Wenn Sie Active Directory Rights Management Services (AD RMS) bereits kennen oder bereits bereitgestellt haben, fragen Sie sich vielleicht, wie Azure Information Protection in Bezug auf Funktionalität und Anforderungen als Informationsschutzlösung vergleicht.
Einige der Hauptunterschiede bei Azure Information Protection sind:
Differenz
Beschreibung
Keine Serverinfrastruktur erforderlich
Azure Information Protection benötigt keine zusätzlichen Server und PKI-Zertifikate, die AD RMS benötigt, da Microsoft Azure diese Anforderungen für Sie übernimmt.
Dadurch kann diese Cloudlösung schneller bereitgestellt und einfacher Standard tain bereitgestellt werden.
Cloudbasierte Authentifizierung
Azure Information Protection verwendet Microsoft Entra-ID für die Authentifizierung – sowohl für interne Benutzer als auch für Benutzer aus anderen Organisationen.
Das bedeutet, dass Ihre Benutzer auch dann authentifiziert werden können, wenn sie nicht mit Ihrem internen Netzwerk verbunden sind, und dass es einfacher ist, geschützte Inhalte mit Benutzern aus anderen Unternehmen zu teilen.
Viele Unternehmen haben bereits Benutzerkonten in Microsoft Entra ID, weil sie Azure-Dienste nutzen oder Microsoft 365 haben. Andernfalls können Benutzer mit RMS für Einzelpersonen ein kostenloses Konto erstellen oder ein Microsoft-Konto für Anwendungen verwenden, die diese Authentifizierung für Azure Information Protection unterstützen.
Um dagegen AD RMS-geschützte Inhalte für eine andere Organisation freizugeben, müssen Sie mit jeder Organisation explizite Vertrauensstellungen konfigurieren.
Eingebaute Unterstützung für mobile Geräte
Für Azure Information Protection sind keine Änderungen bei der Bereitstellung erforderlich, um mobile Geräte und Mac-Computer zu unterstützen.
Um diese Geräte mit AD RMS zu unterstützen, müssen Sie die Erweiterung für mobile Geräte installieren, AD FS für die Föderation konfigurieren und zusätzliche Einträge für Ihren öffentlichen DNS-Dienst erstellen.
Standardvorlagen
Azure Information Protection erstellt automatisch Standardvorlagen, die den Zugriff auf den Inhalt auf Ihre eigene Organisation einschränken. Diese Vorlagen machen es einfach, sofort mit dem Schutz vertraulicher Daten zu beginnen.
Für AD RMS sind keine Standardvorlagen vorhanden.
Abteilungsvorlagen
Auch als bereichsbezogene Vorlagen bezeichnet. Azure Information Protection unterstützt abteilungsspezifische Vorlagen für zusätzliche Vorlagen, die Sie erstellen.
Mit dieser Konfiguration können Sie eine Teilmenge von Benutzern angeben, um bestimmte Vorlagen in ihren Clientanwendungen anzuzeigen. Durch das Einschränken der Anzahl von Vorlagen, die Benutzern angezeigt werden, ist es einfacher, die richtige Richtlinie auszuwählen, die Sie für verschiedene Benutzergruppen definieren.
AD RMS unterstützt keine Abteilungsvorlagen.
Dokumentenverfolgung und -sperrung
Azure Information Protection unterstützt diese Features nur mit dem Rights Management Service
Klassifizierung und Bezeichnung
Azure Information Protection unterstützt Bezeichnungen, die Klassifizierungen anwenden und optional Schutz anwenden.
Verwenden Sie den AIP-Client, um Klassifizierungen und Bezeichnungen mit Office Anwendungen, Explorer, PowerShell und einem Scanner für lokale Datenspeicher zu integrieren.
AD RMS unterstützt diese Klassifizierungs- und Bezeichnungsfunktionen nicht.
Da Azure Information Protection ein Clouddienst ist, kann azure Information Protection neue Features und Fixes schneller bereitstellen als eine lokale serverbasierte Lösung. Es sind keine neuen Features für AD RMS in Windows Server geplant.
Detaillierter Vergleich zwischen AIP und AD RMS
Weitere Einzelheiten finden Sie in der folgenden Tabelle, in der Sie einen Vergleich anstellen können.
Unterstützt IRM-Funktionen sowohl in Microsoft Online-Diensten als auch lokalen Microsoft-Serverprodukten.
Unterstützt IRM-Funktionen für lokale Microsoft-Serverprodukte und Exchange Online.
Gesicherte Zusammenarbeit
Ermöglicht automatisch die sichere Zusammenarbeit an Dokumenten mit jeder Organisation, die auch die Microsoft Entra-ID für die Authentifizierung verwendet.
Die sichere Zusammenarbeit an Dokumenten außerhalb der Organisation erfordert, dass Authentifizierungsvertrauensstellungen in einer direkten Punkt-zu-Punkt-Beziehung zwischen zwei Organisationen explizit definiert werden.
Tun Sie dies mit vertrauenswürdigen Benutzerdomänen (TUDs) oder föderierten Vertrauensstellungen, die mit Active Directory Federation Services (AD FS) erstellt werden.
Geschützte E-Mails
Senden Sie eine geschützte E-Mail (optional mit Automatisch geschützten Office-Dokumentanlagen) an Benutzer, wenn keine Authentifizierungsvertrauensstellung vorhanden ist.
Dieses Szenario wird durch die Verwendung des Verbunds mit sozialen Anbietern oder einer einmaligen Kennung und eines Webbrowsers zur Anzeige ermöglicht.
Unterstützt nicht den Versand geschützter E-Mails, wenn keine Vertrauensbeziehung zur Authentifizierung besteht.
Unterstützt intelligente Karte-Authentifizierung, wenn IIS zum Anfordern von Zertifikaten konfiguriert ist.
Verschlüsselungsmodus
Unterstützt den kryptografischen Modus 2 standardmäßig, um eine empfohlene Sicherheitsstufe für Schlüssellängen und Verschlüsselungsalgorithmen bereitzustellen.
Unterstützt standardmäßig den kryptografischen Modus 1 und erfordert eine zusätzliche Konfiguration, um den kryptografischen Modus 2 für ein empfohlenes Maß an Sicherheit zu unterstützen.
Erfordert eine Azure Information Protection-Lizenz oder eine Azure Rights Management-Lizenz mit Microsoft 365 zum Schutz von Inhalten.
Es ist keine Lizenz erforderlich, um Inhalte zu verwenden, die mit AIP geschützt wurden (einschließlich Benutzern aus einer anderen Organisation).
Erfordert eine RMS-Lizenz zum Schutz von Inhalten und zur Nutzung von Inhalten, die durch AD RMS geschützt wurden.
Weitere, allgemeine Informationen zur Lizenzierung finden Sie unter Clientzugriffslizenzen und Management-Lizenzen. Wenn Sie spezifische Informationen benötigen, wenden Sie sich bitte an Ihren Microsoft-Partner oder den für Sie zuständigen Mitarbeiter von Microsoft.
Kryptografische Steuerelemente zum Signieren und Verschlüsseln
Azure Information Protection verwendet standardmäßig RSA 2048 für alle Kryptografie mit öffentlichem Schlüssel und SHA 256 für Signaturvorgänge. Im Vergleich dazu unterstützt AD RMS RSA 1024 und RSA 2048 und SHA 1 oder SHA 256 für Signaturvorgänge.
Sowohl Azure Information Protection als auch AD RMS verwenden AES 128 für die symmetrische Verschlüsselung.
Azure Information Protection ist mit FIPS 140-2 kompatibel, wenn die Größe Ihres Mandantenschlüssels 2048 Bit beträgt, was die Standardeinstellung ist, wenn der Azure Rights Management-Dienst aktiviert wird.
Detailliertere Anforderungen für die Verwendung von Azure Information Protection, wie Geräteunterstützung und Mindestversionen, finden Sie unter Anforderungen für Azure Information Protection.
Organizations need to classify, label, and protect sensitive data to prevent exposure and ensure compliance. Microsoft Purview solutions provide data classification, sensitivity labels, and encryption to secure information across Microsoft 365 and on-premises storage. This learning path aligns with exam SC-401: Microsoft Information Security Administrator.
Veranschaulichen der Grundlagen von Datensicherheit, Lebenszyklusverwaltung, Informationssicherheit und Compliance zum Schutz einer Microsoft 365-Bereitstellung