Policy API のコンセプト
このドキュメントでは、Cloud Identity Policy API のコンセプトと戦略について説明します。
削減
ポリシーの一覧表示と取得については、Policy API の設定とポリシーの一覧表示と取得をご覧ください。
用語
設定値: ポリシーで指定された設定値
削減設定値: ユーザー、組織部門、グループなどのターゲットに適用される最終的な設定値
削減: ポリシーの設定値を、ユーザー、組織部門、グループなどのターゲットの単一の設定値に削減するプロセス
Reducer: ポリシーの設定値をユーザーの単一の設定に簡略化する方法を決定するルールのタイプ
管理者ポリシー: 管理コンソールで管理者が作成したポリシー
システム ポリシー: Google Workspace が提供するポリシー
削減プロセス
特定のユーザーの特定の設定を減らすには:
ユーザーに適用されないすべてのポリシーを除外します。
設定が含まれていないポリシーを除外します。
ターゲット ユーザーが属していない組織部門に適用されるポリシーを除外します。
ターゲット ユーザーが属していないグループに適用されるポリシーを除外します。
ターゲット ユーザーが所有していないライセンスに適用されるポリシーを除外します。ライセンスの詳細については、ライセンス セクションをご覧ください。
指定された設定のリデューサーを適用します
最大: 最大リデューサーは、削減設定の各フィールドについて、sortOrder が最も大きいポリシーの値を選択します。
統合: 統合リデューサーは、削減設定の各フィールドについて、そのフィールドの値を持つ sortOrder が最も大きいポリシーの値を選択します。フィールドが配列の場合、統合リデューサーは代わりにすべてのポリシーの値を連結します。
MaxMap: MaxMap リデューサーは、配列エントリに主キーとして機能するフィールドがある設定に使用されます。MaxMap リデューサーは、同じ主キーを持つ配列エントリを連結しません。代わりに、同じ主キーを共有する配列エントリの他のフィールドで、最大リデューサーを使用してエントリが更新されます。
MergeMap: MergeMap リデューサーは、配列エントリに主キーとして機能するフィールドがある設定に使用されます。MergeMap リデューサーは、同じ主キーを持つ配列エントリを連結しません。代わりに、同じ主キーを共有する配列エントリの他のフィールドで、統合リデューサーを使用してエントリが更新されます。
リスト: これらの設定は単一の設定に削減されません。代わりに、設定のシーケンス全体が保持され、リストとして適用されます。
設定のリデューサー
| 設定名 | 削減指定子 |
drive_and_docs.external_sharing
|
最大 |
drive_and_docs.general_access_default
|
最大 |
drive_and_docs.shared_drive_creation
|
最大 |
drive_and_docs.file_security_update
|
最大 |
drive_and_docs.drive_sdk
|
統合 |
drive_and_docs.drive_for_desktop
|
最大 |
gmail.confidential_mode
|
最大 |
gmail.enhanced_smime_encryption
|
最大 |
gmail.enhanced_pre_delivery_message_scanning
|
最大 |
gmail.email_spam_filter_ip_allowlist
|
最大 |
gmail.spoofing_and_authentication
|
最大 |
gmail.links_and_external_images
|
最大 |
gmail.email_attachment_safety
|
最大 |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
最大 |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
最大 |
gmail.pop_access
|
最大 |
gmail.imap_access
|
統合 |
gmail.workspace_sync_for_outlook
|
最大 |
gmail.auto_forwarding
|
最大 |
gmail.name_format
|
統合 |
gmail.per_user_outbound_gateway
|
最大 |
gmail.email_image_proxy_bypass
|
統合 |
gmail.mail_delegation
|
統合 |
chat.chat_history
|
統合 |
chat.chat_file_sharing
|
最大 |
chat.space_history
|
最大 |
chat.external_chat_restriction
|
統合 |
chat.chat_apps_access
|
最大 |
sites.sites_creation_and_modification
|
最大 |
groups_for_business.groups_sharing
|
統合 |
cloud_sharing_options.cloud_data_sharing
|
最大 |
classroom.teacher_permissions
|
最大 |
classroom.guardian_access
|
最大 |
classroom.class_membership
|
最大 |
classroom.api_data_access
|
最大 |
classroom.originality_reports
|
最大 |
classroom.roster_import
|
最大 |
classroom.student_unenrollment
|
最大 |
calendar.appointment_schedules
|
最大 |
calendar.external_invitations
|
最大 |
calendar.interoperability
|
統合 |
calendar.primary_calendar_max_allowed_external_sharing
|
統合 |
calendar.secondary_calendar_max_allowed_external_sharing
|
統合 |
meet.safety_domain
|
最大 |
meet.safety_access
|
最大 |
meet.safety_host_management
|
最大 |
meet.video_recording
|
最大 |
meet.safety_external_participants
|
最大 |
security.super_admin_account_recovery
|
統合 |
security.user_account_recovery
|
統合 |
security.password
|
最大 |
security.session_controls
|
最大 |
security.less_secure_apps
|
統合 |
security.login_challenges
|
最大 |
security.advanced_protection_program
|
最大 |
security.two_step_verification_enrollment
|
最大 |
security.two_step_verification_enforcement
|
最大 |
security.two_step_verification_grace_period
|
最大 |
security.two_step_verification_device_trust
|
最大 |
security.two_step_verification_enforcement_factor
|
最大 |
security.two_step_verification_sign_in_code
|
最大 |
user_takeout
|
最大 |
workspace_marketplace.apps_access_options
|
統合 |
workspace_marketplace.apps_allowlist
|
MergeMap(主キーは application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
最大 |
rule.dlp
|
リスト |
rule.system_defined_alerts
|
リスト |
detector.regular_expression
|
リスト |
detector.word_list
|
リスト |
ライセンス
ポリシーは、ユーザーの Workspace ライセンスに基づいてユーザーに適用されます。ライセンス条件は PolicyQuery で提供されます。
Workspace のプロダクト ID と SKU ID の完全なリストについては、Google プロダクト ID と SKU ID をご覧ください。
次の例は、ユーザーのライセンスに基づいて特定のユーザー グループにポリシーを適用する方法を示しています。
例 1: 通常の条項のみ
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
リスト内の SKU の少なくとも 1 つのライセンスを持っているユーザーにポリシーが適用されます。
例 2: 通常の条項と倒置条項
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
最初の条項の SKU の少なくとも 1 つのライセンスを持っているユーザーにポリシーが適用されます。ただし、ユーザーが第 2 条項の SKU のライセンスを持っている場合、そのユーザーにはポリシーは適用されません。
例 3: 倒置条項のみ
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
リスト内の SKU のライセンスがないユーザーにポリシーが適用されます。
フィールドのデフォルト値
削減設定にフィールドが存在しない場合、そのデフォルト値は次のとおりです。
| 設定名 | フィールド | デフォルトのフィールド値 |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | EDU SKU では true、EDU 以外の SKU では false。EDU SKU:
|
| enable_webhooks | EDU SKU では true、EDU 以外の SKU では false。EDU SKU:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] 空のリスト |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] 空のリスト |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | K12 のお客様の場合: ALLOW_NONE
それ以外の場合: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
アプリ | [] 空のリスト |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
システム グループ
Directory API に表示されない、システム ポリシーからリンクできる Google システム グループ。
| GroupId | 説明 |
WORKSPACE_ALL_ADMIN_GROUP
|
すべての管理者に 2 段階認証プロセスを適用する Google システム ポリシーのグループ。 |