Concetti dell'API Policy
Questa documentazione descrive i concetti e le strategie dell'API Cloud Identity Policy.
Riduzione
Per elencare e ottenere i criteri, vedi Configurare l'API Policy ed Elencare e ottenere i criteri.
Terminologia
Valore dell'impostazione: i valori dell'impostazione forniti nel criterio.
Valore impostazione ridotto: valori di impostazione finali applicati a una destinazione, ad esempio un utente, un'unità organizzativa o un gruppo
Riduzione: il processo di riduzione dei valori delle impostazioni nei criteri a un unico valore di impostazione per una destinazione, ad esempio un utente, un'unità organizzativa o un gruppo
Riduttore: il tipo di regole che determinano in che modo i valori delle impostazioni nelle norme vengono semplificati in un'unica impostazione per un utente
Criteri amministratore: criteri creati dagli amministratori nella Console di amministrazione
Norme di sistema: norme fornite da Google Workspace
Procedura di riduzione
Per ridurre una determinata impostazione per un determinato utente:
Filtra tutti i criteri che non si applicano all'utente.
Filtra le policy che non contengono l'impostazione.
Filtra i criteri che si applicano all'UO in cui non si trova l'utente di destinazione.
Filtra i criteri che si applicano al gruppo a cui non appartiene l'utente target.
Filtra i criteri che si applicano alla licenza che l'utente di destinazione non ha. Per saperne di più sulle licenze, consulta la sezione Licenze.
Applica il riduttore dell'impostazione specificata
Max: per ogni campo dell'impostazione ridotta, il riduttore Max sceglie il valore del criterio con sortOrder più elevato.
Unione: per ogni campo dell'impostazione ridotta, il riduttore Unione sceglie il valore del criterio con il sortOrder maggiore che ha un valore per quel campo. Se il campo è un array, il riduttore Unisci concatena invece i valori di tutti i criteri.
MaxMap: il riduttore MaxMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MaxMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Max sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
MergeMap: il riduttore MergeMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MergeMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Merge sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
Elenco: queste impostazioni non vengono ridotte a una singola impostazione. Al contrario, l'intera sequenza di impostazioni viene conservata e applicata come elenco.
Riduttori per le impostazioni
| Nome impostazione | Riduttore |
drive_and_docs.external_sharing
|
Max |
drive_and_docs.general_access_default
|
Max |
drive_and_docs.shared_drive_creation
|
Max |
drive_and_docs.file_security_update
|
Max |
drive_and_docs.drive_sdk
|
Unisci |
drive_and_docs.drive_for_desktop
|
Max |
gmail.confidential_mode
|
Max |
gmail.enhanced_smime_encryption
|
Max |
gmail.enhanced_pre_delivery_message_scanning
|
Max |
gmail.email_spam_filter_ip_allowlist
|
Max |
gmail.spoofing_and_authentication
|
Max |
gmail.links_and_external_images
|
Max |
gmail.email_attachment_safety
|
Max |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max |
gmail.pop_access
|
Max |
gmail.imap_access
|
Unisci |
gmail.workspace_sync_for_outlook
|
Max |
gmail.auto_forwarding
|
Max |
gmail.name_format
|
Unisci |
gmail.per_user_outbound_gateway
|
Max |
gmail.email_image_proxy_bypass
|
Unisci |
gmail.mail_delegation
|
Unisci |
chat.chat_history
|
Unisci |
chat.chat_file_sharing
|
Max |
chat.space_history
|
Max |
chat.external_chat_restriction
|
Unisci |
chat.chat_apps_access
|
Max |
sites.sites_creation_and_modification
|
Max |
groups_for_business.groups_sharing
|
Unisci |
cloud_sharing_options.cloud_data_sharing
|
Max |
classroom.teacher_permissions
|
Max |
classroom.guardian_access
|
Max |
classroom.class_membership
|
Max |
classroom.api_data_access
|
Max |
classroom.originality_reports
|
Max |
classroom.roster_import
|
Max |
classroom.student_unenrollment
|
Max |
calendar.appointment_schedules
|
Max |
calendar.external_invitations
|
Max |
calendar.interoperability
|
Unisci |
calendar.primary_calendar_max_allowed_external_sharing
|
Unisci |
calendar.secondary_calendar_max_allowed_external_sharing
|
Unisci |
meet.safety_domain
|
Max |
meet.safety_access
|
Max |
meet.safety_host_management
|
Max |
meet.video_recording
|
Max |
meet.safety_external_participants
|
Max |
security.super_admin_account_recovery
|
Unisci |
security.user_account_recovery
|
Unisci |
security.password
|
Max |
security.session_controls
|
Max |
security.less_secure_apps
|
Unisci |
security.login_challenges
|
Max |
security.advanced_protection_program
|
Max |
security.two_step_verification_enrollment
|
Max |
security.two_step_verification_enforcement
|
Max |
security.two_step_verification_grace_period
|
Max |
security.two_step_verification_device_trust
|
Max |
security.two_step_verification_enforcement_factor
|
Max |
security.two_step_verification_sign_in_code
|
Max |
user_takeout
|
Max |
workspace_marketplace.apps_access_options
|
Unisci |
workspace_marketplace.apps_allowlist
|
MergeMap (la chiave primaria è: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max |
rule.dlp
|
Elenco |
rule.system_defined_alerts
|
Elenco |
detector.regular_expression
|
Elenco |
detector.word_list
|
Elenco |
Licenze
I criteri vengono applicati agli utenti in base alle loro licenze Workspace. La condizione di licenza è fornita in PolicyQuery.
Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU Google.
I seguenti esempi mostrano come i criteri possono essere applicati a determinati gruppi di utenti in base alle loro licenze.
Esempio 1: solo clausola normale
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.
Esempio 2: clausola normale e clausola invertita
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente ha una licenza per una delle SKU nella seconda clausola, le norme non si applicano a quell'utente.
Esempio 3: solo clausola invertita
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se non dispone di una licenza per nessuno degli SKU nell'elenco.
Valori campo predefiniti
Quando un campo non è presente nell'impostazione ridotta, il suo valore predefinito è il seguente:
| Nome impostazione | Campo | Valore campo predefinito |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true nelle SKU per l'istruzione, false nelle SKU non per l'istruzione. SKU per l'istruzione:
|
| enable_webhooks | true nelle SKU per l'istruzione, false nelle SKU non per l'istruzione. SKU per l'istruzione:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] elenco vuoto |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] elenco vuoto |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Per i clienti delle scuole primarie e secondarie: ALLOW_NONE
Altrimenti: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
app | [] elenco vuoto |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Gruppi di sistema
Gruppi di sistema Google che non vengono visualizzati nell'API Directory e che possono essere collegati dalle norme di sistema.
| GroupId | Descrizione |
WORKSPACE_ALL_ADMIN_GROUP
|
Gruppo per i criteri di sistema di Google che applicano la verifica in due passaggi per tutti gli amministratori. |