Policy API-Konzepte

In dieser Dokumentation werden die Konzepte und Strategien der Cloud Identity Policy API beschrieben.

Reduzierung

Informationen zum Auflisten und Abrufen von Richtlinien finden Sie unter Policy API einrichten und Richtlinien auflisten und abrufen.

Terminologie

  • Wert der Einstellung: In der Richtlinie angegebene Werte für die Einstellung

  • Wert der reduzierten Einstellung: Die endgültigen Einstellungswerte, die auf ein Ziel angewendet werden, z. B. auf einen Nutzer, eine Organisationseinheit oder eine Gruppe.

  • Reduzierung: Das Herabsetzen von Einstellungswerten für Richtlinien auf einen einzigen Einstellungswert für ein Ziel, z. B. einen Nutzer, eine Organisationseinheit oder eine Gruppe.

  • Reduktionsregel: Regeln, die festlegen, wie die Einstellung von Richtlinienwerten auf eine einzige Einstellung für einen Nutzer reduziert wird

  • Administratorrichtlinien: Richtlinien, die von Administratoren in der Admin-Konsole erstellt wurden

  • Systemrichtlinien: Richtlinien von Google Workspace

Reduktionsprozess

So reduzieren Sie eine bestimmte Einstellung für einen bestimmten Nutzer:

  1. Filtern Sie alle Richtlinien heraus, die nicht für den Nutzer gelten.

    1. Filtern Sie Richtlinien heraus, die die Einstellung nicht enthalten.

    2. Filtern Sie Richtlinien heraus, die für die OE gelten, zu der der Zielnutzer nicht gehört.

    3. Filtern Sie Richtlinien heraus, die für die Gruppe gelten, zu der der Zielnutzer nicht gehört.

    4. Filtern Sie Richtlinien heraus, die für die Lizenz gelten, die der Zielnutzer nicht hat. Weitere Informationen zu Lizenzen finden Sie im Abschnitt Lizenzen.

  2. Reduzierer der angegebenen Einstellung anwenden

    • Max: Für jedes Feld in der reduzierten Einstellung wird mit dem Max-Reduzierer der Wert aus der Richtlinie mit der größten sortOrder ausgewählt.

    • Merge (Zusammenführen): Für jedes Feld in der reduzierten Einstellung wählt der Merge-Reduzierer den Wert aus der Richtlinie mit der größten sortOrder aus, der einen Wert für dieses Feld hat. Wenn das Feld ein Array ist, werden die Werte aus allen Richtlinien stattdessen mit dem Reducer „Merge“ zusammengeführt.

    • MaxMap: Der MaxMap-Reduzierer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel dient. Der MaxMap-Reducer fügt die Arrayeinträge mit demselben Primärschlüssel nicht zusammen. Stattdessen wird der Eintrag mit dem Max-Reduzierer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.

    • MergeMap: Der MergeMap-Reducer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel dient. Der MergeMap-Reducer fügt die Arrayeinträge mit demselben Primärschlüssel nicht zusammen. Stattdessen wird der Eintrag mit dem Merge-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.

    • Liste: Diese Einstellungen werden nicht auf eine einzelne Einstellung reduziert. Stattdessen wird die gesamte Abfolge der Einstellungen beibehalten und als Liste angewendet.

Reduzierer für Einstellungen

Name der Einstellung Reduziere
drive_and_docs.external_sharing Max.
drive_and_docs.general_access_default Max.
drive_and_docs.shared_drive_creation Max.
drive_and_docs.file_security_update Max.
drive_and_docs.drive_sdk Zusammenführen
drive_and_docs.drive_for_desktop Max.
gmail.confidential_mode Max.
gmail.enhanced_smime_encryption Max.
gmail.enhanced_pre_delivery_message_scanning Max.
gmail.email_spam_filter_ip_allowlist Max.
gmail.spoofing_and_authentication Max.
gmail.links_and_external_images Max.
gmail.email_attachment_safety Max.
gmail.email_address_lists MaxMap
gmail.blocked_sender_lists MaxMap
gmail.spam_override_lists MaxMap
gmail.content_compliance MaxMap
gmail.objectionable_content MaxMap
gmail.attachment_compliance MaxMap
gmail.comprehensive_mail_storage Max.
gmail.rule_states MaxMap
gmail.user_email_uploads Max.
gmail.pop_access Max.
gmail.imap_access Zusammenführen
gmail.workspace_sync_for_outlook Max.
gmail.auto_forwarding Max.
gmail.name_format Zusammenführen
gmail.per_user_outbound_gateway Max.
gmail.email_image_proxy_bypass Zusammenführen
gmail.mail_delegation Zusammenführen
chat.chat_history Zusammenführen
chat.chat_file_sharing Max.
chat.space_history Max.
chat.external_chat_restriction Zusammenführen
chat.chat_apps_access Max.
sites.sites_creation_and_modification Max.
groups_for_business.groups_sharing Zusammenführen
cloud_sharing_options.cloud_data_sharing Max.
classroom.teacher_permissions Max.
classroom.guardian_access Max.
classroom.class_membership Max.
classroom.api_data_access Max.
classroom.originality_reports Max.
classroom.roster_import Max.
classroom.student_unenrollment Max.
calendar.appointment_schedules Max.
calendar.external_invitations Max.
calendar.interoperability Zusammenführen
calendar.primary_calendar_max_allowed_external_sharing Zusammenführen
calendar.secondary_calendar_max_allowed_external_sharing Zusammenführen
meet.safety_domain Max.
meet.safety_access Max.
meet.safety_host_management Max.
meet.video_recording Max.
meet.safety_external_participants Max.
security.super_admin_account_recovery Zusammenführen
security.user_account_recovery Zusammenführen
security.password Max.
security.session_controls Max.
security.less_secure_apps Zusammenführen
security.login_challenges Max.
security.advanced_protection_program Max.
security.two_step_verification_enrollment Max.
security.two_step_verification_enforcement Max.
security.two_step_verification_grace_period Max.
security.two_step_verification_device_trust Max.
security.two_step_verification_enforcement_factor Max.
security.two_step_verification_sign_in_code Max.
user_takeout Max.
workspace_marketplace.apps_access_options Zusammenführen
workspace_marketplace.apps_allowlist MergeMap (primärer Schlüssel: application_id)
SERVICE_STATUS_APP_NAME.service_status Max.
rule.dlp Liste
rule.system_defined_alerts Auflisten
detector.regular_expression Auflisten
detector.word_list Liste

Lizenzen

Richtlinien gelten für Nutzer basierend auf ihren Workspace-Lizenzen. Die Lizenzbedingung finden Sie unter PolicyQuery.

Eine vollständige Liste aller Workspace-Produkt- und SKU-IDs finden Sie unter Google-Produkt- und SKU-IDs.

Die folgenden Beispiele zeigen, wie Richtlinien basierend auf den Lizenzen bestimmter Nutzergruppen angewendet werden können.

Beispiel 1: Nur normale Klausel

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der Liste hat.

Beispiel 2: Normale und umgekehrte Klausel

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der Artikelnummern in der ersten Klausel hat. Wenn ein Nutzer jedoch eine Lizenz für eine der Artikelnummern in der zweiten Klausel hat, gilt die Richtlinie für diesen Nutzer überhaupt nicht.

Beispiel 3: Nur umgekehrte Klausel

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Die Richtlinie gilt für einen Nutzer, wenn er keine Lizenz für eine der SKUs in der Liste hat.

Standard-Feldwerte

Wenn ein Feld in der reduzierten Einstellung nicht vorhanden ist, gilt für es der folgende Standardwert:

Name der Einstellung Feld Standardwert für das Feld
chat.chat_history enable_chat_history false
history_on_by_default false
allow_user_modification true
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true in EDU-SKUs, false in Nicht-EDU-SKUs. EDU-SKUs:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
enable_webhooks true in EDU-SKUs, false in Nicht-EDU-SKUs. EDU-SKUs:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import false
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] leere Liste
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] leere Liste
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains false
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
drive_and_docs.general_access_default default_file_access LINK_SHARING_PRIVATE
security.user_account_recovery enable_account_recovery false
security.super_admin_account_recovery enable_account_recovery false
security.less_secure_apps allow_less_secure_apps false
workspace_marketplace.apps_access_options access_level Für Kunden aus der Primar- und Sekundarstufe: ALLOW_NONE Andernfalls: ALLOW_ALL
allow_all_internal_apps false
workspace_marketplace.apps_allowlist Apps [] leere Liste
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members false
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden false