承認マネージャーを効率的に使用してリソースへのアクセスを制御するには、最初に役割、タスク、および操作を定義する必要があります。

  • 役割とは、ユーザーがジョブを実行するために持つ必要がある一連のアクセス許可のことです。正しく構成された役割は、ジョブのカテゴリまたは責務 (たとえば、受付、人事部長、または資料保管責任者など) に対応し、適切に名前が付けられる必要があります。承認マネージャーでは、ユーザーを役割に追加し、ジョブを実行できるように承認することができます。

  • タスクとは、操作の集まりであり、場合によっては他のタスクの集まりである場合もあります。正しく構成されたタスクは、認識可能な作業項目 (たとえば、"パスワードの変更" や "支出の提出" など) を表せるほど包括的なものです。

  • 操作とは、WriteAttributes や ReadAttributes など、システム レベルまたは API レベルのセキュリティ手順に関連付けられる一連のアクセス許可のことです。操作は、タスクの構成要素として使用します。

役割、タスク、および操作は管理者モードではなく、開発者モードでだけ定義できます。開発者モードを設定するには、「承認マネージャーのオプションを設定する」を参照してください。

役割の定義

適切な役割の定義の作成は、組織の構造や目標に応じて異なります。役割は、他の役割からの継承をサポートしています。

役割を定義するには、名前、わかりやすい説明、およびその役割に属する固有のタスク、役割、および操作を指定します。これにより、役割継承のメカニズムが得られます。たとえば、ヘルプデスクの役割には、製品サポートの役割を含めることができます。

承認規則は、VBScript または JScript のいずれかで指定できます。詳細については、VBScript に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=65964) と JScript に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=65963) を参照してください。

役割の定義に関連付けれらた承認規則が複数ある場合 (たとえば、役割の定義にサブとなる役割やタスクが複数含まれる場合)、承認規則は同期して実行されます。承認マネージャーでは、順番は承認に影響を及ぼしません。

タスクの定義

タスクの定義は役割の定義より小さく、役割やその他のタスクの定義に使用できます。

承認マネージャーでは、わかりやすい方法でタスクと役割を関連付けます。たとえば、採用担当者の役割には、面接というタスクを含めることができます。

タスクは、役割と同様に、組織に合わせた方法で定義します。タスクを定義するには、名前、説明、およびそのタスクに属する固有のタスクや操作を指定します。また、VBScript または JScript の承認規則も指定できます。

操作の定義

操作は小さなコンピューター レベルの動作で、タスクを定義するために使用し、通常は管理者が使用するものではありません。操作は、開発者モードでだけ定義します。

操作の定義は、アプリケーション レベルで設定できますが、承認ストア レベルまたはスコープ レベルでは設定できません。

操作の定義には、名前、説明、および操作番号が含まれます。操作番号 X は、1 から 2,147,483,647 までの整数とする必要があります (つまり、1 ≤ X ≤ 2^31 - 1)。操作番号は、アプリケーションが操作を識別するために使用するものであるため、間違った操作番号を入力すると、誤ってアクセス権が付与または拒否されます。そうすると、クライアント アプリケーションのセキュリティ違反や望ましくない動作につながる可能性があります。


目次