デバイスラベル範囲に関連する MAC の問題

デバイス割り当て承認を持つ一般ユーザーは、単一機密ラベルでのみ情報のインポートまたはエクスポートが可能です。このときの機密ラベルは、そのユーザーがデバイスを割り当てる機密ラベルです。デバイス割り当て承認の詳細については、「デバイス関連の承認」を参照してください。

割り当て可能なデバイスには、それぞれ ADMIN_LOW から ADMIN_HIGH までのデフォルトの機密ラベル範囲があります。セキュリティ管理者は、デバイスマネージャを使って、この範囲を制限することができます。ラベル範囲は、割り当て不可能なデバイスにも設定できます。割り当て不可能なデバイスとは、フレームバッファーとプリンタのことです。特に、フレームバッファーにラベル範囲を設定した場合、コンソールログインを制限することができます。一般ユーザーは、作業を許可されているラベルがデバイスのラベル範囲に含まれていない場合、そのデバイスにアクセスすることができません。

ラベル範囲の限界を設定すると、特定の認可上限を持つユーザーだけにアクセスが制限され、物理的に保護できないデバイスへのアクセスを制御することができます。ラベル範囲の設定方法については、「最下位のラベルと最上位のラベル」を参照してください。

ホストのラベル範囲

コンソールから直接ログインするアクセスを制限するため、セキュリティ管理者役割は、フレームバッファーにラベル範囲の限界を設定します。

ローカルプリンタのラベル範囲

ホストにローカルプリンタが接続されている場合、セキュリティ管理者役割は、そのプリンタにラベル範囲の限界を設定し、印刷を行うジョブのラベル範囲を制限することができます。