정책 API 개념
이 문서에서는 Cloud ID 정책 API 개념 및 전략을 설명합니다.
절감
정책을 나열하고 가져오려면 정책 API 설정과 정책 나열 및 가져오기를 참조하세요.
용어
설정 값: 정책에 제공된 설정 값
감소된 설정 값: 사용자, 조직 단위 또는 그룹과 같은 대상에 적용된 최종 설정 값입니다.
감소: 정책의 설정 값을 사용자, 조직 단위 또는 그룹과 같은 타겟의 단일 설정 값으로 줄이는 프로세스입니다.
감소기: 정책의 설정 값을 사용자의 단일 설정으로 간소화하는 방법을 결정하는 규칙 유형입니다.
관리자 정책: 관리 콘솔에서 관리자가 만든 정책
시스템 정책: Google Workspace에서 제공하는 정책
감소 절차
특정 사용자의 특정 설정을 줄이려면 다음 안내를 따르세요.
사용자에게 적용되지 않는 모든 정책을 필터링합니다.
설정이 포함되지 않은 정책을 필터링합니다.
타겟 사용자가 속하지 않은 조직 단위에 적용되는 정책을 필터링합니다.
타겟 사용자가 속하지 않은 그룹에 적용되는 정책을 필터링합니다.
타겟 사용자에게 없는 라이선스에 적용되는 정책을 필터링합니다. 라이선스에 대한 자세한 내용은 라이선스 섹션을 참고하세요.
지정된 설정의 감소기 적용
최댓값: 감소된 설정의 각 필드에 대해 최댓값 감소기는 sortOrder가 가장 큰 정책에서 값을 선택합니다.
병합: 감소된 설정의 각 필드에 대해 병합 감소기는 해당 필드의 값이 있는 sortOrder가 가장 큰 정책에서 값을 선택합니다. 필드가 배열인 경우 병합 감소기는 대신 모든 정책의 값을 연결합니다.
MaxMap: MaxMap 감소기는 배열 항목에 기본 키로 작동하는 필드가 있는 설정에 사용됩니다. MaxMap 감소기는 동일한 기본 키를 가진 배열 항목을 연결하지 않습니다. 대신 동일한 기본 키를 공유하는 배열 항목의 다른 필드에서 최대 감소기를 사용하여 항목을 업데이트합니다.
MergeMap: MergeMap 감소기는 배열 항목에 기본 키로 작동하는 필드가 있는 설정에 사용됩니다. MergeMap 감소기는 동일한 기본 키를 가진 배열 항목을 연결하지 않습니다. 대신 동일한 기본 키를 공유하는 배열 항목의 다른 필드에서 병합 감소기를 사용하여 항목을 업데이트합니다.
목록: 이러한 설정은 하나의 설정으로 감소되지 않습니다. 대신 설정의 전체 시퀀스가 보존되고 목록으로 적용됩니다.
설정 감소기
| 설정 이름 | 감소기 |
drive_and_docs.external_sharing
|
최대 |
drive_and_docs.general_access_default
|
최대 |
drive_and_docs.shared_drive_creation
|
최대 |
drive_and_docs.file_security_update
|
최대 |
drive_and_docs.drive_sdk
|
병합 |
drive_and_docs.drive_for_desktop
|
최대 |
gmail.confidential_mode
|
최대 |
gmail.enhanced_smime_encryption
|
최대 |
gmail.enhanced_pre_delivery_message_scanning
|
최대 |
gmail.email_spam_filter_ip_allowlist
|
최대 |
gmail.spoofing_and_authentication
|
최대 |
gmail.links_and_external_images
|
최대 |
gmail.email_attachment_safety
|
최대 |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
최대 |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
최대 |
gmail.pop_access
|
최대 |
gmail.imap_access
|
병합 |
gmail.workspace_sync_for_outlook
|
최대 |
gmail.auto_forwarding
|
최대 |
gmail.name_format
|
병합 |
gmail.per_user_outbound_gateway
|
최대 |
gmail.email_image_proxy_bypass
|
병합 |
gmail.mail_delegation
|
병합 |
chat.chat_history
|
병합 |
chat.chat_file_sharing
|
최대 |
chat.space_history
|
최대 |
chat.external_chat_restriction
|
병합 |
chat.chat_apps_access
|
최대 |
sites.sites_creation_and_modification
|
최대 |
groups_for_business.groups_sharing
|
병합 |
cloud_sharing_options.cloud_data_sharing
|
최대 |
classroom.teacher_permissions
|
최대 |
classroom.guardian_access
|
최대 |
classroom.class_membership
|
최대 |
classroom.api_data_access
|
최대 |
classroom.originality_reports
|
최대 |
classroom.roster_import
|
최대 |
classroom.student_unenrollment
|
최대 |
calendar.appointment_schedules
|
최대 |
calendar.external_invitations
|
최대 |
calendar.interoperability
|
병합 |
calendar.primary_calendar_max_allowed_external_sharing
|
병합 |
calendar.secondary_calendar_max_allowed_external_sharing
|
병합 |
meet.safety_domain
|
최대 |
meet.safety_access
|
최대 |
meet.safety_host_management
|
최대 |
meet.video_recording
|
최대 |
meet.safety_external_participants
|
최대 |
security.super_admin_account_recovery
|
병합 |
security.user_account_recovery
|
병합 |
security.password
|
최대 |
security.session_controls
|
최대 |
security.less_secure_apps
|
병합 |
security.login_challenges
|
최대 |
security.advanced_protection_program
|
최대 |
security.two_step_verification_enrollment
|
최대 |
security.two_step_verification_enforcement
|
최대 |
security.two_step_verification_grace_period
|
최대 |
security.two_step_verification_device_trust
|
최대 |
security.two_step_verification_enforcement_factor
|
최대 |
security.two_step_verification_sign_in_code
|
최대 |
user_takeout
|
최대 |
workspace_marketplace.apps_access_options
|
병합 |
workspace_marketplace.apps_allowlist
|
MergeMap(기본 키: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
최대 |
rule.dlp
|
목록 |
rule.system_defined_alerts
|
목록 |
detector.regular_expression
|
목록 |
detector.word_list
|
목록 |
라이선스
정책은 사용자의 Workspace 라이선스에 따라 사용자에게 적용됩니다. 라이선스 조건은 PolicyQuery에서 제공됩니다.
모든 Workspace 제품 및 SKU ID의 전체 목록은 Google 제품 및 SKU ID를 참조하세요.
다음 예에서는 사용자의 라이선스를 기반으로 특정 사용자 그룹에 정책을 적용하는 방법을 보여줍니다.
예 1: 일반적인 절만
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
목록에 있는 SKU 중 하나 이상의 라이선스가 있는 사용자에게는 정책이 적용됩니다.
예 2: 일반적인 절과 반전된 절
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
첫 번째 절의 SKU 중 하나 이상의 라이선스가 있는 사용자에게는 정책이 적용됩니다. 그러나 두 번째 절의 SKU 중 하나에 대한 라이선스가 있는 사용자에게는 정책이 전혀 적용되지 않습니다.
예 3: 반전된 절만
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
목록에 있는 SKU에 대한 라이선스가 없는 사용자에게는 정책이 적용됩니다.
기본 필드 값
감소된 설정에 필드가 없는 경우 기본값은 다음과 같습니다.
| 설정 이름 | 필드 | 기본 필드 값 |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true(EDU SKU), false(EDU 외 SKU) EDU SKU:
|
| enable_webhooks | true(EDU SKU), false(EDU 외 SKU) EDU SKU:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] 비어 있는 목록 |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] 비어 있는 목록 |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | K12 고객: ALLOW_NONE
그 외: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
앱 | [] 비어 있는 목록 |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
시스템 그룹
시스템 정책에서 연결할 수 있으며 Directory API에 표시되지 않는 Google 시스템 그룹
| GroupId | 설명 |
WORKSPACE_ALL_ADMIN_GROUP
|
모든 관리자에게 2단계 인증을 적용하는 Google 시스템 정책 그룹입니다. |