Policy API-Konzepte
In dieser Dokumentation werden Konzepte und Strategien der Cloud Identity Policy API beschrieben.
Reduzierung
Informationen zum Auflisten und Abrufen von Richtlinien finden Sie unter Policy API einrichten und Richtlinien auflisten und abrufen.
Terminologie
Einstellungswert: In der Richtlinie angegebene Einstellungswerte
Reduzierter Einstellwert: Die endgültigen Einstellwerte, die auf ein Ziel angewendet werden, z. B. einen Nutzer, eine Organisationseinheit oder eine Gruppe.
Reduzierung: Der Prozess, bei dem die Einstellungswerte für Richtlinien auf einen einzelnen Einstellungswert für ein Ziel wie einen Nutzer, eine Organisationseinheit oder eine Gruppe reduziert werden.
Reducer: Der Typ von Regeln, mit denen die Einstellungswerte für Richtlinien auf eine einzelne Einstellung für einen Nutzer vereinfacht werden.
Administratorrichtlinien: Richtlinien, die von Administratoren in der Admin-Konsole erstellt wurden
Systemrichtlinien: Richtlinien von Google Workspace
Reduzierungsprozess
So reduzieren Sie eine bestimmte Einstellung für einen bestimmten Nutzer:
Filtern Sie alle Richtlinien heraus, die nicht für den Nutzer gelten.
Filtern Sie Richtlinien heraus, die die Einstellung nicht enthalten.
Filtern Sie Richtlinien heraus, die für die Organisationseinheit gelten, in der sich der Zielnutzer nicht befindet.
Filtern Sie Richtlinien heraus, die für die Gruppe gelten, in der sich der Zielnutzer nicht befindet.
Filtern Sie Richtlinien heraus, die für die Lizenz gelten, die der Zielnutzer nicht hat. Weitere Informationen zu Lizenzen finden Sie im Abschnitt Lizenzen.
Wendet den Reducer der angegebenen Einstellung an.
Max: Für jedes Feld in der reduzierten Einstellung wird mit dem Reduzierer „Max“ der Wert aus der Richtlinie mit dem größten sortOrder ausgewählt.
Zusammenführen: Für jedes Feld in der reduzierten Einstellung wählt der Reduzierer „Zusammenführen“ den Wert aus der Richtlinie mit dem größten sortOrder aus, die einen Wert für dieses Feld hat. Wenn das Feld ein Array ist, werden die Werte aus allen Richtlinien mit dem Merge-Reducer verkettet.
MaxMap: Der MaxMap-Reducer wird für Einstellungen verwendet, bei denen die Array-Einträge ein Feld haben, das als Primärschlüssel fungiert. Der MaxMap-Reducer verkettet die Arrayeinträge mit demselben Primärschlüssel nicht. Stattdessen wird der Eintrag mit dem Max-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
MergeMap: Der MergeMap-Reducer wird für Einstellungen verwendet, bei denen die Arrayeinträge ein Feld haben, das als Primärschlüssel fungiert. Der MergeMap-Reducer verkettet die Arrayeinträge mit demselben Primärschlüssel nicht. Stattdessen wird der Eintrag mit dem Merge-Reducer für die anderen Felder in den Arrayeinträgen aktualisiert, die denselben Primärschlüssel haben.
Liste: Diese Einstellungen werden nicht auf eine einzige Einstellung reduziert. Stattdessen wird die gesamte Abfolge der Einstellungen beibehalten und als Liste angewendet.
Reduzierer für Einstellungen
| Name der Einstellung | Reducer |
api_controls.custom_user_message
|
Max. |
api_controls.google_services
|
MaxMap |
api_controls.internal_apps
|
Max. |
api_controls.unconfigured_third_party_apps
|
Zusammenführen |
calendar.appointment_schedules
|
Max. |
calendar.external_invitations
|
Max. |
calendar.interoperability
|
Zusammenführen |
calendar.primary_calendar_max_allowed_external_sharing
|
Zusammenführen |
calendar.secondary_calendar_max_allowed_external_sharing
|
Zusammenführen |
chat.chat_apps_access
|
Max. |
chat.chat_file_sharing
|
Max. |
chat.chat_history
|
Zusammenführen |
chat.external_chat_restriction
|
Zusammenführen |
chat.space_history
|
Max. |
classroom.api_data_access
|
Max. |
classroom.class_membership
|
Max. |
classroom.guardian_access
|
Max. |
classroom.originality_reports
|
Max. |
classroom.roster_import
|
Max. |
classroom.student_unenrollment
|
Max. |
classroom.teacher_permissions
|
Max. |
cloud_sharing_options.cloud_data_sharing
|
Max. |
detector.regular_expression
|
Liste |
detector.word_list
|
Liste |
drive_and_docs.drive_for_desktop
|
Max. |
drive_and_docs.drive_sdk
|
Zusammenführen |
drive_and_docs.external_sharing
|
Max. |
drive_and_docs.file_security_update
|
Max. |
drive_and_docs.general_access_default
|
Max. |
drive_and_docs.shared_drive_creation
|
Max. |
gmail.attachment_compliance
|
MaxMap |
gmail.auto_forwarding
|
Max. |
gmail.blocked_sender_lists
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max. |
gmail.confidential_mode
|
Max. |
gmail.content_compliance
|
MaxMap |
gmail.email_address_lists
|
MaxMap |
gmail.email_attachment_safety
|
Max. |
gmail.email_image_proxy_bypass
|
Zusammenführen |
gmail.email_spam_filter_ip_allowlist
|
Max. |
gmail.enhanced_pre_delivery_message_scanning
|
Max. |
gmail.enhanced_smime_encryption
|
Max. |
gmail.imap_access
|
Zusammenführen |
gmail.links_and_external_images
|
Max. |
gmail.mail_delegation
|
Zusammenführen |
gmail.name_format
|
Zusammenführen |
gmail.objectionable_content
|
MaxMap |
gmail.per_user_outbound_gateway
|
Max. |
gmail.pop_access
|
Max. |
gmail.rule_states
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.spoofing_and_authentication
|
Max. |
gmail.user_email_uploads
|
Max. |
gmail.workspace_sync_for_outlook
|
Max. |
groups_for_business.groups_sharing
|
Zusammenführen |
meet.safety_access
|
Max. |
meet.safety_domain
|
Max. |
meet.safety_external_participants
|
Max. |
meet.safety_host_management
|
Max. |
meet.video_recording
|
Max. |
rule.dlp
|
Liste |
rule.system_defined_alerts
|
Liste |
security.advanced_protection_program
|
Max. |
security.less_secure_apps
|
Zusammenführen |
security.login_challenges
|
Max. |
security.password
|
Max. |
security.session_controls
|
Max. |
security.super_admin_account_recovery
|
Zusammenführen |
security.two_step_verification_device_trust
|
Max. |
security.two_step_verification_enforcement
|
Max. |
security.two_step_verification_enforcement_factor
|
Max. |
security.two_step_verification_enrollment
|
Max. |
security.two_step_verification_grace_period
|
Max. |
security.two_step_verification_sign_in_code
|
Max. |
security.user_account_recovery
|
Zusammenführen |
SERVICE_STATUS_APP_NAME.service_status
|
Max. |
sites.sites_creation_and_modification
|
Max. |
user_takeout
|
Max. |
workspace_marketplace.apps_access_options
|
Zusammenführen |
workspace_marketplace.apps_allowlist
|
MergeMap (Primärschlüssel: application_id) |
Lizenzen
Richtlinien werden auf Nutzer basierend auf ihren Workspace-Lizenzen angewendet. Die Lizenzbedingung ist in PolicyQuery angegeben.
Eine vollständige Liste aller Workspace-Produkt- und ‑Artikelnummer-IDs finden Sie unter Google Product and SKU IDs.
Die folgenden Beispiele zeigen, wie Richtlinien basierend auf den Lizenzen der Nutzer auf bestimmte Nutzergruppen angewendet werden können.
Beispiel 1: Nur normale Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der Liste hat.
Beispiel 2: Normale und invertierte Klausel
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für einen Nutzer, wenn er eine Lizenz für mindestens eine der SKUs in der ersten Klausel hat. Wenn ein Nutzer jedoch eine Lizenz für eine der Artikelnummern im zweiten Satz hat, gilt die Richtlinie überhaupt nicht für diesen Nutzer.
Beispiel 3: Nur umgekehrte Klausel
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Die Richtlinie gilt für Nutzer, die keine Lizenz für eine der SKUs in der Liste haben.
Standard-Feldwerte
Wenn ein Feld in der reduzierten Einstellung nicht vorhanden ist, gilt der folgende Standardwert:
| Name der Einstellung | Feld | Standard-Feldwert |
api_controls.google_services
|
Dienste | [] (leere Liste)
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
chat.chat_apps_access
|
enable_apps | true in EDU-Versionen, false in Nicht-EDU-Versionen. EDU-SKUs:
|
| enable_webhooks | true in EDU-Versionen, false in Nicht-EDU-Versionen. EDU-SKUs:
|
|
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] (leere Liste)
|
| enable_image_proxy | true
|
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] (leere Liste)
|
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.user_account_recovery
|
enable_account_recovery | false
|
workspace_marketplace.apps_access_options
|
access_level | Für Kunden im Bereich der Primar- und Sekundarstufe: ALLOW_NONE
Andernfalls: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
Apps | [] (leere Liste)
|
Systemgruppen
Google-Systemgruppen sind Gruppen, die nicht in der Groups API angezeigt werden und mit Systemrichtlinien verknüpft sind. Ihre Gruppen-IDs haben im Gegensatz zu anderen Gruppen-IDs kein groups/-Präfix.
| GroupId | Beschreibung |
WORKSPACE_ALL_ADMIN_GROUP
|
Gruppe für die Google-Systemrichtlinie, mit der die 2‑Faktor-Authentifizierung für alle Administratoren erzwungen wird. |