Confronto tra Azure Information Protection e AD RMS

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Il client Microsoft Purview Information Protection (senza il componente aggiuntivo) è disponibile a livello generale.

Se si conosce o si è distribuito in precedenza Active Directory Rights Management Services (AD RMS), ci si potrebbe chiedere come Azure Information Protection confronta in termini di funzionalità e requisiti come soluzione di protezione delle informazioni.

Alcune delle principali differenze per Azure Information Protection includono:

Differenza Descrizione
Nessuna infrastruttura server necessaria Azure Information Protection non richiede i server aggiuntivi e i certificati PKI necessari per AD RMS, perché Microsoft Azure si occupa di tali requisiti.

In questo modo questa soluzione cloud è più rapida da distribuire e semplificare la manutenzione.
Autenticazione basata sul cloud Azure Information Protection usa Microsoft Entra ID per l'autenticazione, sia per gli utenti interni che per gli utenti di altre organizzazioni.

Ciò significa che gli utenti possono essere autenticati anche quando non sono connessi alla rete interna ed è più facile condividere contenuti protetti con utenti di altre organizzazioni.

Molte organizzazioni hanno già account utente in Microsoft Entra ID perché eseguono servizi di Azure o hanno Microsoft 365. In caso contrario, RMS per utenti singoli consente agli utenti di creare un account gratuito o un account Microsoft può essere usato per le applicazioni che supportano questa autenticazione per Azure Information Protection.

In confronto, per condividere il contenuto protetto di AD RMS con un'altra organizzazione, è necessario configurare trust espliciti con ogni organizzazione.
Supporto predefinito per i dispositivi mobili Non sono necessarie modifiche alla distribuzione per Azure Information Protection per supportare i dispositivi mobili e i computer Mac.

Per supportare questi dispositivi con AD RMS, è necessario installare l'estensione del dispositivo mobile, configurare AD FS per la federazione e creare record aggiuntivi per il servizio DNS pubblico.
Modelli predefiniti Azure Information Protection crea automaticamente modelli predefiniti che limitano l'accesso del contenuto alla propria organizzazione. Questi modelli semplificano la protezione immediata dei dati sensibili.

Non esistono modelli predefiniti per AD RMS.
Modelli di reparto Noto anche come modelli con ambito. Azure Information Protection supporta modelli di reparto per modelli aggiuntivi creati.

Questa configurazione consente di specificare un subset di utenti per visualizzare modelli specifici nelle applicazioni client. Limitando il numero di modelli visualizzati dagli utenti, è più semplice selezionare i criteri corretti definiti per diversi gruppi di utenti.

AD RMS non supporta i modelli di reparto.
Rilevamento e revoca dei documenti Azure Information Protection supporta queste funzionalità solo con il servizio Rights Management
Classificazione ed etichettatura Azure Information Protection supporta le etichette che applicano la classificazione e, facoltativamente, la protezione.

Usare il client AIP per integrare la classificazione e l'etichettatura con app Office licazioni, Esplora file, PowerShell e uno scanner per gli archivi dati locali.

AD RMS non supporta queste funzionalità di classificazione e etichettatura.

Inoltre, poiché Azure Information Protection è un servizio cloud, può offrire nuove funzionalità e correzioni più rapidamente rispetto a una soluzione basata su server locale. Non sono previste nuove funzionalità per AD RMS in Windows Server.

Confronto dettagliato tra AIP e AD RMS

Per altri dettagli, usare la tabella seguente per un confronto affiancato.

In caso di domande di confronto specifiche per la sicurezza, vedere la sezione Controlli crittografici per la firma e la crittografia in questo articolo.

Differenza Azure Information Protection AD RMS
Information Rights Management (IRM) Supporta le funzionalità IRM sia nei servizi Microsoft Online che nei prodotti server Microsoft locali. Supporta le funzionalità IRM per i prodotti server Microsoft locali ed Exchange Online.
Collaborazione sicura Abilita automaticamente la collaborazione sicura sui documenti con qualsiasi organizzazione che usa anche Microsoft Entra ID per l'autenticazione. La collaborazione sicura sui documenti all'esterno dell'organizzazione richiede che i trust di autenticazione vengano definiti in modo esplicito in una relazione da punto a punto diretto tra due organizzazioni.

È necessario configurare domini utente attendibili (TUD) o trust federati creati tramite Active Directory Federation Services (AD FS).
Messaggi di posta elettronica protetti Inviare un messaggio di posta elettronica protetto (facoltativamente, con allegati di documenti di Office protetti automaticamente) agli utenti quando non esiste alcuna relazione di trust di autenticazione.

Questo scenario è reso possibile usando la federazione con provider di social networking o un passcode monouso e un Web browser per la visualizzazione.
Non supporta l'invio di messaggi di posta elettronica protetti quando non esiste alcuna relazione di trust di autenticazione.
Supporto client Supporta il client di etichettatura unificata AIP. Supporta il client di etichettatura unificata AIP solo per l'utilizzo e richiede l'installazione dell'estensione per dispositivi mobili di Active Directory Rights Management Services.
Multi-Factor Authentication (MFA) Supporta l'autenticazione a più fattori per computer e dispositivi mobili.

Per altre informazioni, vedere Multi-Factor Authentication (MFA) e Azure Information Protection.
Supporta l'autenticazione tramite smart card se IIS è configurato per richiedere i certificati.
Modalità di crittografia Supporta la modalità di crittografia 2 per impostazione predefinita, per fornire un livello di sicurezza consigliato per le lunghezze delle chiavi e gli algoritmi di crittografia. Supporta la modalità di crittografia 1 per impostazione predefinita e richiede una configurazione aggiuntiva per supportare la modalità di crittografia 2 per un livello di sicurezza consigliato.

Per altre informazioni, vedere Modalità di crittografia di AD RMS.
Licenze Richiede una licenza di Azure Information Protection o una licenza di Azure Rights Management con Microsoft 365 per proteggere il contenuto.

Non è necessaria alcuna licenza per utilizzare il contenuto protetto da AIP (include gli utenti di un'altra organizzazione).
Richiede una licenza RMS per proteggere il contenuto e per utilizzare il contenuto protetto da AD RMS.

Per altre informazioni sulle licenze, vedere Licenze di accesso client e licenze di gestione per informazioni generali, ma contattare il partner Microsoft o il rappresentante Microsoft per informazioni specifiche.

Controlli crittografici per la firma e la crittografia

Per impostazione predefinita, Azure Information Protection usa RSA 2048 per tutta la crittografia a chiave pubblica e SHA 256 per le operazioni di firma. AD RMS supporta invece RSA 1024 e RSA 2048 e SHA 1 o SHA 256 per le operazioni di firma.

Sia Azure Information Protection che AD RMS usano AES 128 per la crittografia simmetrica.

Azure Information Protection è conforme a FIPS 140-2 quando le dimensioni della chiave del tenant sono di 2048 bit, ovvero l'impostazione predefinita quando viene attivato il servizio Azure Rights Management.

Per altre informazioni sui controlli crittografici, vedere Controlli crittografici usati da Azure RMS: Algoritmi e lunghezza della chiave.

Passaggi successivi

Per requisiti più dettagliati per l'uso di Azure Information Protection, ad esempio il supporto dei dispositivi e le versioni minime, vedere Requisiti per Azure Information Protection.

Per eseguire la migrazione da AD RMS ad Azure Information Protection, vedere Migrazione da AD RMS ad Azure Information Protection.

Introduzione all'estensione per dispositivi mobili di Active Directory Rights Management Services.

Potresti essere interessato alle domande frequenti seguenti: