Policy API-Konzepte
In dieser Dokumentation werden Konzepte und Strategien der Cloud Identity Policy API beschrieben.
Reduzierung
Informationen zum Auflisten und Abrufen von Richtlinien finden Sie unter Policy API einrichten und Richtlinien auflisten und abrufen.
Terminologie
Einstellungswert: In der Richtlinie angegebene Einstellungswerte
Reduzierter Einstellwert: Die endgültigen Einstellwerte, die auf ein Ziel angewendet werden, z. B. einen Nutzer, eine Organisationseinheit oder eine Gruppe
Reduzierung: Der Prozess, bei dem die Einstellungswerte für Richtlinien auf einen einzelnen Einstellungswert für ein Ziel wie einen Nutzer, eine Organisationseinheit oder eine Gruppe reduziert werden.
Reducer: Der Typ von Regeln, mit denen die Werte von Einstellungen in Richtlinien auf eine einzelne Einstellung für einen Nutzer reduziert werden.
Administratorrichtlinien: Richtlinien, die von Administratoren in der Admin-Konsole erstellt wurden
Systemrichtlinien: Richtlinien von Google Workspace
Reduzierungsprozess
So reduzieren Sie eine bestimmte Einstellung für einen bestimmten Nutzer:
Filtern Sie alle Richtlinien heraus, die nicht für den Nutzer gelten.
Richtlinien herausfiltern, die die Einstellung nicht enthalten.
Filtern Sie Richtlinien heraus, die für die Organisationseinheit gelten, in der sich der Zielnutzer nicht befindet.
Filtern Sie Richtlinien heraus, die für die Gruppe gelten, in der sich der Zielnutzer nicht befindet.
Filtern Sie Richtlinien heraus, die für die Lizenz gelten, die der Zielnutzer nicht hat. Weitere Informationen zu Lizenzen finden Sie im Abschnitt Lizenzen.
Reducer der angegebenen Einstellung anwenden
Max: Für jedes Feld in der reduzierten Einstellung wird mit dem Reduzierer „Max“ der Wert aus der Richtlinie mit dem größten sortOrder ausgewählt.
Zusammenführen: Für jedes Feld in der reduzierten Einstellung wird mit dem Reduzierer „Zusammenführen“ der Wert aus der Richtlinie mit dem größten sortOrder-Wert ausgewählt, die einen Wert für dieses Feld hat. Wenn das Feld ein Array ist, werden die Werte aus allen Richtlinien mit dem Merge-Reducer verkettet.
MaxMap: Der MaxMap-Reducer wird für Einstellungen verwendet, bei denen die Array-Einträge ein Feld haben, das als Primärschlüssel fungiert. Der MaxMap-Reducer verkettet die Arrayeinträge mit demselben Primärschlüssel nicht. Stattdessen wird der Eintrag mit dem Max-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
MergeMap: Der MergeMap-Reducer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel fungiert. Der MergeMap-Reducer verkettet die Array-Einträge mit demselben Primärschlüssel nicht. Stattdessen wird der Eintrag mit dem Merge-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
Liste: Diese Einstellungen werden nicht auf eine einzige Einstellung reduziert. Stattdessen wird die gesamte Abfolge von Einstellungen beibehalten und als Liste angewendet.
Reduzierer für Einstellungen
| Name der Einstellung | Reducer |
drive_and_docs.external_sharing
|
Max. |
drive_and_docs.general_access_default
|
Max. |
drive_and_docs.shared_drive_creation
|
Max. |
drive_and_docs.file_security_update
|
Max. |
drive_and_docs.drive_sdk
|
Zusammenführen |
drive_and_docs.drive_for_desktop
|
Max. |
gmail.confidential_mode
|
Max. |
gmail.enhanced_smime_encryption
|
Max. |
gmail.enhanced_pre_delivery_message_scanning
|
Max. |
gmail.email_spam_filter_ip_allowlist
|
Max. |
gmail.spoofing_and_authentication
|
Max. |
gmail.links_and_external_images
|
Max. |
gmail.email_attachment_safety
|
Max. |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max. |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max. |
gmail.pop_access
|
Max. |
gmail.imap_access
|
Zusammenführen |
gmail.workspace_sync_for_outlook
|
Max. |
gmail.auto_forwarding
|
Max. |
gmail.name_format
|
Zusammenführen |
gmail.per_user_outbound_gateway
|
Max. |
gmail.email_image_proxy_bypass
|
Zusammenführen |
gmail.mail_delegation
|
Zusammenführen |
chat.chat_history
|
Zusammenführen |
chat.chat_file_sharing
|
Max. |
chat.space_history
|
Max. |
chat.external_chat_restriction
|
Zusammenführen |
chat.chat_apps_access
|
Max. |
sites.sites_creation_and_modification
|
Max. |
groups_for_business.groups_sharing
|
Zusammenführen |
cloud_sharing_options.cloud_data_sharing
|
Max. |
classroom.teacher_permissions
|
Max. |
classroom.guardian_access
|
Max. |
classroom.class_membership
|
Max. |
classroom.api_data_access
|
Max. |
classroom.originality_reports
|
Max. |
classroom.roster_import
|
Max. |
classroom.student_unenrollment
|
Max. |
calendar.appointment_schedules
|
Max. |
calendar.external_invitations
|
Max. |
calendar.interoperability
|
Zusammenführen |
calendar.primary_calendar_max_allowed_external_sharing
|
Zusammenführen |
calendar.secondary_calendar_max_allowed_external_sharing
|
Zusammenführen |
meet.safety_domain
|
Max. |
meet.safety_access
|
Max. |
meet.safety_host_management
|
Max. |
meet.video_recording
|
Max. |
meet.safety_external_participants
|
Max. |
security.super_admin_account_recovery
|
Zusammenführen |
security.user_account_recovery
|
Zusammenführen |
security.password
|
Max. |
security.session_controls
|
Max. |
security.less_secure_apps
|
Zusammenführen |
security.login_challenges
|
Max. |
security.advanced_protection_program
|
Max. |
security.two_step_verification_enrollment
|
Max. |
security.two_step_verification_enforcement
|
Max. |
security.two_step_verification_grace_period
|
Max. |
security.two_step_verification_device_trust
|
Max. |
security.two_step_verification_enforcement_factor
|
Max. |
security.two_step_verification_sign_in_code
|
Max. |
user_takeout
|
Max. |
workspace_marketplace.apps_access_options
|
Zusammenführen |
workspace_marketplace.apps_allowlist
|
MergeMap (Primärschlüssel: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max. |
rule.dlp
|
Liste |
rule.system_defined_alerts
|
Auflisten |
detector.regular_expression
|
Auflisten |
detector.word_list
|
Liste |
Lizenzen
Richtlinien werden auf Nutzer basierend auf ihren Workspace-Lizenzen angewendet. Die Lizenzbedingung ist in PolicyQuery angegeben.
Eine vollständige Liste aller Workspace-Produkt- und ‑Artikelnummer-IDs finden Sie unter Google-Produkt- und ‑Artikelnummer-IDs.
Die folgenden Beispiele zeigen, wie Richtlinien basierend auf den Lizenzen der Nutzer auf bestimmte Nutzergruppen angewendet werden können.
Beispiel 1: Nur normale Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der Liste hat.
Beispiel 2: Normaler und invertierter Satz
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der ersten Klausel hat. Wenn ein Nutzer jedoch eine Lizenz für eine der Artikelnummern in der zweiten Klausel hat, gilt die Richtlinie überhaupt nicht für diesen Nutzer.
Beispiel 3: Nur umgekehrte Klausel
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für Nutzer, die keine Lizenz für eine der SKUs in der Liste haben.
Standard-Feldwerte
Wenn ein Feld in der reduzierten Einstellung nicht vorhanden ist, gilt der folgende Standardwert:
| Name der Einstellung | Feld | Standard-Feldwert |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true in EDU-Versionen und false in Nicht-EDU-Versionen. EDU-Versionen:
|
| enable_webhooks | true in EDU-Versionen, false in Nicht-EDU-Versionen. EDU-Versionen:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] leere Liste |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] leere Liste |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Für Kunden aus dem Bildungsbereich: ALLOW_NONE
Andernfalls: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
Apps | [] leere Liste |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Systemgruppen
Google-Systemgruppen, die nicht in der Directory API angezeigt werden und die über Systemrichtlinien verknüpft werden können.
| GroupId | Beschreibung |
WORKSPACE_ALL_ADMIN_GROUP
|
Gruppe für die Google-Systemrichtlinie, mit der die 2‑Faktor-Authentifizierung für alle Administratoren erzwungen wird. |