Policy API-Konzepte
In dieser Dokumentation werden die Konzepte und Strategien der Cloud Identity Policy API beschrieben.
Reduzierung
Informationen zum Auflisten und Abrufen von Richtlinien finden Sie unter Policy API einrichten und Richtlinien auflisten und abrufen.
Terminologie
Wert der Einstellung: In der Richtlinie angegebene Werte für die Einstellung
Wert der reduzierten Einstellung: Die endgültigen Einstellungswerte, die auf ein Ziel angewendet werden, z. B. auf einen Nutzer, eine Organisationseinheit oder eine Gruppe.
Reduzierung: Das Herabsetzen von Einstellungswerten für Richtlinien auf einen einzigen Einstellungswert für ein Ziel, z. B. einen Nutzer, eine Organisationseinheit oder eine Gruppe.
Reduktionsregel: Regeln, die festlegen, wie die Einstellung von Richtlinienwerten auf eine einzige Einstellung für einen Nutzer reduziert wird
Administratorrichtlinien: Richtlinien, die von Administratoren in der Admin-Konsole erstellt wurden
Systemrichtlinien: Richtlinien von Google Workspace
Reduktionsprozess
So reduzieren Sie eine bestimmte Einstellung für einen bestimmten Nutzer:
Filtern Sie alle Richtlinien heraus, die nicht für den Nutzer gelten.
Filtern Sie Richtlinien heraus, die die Einstellung nicht enthalten.
Filtern Sie Richtlinien heraus, die für die OE gelten, zu der der Zielnutzer nicht gehört.
Filtern Sie Richtlinien heraus, die für die Gruppe gelten, zu der der Zielnutzer nicht gehört.
Filtern Sie Richtlinien heraus, die für die Lizenz gelten, die der Zielnutzer nicht hat. Weitere Informationen zu Lizenzen finden Sie im Abschnitt Lizenzen.
Reduzierer der angegebenen Einstellung anwenden
Max: Für jedes Feld in der reduzierten Einstellung wird mit dem Max-Reduzierer der Wert aus der Richtlinie mit der größten sortOrder ausgewählt.
Merge (Zusammenführen): Für jedes Feld in der reduzierten Einstellung wählt der Merge-Reduzierer den Wert aus der Richtlinie mit der größten sortOrder aus, der einen Wert für dieses Feld hat. Wenn das Feld ein Array ist, werden die Werte aus allen Richtlinien stattdessen mit dem Reducer „Merge“ zusammengeführt.
MaxMap: Der MaxMap-Reduzierer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel dient. Der MaxMap-Reducer fügt die Arrayeinträge mit demselben Primärschlüssel nicht zusammen. Stattdessen wird der Eintrag mit dem Max-Reduzierer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
MergeMap: Der MergeMap-Reducer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel dient. Der MergeMap-Reducer fügt die Arrayeinträge mit demselben Primärschlüssel nicht zusammen. Stattdessen wird der Eintrag mit dem Merge-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
Liste: Diese Einstellungen werden nicht auf eine einzelne Einstellung reduziert. Stattdessen wird die gesamte Abfolge der Einstellungen beibehalten und als Liste angewendet.
Reduzierer für Einstellungen
Name der Einstellung | Reduziere |
drive_and_docs.external_sharing
|
Max. |
drive_and_docs.general_access_default
|
Max. |
drive_and_docs.shared_drive_creation
|
Max. |
drive_and_docs.file_security_update
|
Max. |
drive_and_docs.drive_sdk
|
Zusammenführen |
drive_and_docs.drive_for_desktop
|
Max. |
gmail.confidential_mode
|
Max. |
gmail.enhanced_smime_encryption
|
Max. |
gmail.enhanced_pre_delivery_message_scanning
|
Max. |
gmail.email_spam_filter_ip_allowlist
|
Max. |
gmail.spoofing_and_authentication
|
Max. |
gmail.links_and_external_images
|
Max. |
gmail.email_attachment_safety
|
Max. |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max. |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max. |
gmail.pop_access
|
Max. |
gmail.imap_access
|
Zusammenführen |
gmail.workspace_sync_for_outlook
|
Max. |
gmail.auto_forwarding
|
Max. |
gmail.name_format
|
Zusammenführen |
gmail.per_user_outbound_gateway
|
Max. |
gmail.email_image_proxy_bypass
|
Zusammenführen |
gmail.mail_delegation
|
Zusammenführen |
chat.chat_history
|
Zusammenführen |
chat.chat_file_sharing
|
Max. |
chat.space_history
|
Max. |
chat.external_chat_restriction
|
Zusammenführen |
chat.chat_apps_access
|
Max. |
sites.sites_creation_and_modification
|
Max. |
groups_for_business.groups_sharing
|
Zusammenführen |
cloud_sharing_options.cloud_data_sharing
|
Max. |
classroom.teacher_permissions
|
Max. |
classroom.guardian_access
|
Max. |
classroom.class_membership
|
Max. |
classroom.api_data_access
|
Max. |
classroom.originality_reports
|
Max. |
classroom.roster_import
|
Max. |
classroom.student_unenrollment
|
Max. |
calendar.appointment_schedules
|
Max. |
calendar.external_invitations
|
Max. |
calendar.interoperability
|
Zusammenführen |
calendar.primary_calendar_max_allowed_external_sharing
|
Zusammenführen |
calendar.secondary_calendar_max_allowed_external_sharing
|
Zusammenführen |
meet.safety_domain
|
Max. |
meet.safety_access
|
Max. |
meet.safety_host_management
|
Max. |
meet.video_recording
|
Max. |
meet.safety_external_participants
|
Max. |
security.super_admin_account_recovery
|
Zusammenführen |
security.user_account_recovery
|
Zusammenführen |
security.password
|
Max. |
security.session_controls
|
Max. |
security.less_secure_apps
|
Zusammenführen |
security.login_challenges
|
Max. |
security.advanced_protection_program
|
Max. |
security.two_step_verification_enrollment
|
Max. |
security.two_step_verification_enforcement
|
Max. |
security.two_step_verification_grace_period
|
Max. |
security.two_step_verification_device_trust
|
Max. |
security.two_step_verification_enforcement_factor
|
Max. |
security.two_step_verification_sign_in_code
|
Max. |
user_takeout
|
Max. |
workspace_marketplace.apps_access_options
|
Zusammenführen |
workspace_marketplace.apps_allowlist
|
MergeMap (primärer Schlüssel: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max. |
rule.dlp
|
Liste |
rule.system_defined_alerts
|
Auflisten |
detector.regular_expression
|
Auflisten |
detector.word_list
|
Liste |
Lizenzen
Richtlinien gelten für Nutzer basierend auf ihren Workspace-Lizenzen. Die Lizenzbedingung finden Sie unter PolicyQuery
.
Eine vollständige Liste aller Workspace-Produkt- und SKU-IDs finden Sie unter Google-Produkt- und SKU-IDs.
Die folgenden Beispiele zeigen, wie Richtlinien basierend auf den Lizenzen bestimmter Nutzergruppen angewendet werden können.
Beispiel 1: Nur normale Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der Liste hat.
Beispiel 2: Normale und umgekehrte Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der Artikelnummern in der ersten Klausel hat. Wenn ein Nutzer jedoch eine Lizenz für eine der Artikelnummern in der zweiten Klausel hat, gilt die Richtlinie für diesen Nutzer überhaupt nicht.
Beispiel 3: Nur umgekehrte Klausel
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für einen Nutzer, wenn er keine Lizenz für eine der SKUs in der Liste hat.
Standard-Feldwerte
Wenn ein Feld in der reduzierten Einstellung nicht vorhanden ist, gilt für es der folgende Standardwert:
Name der Einstellung | Feld | Standardwert für das Feld |
chat.chat_history
|
enable_chat_history | false
|
history_on_by_default | false
|
|
allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true in EDU-SKUs, false in Nicht-EDU-SKUs. EDU-SKUs:
|
enable_webhooks | true in EDU-SKUs, false in Nicht-EDU-SKUs. EDU-SKUs:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] leere Liste |
enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] leere Liste |
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
allow_receiving_external_files | true
|
|
warn_for_sharing_outside_allowlisted_domains | true
|
|
allow_non_google_invites_in_allowlisted_domains | false
|
|
allow_receiving_files_outside_allowlisted_domains | true
|
|
warn_for_external_sharing | true
|
|
allow_non_google_invites | true
|
|
allow_publishing_files | true
|
|
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
workspace_marketplace.apps_access_options
|
access_level | Für Kunden aus der Primar- und Sekundarstufe: ALLOW_NONE
Andernfalls: ALLOW_ALL
|
allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
Apps | [] leere Liste |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | false
|
|
owners_can_allow_incoming_mail_from_public | true
|
|
owners_can_hide_groups | false
|
|
new_groups_are_hidden | false
|