Conceptos de la API Policy
En esta documentación se describen los conceptos y las estrategias de la API Cloud Identity Policy.
50% en TCO
Para enumerar y obtener políticas, consulta Configurar la API Policy y Enumerar y obtener políticas.
Terminología
Valor de ajuste: valores de ajuste proporcionados en la política
Valor de ajuste reducido: valores de ajuste finales aplicados a un objetivo, como un usuario, una unidad organizativa o un grupo.
Reducción: proceso de reducir los valores de configuración de las políticas a un único valor de configuración para un objetivo, como un usuario, una unidad organizativa o un grupo.
Reductor: el tipo de reglas que determinan cómo se simplifican los valores de configuración de las políticas en una sola configuración para un usuario.
Políticas de administrador: políticas creadas por administradores en la consola de administración.
Políticas del sistema: políticas proporcionadas por Google Workspace
Proceso de reducción
Para reducir un ajuste de un usuario concreto, sigue estos pasos:
Excluye todas las políticas que no se apliquen al usuario.
Filtra las políticas que no contengan el ajuste.
Excluye las políticas que se aplican a la unidad organizativa en la que no está el usuario de destino.
Filtra las políticas que se aplican al grupo al que no pertenece el usuario objetivo.
Filtrar las políticas que se aplican a la licencia que no tiene el usuario de destino. Para obtener más información sobre las licencias, consulta la sección Licencias.
Aplica el Reducer del ajuste dado.
Máximo: en cada campo del ajuste reducido, el reductor Máximo elige el valor de la política con el sortOrder más alto.
Combinar: en cada campo de la configuración reducida, el reductor Combinar elige el valor de la política con el sortOrder más alto que tenga un valor para ese campo. Si el campo es un array, el reductor Merge concatena los valores de todas las políticas.
MaxMap el reductor MaxMap se usa en ajustes en los que las entradas de la matriz tienen un campo que funciona como clave principal. El reductor MaxMap no concatena las entradas de la matriz con la misma clave principal. En su lugar, actualiza la entrada usando el reductor Max en los demás campos de las entradas de la matriz que comparten la misma clave principal.
MergeMap el reductor MergeMap se usa en ajustes en los que las entradas de la matriz tienen un campo que funciona como clave principal. El reductor MergeMap no concatena las entradas de la matriz con la misma clave principal. En su lugar, actualiza la entrada usando el reductor Merge en los demás campos de las entradas de la matriz que comparten la misma clave principal.
Lista: estos ajustes no se reducen a uno solo. En su lugar, se conserva toda la secuencia de ajustes y se aplica como una lista.
Reductores de ajustes
| Nombre del ajuste | Reducer |
drive_and_docs.external_sharing
|
Máx. |
drive_and_docs.general_access_default
|
Máx. |
drive_and_docs.shared_drive_creation
|
Máx. |
drive_and_docs.file_security_update
|
Máx. |
drive_and_docs.drive_sdk
|
Combinar |
drive_and_docs.drive_for_desktop
|
Máx. |
gmail.confidential_mode
|
Máx. |
gmail.enhanced_smime_encryption
|
Máx. |
gmail.enhanced_pre_delivery_message_scanning
|
Máx. |
gmail.email_spam_filter_ip_allowlist
|
Máx. |
gmail.spoofing_and_authentication
|
Máx. |
gmail.links_and_external_images
|
Máx. |
gmail.email_attachment_safety
|
Máx. |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Máx. |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Máx. |
gmail.pop_access
|
Máx. |
gmail.imap_access
|
Combinar |
gmail.workspace_sync_for_outlook
|
Máx. |
gmail.auto_forwarding
|
Máx. |
gmail.name_format
|
Combinar |
gmail.per_user_outbound_gateway
|
Máx. |
gmail.email_image_proxy_bypass
|
Combinar |
gmail.mail_delegation
|
Combinar |
chat.chat_history
|
Combinar |
chat.chat_file_sharing
|
Máx. |
chat.space_history
|
Máx. |
chat.external_chat_restriction
|
Combinar |
chat.chat_apps_access
|
Máx. |
sites.sites_creation_and_modification
|
Máx. |
groups_for_business.groups_sharing
|
Combinar |
cloud_sharing_options.cloud_data_sharing
|
Máx. |
classroom.teacher_permissions
|
Máx. |
classroom.guardian_access
|
Máx. |
classroom.class_membership
|
Máx. |
classroom.api_data_access
|
Máx. |
classroom.originality_reports
|
Máx. |
classroom.roster_import
|
Máx. |
classroom.student_unenrollment
|
Máx. |
calendar.appointment_schedules
|
Máx. |
calendar.external_invitations
|
Máx. |
calendar.interoperability
|
Combinar |
calendar.primary_calendar_max_allowed_external_sharing
|
Combinar |
calendar.secondary_calendar_max_allowed_external_sharing
|
Combinar |
meet.safety_domain
|
Máx. |
meet.safety_access
|
Máx. |
meet.safety_host_management
|
Máx. |
meet.video_recording
|
Máx. |
meet.safety_external_participants
|
Máx. |
security.super_admin_account_recovery
|
Combinar |
security.user_account_recovery
|
Combinar |
security.password
|
Máx. |
security.session_controls
|
Máx. |
security.less_secure_apps
|
Combinar |
security.login_challenges
|
Máx. |
security.advanced_protection_program
|
Máx. |
security.two_step_verification_enrollment
|
Máx. |
security.two_step_verification_enforcement
|
Máx. |
security.two_step_verification_grace_period
|
Máx. |
security.two_step_verification_device_trust
|
Máx. |
security.two_step_verification_enforcement_factor
|
Máx. |
security.two_step_verification_sign_in_code
|
Máx. |
user_takeout
|
Máx. |
workspace_marketplace.apps_access_options
|
Combinar |
workspace_marketplace.apps_allowlist
|
MergeMap (la clave principal es application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Máx. |
rule.dlp
|
Lista |
rule.system_defined_alerts
|
Mostrar |
detector.regular_expression
|
Mostrar |
detector.word_list
|
Lista |
Licencias
Las políticas se aplican a los usuarios en función de sus licencias de Workspace. La condición de la licencia se indica en PolicyQuery.
Para ver una lista completa de todos los IDs de producto y SKU de Workspace, consulta el artículo IDs de producto y SKU de Google.
En los siguientes ejemplos se muestra cómo se pueden aplicar políticas a determinados grupos de usuarios en función de sus licencias.
Ejemplo 1: Solo cláusula normal
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
La política se aplica a un usuario si tiene una licencia de al menos una de las SKUs de la lista.
Ejemplo 2: Cláusula normal y cláusula invertida
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La política se aplica a un usuario si tiene una licencia de al menos una de las SKUs de la primera cláusula. Sin embargo, si un usuario tiene una licencia de cualquiera de los SKUs de la segunda cláusula, la política no se aplica a ese usuario.
Ejemplo 3: Solo cláusula invertida
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La política se aplica a un usuario si no tiene una licencia de ninguna de las SKUs de la lista.
Valores de campo predeterminados
Cuando un campo no está presente en el ajuste reducido, su valor predeterminado es el siguiente:
| Nombre del ajuste | Campo | Valor de campo predeterminado |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true en SKUs de EDU y false en SKUs que no son de EDU. SKUs de EDU:
|
| enable_webhooks | true en SKUs de EDU y false en SKUs que no son de EDU. SKUs de EDU:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] lista vacía |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] lista vacía |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Para clientes de centros de enseñanza primaria y secundaria: ALLOW_NONE
En caso contrario: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
aplicaciones | [] lista vacía |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Grupos del sistema
Grupos de sistema de Google que no se muestran en la API Directory y que se pueden vincular desde las políticas del sistema.
| GroupId | Descripción |
WORKSPACE_ALL_ADMIN_GROUP
|
Grupo de la política del sistema de Google que obliga a todos los administradores a usar la verificación en dos pasos. |