Conceitos da API Policy
Esta documentação descreve os conceitos e as estratégias da API Cloud Identity Policy.
Redução
Para listar e receber políticas, consulte Como configurar a API Policy e Como listar e receber políticas.
Terminologia
Valor da configuração: valores de configuração fornecidos na política
Valor de configuração reduzido: valores de configuração finais aplicados a um destino, como um usuário, uma unidade organizacional ou um grupo.
Redução: o processo de reduzir os valores de configuração nas políticas para um único valor de configuração em um destino, como um usuário, uma unidade organizacional ou um grupo.
Redutor: o tipo de regras que determinam como os valores de configuração nas políticas são simplificados para uma única configuração para um usuário.
Políticas de administrador: políticas criadas por administradores no Admin Console.
Políticas do sistema: políticas fornecidas pelo Google Workspace
Processo de redução
Para reduzir uma determinada configuração de um usuário específico:
Filtre todas as políticas que não se aplicam ao usuário.
Filtre as políticas que não contêm a configuração.
Filtre as políticas que se aplicam à UO em que o usuário de destino não está.
Filtre as políticas que se aplicam ao grupo em que o usuário de destino não está.
Filtre as políticas que se aplicam à licença que o usuário de destino não tem. Para mais informações sobre licenças, consulte a seção Licenças.
Aplica o Reducer da determinada configuração.
Max: para cada campo na configuração reduzida, o redutor Max escolhe o valor da política com o maior sortOrder.
Mesclar: para cada campo na configuração reduzida, o redutor "Mesclar" escolhe o valor da política com o maior sortOrder que tem um valor para esse campo. Se o campo for uma matriz, o redutor de mesclagem vai concatenar os valores de todas as políticas.
MaxMap: o redutor MaxMap é usado para configurações em que as entradas da matriz têm um campo que funciona como uma chave primária. O redutor MaxMap não concatena as entradas de matriz com a mesma chave primária. Em vez disso, ele atualiza a entrada usando o redutor Max nos outros campos das entradas de matriz que compartilham a mesma chave primária.
MergeMap: o reducer MergeMap é usado em configurações em que as entradas de matriz têm um campo que funciona como uma chave primária. O redutor MergeMap não concatena as entradas de matriz com a mesma chave primária. Em vez disso, ele atualiza a entrada usando o redutor de mesclagem nos outros campos das entradas de matriz que compartilham a mesma chave primária.
Lista: essas configurações não são reduzidas a uma única configuração. Em vez disso, toda a sequência de configurações é preservada e aplicada como uma lista.
Redutores para configurações
| Nome da configuração | Redutor |
drive_and_docs.external_sharing
|
Máx. |
drive_and_docs.general_access_default
|
Máx. |
drive_and_docs.shared_drive_creation
|
Máx. |
drive_and_docs.file_security_update
|
Máx. |
drive_and_docs.drive_sdk
|
Mesclar |
drive_and_docs.drive_for_desktop
|
Máx. |
gmail.confidential_mode
|
Máx. |
gmail.enhanced_smime_encryption
|
Máx. |
gmail.enhanced_pre_delivery_message_scanning
|
Máx. |
gmail.email_spam_filter_ip_allowlist
|
Máx. |
gmail.spoofing_and_authentication
|
Máx. |
gmail.links_and_external_images
|
Máx. |
gmail.email_attachment_safety
|
Máx. |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Máx. |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Máx. |
gmail.pop_access
|
Máx. |
gmail.imap_access
|
Mesclar |
gmail.workspace_sync_for_outlook
|
Máx. |
gmail.auto_forwarding
|
Máx. |
gmail.name_format
|
Mesclar |
gmail.per_user_outbound_gateway
|
Máx. |
gmail.email_image_proxy_bypass
|
Mesclar |
gmail.mail_delegation
|
Mesclar |
chat.chat_history
|
Mesclar |
chat.chat_file_sharing
|
Máx. |
chat.space_history
|
Máx. |
chat.external_chat_restriction
|
Mesclar |
chat.chat_apps_access
|
Máx. |
sites.sites_creation_and_modification
|
Máx. |
groups_for_business.groups_sharing
|
Mesclar |
cloud_sharing_options.cloud_data_sharing
|
Máx. |
classroom.teacher_permissions
|
Máx. |
classroom.guardian_access
|
Máx. |
classroom.class_membership
|
Máx. |
classroom.api_data_access
|
Máx. |
classroom.originality_reports
|
Máx. |
classroom.roster_import
|
Máx. |
classroom.student_unenrollment
|
Máx. |
calendar.appointment_schedules
|
Máx. |
calendar.external_invitations
|
Máx. |
calendar.interoperability
|
Mesclar |
calendar.primary_calendar_max_allowed_external_sharing
|
Mesclar |
calendar.secondary_calendar_max_allowed_external_sharing
|
Mesclar |
meet.safety_domain
|
Máx. |
meet.safety_access
|
Máx. |
meet.safety_host_management
|
Máx. |
meet.video_recording
|
Máx. |
meet.safety_external_participants
|
Máx. |
security.super_admin_account_recovery
|
Mesclar |
security.user_account_recovery
|
Mesclar |
security.password
|
Máx. |
security.session_controls
|
Máx. |
security.less_secure_apps
|
Mesclar |
security.login_challenges
|
Máx. |
security.advanced_protection_program
|
Máx. |
security.two_step_verification_enrollment
|
Máx. |
security.two_step_verification_enforcement
|
Máx. |
security.two_step_verification_grace_period
|
Máx. |
security.two_step_verification_device_trust
|
Máx. |
security.two_step_verification_enforcement_factor
|
Máx. |
security.two_step_verification_sign_in_code
|
Máx. |
user_takeout
|
Máx. |
workspace_marketplace.apps_access_options
|
Mesclar |
workspace_marketplace.apps_allowlist
|
MergeMap (chave primária: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Máx. |
rule.dlp
|
Lista |
rule.system_defined_alerts
|
List |
detector.regular_expression
|
List |
detector.word_list
|
Lista |
Licenças
As políticas são aplicadas aos usuários com base nas licenças do Workspace deles. A condição de licença é fornecida em PolicyQuery.
Para conferir uma lista completa de todos os IDs de produtos e SKUs do Workspace, consulte IDs de produtos e SKUs do Google.
Os exemplos a seguir mostram como as políticas podem ser aplicadas a determinados grupos de usuários com base nas licenças deles.
Exemplo 1: apenas cláusula normal
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
A política se aplica a um usuário se ele tiver uma licença para pelo menos uma das SKUs na lista.
Exemplo 2: cláusula normal e invertida
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
A política se aplica a um usuário se ele tiver uma licença para pelo menos uma das SKUs na primeira cláusula. No entanto, se um usuário tiver uma licença para qualquer uma das SKUs na segunda cláusula, a política não será aplicada a ele.
Exemplo 3: apenas cláusula invertida
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
A política se aplica a um usuário se ele não tiver uma licença para nenhuma das SKUs na lista.
Valores de campo padrão
Quando um campo não está presente na configuração reduzida, o valor padrão é o seguinte:
| Nome da configuração | Campo | Valor padrão do campo |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true em SKUs de educação e false em SKUs que não são de educação. SKUs de educação:
|
| enable_webhooks | true em SKUs de educação e false em SKUs que não são de educação. SKUs de educação:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] lista vazia |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] lista vazia |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Para clientes do ensino fundamental e médio: ALLOW_NONE
Caso contrário: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
apps | [] lista vazia |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Grupos de sistema
Grupos do sistema do Google que não aparecem na API Directory e podem ser vinculados às políticas do sistema.
| GroupId | Descrição |
WORKSPACE_ALL_ADMIN_GROUP
|
Grupo para a política do sistema do Google que aplica a verificação em duas etapas a todos os administradores. |