Concetti dell'API Policy
Questa documentazione descrive i concetti e le strategie dell'API Cloud Identity Policy.
Riduzione
Per elencare e recuperare i criteri, consulta Configurare l'API Policy e Elenco e recupero dei criteri.
Terminologia
Valore impostazione: i valori di impostazione forniti nel criterio
Valore impostazione ridotto: valori di impostazione finali applicati a un target, ad esempio un utente, un'unità organizzativa o un gruppo
Riduzione: la procedura di riduzione dei valori di impostazione dei criteri a un singolo valore di impostazione per un target, ad esempio un utente, un'unità organizzativa o un gruppo
Riduttore: il tipo di regole che determinano in che modo i valori di impostazione dei criteri vengono semplificati in una singola impostazione per un utente
Criteri di amministrazione: criteri creati dagli amministratori nella Console di amministrazione
Norme di sistema: norme fornite da Google Workspace
Procedura di riduzione
Per ridurre una determinata impostazione per un determinato utente:
Filtra tutti i criteri che non si applicano all'utente.
Filtra i criteri che non contengono l'impostazione.
Filtra i criteri che si applicano all'UO in cui non si trova l'utente di destinazione.
Filtra i criteri che si applicano al gruppo di cui non fa parte l'utente target.
Filtra i criteri che si applicano alla Licenza che l'utente di destinazione non ha. Per scoprire di più sulle licenze, consulta la sezione Licenze.
Applica il riduttore dell'impostazione specificata
Max: per ogni campo dell'impostazione ridotta, il riduttore Max sceglie il valore del criterio con il valore sortOrder più elevato.
Unisci: per ogni campo dell'impostazione ridotta, il riduttore Unisci sceglie il valore del criterio con il valore sortOrder più elevato che ha un valore per quel campo. Se il campo è un array, il riduttore Unisci concatena invece i valori di tutti i criteri.
MaxMap: il riduttore MaxMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MaxMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Max sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
MergeMap: il riduttore MergeMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MergeMap non concatena le voci dell'array con la stessa chiave primaria. Al contrario, aggiorna la voce utilizzando il riduttore Unisci sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
Elenco: queste impostazioni non vengono ridotte a una singola impostazione. Al contrario, l'intera sequenza di impostazioni viene conservata e applicata come elenco.
Riduttori per le impostazioni
| Nome impostazione | Riduttore |
drive_and_docs.external_sharing
|
Max |
drive_and_docs.general_access_default
|
Max |
drive_and_docs.shared_drive_creation
|
Max |
drive_and_docs.file_security_update
|
Max |
drive_and_docs.drive_sdk
|
Unisci |
drive_and_docs.drive_for_desktop
|
Max |
gmail.confidential_mode
|
Max |
gmail.enhanced_smime_encryption
|
Max |
gmail.enhanced_pre_delivery_message_scanning
|
Max |
gmail.email_spam_filter_ip_allowlist
|
Max |
gmail.spoofing_and_authentication
|
Max |
gmail.links_and_external_images
|
Max |
gmail.email_attachment_safety
|
Max |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max |
gmail.pop_access
|
Max |
gmail.imap_access
|
Unisci |
gmail.workspace_sync_for_outlook
|
Max |
gmail.auto_forwarding
|
Max |
gmail.name_format
|
Unisci |
gmail.per_user_outbound_gateway
|
Max |
gmail.email_image_proxy_bypass
|
Unisci |
gmail.mail_delegation
|
Unisci |
chat.chat_history
|
Unisci |
chat.chat_file_sharing
|
Max |
chat.space_history
|
Max |
chat.external_chat_restriction
|
Unisci |
chat.chat_apps_access
|
Max |
sites.sites_creation_and_modification
|
Max |
groups_for_business.groups_sharing
|
Unisci |
cloud_sharing_options.cloud_data_sharing
|
Max |
classroom.teacher_permissions
|
Max |
classroom.guardian_access
|
Max |
classroom.class_membership
|
Max |
classroom.api_data_access
|
Max |
classroom.originality_reports
|
Max |
classroom.roster_import
|
Max |
classroom.student_unenrollment
|
Max |
calendar.appointment_schedules
|
Max |
calendar.external_invitations
|
Max |
calendar.interoperability
|
Unisci |
calendar.primary_calendar_max_allowed_external_sharing
|
Unisci |
calendar.secondary_calendar_max_allowed_external_sharing
|
Unisci |
meet.safety_domain
|
Max |
meet.safety_access
|
Max |
meet.safety_host_management
|
Max |
meet.video_recording
|
Max |
meet.safety_external_participants
|
Max |
security.super_admin_account_recovery
|
Unisci |
security.user_account_recovery
|
Unisci |
security.password
|
Max |
security.session_controls
|
Max |
security.less_secure_apps
|
Unisci |
security.login_challenges
|
Max |
security.advanced_protection_program
|
Max |
security.two_step_verification_enrollment
|
Max |
security.two_step_verification_enforcement
|
Max |
security.two_step_verification_grace_period
|
Max |
security.two_step_verification_device_trust
|
Max |
security.two_step_verification_enforcement_factor
|
Max |
security.two_step_verification_sign_in_code
|
Max |
user_takeout
|
Max |
workspace_marketplace.apps_access_options
|
Unisci |
workspace_marketplace.apps_allowlist
|
MergeMap (la chiave principale è: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max |
rule.dlp
|
Elenco |
rule.system_defined_alerts
|
Elenco |
detector.regular_expression
|
Elenco |
detector.word_list
|
Elenco |
Licenze
I criteri vengono applicati agli utenti in base alle loro licenze Workspace. La condizione della licenza è fornita in PolicyQuery.
Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU Google.
I seguenti esempi mostrano come i criteri possono essere applicati a determinati gruppi di utenti in base alle loro licenze.
Esempio 1: solo clausola normale
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.
Esempio 2: clausola normale e clausola invertita
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente dispone di una licenza per uno degli SKU indicati nella seconda clausola, il criterio non si applica a quell'utente.
Esempio 3: solo clausola invertita
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se non dispone di una licenza per nessuno degli SKU nell'elenco.
Valori campo predefiniti
Quando un campo non è presente nell'impostazione Ridotta, il relativo valore predefinito è il seguente:
| Nome impostazione | Campo | Valore campo predefinito |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true negli SKU per l'istruzione, false negli SKU non per l'istruzione. SKU per l'istruzione:
|
| enable_webhooks | true negli SKU per l'istruzione, false negli SKU non per l'istruzione. SKU per l'istruzione:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] elenco vuoto |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] elenco vuoto |
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
workspace_marketplace.apps_access_options
|
access_level | Per i clienti di scuole primarie e secondarie: ALLOW_NONE
In caso contrario: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
app | [] elenco vuoto |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|