システム認可範囲には、管理ラベルの ADMIN_HIGH および ADMIN_LOW が含まれます。さらに、システム認可範囲には、label_encodings ファイルのラベル構成要素から構成されるすべての適格な形式のラベルも含まれます。
管理役割アカウントは、通常、システム認可範囲内のすべてのラベルで作業可能な唯一のアカウントです。組織では、管理ラベルを必要とするタスクを実行可能な一般ユーザーアカウントを設定することもできます。
次の図は、システム認可範囲で許可されるラベルが規則によってどのように制約されるかを示しています。
図 1–4 (a) は、格付け TS ( TOP SECRET)、S (SECRET)、 C (CONFIDENTIAL)、およびコンパートメント A、 B によるすべての可能な組み合わせを示します。
図 1–4 (b) は、SENSITIVITY LABELS セクションの REQUIRED COMBINATIONS サブセクションによる代表的な規則とその結果を示します。矢印は規則によって無効にされるラベルを示します。無効にされるラベルは上に線が引かれています。REQUIRED COMBINATIONS 構文 B A は、コンパートメントとして B を持つラベルには A が含まれていなければならないことを示します。その逆は当てはまりません。コンパートメント A に、その他のコンパートメントを組み合わせる必要はありません。コンパートメント B は A がある場合にのみ許可されるので、ラベル TS B、S B、および C B は適格な形式ではありません。適格な形式でないラベルはシステム認可の範囲外です。