Concetti dell'API Policy

Questa documentazione descrive i concetti e le strategie dell'API Cloud Identity Policy.

Riduzione

Per elencare e recuperare i criteri, consulta Configurare l'API Policy e Elenco e recupero dei criteri.

Terminologia

  • Valore impostazione: i valori di impostazione forniti nel criterio

  • Valore impostazione ridotto: valori di impostazione finali applicati a un target, ad esempio un utente, un'unità organizzativa o un gruppo

  • Riduzione: la procedura di riduzione dei valori di impostazione dei criteri a un singolo valore di impostazione per un target, ad esempio un utente, un'unità organizzativa o un gruppo

  • Riduttore: il tipo di regole che determinano in che modo i valori di impostazione dei criteri vengono semplificati in una singola impostazione per un utente

  • Criteri di amministrazione: criteri creati dagli amministratori nella Console di amministrazione

  • Norme di sistema: norme fornite da Google Workspace

Procedura di riduzione

Per ridurre una determinata impostazione per un determinato utente:

  1. Filtra tutti i criteri che non si applicano all'utente.

    1. Filtra i criteri che non contengono l'impostazione.

    2. Filtra i criteri che si applicano all'UO in cui non si trova l'utente di destinazione.

    3. Filtra i criteri che si applicano al gruppo di cui non fa parte l'utente target.

    4. Filtra i criteri che si applicano alla Licenza che l'utente di destinazione non ha. Per scoprire di più sulle licenze, consulta la sezione Licenze.

  2. Applica il riduttore dell'impostazione specificata

    • Max: per ogni campo dell'impostazione ridotta, il riduttore Max sceglie il valore del criterio con il valore sortOrder più elevato.

    • Unisci: per ogni campo dell'impostazione ridotta, il riduttore Unisci sceglie il valore del criterio con il valore sortOrder più elevato che ha un valore per quel campo. Se il campo è un array, il riduttore Unisci concatena invece i valori di tutti i criteri.

    • MaxMap: il riduttore MaxMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MaxMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Max sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.

    • MergeMap: il riduttore MergeMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MergeMap non concatena le voci dell'array con la stessa chiave primaria. Al contrario, aggiorna la voce utilizzando il riduttore Unisci sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.

    • Elenco: queste impostazioni non vengono ridotte a una singola impostazione. Al contrario, l'intera sequenza di impostazioni viene conservata e applicata come elenco.

Riduttori per le impostazioni

Nome impostazione Riduttore
drive_and_docs.external_sharing Max
drive_and_docs.general_access_default Max
drive_and_docs.shared_drive_creation Max
drive_and_docs.file_security_update Max
drive_and_docs.drive_sdk Unisci
drive_and_docs.drive_for_desktop Max
gmail.confidential_mode Max
gmail.enhanced_smime_encryption Max
gmail.enhanced_pre_delivery_message_scanning Max
gmail.email_spam_filter_ip_allowlist Max
gmail.spoofing_and_authentication Max
gmail.links_and_external_images Max
gmail.email_attachment_safety Max
gmail.email_address_lists MaxMap
gmail.blocked_sender_lists MaxMap
gmail.spam_override_lists MaxMap
gmail.content_compliance MaxMap
gmail.objectionable_content MaxMap
gmail.attachment_compliance MaxMap
gmail.comprehensive_mail_storage Max
gmail.rule_states MaxMap
gmail.user_email_uploads Max
gmail.pop_access Max
gmail.imap_access Unisci
gmail.workspace_sync_for_outlook Max
gmail.auto_forwarding Max
gmail.name_format Unisci
gmail.per_user_outbound_gateway Max
gmail.email_image_proxy_bypass Unisci
gmail.mail_delegation Unisci
chat.chat_history Unisci
chat.chat_file_sharing Max
chat.space_history Max
chat.external_chat_restriction Unisci
chat.chat_apps_access Max
sites.sites_creation_and_modification Max
groups_for_business.groups_sharing Unisci
cloud_sharing_options.cloud_data_sharing Max
classroom.teacher_permissions Max
classroom.guardian_access Max
classroom.class_membership Max
classroom.api_data_access Max
classroom.originality_reports Max
classroom.roster_import Max
classroom.student_unenrollment Max
calendar.appointment_schedules Max
calendar.external_invitations Max
calendar.interoperability Unisci
calendar.primary_calendar_max_allowed_external_sharing Unisci
calendar.secondary_calendar_max_allowed_external_sharing Unisci
meet.safety_domain Max
meet.safety_access Max
meet.safety_host_management Max
meet.video_recording Max
meet.safety_external_participants Max
security.super_admin_account_recovery Unisci
security.user_account_recovery Unisci
security.password Max
security.session_controls Max
security.less_secure_apps Unisci
security.login_challenges Max
security.advanced_protection_program Max
security.two_step_verification_enrollment Max
security.two_step_verification_enforcement Max
security.two_step_verification_grace_period Max
security.two_step_verification_device_trust Max
security.two_step_verification_enforcement_factor Max
security.two_step_verification_sign_in_code Max
user_takeout Max
workspace_marketplace.apps_access_options Unisci
workspace_marketplace.apps_allowlist MergeMap (la chiave principale è: application_id)
SERVICE_STATUS_APP_NAME.service_status Max
rule.dlp Elenco
rule.system_defined_alerts Elenco
detector.regular_expression Elenco
detector.word_list Elenco

Licenze

I criteri vengono applicati agli utenti in base alle loro licenze Workspace. La condizione della licenza è fornita in PolicyQuery.

Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU Google.

I seguenti esempi mostrano come i criteri possono essere applicati a determinati gruppi di utenti in base alle loro licenze.

Esempio 1: solo clausola normale

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.

Esempio 2: clausola normale e clausola invertita

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente dispone di una licenza per uno degli SKU indicati nella seconda clausola, il criterio non si applica a quell'utente.

Esempio 3: solo clausola invertita

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Il criterio si applica a un utente se non dispone di una licenza per nessuno degli SKU nell'elenco.

Valori campo predefiniti

Quando un campo non è presente nell'impostazione Ridotta, il relativo valore predefinito è il seguente:

Nome impostazione Campo Valore campo predefinito
chat.chat_history enable_chat_history false
history_on_by_default false
allow_user_modification true
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true negli SKU per l'istruzione, false negli SKU non per l'istruzione. SKU per l'istruzione:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
enable_webhooks true negli SKU per l'istruzione, false negli SKU non per l'istruzione. SKU per l'istruzione:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import false
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] elenco vuoto
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] elenco vuoto
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains false
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
drive_and_docs.general_access_default default_file_access LINK_SHARING_PRIVATE
security.user_account_recovery enable_account_recovery false
security.super_admin_account_recovery enable_account_recovery false
security.less_secure_apps allow_less_secure_apps false
workspace_marketplace.apps_access_options access_level Per i clienti di scuole primarie e secondarie: ALLOW_NONE In caso contrario: ALLOW_ALL
allow_all_internal_apps false
workspace_marketplace.apps_allowlist app [] elenco vuoto
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members false
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden false