Konzepte der Policy API
Diese Dokumentation enthält Konzepte zum Verständnis und zur korrekten Verwendung der Cloud Identity Policy API.
Reduzierung
Informationen zum Auflisten und Abrufen von Richtlinien finden Sie unter Policy API einrichten und Richtlinien auflisten und abrufen.
Terminologie
- Wert der Einstellung: In der Richtlinie angegebene Werte für die Einstellung
- Reduzierter Einstellungswert: Die endgültigen Einstellungswerte, die auf eine Zielentität angewendet werden, z. B. einen Nutzer.
- Reduzierung: Der Prozess, bei dem die Einstellungswerte für Richtlinien auf einen einzigen Einstellungswert für eine Entität, z. B. einen Nutzer, reduziert werden.
- Reduzierer: Die Art von Regeln, die festlegen, wie das Festlegen von Werten in Richtlinien auf eine einzige Einstellung für einen Nutzer vereinfacht wird.
- Administratorrichtlinien: Richtlinien, die von Administratoren in der Admin-Konsole erstellt wurden.
- Systemrichtlinien: Von Google Workspace bereitgestellte Richtlinien.
Reduzierungsprozess
So reduzieren Sie eine bestimmte Einstellung für einen bestimmten Nutzer:
- Filtern Sie alle Richtlinien heraus, die nicht für den Nutzer gelten.
- Sie können Richtlinien herausfiltern, die die Einstellung nicht enthalten.
- Sie können Richtlinien herausfiltern, die für die OE gelten, in der sich der Zielnutzer NICHT befindet.
- Filtert Richtlinien heraus, die für die Gruppe gelten, in der sich der Zielnutzer NICHT befindet.
- Filtert Richtlinien heraus, die für die Lizenz gelten, die der Zielnutzer NICHT hat. Weitere Informationen zu Lizenzen finden Sie im Abschnitt Lizenzen.
- Reduzierer der angegebenen Einstellung anwenden
- Max: Mit dem Max-Reduzierer wird der Wert aus der Richtlinie mit der höchsten Sortierreihenfolge ausgewählt.
- Zusammenführen: Für jedes Feld in der reduzierten Einstellung wird der Wert aus der Richtlinie mit der größten sort_order ausgewählt, die einen Wert für dieses Feld hat. Wenn das Feld ein Array ist, verkettet der Merge Reducer stattdessen die Werte aus allen Richtlinien.
- Map: Der Map-Reduzierer wird für Einstellungen verwendet, bei denen die Arrayeinträge einen Primärschlüssel haben. Der Map Reducer verkettet die Array-Einträge nicht mit demselben Primärschlüssel. Stattdessen wird der Eintrag mit dem Merge Reducer oder dem Max Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel verwenden.
- Liste: Diese Einstellungen sind nicht auf eine einzige Einstellung beschränkt. Stattdessen wird die gesamte Abfolge der Einstellungen beibehalten und als Liste angewendet.
Reduzierer für Einstellungen
| Name der Einstellung | Reduzierstück |
| drive_and_docs.external_sharing | Max. |
| drive_and_docs.general_access_default | Max. |
| drive_and_docs.shared_drive_creation | Max. |
| drive_and_docs.file_security_update | Max. |
| drive_and_docs.drive_sdk | Zusammenführen |
| drive_and_docs.drive_for_desktop | Max. |
| gmail.confidential_mode | Max. |
| gmail.enhanced_smime_encryption | Max. |
| gmail.enhanced_pre_delivery_message_scanning | Max. |
| gmail.email_spam_filter_ip_allowlist | Max. |
| gmail.spoofing_and_authentication | Max. |
| gmail.links_and_external_images | Max. |
| gmail.email_attachment_safety | Max. |
| chat.chat_history | Zusammenführen |
| chat.chat_file_sharing | Max. |
| chat.space_history | Max. |
| chat.external_chat_restriction | Zusammenführen |
| chat.chat_apps_access | Max. |
| sites.sites_creation_and_modification | Max. |
| groups_for_business.groups_sharing | Zusammenführen |
| classroom.teacher_permissions | Max. |
| classroom.guardian_access | Max. |
| classroom.class_membership | Max. |
| classroom.api_data_access | Max. |
| classroom.originality_reports | Max. |
| classroom.roster_import | Max. |
| classroom.student_unenrollment | Max. |
| meet.safety_domain | Max. |
| meet.safety_access | Max. |
| meet.safety_host_management | Max. |
| meet.video_recording | Max. |
| meet.safety_external_participants | Max. |
| security.super_admin_account_recovery | Zusammenführen |
| security.user_account_recovery | Zusammenführen |
| security.password | Max. |
| security.session_controls | Max. |
| security.less_secure_apps | Zusammenführen |
| security.login_challenges | Max. |
| security.advanced_protection_program | Max. |
| user_takeout | Max. |
| workspace_marketplace.apps_access_options | Zusammenführen |
| workspace_marketplace.apps_allowlist | MergeMap (Primärschlüssel ist: application_id) |
| rule.dlp | Liste |
| rule.system_defined_alerts | Liste |
| detector.regular_expression | Liste |
| detector.word_list | Liste |
Lizenzen
Richtlinien gelten für einen Nutzer basierend auf den Workspace-Lizenzen dieses Nutzers.
Eine vollständige Liste aller Workspace-Produkt- und SKU-IDs finden Sie unter Google-Produkt- und SKU-IDs.
Die folgenden Beispiele zeigen, wie Richtlinien basierend auf den Lizenzen der Nutzer auf bestimmte Nutzergruppen angewendet werden.
Beispiel 1: Nur normale Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der Liste hat.
Beispiel 2: Normale und umgekehrte Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
Die Richtlinie gilt für Nutzer, die eine Lizenz für mindestens eine der Artikelnummern im ersten Abschnitt haben. Wenn ein Nutzer jedoch eine Lizenz für eine der Artikelnummern in der zweiten Klausel hat, gilt die Richtlinie für diesen Nutzer überhaupt nicht.
Beispiel 3: Nur umgekehrte Klausel
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
Die Richtlinie gilt für einen Nutzer, wenn er keine Lizenz für eine der SKUs in der Liste hat.
Standard-Feldwerte
Wenn ein Feld in der eingeschränkten Einstellung nicht vorhanden ist, lautet der Standardwert wie folgt:
| Name der Einstellung | Feld | Standardfeldwert |
| chat.chat_history | enable_chat_history | false |
| history_on_by_default | false | |
| allow_user_modification | wahr | |
| chat.external_chat_restriction | allow_external_chat | false |
| external_chat_restriction | NO_RESTRICTION
|
|
| chat.chat_apps_access | enable_apps | „wahr“ in EDU-SKUs:
/product/Google-Apps/sku/Google-Apps-For-Education,
/product/Google-Apps/sku/1010310002,
/product/Google-Apps/sku/1010310003,
/product/Google-Apps/sku/1010310005,
/product/Google-Apps/sku/1010310006,
/product/Google-Apps/sku/1010310007,
/product/Google-Apps/sku/1010310008,
/product/Google-Apps/sku/1010310009,
/product/Google-Apps/sku/1010310010,
/product/Google-Apps/sku/1010460001,
/product/Google-Apps/sku/1010460002
|
| enable_webhooks | „true“ in EDU-SKUs:
/product/Google-Apps/sku/Google-Apps-For-Education,
/product/Google-Apps/sku/1010310002,
/product/Google-Apps/sku/1010310003,
/product/Google-Apps/sku/1010310005,
/product/Google-Apps/sku/1010310006,
/product/Google-Apps/sku/1010310007,
/product/Google-Apps/sku/1010310008,
/product/Google-Apps/sku/1010310009,
/product/Google-Apps/sku/1010310010,
/product/Google-Apps/sku/1010460001,
/product/Google-Apps/sku/1010460002
|
|
| gmail.user_email_uploads | enable_mail_and_contacts_import | false |
| gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] leere Liste |
| enable_image_proxy | wahr | |
| gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | wahr |
| gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] leere Liste |
| drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | wahr | |
| warn_for_sharing_outside_allowlisted_domains | wahr | |
| allow_non_google_invites_in_allowlisted_domains | false | |
| allow_receiving_files_outside_allowlisted_domains | wahr | |
| warn_for_external_sharing | wahr | |
| allow_non_google_invites | wahr | |
| allow_publishing_files | wahr | |
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
| drive_and_docs.drive_sdk | enable_drive_sdk_api_access | wahr |
| security.user_account_recovery | enable_account_recovery | false |
| security.super_admin_account_recovery | enable_account_recovery | false |
| workspace_marketplace.apps_access_options | access_level | Für Kunden aus der Primar- und Sekundarstufe: ALLOW_NONE
Andernfalls: ALLOW_ALL
|
| allow_all_internal_apps | false | |
| workspace_marketplace.apps_allowlist | Apps | [] leere Liste |
| groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false | |
| owners_can_allow_incoming_mail_from_public | wahr | |
| owners_can_hide_groups | false | |
| new_groups_are_hidden | false |