理授权并停用 Azure 权限管理- HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-design/migrate-from-ad-rms-to-azure-rms.md 从 AD RMS 迁移到 Azure 信息保护需要 Office 365 的 Azure 信息保护许可证或 Azure 权限管理许可证才能保护内容

21、。 无需许可证即可使用已受 Azure 信息保护（包括另一个组织的用户）保护的内容。有关详细信息，请参阅 Azure 信息保护网站上的 HYPERLINK /cloud-platform/azure-information-protection-features 功能列表。需要 RMS 许可证才能保护内容，以及使用已受 AD RMS 保护的内容。有关 AD RMS 授权的详细信息，如果是一般信息，请参阅 HYPERLINK /en-us/Licensing/product-licensing/client-access-license.aspx 客户端访问许可证和管理许可证 ，如果是特定信息，

22、请联系 Microsoft 合作伙伴或 Microsoft 代表。对签名和加密的加密控制默认情况下，Azure 信息保护将 RSA 2048 用于所有公钥加密，将 SHA 256 用于签名操作。 相比之下，AD RMS 支持 RSA 1024 和 RSA 2048，还将 SHA 1 或 SHA 256 用于签名操作。Azure 信息保护和 AD RMS 都将 AES 128 用于对称加密。租户密钥大小为 2048 位时，Azure 信息保护符合 FIPS 140-2，这是激活 Azure Rights Management 服务时的默认设置。有关加密控制的详细信息，请参阅 HYPERLINK

23、/Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/understand-explore/how-does-it-work.md l cryptographic-controls-used-by-azure-rms-algorithms-and-key-lengths Azure RMS 使用的加密控制：算法和密钥长度。后续步骤如果希望从 AD RMS 迁移到 Azure 信息保护，请参阅 HYPERLINK /Microsoft/Azure-RMSDocs.zh-cn/blob/live/Azure-RMSDocs/plan-desi

24、gn/migrate-from-ad-rms-to-azure-rms.md 从 AD RMS 迁移到 Azure 信息保护Azure 信息保护的要求2017-4-7 1 分钟阅读时长 作者 本文内容 HYPERLINK /zh-cn/information-protection/get-started/requirements l a-namecommentsa注释 注释适用于：Azure 信息保护、Office 365为组织部署 Azure 信息保护之前，请确保具备以下必备条件。 要求更多信息Azure 信息保护的订阅查看 Azure 信息保护网站上的 HYPERLINK /cloud-p

25、latform/azure-information-protection-pricing 订阅信息和 HYPERLINK /cloud-platform/azure-information-protection-features 功能列表，以确保组织的订阅具有想要使用的 Azure 信息保护功能。Azure Active Directory你的组织必须具有 Azure Active Directory (Azure AD)，以此支持 Azure 信息保护的用户身份验证。 此外，如果你希望使用本地目录 (AD DS) 中的用户帐户，则还必须配置目录集成。具有所需客户端软件并正确配置 MFA 支持

26、基础结构后，Azure 信息保护将支持多重身份验证 (MFA)。有关详细信息，请参阅 HYPERLINK /zh-cn/information-protection/get-started/requirements-azure-ad Azure 信息保护的 Azure Active Directory 要求。客户端设备用户必须拥有运行支持 Azure 信息保护的操作系统的客户端设备（计算机或移动设备）。以下设备支持 Azure 信息保护客户端，它可使用户分类并标记其 Office 文档和电子邮件：- Windows 10（x86、x64）- Windows 8.1（x86、x64）- Wind

27、ows 8（x86、x64）- Windows 7 Service Pack 1（x86、x64）当此客户端可以通过使用 Azure 权限管理服务保护数据时，支持 Azure 权限管理服务的同一设备（Windows、Mac、iOS、Android）可以使用此数据。 有关支持 Azure Rights Management 服务的设备的详细信息，请参阅 HYPERLINK /zh-cn/information-protection/get-started/requirements-client-devices 支持 Azure Rights Management 数据保护的客户端设备。应用程序A

28、zure 信息保护客户端可使用以下 Office 套件中的 Word、Excel、PowerPoint 和 Outlook 等 Office 应用程序对文件和电子邮件设置标签和进行保护：- 含 2016 应用或 2013 应用的 Office 365 ProPlus（即点即用或基于 Windows Installer 的安装）- Office Professional Plus 2016- Office Professional Plus 2013 Service Pack 1- Office Professional Plus 2010 有关支持数据保护服务的 Office 版本的信息，请参

29、阅 HYPERLINK /zh-cn/information-protection/get-started/requirements-applications 支持 Azure Rights Management 数据保护的应用程序。支持连接到 Internet 及所依赖的云服务的基础结构如果你有必须配置为允许特定连接的防火墙或类似中介网络设备，请参阅以下 Office 文章的 HYPERLINK /en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=en-US&rs=en-US&ad=US l bkmk_portal-identity Office 365 portal and shared（Office 365 门户和共享）部分的有关 Azure 权限管理 (RMS) 的信息： HYPERLINK /en-US/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2 Offi