Concepts de l'API Policy

Cette documentation décrit les concepts et les stratégies de l'API Cloud Identity Policy.

Réduction

Pour lister et obtenir des règles, consultez Configurer l'API Policy et Lister et obtenir des règles.

Terminologie

  • Valeur du paramètre: valeurs de paramètre fournies dans la règle

  • Valeur de paramètre réduite: valeurs de paramètre finale appliquées à une cible, comme un utilisateur, une unité organisationnelle ou un groupe

  • Réduction: processus consistant à réduire les valeurs de paramètre des règles à une seule valeur de paramètre pour une cible, telle qu'un utilisateur, une unité organisationnelle ou un groupe

  • Réducteur: type de règles qui déterminent comment les valeurs de configuration des règles sont simplifiées en un seul paramètre pour un utilisateur

  • Règles d'administration: règles créées par les administrateurs dans la console d'administration

  • Règles système: règles fournies par Google Workspace

Processus de réduction

Pour réduire un paramètre donné pour un utilisateur donné:

  1. Filtrez toutes les règles qui ne s'appliquent pas à l'utilisateur.

    1. Filtrez les règles qui ne contiennent pas le paramètre.

    2. Filtrez les règles qui s'appliquent à l'UO dans laquelle l'utilisateur cible ne se trouve pas.

    3. Filtrez les règles qui s'appliquent au groupe auquel l'utilisateur cible n'appartient pas.

    4. Filtrez les règles qui s'appliquent à la licence dont l'utilisateur cible ne dispose pas. Pour en savoir plus sur les licences, consultez la section Licences.

  2. Appliquer le réducteur du paramètre donné

    • Max: pour chaque champ du paramètre réduit, le réducteur Max choisit la valeur de la stratégie ayant la plus grande sortOrder.

    • Fusionner: pour chaque champ du paramètre réduit, le réducteur Fusionner choisit la valeur de la stratégie ayant le sortOrder le plus élevé qui a une valeur pour ce champ. Si le champ est un tableau, le réducteur de fusion concatène les valeurs de toutes les règles.

    • MaxMap: le réducteur MaxMap est utilisé pour les paramètres où les entrées du tableau comportent un champ qui sert de clé primaire. Le réducteur MaxMap ne concatène pas les entrées du tableau avec la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur Max sur les autres champs des entrées du tableau qui partagent la même clé primaire.

    • MergeMap: le réducteur MergeMap est utilisé pour les paramètres dans lesquels les entrées du tableau comportent un champ qui fonctionne comme une clé primaire. Le réducteur MergeMap ne concatène pas les entrées du tableau avec la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur Merge sur les autres champs des entrées de tableau qui partagent la même clé primaire.

    • Liste: ces paramètres ne sont pas réduits à un seul paramètre. À la place, l'ensemble de la séquence de paramètres est conservé et appliqué sous forme de liste.

Réductions pour les paramètres

Nom du paramètre Réducteur
drive_and_docs.external_sharing Max
drive_and_docs.general_access_default Max
drive_and_docs.shared_drive_creation Max
drive_and_docs.file_security_update Max
drive_and_docs.drive_sdk Fusionner
drive_and_docs.drive_for_desktop Max
gmail.confidential_mode Max
gmail.enhanced_smime_encryption Max
gmail.enhanced_pre_delivery_message_scanning Max
gmail.email_spam_filter_ip_allowlist Max
gmail.spoofing_and_authentication Max
gmail.links_and_external_images Max
gmail.email_attachment_safety Max
gmail.email_address_lists MaxMap
gmail.blocked_sender_lists MaxMap
gmail.spam_override_lists MaxMap
gmail.content_compliance MaxMap
gmail.objectionable_content MaxMap
gmail.attachment_compliance MaxMap
gmail.comprehensive_mail_storage Max
gmail.rule_states MaxMap
gmail.user_email_uploads Max
gmail.pop_access Max
gmail.imap_access Fusionner
gmail.workspace_sync_for_outlook Max
gmail.auto_forwarding Max
gmail.name_format Fusionner
gmail.per_user_outbound_gateway Max
gmail.email_image_proxy_bypass Fusionner
gmail.mail_delegation Fusionner
chat.chat_history Fusionner
chat.chat_file_sharing Max
chat.space_history Max
chat.external_chat_restriction Fusionner
chat.chat_apps_access Max
sites.sites_creation_and_modification Max
groups_for_business.groups_sharing Fusionner
cloud_sharing_options.cloud_data_sharing Max
classroom.teacher_permissions Max
classroom.guardian_access Max
classroom.class_membership Max
classroom.api_data_access Max
classroom.originality_reports Max
classroom.roster_import Max
classroom.student_unenrollment Max
calendar.appointment_schedules Max
calendar.external_invitations Max
calendar.interoperability Fusionner
calendar.primary_calendar_max_allowed_external_sharing Fusionner
calendar.secondary_calendar_max_allowed_external_sharing Fusionner
meet.safety_domain Max
meet.safety_access Max
meet.safety_host_management Max
meet.video_recording Max
meet.safety_external_participants Max
security.super_admin_account_recovery Fusionner
security.user_account_recovery Fusionner
security.password Max
security.session_controls Max
security.less_secure_apps Fusionner
security.login_challenges Max
security.advanced_protection_program Max
security.two_step_verification_enrollment Max
security.two_step_verification_enforcement Max
security.two_step_verification_grace_period Max
security.two_step_verification_device_trust Max
security.two_step_verification_enforcement_factor Max
security.two_step_verification_sign_in_code Max
user_takeout Max
workspace_marketplace.apps_access_options Fusionner
workspace_marketplace.apps_allowlist MergeMap (clé primaire: application_id)
SERVICE_STATUS_APP_NAME.service_status Max
rule.dlp Liste
rule.system_defined_alerts Liste
detector.regular_expression Liste
detector.word_list Liste

Licences

Les règles s'appliquent aux utilisateurs en fonction de leurs licences Workspace. La condition de licence est fournie dans PolicyQuery.

Pour obtenir la liste complète des ID de produit et de SKU Workspace, consultez ID de SKU et de produit Google.

Les exemples suivants montrent comment des règles peuvent être appliquées à certains groupes d'utilisateurs en fonction de leurs licences.

Exemple 1: Clause normale uniquement

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la liste.

Exemple 2: Clause normale et clause inversée

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la première clause. Toutefois, si un utilisateur dispose d'une licence pour l'un des SKU de la deuxième clause, la règle ne s'applique pas du tout à cet utilisateur.

Exemple 3: Clause inversée uniquement

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La règle s'applique à un utilisateur s'il ne dispose d'aucune licence pour les SKU de la liste.

Valeurs par défaut des champs

Lorsqu'un champ n'est pas présent dans le paramètre réduit, sa valeur par défaut est la suivante:

Nom du paramètre Champ Valeur par défaut du champ
chat.chat_history enable_chat_history false
history_on_by_default false
allow_user_modification true
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true dans les SKU EDU, false dans les SKU autres qu'EDU. SKU EDU :
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
enable_webhooks true dans les SKU EDU, false dans les SKU autres qu'EDU. SKU EDU :
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import false
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] liste vide
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] liste vide
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains false
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
drive_and_docs.general_access_default default_file_access LINK_SHARING_PRIVATE
security.user_account_recovery enable_account_recovery false
security.super_admin_account_recovery enable_account_recovery false
security.less_secure_apps allow_less_secure_apps false
workspace_marketplace.apps_access_options access_level Pour les clients de l'enseignement primaire et secondaire: ALLOW_NONE Sinon: ALLOW_ALL
allow_all_internal_apps false
workspace_marketplace.apps_allowlist d'e-commerce [] liste vide
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members false
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden false