Se usó la API de Cloud Translation para traducir esta página.

Conceptos de la API de Policy

En esta documentación, se describen los conceptos y las estrategias de la API de Cloud Identity Policy.

Reducción

Para enumerar y obtener políticas, consulta Configura la API de Policy y Enumera y obtén políticas.

Terminología

Valor de configuración: Valores de configuración proporcionados en la política
Valor de configuración reducido: Son los valores de configuración finales que se aplican a un objetivo, como un usuario, una unidad organizativa o un grupo.
Reducción: Es el proceso de reducir los valores de configuración de las políticas a un solo valor de configuración para un objetivo, como un usuario, una unidad organizativa o un grupo.
Reductor: Es el tipo de reglas que determinan cómo se simplifican los valores de configuración de las políticas en un solo parámetro de configuración para un usuario.
Políticas de administrador: Son las políticas que crean los administradores en la Consola del administrador.
Políticas del sistema: Son las políticas que proporciona Google Workspace.

Proceso de reducción

Para reducir un parámetro de configuración determinado para un usuario específico, haz lo siguiente:

Filtra todas las políticas que no se apliquen al usuario.
1. Filtrar las políticas que no contienen el parámetro de configuración
2. Filtrar las políticas que se aplican a la UO en la que no se encuentra el usuario objetivo
3. Filtrar las políticas que se aplican al grupo en el que no se encuentra el usuario objetivo
4. Filtra las políticas que se aplican a la licencia que no tiene el usuario objetivo. Para obtener más información sobre las licencias, consulta la sección Licencias.
Aplica el reductor del parámetro de configuración determinado.
- Max: Para cada campo del parámetro de configuración reducido, el reductor Max elige el valor de la política con el sortOrder más grande.
- Combinar: Para cada campo del parámetro de configuración reducido, el reductor Combinar elige el valor de la política con el sortOrder más grande que tiene un valor para ese campo. Si el campo es un array, el reductor de combinación concatena los valores de todas las políticas.
- MaxMap: El reductor MaxMap se usa para la configuración en la que las entradas del array tienen un campo que funciona como clave primaria. El reductor MaxMap no concatena las entradas del array con la misma clave primaria. En su lugar, actualiza la entrada con el reductor Max en los otros campos de las entradas del array que comparten la misma clave primaria.
- MergeMap: El reductor MergeMap se usa para la configuración en la que las entradas del array tienen un campo que funciona como clave primaria. El reductor MergeMap no concatena las entradas del array con la misma clave primaria. En su lugar, actualiza la entrada con el reductor de combinación en los otros campos de las entradas del array que comparten la misma clave primaria.
- Lista: Estos parámetros de configuración no se reducen a un solo parámetro. En cambio, se conserva toda la secuencia de parámetros de configuración y se aplica como una lista.

Reductores para la configuración

Nombre del parámetro de configuración	Reducer
`drive_and_docs.external_sharing`	Máx.
`drive_and_docs.general_access_default`	Máx.
`drive_and_docs.shared_drive_creation`	Máx.
`drive_and_docs.file_security_update`	Máx.
`drive_and_docs.drive_sdk`	Combinar
`drive_and_docs.drive_for_desktop`	Máx.
`gmail.confidential_mode`	Máx.
`gmail.enhanced_smime_encryption`	Máx.
`gmail.enhanced_pre_delivery_message_scanning`	Máx.
`gmail.email_spam_filter_ip_allowlist`	Máx.
`gmail.spoofing_and_authentication`	Máx.
`gmail.links_and_external_images`	Máx.
`gmail.email_attachment_safety`	Máx.
`gmail.email_address_lists`	MaxMap
`gmail.blocked_sender_lists`	MaxMap
`gmail.spam_override_lists`	MaxMap
`gmail.content_compliance`	MaxMap
`gmail.objectionable_content`	MaxMap
`gmail.attachment_compliance`	MaxMap
`gmail.comprehensive_mail_storage`	Máx.
`gmail.rule_states`	MaxMap
`gmail.user_email_uploads`	Máx.
`gmail.pop_access`	Máx.
`gmail.imap_access`	Combinar
`gmail.workspace_sync_for_outlook`	Máx.
`gmail.auto_forwarding`	Máx.
`gmail.name_format`	Combinar
`gmail.per_user_outbound_gateway`	Máx.
`gmail.email_image_proxy_bypass`	Combinar
`gmail.mail_delegation`	Combinar
`chat.chat_history`	Combinar
`chat.chat_file_sharing`	Máx.
`chat.space_history`	Máx.
`chat.external_chat_restriction`	Combinar
`chat.chat_apps_access`	Máx.
`sites.sites_creation_and_modification`	Máx.
`groups_for_business.groups_sharing`	Combinar
`cloud_sharing_options.cloud_data_sharing`	Máx.
`classroom.teacher_permissions`	Máx.
`classroom.guardian_access`	Máx.
`classroom.class_membership`	Máx.
`classroom.api_data_access`	Máx.
`classroom.originality_reports`	Máx.
`classroom.roster_import`	Máx.
`classroom.student_unenrollment`	Máx.
`calendar.appointment_schedules`	Máx.
`calendar.external_invitations`	Máx.
`calendar.interoperability`	Combinar
`calendar.primary_calendar_max_allowed_external_sharing`	Combinar
`calendar.secondary_calendar_max_allowed_external_sharing`	Combinar
`meet.safety_domain`	Máx.
`meet.safety_access`	Máx.
`meet.safety_host_management`	Máx.
`meet.video_recording`	Máx.
`meet.safety_external_participants`	Máx.
`security.super_admin_account_recovery`	Combinar
`security.user_account_recovery`	Combinar
`security.password`	Máx.
`security.session_controls`	Máx.
`security.less_secure_apps`	Combinar
`security.login_challenges`	Máx.
`security.advanced_protection_program`	Máx.
`security.two_step_verification_enrollment`	Máx.
`security.two_step_verification_enforcement`	Máx.
`security.two_step_verification_grace_period`	Máx.
`security.two_step_verification_device_trust`	Máx.
`security.two_step_verification_enforcement_factor`	Máx.
`security.two_step_verification_sign_in_code`	Máx.
`user_takeout`	Máx.
`workspace_marketplace.apps_access_options`	Combinar
`workspace_marketplace.apps_allowlist`	MergeMap (la clave primaria es application_id)
`SERVICE_STATUS_APP_NAME.service_status`	Máx.
`rule.dlp`	Lista
`rule.system_defined_alerts`	Enumerar
`detector.regular_expression`	Enumerar
`detector.word_list`	Lista

Licencias

Las políticas se aplican a los usuarios según sus licencias de Workspace. La condición de la licencia se proporciona en PolicyQuery.

Para obtener una lista completa de todos los IDs de productos y SKU de Workspace, consulta IDs de productos y SKU de Google.

En los siguientes ejemplos, se muestra cómo se pueden aplicar políticas a ciertos grupos de usuarios según sus licencias.

Ejemplo 1: Cláusula normal únicamente

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

La política se aplica a un usuario si tiene una licencia para al menos uno de los SKU de la lista.

Ejemplo 2: Cláusula normal y cláusula invertida

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La política se aplica a un usuario si tiene una licencia para al menos uno de los SKU de la primera cláusula. Sin embargo, si un usuario tiene una licencia para cualquiera de los SKU de la segunda cláusula, la política no se aplica a ese usuario.

Ejemplo 3: Solo la cláusula invertida

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La política se aplica a un usuario si no tiene una licencia para ningún SKU de la lista.

Valores de campo predeterminados

Cuando un campo no está presente en el parámetro de configuración reducido, su valor predeterminado es el siguiente:

Nombre del parámetro de configuración	Campo	Valor de campo predeterminado
`chat.chat_history`	enable_chat_history	`false`
	history_on_by_default	`false`
	allow_user_modification	`true`
`chat.external_chat_restriction`	allow_external_chat	`false`
`chat.external_chat_restriction`	external_chat_restriction	`NO_RESTRICTION`
`chat.chat_apps_access`	enable_apps	`true` en los SKU de EDU y `false` en los SKU que no son de EDU. SKU de EDU: `/product/Google-Apps/sku/Google-Apps-For-Education` `/product/Google-Apps/sku/1010310002` `/product/Google-Apps/sku/1010310003` `/product/Google-Apps/sku/1010310005` `/product/Google-Apps/sku/1010310006` `/product/Google-Apps/sku/1010310007` `/product/Google-Apps/sku/1010310008` `/product/Google-Apps/sku/1010310009` `/product/Google-Apps/sku/1010310010` `/product/Google-Apps/sku/1010460001` `/product/Google-Apps/sku/1010460002`
`chat.chat_apps_access`	enable_webhooks	`true` en los SKU de EDU y `false` en los SKU que no son de EDU. SKU de EDU: `/product/Google-Apps/sku/Google-Apps-For-Education` `/product/Google-Apps/sku/1010310002` `/product/Google-Apps/sku/1010310003` `/product/Google-Apps/sku/1010310005` `/product/Google-Apps/sku/1010310006` `/product/Google-Apps/sku/1010310007` `/product/Google-Apps/sku/1010310008` `/product/Google-Apps/sku/1010310009` `/product/Google-Apps/sku/1010310010` `/product/Google-Apps/sku/1010460001` `/product/Google-Apps/sku/1010460002`
`gmail.user_email_uploads`	enable_mail_and_contacts_import	`false`
`gmail.email_image_proxy_bypass`	image_proxy_bypass_pattern	Lista vacía []
`gmail.email_image_proxy_bypass`	enable_image_proxy	`true`
`gmail.workspace_sync_for_outlook`	enable_google_workspace_sync_for_microsoft_outlook	`true`
`gmail.email_spam_filter_ip_allowlist`	allowed_ip_addresses	Lista vacía []
`gmail.links_and_external_images`	apply_future_settings_automatically	`true`
`gmail.links_and_external_images`	enable_aggressive_warnings_on_untrusted_links	`false`
`gmail.spoofing_and_authentication`	apply_future_settings_automatically	`true`
`gmail.auto_forwarding`	enable_auto_forwarding	`true`
`drive_and_docs.external_sharing`	external_sharing_mode	`ALLOWED`
	allow_receiving_external_files	`true`
	warn_for_sharing_outside_allowlisted_domains	`true`
	allow_non_google_invites_in_allowlisted_domains	`false`
	allow_receiving_files_outside_allowlisted_domains	`true`
	warn_for_external_sharing	`true`
	allow_non_google_invites	`true`
	allow_publishing_files	`true`
	access_checker_suggestions	`RECIPIENTS_OR_AUDIENCE_OR_PUBLIC`
	allowed_parties_for_distributing_content	`ALL_ELIGIBLE_USERS`
`drive_and_docs.drive_sdk`	enable_drive_sdk_api_access	`true`
`drive_and_docs.general_access_default`	default_file_access	`LINK_SHARING_PRIVATE`
`security.user_account_recovery`	enable_account_recovery	`false`
`security.super_admin_account_recovery`	enable_account_recovery	`false`
`security.less_secure_apps`	allow_less_secure_apps	`false`
`security.two_sv_enrollment`	allow_enrollment	`true`
`security.two_sv_device_trust`	allow_trusting_device	`true`
`security.two_sv_enforcement_factor`	allowed_sign_in_factor_set	`ALL`
`workspace_marketplace.apps_access_options`	access_level	Para clientes de preescolar a bachillerato: `ALLOW_NONE` De lo contrario: `ALLOW_ALL`
	access_level
	allow_all_internal_apps	`false`
`workspace_marketplace.apps_allowlist`	de Google Chat	Lista vacía []
`workspace_marketplace.apps_allowlist`	de Google Chat	Lista vacía []
`groups_for_business.groups_sharing`	collaboration_capability	`DOMAIN_USERS_ONLY`
	create_groups_access_level	`USERS_IN_DOMAIN`
	view_topics_default_access_level	`DOMAIN_USERS`
	owners_can_allow_external_members	`false`
	owners_can_allow_incoming_mail_from_public	`true`
	owners_can_hide_groups	`false`
	new_groups_are_hidden	`false`
`calendar.external_invitations`	warn_on_invite	`true`
`calendar.primary_calendar_max_allowed_external_sharing`	max_allowed_external_sharing	`EXTERNAL_FREE_BUSY_ONLY`
`calendar.secondary_calendar_max_allowed_external_sharing`	max_allowed_external_sharing	`EXTERNAL_ALL_INFO_READ_ONLY`

Grupos del sistema

Son grupos del sistema de Google que no se muestran en la API de Directory y que se pueden vincular desde las políticas del sistema.

GroupId	Descripción
`WORKSPACE_ALL_ADMIN_GROUP`	Grupo para la política del sistema de Google que aplica la verificación en 2 pasos para todos los administradores.