정책 API 개념

이 문서에서는 Cloud ID 정책 API 개념 및 전략을 설명합니다.

절감

정책을 나열하고 가져오려면 정책 API 설정정책 나열 및 가져오기를 참조하세요.

용어

  • 설정 값: 정책에 제공된 설정 값
  • 감소된 설정 값: 사용자와 같은 대상 항목에 적용된 최종 설정 값입니다.
  • 감소: 정책의 설정 값을 사용자와 같은 항목의 단일 설정 값으로 줄이는 프로세스입니다.
  • 감소기: 정책의 설정 값을 사용자의 단일 설정으로 간소화하는 방법을 결정하는 규칙 유형입니다.
  • 관리자 정책: 관리자가 관리 콘솔에서 만든 정책입니다.
  • 시스템 정책: Google Workspace에서 제공하는 정책입니다.

감소 절차

특정 사용자의 특정 설정을 줄이려면 다음 안내를 따르세요.

  1. 사용자에게 적용되지 않는 모든 정책을 필터링합니다.
    1. 설정이 포함되지 않은 정책을 필터링합니다.
    2. 대상 사용자가 속하지 않은 OU에 적용되는 정책을 필터링합니다.
    3. 대상 사용자가 속하지 않은 그룹에 적용되는 정책을 필터링합니다.
    4. 대상 사용자가 보유하지 않은 라이선스에 적용되는 정책을 필터링합니다. 라이선스에 관한 자세한 내용은 라이선스 섹션을 참고하세요.
  2. 지정된 설정의 감소기 적용
    1. 최대: 최대 감소기는 sort_order가 가장 큰 정책에서 값을 선택합니다.
    2. 병합: 감소된 설정의 각 필드에 대해 병합 감소기는 해당 필드의 값이 있는 sort_order가 가장 큰 정책에서 값을 선택합니다. 필드가 배열인 경우 병합 감소기는 대신 모든 정책의 값을 연결합니다.
    3. 매핑: 매핑 감소기는 배열 항목에 기본 키가 있는 설정에 사용됩니다. 매핑 감소기는 동일한 기본 키를 가진 배열 항목을 연결하지 않습니다. 대신 동일한 기본 키를 공유하는 배열 항목의 다른 필드에서 병합 감소기 또는 최대 감소기를 사용하여 항목을 업데이트합니다.
    4. 목록: 이러한 설정은 하나의 설정으로 감소되지 않습니다. 대신 전체 설정 시퀀스가 목록으로 보존되고 적용됩니다.

설정 감소기

설정 이름 감소기
drive_and_docs.external_sharing 최대
drive_and_docs.general_access_default 최대
drive_and_docs.shared_drive_creation 최대
drive_and_docs.file_security_update 최대
drive_and_docs.drive_sdk 병합
drive_and_docs.drive_for_desktop 최대
gmail.confidential_mode 최대
gmail.enhanced_smime_encryption 최대
gmail.enhanced_pre_delivery_message_scanning 최대
gmail.email_spam_filter_ip_allowlist 최대
gmail.spoofing_and_authentication 최대
gmail.links_and_external_images 최대
gmail.email_attachment_safety 최대
chat.chat_history 병합
chat.chat_file_sharing 최대
chat.space_history 최대
chat.external_chat_restriction 병합
chat.chat_apps_access 최대
sites.sites_creation_and_modification 최대
groups_for_business.groups_sharing 병합
classroom.teacher_permissions 최대
classroom.guardian_access 최대
classroom.class_membership 최대
classroom.api_data_access 최대
classroom.originality_reports 최대
classroom.roster_import 최대
classroom.student_unenrollment 최대
meet.safety_domain 최대
meet.safety_access 최대
meet.safety_host_management 최대
meet.video_recording 최대
meet.safety_external_participants 최대
security.super_admin_account_recovery 병합
security.user_account_recovery 병합
security.password 최대
security.session_controls 최대
security.less_secure_apps 병합
security.login_challenges 최대
security.advanced_protection_program 최대
user_takeout 최대
workspace_marketplace.apps_access_options 병합
workspace_marketplace.apps_allowlist MergeMap(기본 키: application_id)
rule.dlp 목록
rule.system_defined_alerts 목록
detector.regular_expression 목록
detector.word_list 목록

라이선스

정책은 사용자의 Workspace 라이선스에 따라 사용자에게 적용됩니다. 라이선스 조건은 PolicyQuery에서 제공됩니다.

모든 Workspace 제품 및 SKU ID의 전체 목록은 Google 제품 및 SKU ID를 참조하세요.

다음 예는 사용자의 라이선스에 따라 특정 사용자 그룹에 정책을 적용하는 방법을 보여줍니다.

예 1: 일반적인 절만

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

목록에 있는 SKU 중 하나 이상의 라이선스가 있는 사용자에게 이 정책이 적용됩니다.

예 2: 일반적인 절과 반전된 절

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

이 정책은 첫 번째 절의 SKU 중 하나 이상에 대한 라이선스가 있는 사용자에게 적용됩니다. 그러나 두 번째 절의 SKU 중 하나에 대한 라이선스가 있는 사용자에게는 정책이 전혀 적용되지 않습니다.

예 3: 반전된 절만

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

목록에 있는 SKU에 대한 라이선스가 없는 사용자에게 이 정책이 적용됩니다.

기본 필드 값

감소된 설정에 필드가 없는 경우 기본값은 다음과 같습니다.

설정 이름 필드 기본 필드 값
chat.chat_history enable_chat_history false
history_on_by_default false
allow_user_modification true
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps EDU SKU의 경우 true이고 EDU 이외 SKU의 경우 false입니다. EDU SKUs: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
enable_webhooks EDU SKU의 경우 true이고 EDU 이외 SKU의 경우 false입니다. EDU SKUs: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import false
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] 비어 있는 목록
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] 비어 있는 목록
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains false
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
security.user_account_recovery enable_account_recovery false
security.super_admin_account_recovery enable_account_recovery false
workspace_marketplace.apps_access_options access_level K12 고객: ALLOW_NONE 그 외: ALLOW_ALL
allow_all_internal_apps false
workspace_marketplace.apps_allowlist [] 비어 있는 목록
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members false
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden false