Concepts de l'API Policy
Cette documentation décrit les concepts et les stratégies de l'API Cloud Identity Policy.
Réduction
Pour lister et obtenir des règles, consultez Configurer l'API Policy et Lister et obtenir des règles.
Terminologie
Valeur du paramètre : valeurs du paramètre fournies dans la règle
Valeur de paramètre réduite : valeurs de paramètre finales appliquées à une cible, comme un utilisateur, une unité organisationnelle ou un groupe
Réduction : processus de réduction des valeurs de paramètre des règles à une seule valeur de paramètre pour une cible, telle qu'un utilisateur, une unité organisationnelle ou un groupe
Réducteur : type de règles qui déterminent comment les valeurs de paramètre des règles sont simplifiées en un seul paramètre pour un utilisateur.
Règles d'administration : règles créées par les administrateurs dans la console d'administration
Règles système : règles fournies par Google Workspace
Processus de réduction
Pour réduire un paramètre donné pour un utilisateur donné :
Filtrez toutes les règles qui ne s'appliquent pas à l'utilisateur.
Filtrez les règles qui ne contiennent pas le paramètre.
Filtrez les règles qui s'appliquent à l'UO dans laquelle l'utilisateur cible ne se trouve pas.
Filtrez les règles qui s'appliquent au groupe dont l'utilisateur cible ne fait pas partie.
Filtrez les règles qui s'appliquent à la licence dont l'utilisateur cible ne dispose pas. Pour en savoir plus sur les licences, consultez la section Licences.
Appliquer le réducteur du paramètre donné
Max : pour chaque champ du paramètre réduit, le réducteur Max choisit la valeur de la règle avec le sortOrder le plus élevé.
Fusionner : pour chaque champ du paramètre réduit, le réducteur "Fusionner" choisit la valeur de la règle avec le sortOrder le plus élevé qui comporte une valeur pour ce champ. Si le champ est un tableau, le réducteur de fusion concatène plutôt les valeurs de toutes les règles.
MaxMap : le réducteur MaxMap est utilisé pour les paramètres où les entrées de tableau comportent un champ qui sert de clé primaire. Le réducteur MaxMap ne concatène pas les entrées de tableau ayant la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur "Max" sur les autres champs des entrées du tableau qui partagent la même clé primaire.
MergeMap : le réducteur MergeMap est utilisé pour les paramètres où les entrées du tableau comportent un champ qui sert de clé primaire. Le réducteur MergeMap ne concatène pas les entrées de tableau avec la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur Merge sur les autres champs des entrées du tableau qui partagent la même clé primaire.
Liste : ces paramètres ne sont pas réduits à un seul paramètre. Au lieu de cela, la séquence entière de paramètres est conservée et appliquée sous forme de liste.
Réducteurs pour les paramètres
| Nom du paramètre | Réducteur |
drive_and_docs.external_sharing
|
Max |
drive_and_docs.general_access_default
|
Max |
drive_and_docs.shared_drive_creation
|
Max |
drive_and_docs.file_security_update
|
Max |
drive_and_docs.drive_sdk
|
Fusionner |
drive_and_docs.drive_for_desktop
|
Max |
gmail.confidential_mode
|
Max |
gmail.enhanced_smime_encryption
|
Max |
gmail.enhanced_pre_delivery_message_scanning
|
Max |
gmail.email_spam_filter_ip_allowlist
|
Max |
gmail.spoofing_and_authentication
|
Max |
gmail.links_and_external_images
|
Max |
gmail.email_attachment_safety
|
Max |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max |
gmail.pop_access
|
Max |
gmail.imap_access
|
Fusionner |
gmail.workspace_sync_for_outlook
|
Max |
gmail.auto_forwarding
|
Max |
gmail.name_format
|
Fusionner |
gmail.per_user_outbound_gateway
|
Max |
gmail.email_image_proxy_bypass
|
Fusionner |
gmail.mail_delegation
|
Fusionner |
chat.chat_history
|
Fusionner |
chat.chat_file_sharing
|
Max |
chat.space_history
|
Max |
chat.external_chat_restriction
|
Fusionner |
chat.chat_apps_access
|
Max |
sites.sites_creation_and_modification
|
Max |
groups_for_business.groups_sharing
|
Fusionner |
cloud_sharing_options.cloud_data_sharing
|
Max |
classroom.teacher_permissions
|
Max |
classroom.guardian_access
|
Max |
classroom.class_membership
|
Max |
classroom.api_data_access
|
Max |
classroom.originality_reports
|
Max |
classroom.roster_import
|
Max |
classroom.student_unenrollment
|
Max |
calendar.appointment_schedules
|
Max |
calendar.external_invitations
|
Max |
calendar.interoperability
|
Fusionner |
calendar.primary_calendar_max_allowed_external_sharing
|
Fusionner |
calendar.secondary_calendar_max_allowed_external_sharing
|
Fusionner |
meet.safety_domain
|
Max |
meet.safety_access
|
Max |
meet.safety_host_management
|
Max |
meet.video_recording
|
Max |
meet.safety_external_participants
|
Max |
security.super_admin_account_recovery
|
Fusionner |
security.user_account_recovery
|
Fusionner |
security.password
|
Max |
security.session_controls
|
Max |
security.less_secure_apps
|
Fusionner |
security.login_challenges
|
Max |
security.advanced_protection_program
|
Max |
security.two_step_verification_enrollment
|
Max |
security.two_step_verification_enforcement
|
Max |
security.two_step_verification_grace_period
|
Max |
security.two_step_verification_device_trust
|
Max |
security.two_step_verification_enforcement_factor
|
Max |
security.two_step_verification_sign_in_code
|
Max |
user_takeout
|
Max |
workspace_marketplace.apps_access_options
|
Fusionner |
workspace_marketplace.apps_allowlist
|
MergeMap (la clé primaire est application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max |
rule.dlp
|
Liste |
rule.system_defined_alerts
|
Liste |
detector.regular_expression
|
Liste |
detector.word_list
|
Liste |
Licences
Les règles s'appliquent aux utilisateurs en fonction de leurs licences Workspace. Les conditions de licence sont disponibles dans PolicyQuery.
Pour obtenir la liste complète des ID de produit et de SKU Workspace, consultez ID de produit et de SKU Google.
Les exemples suivants montrent comment les règles peuvent être appliquées à certains groupes d'utilisateurs en fonction de leurs licences.
Exemple 1 : Clause normale uniquement
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des SKU de la liste.
Exemple 2 : Clause normale et clause inversée
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des SKU de la première clause. Toutefois, si un utilisateur dispose d'une licence pour l'un des SKU de la deuxième clause, le règlement ne s'applique pas à cet utilisateur.
Exemple 3 : Clause inversée uniquement
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La règle s'applique à un utilisateur s'il ne dispose d'aucune licence pour les SKU de la liste.
Valeurs par défaut des champs
Lorsqu'un champ n'est pas présent dans le paramètre réduit, sa valeur par défaut est la suivante :
| Nom du paramètre | Champ | Valeur par défaut du champ |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true dans les SKU EDU, false dans les SKU non EDU. SKU EDU :
|
| enable_webhooks | true dans les SKU EDU, false dans les SKU non EDU. SKU EDU :
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] Liste vide |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] Liste vide |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Pour les clients K12 : ALLOW_NONE
Sinon : ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
d'e-commerce | [] Liste vide |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Groupes système
Groupes système Google qui ne sont pas affichés dans l'API Directory et qui peuvent être associés aux règles système.
| GroupId | Description |
WORKSPACE_ALL_ADMIN_GROUP
|
Groupe pour le règlement du système Google qui impose la validation en deux étapes pour tous les administrateurs. |