Concetti dell'API Policy
Questa documentazione descrive i concetti e le strategie dell'API Cloud Identity Policy.
Riduzione
Per elencare e ottenere i criteri, vedi Configurare l'API Policy ed Elencare e ottenere i criteri.
Terminologia
Valore dell'impostazione: i valori dell'impostazione forniti nel criterio.
Valore impostazione ridotto: valori di impostazione finali applicati a una destinazione, ad esempio un utente, un'unità organizzativa o un gruppo
Riduzione: il processo di riduzione dei valori delle impostazioni nei criteri a un unico valore di impostazione per una destinazione, ad esempio un utente, un'unità organizzativa o un gruppo
Riduttore: il tipo di regole che determinano in che modo i valori delle impostazioni nelle policy vengono semplificati in un'unica impostazione per un utente
Criteri amministratore: criteri creati dagli amministratori nella Console di amministrazione
Norme di sistema: norme fornite da Google Workspace
Procedura di riduzione
Per ridurre una determinata impostazione per un determinato utente:
Filtra tutti i criteri che non si applicano all'utente.
Filtra le policy che non contengono l'impostazione.
Filtra i criteri che si applicano all'UO in cui non si trova l'utente di destinazione.
Filtra i criteri che si applicano al gruppo a cui non appartiene l'utente target.
Filtra le norme che si applicano alla licenza che l'utente di destinazione non ha. Per ulteriori informazioni sulle licenze, consulta la sezione Licenze.
Applica il riduttore dell'impostazione specificata
Max: per ogni campo dell'impostazione ridotta, il riduttore Max sceglie il valore del criterio con il sortOrder più elevato.
Unione: per ogni campo dell'impostazione ridotta, il riduttore Unione sceglie il valore del criterio con il sortOrder maggiore che ha un valore per quel campo. Se il campo è un array, il riduttore Unisci concatena invece i valori di tutti i criteri.
MaxMap: il riduttore MaxMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MaxMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Max sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
MergeMap: il riduttore MergeMap viene utilizzato per le impostazioni in cui le voci dell'array hanno un campo che funge da chiave primaria. Il riduttore MergeMap non concatena le voci dell'array con la stessa chiave primaria. Aggiorna invece la voce utilizzando il riduttore Merge sugli altri campi delle voci dell'array che condividono la stessa chiave primaria.
Elenco: queste impostazioni non vengono ridotte a una singola impostazione. Al contrario, l'intera sequenza di impostazioni viene conservata e applicata come elenco.
Riduttori per le impostazioni
| Nome impostazione | Riduttore |
drive_and_docs.external_sharing
|
Max |
drive_and_docs.general_access_default
|
Max |
drive_and_docs.shared_drive_creation
|
Max |
drive_and_docs.file_security_update
|
Max |
drive_and_docs.drive_sdk
|
Unisci |
drive_and_docs.drive_for_desktop
|
Max |
gmail.confidential_mode
|
Max |
gmail.enhanced_smime_encryption
|
Max |
gmail.enhanced_pre_delivery_message_scanning
|
Max |
gmail.email_spam_filter_ip_allowlist
|
Max |
gmail.spoofing_and_authentication
|
Max |
gmail.links_and_external_images
|
Max |
gmail.email_attachment_safety
|
Max |
gmail.email_address_lists
|
MaxMap |
gmail.blocked_sender_lists
|
MaxMap |
gmail.spam_override_lists
|
MaxMap |
gmail.content_compliance
|
MaxMap |
gmail.objectionable_content
|
MaxMap |
gmail.attachment_compliance
|
MaxMap |
gmail.comprehensive_mail_storage
|
Max |
gmail.rule_states
|
MaxMap |
gmail.user_email_uploads
|
Max |
gmail.pop_access
|
Max |
gmail.imap_access
|
Unisci |
gmail.workspace_sync_for_outlook
|
Max |
gmail.auto_forwarding
|
Max |
gmail.name_format
|
Unisci |
gmail.per_user_outbound_gateway
|
Max |
gmail.email_image_proxy_bypass
|
Unisci |
gmail.mail_delegation
|
Unisci |
chat.chat_history
|
Unisci |
chat.chat_file_sharing
|
Max |
chat.space_history
|
Max |
chat.external_chat_restriction
|
Unisci |
chat.chat_apps_access
|
Max |
sites.sites_creation_and_modification
|
Max |
groups_for_business.groups_sharing
|
Unisci |
cloud_sharing_options.cloud_data_sharing
|
Max |
classroom.teacher_permissions
|
Max |
classroom.guardian_access
|
Max |
classroom.class_membership
|
Max |
classroom.api_data_access
|
Max |
classroom.originality_reports
|
Max |
classroom.roster_import
|
Max |
classroom.student_unenrollment
|
Max |
calendar.appointment_schedules
|
Max |
calendar.external_invitations
|
Max |
calendar.interoperability
|
Unisci |
calendar.primary_calendar_max_allowed_external_sharing
|
Unisci |
calendar.secondary_calendar_max_allowed_external_sharing
|
Unisci |
meet.safety_domain
|
Max |
meet.safety_access
|
Max |
meet.safety_host_management
|
Max |
meet.video_recording
|
Max |
meet.safety_external_participants
|
Max |
security.super_admin_account_recovery
|
Unisci |
security.user_account_recovery
|
Unisci |
security.password
|
Max |
security.session_controls
|
Max |
security.less_secure_apps
|
Unisci |
security.login_challenges
|
Max |
security.advanced_protection_program
|
Max |
security.two_step_verification_enrollment
|
Max |
security.two_step_verification_enforcement
|
Max |
security.two_step_verification_grace_period
|
Max |
security.two_step_verification_device_trust
|
Max |
security.two_step_verification_enforcement_factor
|
Max |
security.two_step_verification_sign_in_code
|
Max |
user_takeout
|
Max |
workspace_marketplace.apps_access_options
|
Unisci |
workspace_marketplace.apps_allowlist
|
MergeMap (la chiave primaria è: application_id) |
SERVICE_STATUS_APP_NAME.service_status
|
Max |
rule.dlp
|
Elenco |
rule.system_defined_alerts
|
Elenco |
detector.regular_expression
|
Elenco |
detector.word_list
|
Elenco |
Licenze
I criteri vengono applicati agli utenti in base alle loro licenze Workspace. La condizione di licenza è fornita in PolicyQuery.
Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU Google.
Gli esempi seguenti mostrano come le norme possono essere applicate a determinati gruppi di utenti in base alle loro licenze.
Esempio 1: solo clausola normale
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.
Esempio 2: clausola normale e clausola invertita
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente ha una licenza per uno degli SKU nella seconda clausola, la policy non si applica all'utente.
Esempio 3: solo clausola invertita
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Il criterio si applica a un utente se non dispone di una licenza per nessuno degli SKU nell'elenco.
Valori campo predefiniti
Quando un campo non è presente nell'impostazione ridotta, il suo valore predefinito è il seguente:
| Nome impostazione | Campo | Valore campo predefinito |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true nelle SKU per l'istruzione, false nelle SKU non per l'istruzione. SKU per l'istruzione:
|
| enable_webhooks | true nelle SKU per l'istruzione, false nelle SKU non per l'istruzione. SKU per l'istruzione:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] elenco vuoto |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] elenco vuoto |
gmail.links_and_external_images
|
apply_future_settings_automatically | true
|
| enable_aggressive_warnings_on_untrusted_links | false
|
|
gmail.spoofing_and_authentication
|
apply_future_settings_automatically | true
|
gmail.auto_forwarding
|
enable_auto_forwarding | true
|
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
security.two_sv_enrollment
|
allow_enrollment | true
|
security.two_sv_device_trust
|
allow_trusting_device | true
|
security.two_sv_enforcement_factor
|
allowed_sign_in_factor_set | ALL
|
workspace_marketplace.apps_access_options
|
access_level | Per i clienti delle scuole primarie e secondarie: ALLOW_NONE
Altrimenti: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
app | [] elenco vuoto |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|
|
calendar.external_invitations
|
warn_on_invite | true
|
calendar.primary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_FREE_BUSY_ONLY
|
calendar.secondary_calendar_max_allowed_external_sharing
|
max_allowed_external_sharing | EXTERNAL_ALL_INFO_READ_ONLY
|
Gruppi di sistema
I gruppi di sistema Google sono gruppi che non vengono visualizzati nell'API Groups e sono collegati alle norme di sistema. I loro ID gruppo non hanno il prefisso groups/, a differenza di altri ID gruppo.
| GroupId | Descrizione |
WORKSPACE_ALL_ADMIN_GROUP
|
Gruppo per i criteri di sistema di Google che applicano la verifica in due passaggi per tutti gli amministratori. |