Policy API のコンセプト

このドキュメントでは、Cloud Identity Policy API のコンセプトと戦略について説明します。

削減

ポリシーを一覧表示して取得するには、Policy API の設定とポリシーの一覧表示と取得をご覧ください。

用語

• 設定値: ポリシーで指定された設定値
• 削減設定値: ユーザーなどのターゲット エンティティに適用される最終的な設定値。
• 削減: ポリシーの設定値を、ユーザーなどのエンティティの単一の設定値に削減するプロセス。
• リデューサー: ポリシーの設定値をユーザーの単一の設定に簡素化する方法を決定するルールのタイプ。
• 管理者ポリシー: 管理者が管理コンソールで作成したポリシー。
• システム ポリシー: Google Workspace が提供するポリシー。

削減プロセス

特定のユーザーの特定の設定を減らすには:

1. ユーザーに適用されないポリシーをすべて除外します。
   1. 設定が含まれていないポリシーを除外します。
   2. ターゲット ユーザーが属していない OU に適用されるポリシーを除外します。
   3. ターゲット ユーザーが属していないグループに適用されるポリシーを除外します。
   4. ターゲット ユーザーが付与されていないライセンスに適用されるポリシーを除外します。ライセンスの詳細については、ライセンスのセクションをご覧ください。
2. 指定された設定のリデューサーを適用します。
   1. 最大: 最大リデューサーは、sort_order が最も大きいポリシーの値を選択します。
   2. 統合: 統合リデューサーは、削減設定の各フィールドについて、そのフィールドの値を持つ sort_order が最も大きいポリシーの値を選択します。フィールドが配列の場合、統合リデューサーは代わりにすべてのポリシーの値を連結します。
   3. マップ: マップ リデューサーは、配列エントリに主キーがある設定に使用されます。マップ リデューサーは、同じ主キーを持つ配列エントリを連結しません。代わりに、同じ主キーを共有する配列エントリの他のフィールドで、統合リデューサーまたは最大リデューサーを使用してエントリが更新されます。
   4. リスト: これらの設定は単一の設定に削減されません。代わりに、設定の順序全体が保持され、リストとして適用されます。

設定のリデューサー

設定名	削減指定子
drive_and_docs.external_sharing	最大
drive_and_docs.general_access_default	最大
drive_and_docs.shared_drive_creation	最大
drive_and_docs.file_security_update	最大
drive_and_docs.drive_sdk	統合
drive_and_docs.drive_for_desktop	最大
gmail.confidential_mode	最大
gmail.enhanced_smime_encryption	最大
gmail.enhanced_pre_delivery_message_scanning	最大
gmail.email_spam_filter_ip_allowlist	最大
gmail.spoofing_and_authentication	最大
gmail.links_and_external_images	最大
gmail.email_attachment_safety	最大
chat.chat_history	統合
chat.chat_file_sharing	最大
chat.space_history	最大
chat.external_chat_restriction	統合
chat.chat_apps_access	最大
sites.sites_creation_and_modification	最大
groups_for_business.groups_sharing	統合
classroom.teacher_permissions	最大
classroom.guardian_access	最大
classroom.class_membership	最大
classroom.api_data_access	最大
classroom.originality_reports	最大
classroom.roster_import	最大
classroom.student_unenrollment	最大
meet.safety_domain	最大
meet.safety_access	最大
meet.safety_host_management	最大
meet.video_recording	最大
meet.safety_external_participants	最大
security.super_admin_account_recovery	統合
security.user_account_recovery	統合
security.password	最大
security.session_controls	最大
security.less_secure_apps	統合
security.login_challenges	最大
security.advanced_protection_program	最大
user_takeout	最大
workspace_marketplace.apps_access_options	統合
workspace_marketplace.apps_allowlist	MergeMap（主キーは application_id）
rule.dlp	リスト
rule.system_defined_alerts	リスト
detector.regular_expression	リスト
detector.word_list	リスト

ライセンス

ポリシーは、ユーザーの Workspace ライセンスに基づいてユーザーに適用されます。ライセンス条件は PolicyQuery で指定します。

Workspace のプロダクト ID と SKU ID の一覧については、Google プロダクト ID と SKU ID をご覧ください。

次の例は、ユーザーのライセンスに基づいて特定のユーザー グループにポリシーを適用する方法を示しています。

例 1: 通常の条項のみ

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

リスト内の SKU の少なくとも 1 つのライセンスを持っているユーザーにポリシーが適用されます。

例 2: 通常の条項と逆の条項

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

最初の条項の SKU の少なくとも 1 つのライセンスを持っているユーザーにポリシーが適用されます。ただし、ユーザーが第 2 条項の SKU のライセンスを持っている場合、そのユーザーにはポリシーは適用されません。

例 3: 倒置条項のみ

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

リスト内の SKU のライセンスがないユーザーにポリシーが適用されます。

フィールドのデフォルト値

削減設定にフィールドが存在しない場合、そのデフォルト値は次のとおりです。

設定名	フィールド	フィールドのデフォルト値
chat.chat_history	enable_chat_history	false
	history_on_by_default	false
	allow_user_modification	true
chat.external_chat_restriction	allow_external_chat	false
	external_chat_restriction	NO_RESTRICTION
chat.chat_apps_access	enable_apps	EDU SKU では true、EDU 以外の SKU では false。EDU SKUs: /product/Google-Apps/sku/Google-Apps-For-Education、 /product/Google-Apps/sku/1010310002、 /product/Google-Apps/sku/1010310003、 /product/Google-Apps/sku/1010310005、 /product/Google-Apps/sku/1010310006、 /product/Google-Apps/sku/1010310007、 /product/Google-Apps/sku/1010310008、 /product/Google-Apps/sku/1010310009、 /product/Google-Apps/sku/1010310010、 /product/Google-Apps/sku/1010460001、 /product/Google-Apps/sku/1010460002
	enable_webhooks	EDU SKU では true、EDU 以外の SKU では false。EDU SKUs: /product/Google-Apps/sku/Google-Apps-For-Education、 /product/Google-Apps/sku/1010310002、 /product/Google-Apps/sku/1010310003、 /product/Google-Apps/sku/1010310005、 /product/Google-Apps/sku/1010310006、 /product/Google-Apps/sku/1010310007、 /product/Google-Apps/sku/1010310008、 /product/Google-Apps/sku/1010310009、 /product/Google-Apps/sku/1010310010、 /product/Google-Apps/sku/1010460001、 /product/Google-Apps/sku/1010460002
gmail.user_email_uploads	enable_mail_and_contacts_import	false
gmail.email_image_proxy_bypass	image_proxy_bypass_pattern	[] 空のリスト
	enable_image_proxy	true
gmail.workspace_sync_for_outlook	enable_google_workspace_sync_for_microsoft_outlook	true
gmail.email_spam_filter_ip_allowlist	allowed_ip_addresses	[] 空のリスト
drive_and_docs.external_sharing	external_sharing_mode	ALLOWED
	allow_receiving_external_files	true
	warn_for_sharing_outside_allowlisted_domains	true
	allow_non_google_invites_in_allowlisted_domains	false
	allow_receiving_files_outside_allowlisted_domains	true
	warn_for_external_sharing	true
	allow_non_google_invites	true
	allow_publishing_files	true
	access_checker_suggestions	RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
	allowed_parties_for_distributing_content	ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk	enable_drive_sdk_api_access	true
security.user_account_recovery	enable_account_recovery	false
security.super_admin_account_recovery	enable_account_recovery	false
workspace_marketplace.apps_access_options	access_level	小学校から高等学校のお客様の場合: ALLOW_NONE それ以外の場合: ALLOW_ALL
	allow_all_internal_apps	false
workspace_marketplace.apps_allowlist	アプリ	[] 空のリスト
groups_for_business.groups_sharing	collaboration_capability	DOMAIN_USERS_ONLY
	create_groups_access_level	USERS_IN_DOMAIN
	view_topics_default_access_level	DOMAIN_USERS
	owners_can_allow_external_members	false
	owners_can_allow_incoming_mail_from_public	true
	owners_can_hide_groups	false
	new_groups_are_hidden	false