スコープとは、アプリケーション内の仮想の構成部分であり、アプリケーションが使用する一部のリソースを、その他のリソースと区別します。スコープを使って、意図しないリソースの共有を防ぎ、監査や委任をサポートすることができます。スコープは必ずしも使用する必要はありません。
スコープには、フォルダー、Active Directory ドメイン サービス (AD DS) または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) 内のコンテナー、ファイル マスクされたファイルの集まり (たとえば、*.doc)、URL など、アプリケーションとその承認ストアがアクセスできるアイテムを指定できます。ただし、スコープは抽象的な存在です。つまり、承認マネージャー内で作成される定義ですが、たとえば、ファイル システム内の物理的なフォルダーや AD DS 内の実際のコンテナーではありません。
アプリケーション全体には適用したくない承認マネージャー グループ、役割の割り当て、役割の定義、またはタスクの定義がある場合、これらをスコープ レベルで作成できます。スコープを含むアプリケーションは、スコープ名を認識できる必要があります。たとえば、ファイル ベースのアプリケーションは、ファイル名またはパスを含むスコープ名を持つことができます。Web ベースのアプリケーションの場合は、URL ベースのスコープ名を持つことができます。レジストリ アプリケーションはレジストリ ハイブに基づいたスコープ名を持つことができ、Active Directory スコープ名は組織単位を指定できます。操作は、スコープ レベルでは定義できません。
スコープを監査する
承認マネージャーのランタイム監査をスコープ レベルで制御することはできません。承認マネージャーの承認ストア変更の監査は、AD DS に保存された承認ストアに含まれるスコープで制御できます。詳細については、「承認マネージャーの監査とは」を参照してください。
スコープを委任する
次の条件が両方とも満たされる場合は、スコープの管理を他のユーザーに委任できます。
-
承認ストアが AD DS、AD LDS、または Microsoft SQL Server に保存されている。
-
委任するスコープ内に定義されているタスクや役割定義で、承認規則が使用されていない。