Concepts de l'API Policy
Cette documentation décrit les concepts et les stratégies de l'API Cloud Identity Policy.
Réduction
Pour lister et obtenir des règles, consultez Configurer l'API Policy et Lister et obtenir des règles.
Terminologie
Valeur du paramètre: valeurs de paramètre fournies dans la règle
Valeur de paramètre réduite: valeurs de paramètre finale appliquées à une cible, comme un utilisateur, une unité organisationnelle ou un groupe
Réduction: processus consistant à réduire les valeurs de paramètre des règles à une seule valeur de paramètre pour une cible, telle qu'un utilisateur, une unité organisationnelle ou un groupe
Réducteur: type de règles qui déterminent comment les valeurs de configuration des règles sont simplifiées en un seul paramètre pour un utilisateur
Règles d'administration: règles créées par les administrateurs dans la console d'administration
Règles système: règles fournies par Google Workspace
Processus de réduction
Pour réduire un paramètre donné pour un utilisateur donné:
Filtrez toutes les règles qui ne s'appliquent pas à l'utilisateur.
Filtrez les règles qui ne contiennent pas le paramètre.
Filtrez les règles qui s'appliquent à l'UO dans laquelle l'utilisateur cible ne se trouve pas.
Filtrez les règles qui s'appliquent au groupe auquel l'utilisateur cible n'appartient pas.
Filtrez les règles qui s'appliquent à la licence dont l'utilisateur cible ne dispose pas. Pour en savoir plus sur les licences, consultez la section Licences.
Appliquer le réducteur du paramètre donné
Max: pour chaque champ du paramètre réduit, le réducteur Max choisit la valeur de la stratégie ayant la plus grande sortOrder.
Fusionner: pour chaque champ du paramètre réduit, le réducteur Fusionner choisit la valeur de la stratégie ayant le sortOrder le plus élevé qui a une valeur pour ce champ. Si le champ est un tableau, le réducteur de fusion concatène les valeurs de toutes les règles.
MaxMap: le réducteur MaxMap est utilisé pour les paramètres où les entrées du tableau comportent un champ qui sert de clé primaire. Le réducteur MaxMap ne concatène pas les entrées du tableau avec la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur Max sur les autres champs des entrées du tableau qui partagent la même clé primaire.
MergeMap: le réducteur MergeMap est utilisé pour les paramètres dans lesquels les entrées du tableau comportent un champ qui fonctionne comme une clé primaire. Le réducteur MergeMap ne concatène pas les entrées du tableau avec la même clé primaire. Au lieu de cela, il met à jour l'entrée à l'aide du réducteur Merge sur les autres champs des entrées de tableau qui partagent la même clé primaire.
Liste: ces paramètres ne sont pas réduits à un seul paramètre. À la place, l'ensemble de la séquence de paramètres est conservé et appliqué sous forme de liste.
Réductions pour les paramètres
| Nom du paramètre | Réducteur |
drive_and_docs.external_sharing
|
Max |
drive_and_docs.general_access_default
|
Max |
drive_and_docs.shared_drive_creation
|
Max |
drive_and_docs.file_security_update
|
Max |
drive_and_docs.drive_sdk
|
Fusionner |
drive_and_docs.drive_for_desktop
|
Max |
gmail.confidential_mode
|
Max |
gmail.enhanced_smime_encryption
|
Max |
gmail.enhanced_pre_delivery_message_scanning
|
Max |
gmail.email_spam_filter_ip_allowlist
|
Max |
gmail.spoofing_and_authentication
|
Max |
gmail.links_and_external_images
|
Max |
gmail.email_attachment_safety
|
Max |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max |
gmail.pop_access
|
Max |
gmail.imap_access
|
Fusionner |
gmail.workspace_sync_for_outlook
|
Max |
gmail.auto_forwarding
|
Max |
gmail.name_format
|
Fusionner |
gmail.per_user_outbound_gateway
|
Max |
gmail.email_image_proxy_bypass
|
Fusionner |
gmail.mail_delegation
|
Fusionner |
chat.chat_history
|
Fusionner |
chat.chat_file_sharing
|
Max |
chat.space_history
|
Max |
chat.external_chat_restriction
|
Fusionner |
chat.chat_apps_access
|
Max |
sites.sites_creation_and_modification
|
Max |
groups_for_business.groups_sharing
|
Fusionner |
cloud_sharing_options.cloud_data_sharing
|
Max |
classroom.teacher_permissions
|
Max |
classroom.guardian_access
|
Max |
classroom.class_membership
|
Max |
classroom.api_data_access
|
Max |
classroom.originality_reports
|
Max |
classroom.roster_import
|
Max |
classroom.student_unenrollment
|
Max |
calendar.appointment_schedules
|
Max |
calendar.external_invitations
|
Max |
calendar.interoperability
|
Fusionner |
calendar.primary_calendar_max_allowed_external_sharing
|
Fusionner |
calendar.secondary_calendar_max_allowed_external_sharing
|
Fusionner |
meet.safety_domain
|
Max |
meet.safety_access
|
Max |
meet.safety_host_management
|
Max |
meet.video_recording
|
Max |
meet.safety_external_participants
|
Max |
security.super_admin_account_recovery
|
Fusionner |
security.user_account_recovery
|
Fusionner |
security.password
|
Max |
security.session_controls
|
Max |
security.less_secure_apps
|
Fusionner |
security.login_challenges
|
Max |
security.advanced_protection_program
|
Max |
security.two_step_verification_enrollment
|
Max |
security.two_step_verification_enforcement
|
Max |
security.two_step_verification_grace_period
|
Max |
security.two_step_verification_device_trust
|
Max |
security.two_step_verification_enforcement_factor
|
Max |
security.two_step_verification_sign_in_code
|
Max |
user_takeout
|
Max |
workspace_marketplace.apps_access_options
|
Fusionner |
workspace_marketplace.apps_allowlist
|
MergeMap (clé primaire: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max |
rule.dlp
|
Liste |
rule.system_defined_alerts
|
Liste |
detector.regular_expression
|
Liste |
detector.word_list
|
Liste |
Licences
Les règles s'appliquent aux utilisateurs en fonction de leurs licences Workspace. La condition de licence est fournie dans PolicyQuery.
Pour obtenir la liste complète des ID de produit et de SKU Workspace, consultez ID de SKU et de produit Google.
Les exemples suivants montrent comment des règles peuvent être appliquées à certains groupes d'utilisateurs en fonction de leurs licences.
Exemple 1: Clause normale uniquement
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la liste.
Exemple 2: Clause normale et clause inversée
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la première clause. Toutefois, si un utilisateur dispose d'une licence pour l'un des SKU de la deuxième clause, la règle ne s'applique pas du tout à cet utilisateur.
Exemple 3: Clause inversée uniquement
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
La règle s'applique à un utilisateur s'il ne dispose d'aucune licence pour les SKU de la liste.
Valeurs par défaut des champs
Lorsqu'un champ n'est pas présent dans le paramètre réduit, sa valeur par défaut est la suivante:
| Nom du paramètre | Champ | Valeur par défaut du champ |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true dans les SKU EDU, false dans les SKU autres qu'EDU. SKU EDU :
|
| enable_webhooks | true dans les SKU EDU, false dans les SKU autres qu'EDU. SKU EDU :
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] liste vide |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] liste vide |
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
workspace_marketplace.apps_access_options
|
access_level | Pour les clients de l'enseignement primaire et secondaire: ALLOW_NONE
Sinon: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
d'e-commerce | [] liste vide |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|