你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Microsoft Azure 和 Azure 政府云中的功能可用性。 以下安全服务的功能列为 GA(正式版)、公共预览版或不可用:
注意
本文中即将添加其他安全服务。
Azure 政府云
Azure 政府版使用与 Azure(有时称为 Azure 商业版或 Azure 公共版)相同的基础技术,其中包括基础结构即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS) 的核心组件。 Azure 和 Azure 政府版均实施全面的安全控制以及 Microsoft 对保护客户数据的承诺。
Azure 政府版拥有物理隔离的云环境,专用于美国联邦、州、地方、部落政府及其合作伙伴。 尽管 Azure 和 Azure 政府版云环境均在 FedRAMP High 影响级别进行评估和授权,但 Azure 政府版通过与在美国存储客户数据有关的合同承诺,并仅限经过筛选的美国人员才能访问处理客户数据的系统,为客户提供额外一层保护。 使用云来存储或处理受美国出口管制法规(如 EAR、ITAR 和 DoE 10 CFR 第 810 部分)限制的数据的客户可能会对这些承诺感兴趣。
有关 Azure 政府版的详细信息,请参阅什么是 Azure 政府版?
注意
这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。
Microsoft 365 集成
产品之间的集成依赖于 Azure 和 Office 平台之间的互操作性。 可从 Microsoft 365 企业版和 Microsoft 365 政府版平台访问 Azure 环境中托管的产品/服务。 Office 365 和 Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。
Microsoft 云的层次结构以及它们之间的相互关系如下图所示。
Office 365 GCC 环境可帮助客户遵守 FedRAMP High、CJIS 和 IRS 1075 等美国政府要求。 Office 365 GCC High 和 DoD 环境可为需要遵守 DoD IL4/5、DFARS 7012、NIST 800-171 和 ITAR 的客户提供支持。
有关 Office 365 美国政府版环境的详细信息,请参阅:
以下各节标识了服务与 Microsoft 365 集成的时间以及 Office 365 GCC、Office 365 High 和 Office 365 DoD 的功能可用性。
Azure 信息保护
Azure 信息保护 (AIP) 是一种基于云的解决方案,可帮助组织通过将标签应用到内容来对文档和电子邮件进行发现、分类和保护。
AIP 是 Microsoft Purview 信息保护 (MIP) 解决方案的一部分,并扩展了 Microsoft 365 提供的标记和分类功能。
有关详细信息,请参阅 Azure 信息保护产品文档。
Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。 请务必注意 Azure 环境,以了解可实现互操作性之处。 在下表中,无法实现的互操作性以破折号 (-) 进行标记,表示不相关的支持。
GCC-High 和 DoD 客户需要完成额外的配置。 有关详细信息,请参阅 Azure 信息保护高级政府服务说明。
注意
表下方的脚注中列出了有关对政府客户的支持的更多详细信息。
为 GCC High 和 DoD 客户配置 Azure 信息保护所要执行的额外步骤。 有关详细信息,请参阅 Azure 信息保护高级政府服务说明。
| 功能/服务 | 蔚蓝 | Azure 政府云 |
|---|---|---|
| Azure 信息保护扫描程序1 | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| 管理 | ||
| 用于扫描程序管理的 Azure 信息保护门户 | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| 分类和标记 2 | ||
| 用于将默认标签应用于本地文件服务器/存储库中所有文件的 AIP 扫描程序 | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| 用于自动分类、标记和保护受支持本地文件的 AIP 扫描程序 | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC 高级版 | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
1 在没有 Office 365 的情况下,扫描程序可以运行以便仅扫描文件。 在没有 Office 365 的情况下,扫描程序无法将标签应用于文件。
2 分类和标记加载项仅支持使用 Microsoft 365 应用(9126.1001 或更高版本,包括 Professional Plus (ProPlus) 和 Click-to-Run (C2R) 版本)的政府客户。 不支持 Office 2010,Office 2013 和其他 Office 2016 版本。
Office 365 功能
| 功能/服务 | Office 365 GCC | Office 365 GCC 高级版 | Office 365 DoD |
|---|---|---|---|
| 管理 | |||
| - 用于 RMS 服务管理的 PowerShell | 正式发布 | 正式发布 | 正式发布 |
| - 用于 AIP UL 客户端批量操作的 PowerShell | |||
| SDK | |||
| - MIP 和 AIP 软件开发工具包 (SDK) | 正式发布 | 正式发布 | 正式发布 |
| 自定义 | |||
| - 文档跟踪和吊销 | 正式发布 | 不可用 | 不可用 |
| 密钥管理 | |||
| - 创建自己的密钥 (BYOK) | 正式发布 | 正式发布 | 正式发布 |
| - 双重密钥加密 (DKE) | 正式发布 | 正式发布 | 正式发布 |
| Office 文件 3 | |||
| - Microsoft Exchange Online、Microsoft SharePoint Online 和 Microsoft OneDrive for Business 保护 | 正式发布 | GA 4 | 正式发布 4 |
| - 通过 Rights Management 连接器保护本地 Exchange 和 SharePoint 内容 | 正式发布 5 | 正式发布 6 | 正式发布 6 |
| - Office 365 消息加密 | 正式发布 | 正式发布 | 正式发布 |
| - 将标签设置为在 Outlook 中自动应用预配置的 M/MIME 保护 | 正式发布 | 正式发布 | 正式发布 |
| - 控制使用 Outlook 时的信息过度共享 | 正式发布 | GA 7 | GA 7 |
| 分类和标记2 / 8 | |||
| - 自定义模板,包括部门模板 | 正式发布 | 正式发布 | 正式发布 |
| - 手动、默认和强制文档分类 | 正式发布 | 正式发布 | 正式发布 |
| - 配置自动分类和建议分类的条件 GA | 正式发布 | 正式发布 | |
| - 保护非 Microsoft Office文件格式,包括 PTXT、PJPG 和 PFILE(常规保护) | 正式发布 | 正式发布 | 正式发布 |
4 目前无法在 SharePoint Online 中使用 Information Rights Management(IRM 保护的站点和库)。
5 Information Rights Management (IRM) 仅支持 Microsoft 365 应用(9126.1001 或更高版本),包括 Professional Plus (ProPlus) 和 Click-to-Run (C2R) 版本。 不支持 Office 2010,Office 2013 和其他 Office 2016 版本。
6 仅支持内部部署 Exchange。 不支持 Outlook 保护规则。 不支持文件分类基础结构。 不支持内部部署 SharePoint。
7 目前无法与商业云中的用户共享政府云中的受保护文档和电子邮件。 包括商业云中的 Microsoft 365 应用用户、商业云中的非 Microsoft 365 应用用户,以及使用 RMS 个人许可证的用户。
8 Microsoft Purview 合规性门户的敏感信息类型数量因区域而异。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 是一个统一的基础结构安全管理系统,可以增强数据中心的安全态势,以及为云中(无论是否在 Azure 中)和本地的混合工作负载提供高级威胁防护。
有关详细信息,请参阅 Microsoft Defender for Cloud 产品文档。
下表显示 Azure 和 Azure 政府中当前 Defender for Cloud 的功能可用性。
1 部分 GA:禁用漏洞扫描的特定发现的功能处于公共预览状态。
2 Azure Gov 上容器注册表的漏洞扫描只能通过“推送扫描”功能来执行。
3 需要适用于容器注册表的 Microsoft Defender。
4 部分正式发布:对已启用 Azure Arc 的群集的支持现为公共预览版,不可用于 Azure 政府。
5 需要 Microsoft Defender for Kubernetes。
6 部分 GA:适用于存储的 Microsoft Defender 中的部分威胁防护警报处于公共预览状态。
7 这些功能都需要适用于服务器的 Microsoft Defender。
9 部分 GA:对启用了 Arc 的 Kubernetes 群集(因此也包括 AWS EKS)的支持处于公开预览状态,在 Azure 政府中不可用。 容器映像中漏洞的运行时可见性也是一项预览功能。
Microsoft Sentinel
Microsoft Sentinel 是可缩放的云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
有关详细信息,请参阅 Microsoft Sentinel 产品文档。
有关 Azure、Azure 政府和 Azure 中国世纪互联中的 Microsoft Sentinel 功能可用性,请参阅对 Azure 云的 Microsoft Sentinel 功能支持。
Microsoft Purview 数据连接器
Office 365 GCC 与 Azure 中的 Microsoft Entra ID 配对。 Office 365 GCC High 和 Office 365 DoD 与 Azure 政府中的 Microsoft Entra ID 配对。
提示
请务必注意 Azure 环境,以了解可实现互操作性之处。 在下表中,无法实现的互操作性以破折号 (-) 进行标记,表示不相关的支持。
| 连接器 | 蔚蓝 | Azure 政府云 |
|---|---|---|
| Office IRM | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| Dynamics 365 | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| Microsoft Defender XDR | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 公共预览版 |
| - Office 365 DoD | - | 公共预览版 |
| Microsoft Defender for Cloud Apps | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| Microsoft Defender for Cloud Apps 影子 IT 日志 |
||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC 高级版 | - | 公共预览版 |
| - Office 365 DoD | - | 公共预览版 |
| Microsoft Defender for Cloud Apps 警报 |
||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 公共预览版 |
| - Office 365 DoD | - | 公共预览版 |
| 用于终结点的 Microsoft Defender | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| Microsoft Defender for Identity | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| Microsoft Defender for Office 365 | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC 高级版 | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| - Microsoft Power BI- | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| - Microsoft Project- | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
| Office 365 | ||
| - Office 365 GCC | 正式发布 | - |
| - Office 365 GCC High | - | 正式发布 |
| - Office 365 DoD | - | 正式发布 |
| 团队 | ||
| - Office 365 GCC | 公共预览版 | - |
| - Office 365 GCC High | - | 不可用 |
| - Office 365 DoD | - | 不可用 |
Microsoft Defender for IoT
Microsoft Defender for IoT 使你可以通过在所有 IoT/OT 设备上提供全面的安全来加速 IoT/OT 创新。 对于最终用户组织,Microsoft Defender for IoT 提供无代理网络层安全性,可快速部署、使用各种工业设备,以及与 Microsoft Sentinel 和其他 SOC 工具互操作。 部署在本地或与 Azure 连接的环境中。 对于 IoT 设备生成器,Microsoft Defender for IoT 安全代理使你可以直接在新的 IoT 设备和 Azure IoT 项目中构建安全性。 微代理具有灵活的部署选项,包括以二进制包进行部署或修改源代码的功能。 微代理适用于标准 IoT 操作系统,如 Linux 和 Azure RTO。 有关详细信息,请参阅 Microsoft Defender for IoT 产品文档。
下表显示 Azure 和 Azure 政府中当前 Microsoft Defender for IoT 的功能可用性。
对于组织
| 功能 | 蔚蓝 | Azure 政府云 |
|---|---|---|
| 本地设备发现和清单 | 正式发布 | 正式发布 |
| 漏洞管理 | 正式发布 | 正式发布 |
| 通过 IoT 和 OT 行为分析进行威胁检测 | 正式发布 | 正式发布 |
| 手动和自动威胁情报更新 | 正式发布 | 正式发布 |
| 通过 SIEM、SOAR 和 XDR 统一 IT 和 OT 安全性 | ||
| Active Directory® | 正式发布 | 正式发布 |
| ArcSight | 正式发布 | 正式发布 |
| ClearPass(警报和清单) | 正式发布 | 正式发布 |
| CyberArk PSM | 正式发布 | 正式发布 |
| 电子邮件 | 正式发布 | 正式发布 |
| FortiGate | 正式发布 | 正式发布 |
| FortiSIEM | 正式发布 | 正式发布 |
| Microsoft Sentinel | 正式发布 | 乔治亚州 |
| NetWitness | 正式发布 | 正式发布 |
| Palo Alto NGFW | 正式发布 | 正式发布 |
| 帕洛阿尔托全景 | 正式发布 | 正式发布 |
| ServiceNow(警报和清单) | 正式发布 | 正式发布 |
| SNMP MIB 监视 | 正式发布 | 正式发布 |
| Splunk | 正式发布 | 正式发布 |
| SYSLOG 服务器(CEF 格式) | 正式发布 | 正式发布 |
| SYSLOG 服务器(LEEF 格式) | 正式发布 | 正式发布 |
| SYSLOG 服务器(对象) | 正式发布 | 正式发布 |
| SYSLOG 服务器(文本消息) | 正式发布 | 正式发布 |
对于设备构建者
| 功能 | 蔚蓝 | Azure 政府云 |
|---|---|---|
| 适用于 Azure RTOS 的微代理 | 正式发布 | 正式发布 |
| 使用 Microsoft Defender for IoT 配置 Sentinel | 正式发布 | 正式发布 |
| 适用于 Linux 的独立微代理概述 | ||
| 独立代理二进制安装 | 公共预览版 | 公共预览版 |
Azure 证明
Microsoft Azure 证明是一个统一的解决方案,用于远程验证平台的可信度和在该平台中运行的二进制文件的完整性。 该服务从平台接收证据,根据安全标准对其进行验证,根据可配置的策略对其进行评估,并为基于声明的应用程序(例如,信赖方、审核机构)生成证明令牌。
Azure 证明目前已在多个区域的 Azure 公有云和政府云中推出。 在 Azure 政府云中,该服务已在 US Gov 弗吉尼亚州和 US Gov 亚利桑那州推出预览版。
有关详细信息,请参阅 Azure 证明公共文档。
| 功能 | 蔚蓝 | Azure 政府云 |
|---|---|---|
| 用于执行控制平面和数据平面操作的门户体验 | 正式发布 | - |
| 用于执行控制平面和数据平面操作的 PowerShell 体验 | 正式发布 | 正式发布 |
| 强制执行 TLS 1.2 | 正式发布 | 正式发布 |
| BCDR 支持 | 正式发布 | - |
| 服务标记集成 | 正式发布 | 正式发布 |
| 不可变日志存储 | 正式发布 | 正式发布 |
| 使用专用链接实现网络隔离 | 公共预览版 | - |
| FedRAMP High 认证 | 正式发布 | - |
| 客户密码箱 | 正式发布 | - |
后续步骤
- 了解共担责任模型、由云服务提供商处理的安全任务,以及由你处理的任务。
- 了解 Azure 政府版云功能以及可靠的设计和安全性,其可满足美国联邦、州和地方政府组织及其合作伙伴的合规性要求。
- 了解 Office 365 政府版计划。
- 了解 Azure 是否符合法律法规标准。