API 中提供的设置
本文档介绍了 Policy API 支持的设置。
如果 Cloud Identity Policy API 响应中缺少受支持的设置,请参阅默认字段值。如果默认字段值中未提及缺失的设置,请与 Cloud Customer Care 联系。
API 控件
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| API 控件 | 设置 > 自定义用户消息 | api_controls.custom_user_message
|
自定义错误消息,当用户因访问权限设置而无法访问应用时显示。 | error_text | 字符串 |
| 设置 > 未配置的第三方应用 | api_controls.unconfigured_third_party_apps
|
未配置的第三方应用是指尚未配置访问权限设置(例如受信任、受限或已屏蔽)的应用。 选择当用户尝试使用自己的账号访问未配置的第三方应用时,系统会如何处理。 |
access_level | 枚举:
|
|
| 设置 > 未配置的第三方应用 | api_controls.unconfigured_third_party_apps
|
未配置的第三方应用是指尚未配置访问权限设置(例如受信任、受限或已屏蔽)的应用。 选择当未满 18 周岁的用户尝试使用其账号访问未配置的第三方应用时,系统应如何处理。 |
access_level_under18 | 枚举:
|
|
| 设置 > 内部应用 | api_controls.internal_apps
|
系统会自动为贵组织拥有的内部应用配置受信任访问权限。这些应用可以请求通过 API 访问用户的所有 Google 数据。 | trust_internal_apps | boolean | |
| 应用访问权限控制 > 管理 Google 服务 > Google 服务 | api_controls.google_services
|
选择 Google 服务 API 的访问权限设置,以控制哪些类型的第三方应用可以请求访问这些服务。 | 服务 | 服务[] |
API 控件子设置
此表提供了其他 API 控制设置所引用的 API 控制子设置。
| 政策 API 子集名称 | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 服务 | 访问权限 | scopes_group | 枚举:
|
| 受限/不受限 | is_enabled | boolean |
日历设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 日历 | 高级设置 > 包含付款的预约安排 | calendar.appointment_schedules
|
否 | 允许“预约安排”功能的用户要求通过自己的付款服务机构账号收取预约费用。 | enable_payments | boolean |
| 共享设置 > 外部邀请 | calendar.external_invitations
|
否 | 当邀请对象是网域 ORGANIZATION_UNIT_NAME 以外的人时警告用户 | warn_on_invite | boolean | |
| 日历互操作工具管理 > Exchange 在 Google 日历中的可用性 | calendar.interoperability
|
否 | 允许 Google 日历显示 Exchange 用户的空闲情况 | enable_interoperability | boolean | |
| 显示活动详情 | enable_full_event_details | boolean | ||||
| 日历互操作工具管理 > Exchange 资源预订 | calendar.interoperability
|
否 | 启用 Google 日历以预订 Microsoft Exchange 会议室 | enable_exchange_room_booking | boolean | |
| 共享设置 > 主日历的外部共享选项 | calendar.primary_calendar_max_allowed_external_sharing
|
否 | ORGANIZATION_UNIT_NAME 以外 - 设置用户可为主日历设置的共享级别 | max_allowed_external_sharing | 枚举:
|
|
| 共享设置 > 辅助日历的外部共享选项 | calendar.secondary_calendar_max_allowed_external_sharing
|
否 | <组织名称> 以外 - 设置用户可为辅助日历设置的共享级别 | max_allowed_external_sharing | 枚举:
|
聊天设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| Google Chat | 聊天记录 | chat.chat_history
|
否 | 聊天记录功能已开启/关闭 | history_on_by_default | boolean |
| 允许用户更改其聊天记录设置 | allow_user_modification | boolean | ||||
| 在聊天对话中共享文件 | chat.chat_file_sharing
|
否 | 对外共享文件 | external_file_sharing | 枚举:
|
|
| internal_file_sharing | 相同 | |||||
| 聊天室记录 | chat.space_history
|
否 | 聊天室的聊天记录设置 | history_state | 枚举:
|
|
| 对外聊天设置 | chat.external_chat_restriction
|
否 | 允许用户在聊天对话和聊天室中向组织外部的人员发送消息 | allow_external_chat | boolean | |
| external_chat_restriction | 枚举:
|
|||||
| 聊天应用 | chat.chat_apps_access
|
否 | 允许用户安装 Chat 应用 | enable_apps | boolean | |
| 允许用户添加和使用传入的网络钩子 | enable_webhooks | boolean | ||||
| 第三方归档 | chat.third_party_archiving
|
否 | 启用第三方归档 | 已启用 | boolean | |
| 指定应将 Chat 内容递送到的电子邮件地址 | destination_email_address | 字符串 | ||||
| 指定 Chat 归档消息的发送频率(1 - 24 小时) | archival_frequency | 时长 | ||||
| 目标地址所需的自定义标头列表(用英文逗号分隔各个标头) | custom_headers | 字符串 | ||||
| 外部聊天室 | chat.external_spaces
|
否 | 允许用户创建和加入包含组织外部人员的聊天室 | 已启用 | boolean | |
| 仅允许用户添加列入许可名单的网域中的人员 | domain_allowlist_mode | 枚举:
|
||||
| 共享设置 > 聊天室访问权限默认设置 | chat.space_access_default
|
否 | 用户创建新聊天室时的默认聊天室访问权限。 | access_type | 枚举:
|
课堂设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 课堂 | 基本设置 > 教师权限 | classroom.teacher_permissions
|
否 | 哪些人可以创建课程 | whoCanCreateClasses | 枚举:
|
| 常规设置 > 监护人访问权限 | classroom.guardian_access
|
否 | 允许家长和监护人查看课堂信息 | allowAccess | boolean | |
| 谁可以管理家长和监护人 | whoCanManageGuardianAccess | 枚举:
|
||||
| 课程设置 > 课程成员资格简介 | classroom.class_membership
|
否 | 谁可以加入您网域中的课程 | whoCanJoinClasses | 枚举:
|
|
| 您网域中的用户可以加入哪些课程 | whichClassesCanUsersJoin | 枚举:
|
||||
| 数据访问> Classroom API | classroom.api_data_access
|
否 | 用户可以授权应用访问其 Google 课堂数据 | enableApiAccess | boolean | |
| 原创性报告 > 校内匹配 | classroom.originality_reports
|
否 | 启用原创性报告校内匹配功能 | enableOriginalityReportsSchoolMatches | boolean | |
| 学生取消注册> 取消注册权限 | classroom.student_unenrollment
|
否 | 谁可以为学生取消注册课程 | whoCanUnenrollStudents | 枚举
|
|
| 名册导入> 设置 | classroom.roster_import
|
否 | 学生名单导入 | rosterImportOption | 枚举:
|
数据合规性设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 访问权限管理 | 访问权限管理 > 访问权限管理政策 | access_management.user_scoping
|
否 | 为涵盖的数据选择访问管理政策 | allowed_audience | 枚举:
|
| 数据区域 | 区域 > 静态数据 | data_regions.data_at_rest_region
|
否 | 用于存储静态数据的区域 | 区域 | 枚举:
|
| 区域> 数据处理 | data_regions.data_processing_region
|
否 | 有关数据处理的数据区域政策 | limit_to_storage_region | boolean |
云端硬盘和文档设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 云端硬盘和文档 | 共享设置 > 共享选项 | drive_and_docs.external_sharing
|
否 | 选择您允许的与 CUSTOMER_NAME 外部人员的最高共享程度 | external_sharing_mode | 枚举:
|
| 允许 ORGANIZATION_UNIT_NAME 中的用户从 CUSTOMER_NAME 以外的用户或共享云端硬盘接收文件 | allow_receiving_external_files | boolean | ||||
| 当 ORGANIZATION_UNIT_NAME 中的用户或共享云端硬盘拥有的文件与列入许可名单的网域中的用户共享时,显示警告 | warn_for_sharing_outside_allowlisted_domains | boolean | ||||
| 允许 ORGANIZATION_UNIT_NAME 中的用户从许可名单网域以外的用户或共享云端硬盘接收文件 | allow_receiving_files_outside_allowlisted_domains | boolean | ||||
| 允许 ORGANIZATION_UNIT_NAME 中的用户或共享云端硬盘通过访客共享功能与受信任网域中的非 Google 用户共享内容 | allow_non_google_invites_in_allowlisted_domains | boolean | ||||
| 当 ORGANIZATION_UNIT_NAME 中的用户或共享云端硬盘拥有的文件与 CUSTOMER_NAME 以外的用户共享时,显示警告 | warn_for_external_sharing | boolean | ||||
| 允许“ORGANIZATION_UNIT_NAME”中的用户或共享云端硬盘与“CUSTOMER_NAME”以外的非 Google 账号用户共享内容 | allow_non_google_invites | boolean | ||||
| 如果允许与“CUSTOMER_NAME”之外的人员共享内容,则“ORGANIZATION_UNIT_NAME”中的用户可将文件和发布的网络内容向所有知道链接的人公开 | allow_publishing_files | boolean | ||||
| 当用户通过 Google 文档或云端硬盘以外的 Google 产品共享文件时(例如,在 Gmail 中粘贴链接),Google 可以检查收件人是否拥有访问权限。如果没有,Google 会尽可能让用户选择是否要与以下对象共享文件 | access_checker_suggestions | 枚举:
|
||||
| 选择哪些人可以分发 ORGANIZATION_UNIT_NAME 中的内容,但不能分发 CUSTOMER_NAME 中的内容。此设置用于限定哪些人可以将内容上传或移至其他组织所拥有的共享云端硬盘 | allowed_parties_for_distributing_content | 枚举:
|
||||
| 共享设置 > 默认常规访问权限 | drive_and_docs.general_access_default
|
否 | ORGANIZATION_UNIT_NAME 中的用户创建内容时,默认访问权限为 | default_file_access | 枚举:
|
|
| 共享设置 > 创建共享云端硬盘 | drive_and_docs.shared_drive_creation
|
否 | 禁止“ORGANIZATION_UNIT_NAME”中的用户新建共享云端硬盘 | allow_shared_drive_creation | 布尔值(API 响应返回的值与界面值相反) | |
| ORGANIZATION_UNIT_NAME中的用户创建的共享云端硬盘会分配给以下组织部门 | org_unit_for_new_shared_drives | 枚举:
|
||||
| 所选组织部门 | custom_org_unit | 字符串 | ||||
| 允许拥有管理员权限的成员覆盖以下设置 | allow_managers_to_override_settings | boolean | ||||
| 允许 CUSTOMER_NAME 以外的用户访问共享云端硬盘中的文件 | allow_external_user_access | boolean | ||||
| 允许共享云端硬盘成员以外的人获得文件访问权限 | allow_non_member_access | boolean | ||||
| 已为下列角色启用下载、打印和复制功能 | allowed_parties_for_download_print_copy | 枚举:
|
||||
| 允许内容管理员共享文件夹 | allow_content_managers_to_share_folders | boolean | ||||
| 共享设置 > 文件的安全更新 | drive_and_docs.file_security_update
|
否 | 应用此更新可提高文件链接的安全性。此操作可能会导致用户收到文件访问权限请求 | security_update | 枚举:
|
|
| 允许用户为自己拥有或管理的文件移除/应用安全更新 | allow_users_to_manage_update | boolean | ||||
| 功能和应用 > Drive SDK | drive_and_docs.drive_sdk
|
否 | 允许用户通过 Drive SDK API 访问 Google 云端硬盘 | enable_drive_sdk_api_access | boolean | |
| 桌面版 Google 云端硬盘 > 启用桌面版云端硬盘 | drive_and_docs.drive_for_desktop
|
否 | 允许贵组织使用桌面版 Google 云端硬盘 | allow_drive_for_desktop | boolean | |
| 只允许在授权设备上使用桌面版 Google 云端硬盘 | restrict_to_authorized_devices | boolean | ||||
| 显示桌面版 Google 云端硬盘下载链接 | show_download_link | boolean | ||||
| 允许用户在桌面版 Google 云端硬盘中启用“Microsoft Office 中的实时编辑状态” | allow_real_time_presence | boolean |
Gmail 设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| Gmail | 用户设置 > 保密模式 | gmail.confidential_mode
|
否 | 启用机密模式 | enable_confidential_mode | boolean |
| 用户设置 > S/MIME | gmail.enhanced_smime_encryption
|
否 | 允许用户自行上传证书 | allow_user_to_upload_certificates | boolean | |
| 为特定网域接受这些额外根证书: | custom_root_certificates | 一个 CustomRootCertificates 列表,其中包含根证书列表、中间 CA 证书列表、受限域名列表、用于允许地址不匹配的布尔值以及具有不同验证级别的枚举。 | ||||
| 垃圾内容、网上诱骗和恶意软件> 增强型递送前邮件扫描 | gmail.enhanced_pre_delivery_message_scanning
|
否 | 启用增强型检测功能,在邮件递送前扫描可疑内容 | enable_improved_suspicious_content_detection | boolean | |
| 垃圾内容、钓鱼式攻击和恶意软件 > 电子邮件许可名单 | gmail.email_spam_filter_ip_allowlist
|
否 | 为您的电子邮件许可名单输入 IP 地址 | allowed_ip_addresses | 字符串列表 | |
| 安全 > 仿冒防范和身份验证 | gmail.spoofing_and_authentication
|
否 | 防范用相似域名假冒网域的仿冒行为 | detect_domain_name_spoofing | boolean | |
| 选择一项操作 | domain_name_spoofing_consequence | 枚举:
|
||||
| 选择隔离区 | domain_name_spoofing_quarantine_id | 整数 | ||||
| 防范冒用员工姓名的欺骗行为 | detect_employee_name_spoofing | boolean | ||||
| 选择一项操作 | employee_name_spoofing_consequence | 枚举:
|
||||
| 选择隔离区 | employee_name_spoofing_quarantine_id | 整数 | ||||
| 防范假冒您网域的入站电子邮件 | detect_domain_spoofing_from_unauthenticated_senders | boolean | ||||
| 选择一项操作 | domain_spoofing_consequence | 枚举:
|
||||
| 选择隔离区 | domain_spoofing_quarantine_id | 整数 | ||||
| 防范未通过身份验证的电子邮件 | detect_unauthenticated_emails | boolean | ||||
| 选择一项操作 | unauthenticated_email_consequence | 枚举:
|
||||
| 选择隔离区 | unauthenticated_email_quarantine_id | 整数 | ||||
| 为群组防范假冒您网域的入站电子邮件 | detect_groups_spoofing | boolean | ||||
| 将此设置应用于 | groups_spoofing_visibility_type | 枚举:
|
||||
| 选择一项操作 | groups_spoofing_consequence | 枚举:
|
||||
| 选择隔离区 | groups_spoofing_quarantine_id | 整数 | ||||
| 自动应用日后建议的设置 | apply_future_settings_automatically | boolean | ||||
| 安全 > 链接和外部图片 | gmail.links_and_external_images
|
否 | 识别缩短的网址背后的链接 | enable_shortener_scanning | boolean | |
| 扫描链接的图片 | enable_external_image_scanning | boolean | ||||
| 在用户点击任何指向不受信任网域的链接时显示警告提示 | enable_aggressive_warnings_on_untrusted_links | boolean | ||||
| 自动应用日后建议的设置 | apply_future_settings_automatically | boolean | ||||
| 安全 > 附件 | gmail.email_attachment_safety
|
否 | 防范来自不受信任发件人的加密附件 | enable_encrypted_attachment_protection | boolean | |
| 选择一项操作 | encrypted_attachment_protection_consequence | 枚举:
|
||||
| 选择隔离区 | encrypted_attachment_protection_quarantine_id | 整数 | ||||
| 防范来自不受信任发件人的含脚本附件 | enable_attachment_with_scripts_protection | boolean | ||||
| 选择一项操作 | attachment_with_scripts_protection_consequence | 枚举:
|
||||
| 选择隔离区 | attachment_with_scripts_protection_quarantine_id | 整数 | ||||
| 防范电子邮件中异常附件类型包含的风险 | enable_anomalous_attachment_protection | boolean | ||||
| 选择一项操作 | anomalous_attachment_protection_consequence | 枚举:
|
||||
| 选择隔离区 | anomalous_attachment_protection_quarantine_id | 整数 | ||||
| 将以下不常见的文件类型列入许可名单 | allowed_anomalous_attachment_filetypes | string[] | ||||
| 自动应用日后建议的设置 | apply_future_recommended_settings_automatically | boolean | ||||
| 转送 > 管理地址列表 | gmail.email_address_lists
|
否 | 管理地址列表 | email_address_list | EmailAddressList[] | |
| 垃圾内容、钓鱼式攻击和恶意软件 > 已屏蔽的发件人 | gmail.blocked_sender_lists
|
否 | 根据电子邮件地址或域名阻止或批准特定发件人 | blocked_senders | BlockedSender[] | |
| 垃圾内容、钓鱼式攻击和恶意软件> 垃圾内容 | gmail.spam_override_lists
|
否 | 创建不受垃圾邮件文件夹影响的已批准的发件人列表。 | spam_override | SpamOverride[] | |
| 合规性 > 内容合规性 | gmail.content_compliance
|
否 | 根据字词、短语或格式配置高级内容过滤器 | content_compliance_rules | ContentComplianceRule[] | |
| 合规性 > 不良内容 | gmail.objectionable_content
|
否 | 根据字词列表配置内容过滤器 | objectionable_content_rules | ObjectionableContentRule[] | |
| 合规性 > 附件合规性 | gmail.attachment_compliance
|
否 | 根据文件类型、文件名和邮件大小配置附件过滤器 | attachment_compliance_rules | AttachmentComplianceRule[] | |
| 合规性 > 综合邮件存储空间 | gmail.comprehensive_mail_storage
|
否 | 确保发送和接收的所有邮件均在相关用户的邮箱中也存储一份 | rule_id | 字符串 | |
| 不适用(适用于所有规则) | gmail.rule_states
|
否 | 不适用 | rule_states | RuleState[] | |
| 设置 > 上传用户电子邮件地址 | gmail.user_email_uploads
|
否 | 在 Gmail 设置页面上向用户显示从 Yahoo!、Hotmail、AOL 或其他网络邮件服务或 POP3 账号导入邮件和联系人的选项 | enable_mail_and_contacts_import | boolean | |
| 最终用户访问权限 > POP 和 IMAP 访问权限 | gmail.pop_access
|
否 | 对所有用户启用 POP 访问权限 | enable_pop_access | boolean | |
gmail.imap_access
|
否 | 对所有用户启用 IMAP 访问权限 | enable_imap_access | boolean | ||
| 允许任何邮件客户端 | imap_access_restriction.allow_all_mail_clients | boolean | ||||
| 限定用户可以使用哪些邮件客户端(仅限 OAuth 邮件客户端) | imap_access_restriction.allowed_oauth_mail_client_list | OAuthMailClientList | ||||
| 最终用户访问权限 > Google Workspace 同步 | gmail.workspace_sync_for_outlook
|
否 | 为我的用户启用 Google Workspace Sync for Microsoft Outlook | enable_google_workspace_sync_for_microsoft_outlook | boolean | |
| 最终用户访问权限 > 自动转发 | gmail.auto_forwarding
|
否 | 允许用户自动将收到的电子邮件转发到其他地址 | enable_auto_forwarding | boolean | |
| 用户设置 > 名称格式 | gmail.name_format
|
否 | 允许用户自定义此设置 | allow_custom_display_names | boolean | |
| First Last 或 Last, First | default_display_name_format | 枚举:
|
||||
| 最终用户访问权限 > 允许按用户配置的出站网关 | gmail.per_user_outbound_gateway
|
否 | 配置在您电子邮件网域外托管的“发件人”地址时,允许用户通过外部 SMTP 服务器发送邮件 | allow_users_to_use_external_smtp_servers | boolean | |
| 最终用户访问权限 > 图片网址代理许可名单 | gmail.email_image_proxy_bypass
|
否 | 输入图片网址格式。相匹配的网址将绕过图片代理。 | image_proxy_bypass_pattern | 字符串 [] | |
| 不适用 | enable_image_proxy | boolean | ||||
| 用户设置 > 邮件委托 | gmail.mail_delegation
|
否 | 允许用户委托网域内的其他用户访问自己的邮箱 | enable_mail_delegation | boolean | |
| 允许用户自定义此设置 | allow_custom_delegate_attribution | boolean | ||||
| 显示账号所有者和发送电子邮件的受托人 | enable_delegate_attribution | boolean | ||||
| 仅显示账号所有者 | ||||||
| 允许用户授权 Google 群组访问自己的邮箱 | enable_mailbox_group_delegation | boolean |
Gmail 子设置
下表列出了其他 Gmail 设置所引用的 Gmail 子设置。
| 政策 API 子集名称 | 管理控制台说明 | 政策 API 字段名称 | 数据类型 | |
| EmailAddressList | 不适用 | id | 字符串 | |
| 名称 | 名称 | 字符串 | ||
| 添加地址列表 | address_list | AddressList | ||
| 添加屏蔽名单 | blocked_address_list | AddressList | ||
| AddressList | 添加地址列表 | 地址 | AddressListEntry[] | |
| AddressListEntry | 地址 | 地址 | 字符串 | |
| 需要身份验证(仅限收到的邮件) | require_address_verification | boolean | ||
| BlockedSender | 输入将显示在设置摘要中的简短说明 | 说明 | 字符串 | |
| 添加您想要自动拒绝其邮件的地址或网域 | sender_blocklist | StringValue[] | ||
| 输入自定义拒绝通知 | rejection_response | 字符串 | ||
| 如果邮件发自这些经批准的发件人列表中的地址或网域,则绕过此设置。 | bypass_approved_sender | boolean | ||
| 不适用 | bypass_approved_sender_allowlist | StringValue[] | ||
| 不适用 | rule_id | 字符串 | ||
| SpamOverride | 输入将显示在设置摘要中的简短说明 | 说明 | 字符串 | |
| 过滤垃圾邮件时应用更严格的条件。 | enable_aggressive_filtering | boolean | ||
| 将垃圾邮件放入管理隔离区 | add_to_quarantine | boolean | ||
| 不适用 | quarantine_id | 整数 | ||
| 让内部发件人绕过垃圾邮件过滤器。 | bypass_internal_senders | boolean | ||
| 如果邮件发自所选列表中的发件人或网域,则绕过垃圾邮件过滤器。 | bypass_selected_senders | boolean | ||
| 不适用 | bypass_sender_allowlist | StringValue[] | ||
| 让发自所选列表中的发件人或网域的邮件绕过垃圾邮件过滤器并隐藏警告。 | hide_warning_banner_from_selected_senders | boolean | ||
| 不适用 | hide_warning_banner_sender_allowlist | StringValue[] | ||
| 让发自内部和外部发件人的所有邮件都绕过垃圾邮件过滤器并隐藏警告(不推荐)。 | hide_warning_banner_for_all | boolean | ||
| 不适用 | rule_id | 字符串 | ||
| ContentComplianceRule | 输入将显示在设置摘要中的简短说明 | 说明 | 字符串 | |
| 受影响的电子邮件 | condition | RuleConditions | ||
| 添加表达式,描述您要在每封邮件中搜索的内容 | match_expressions | MatchExpression[] | ||
| 如果该邮件符合以下任意规则 | match_any_expression | boolean | ||
| 如果上面的表达式匹配,请执行以下操作 | 后果 | RuleConsequences | ||
| 不适用 | rule_id | 字符串 | ||
| ObjectionableContentRule | 输入将显示在设置摘要中的简短说明 | 说明 | 字符串 | |
| 受影响的电子邮件 | condition | RuleConditions | ||
| 自定义不良字词 | objectionable_content_defined | boolean | ||
| 输入字词 | objectionable_words | string[] | ||
| 如果上面的表达式匹配,请执行以下操作 | 后果 | RuleConsequences | ||
| 不适用 | rule_id | 字符串 | ||
| AttachmentComplianceRule | 输入将显示在设置摘要中的简短说明 | 说明 | 字符串 | |
| 受影响的电子邮件 | condition | RuleConditions | ||
| 添加表达式,描述您要在每封邮件中搜索的内容 | match_expressions | MatchExpression[] | ||
| 如果该邮件符合以下任意规则 | match_any_expression | boolean | ||
| 如果上面的表达式匹配,请执行以下操作 | 后果 | RuleConsequences | ||
| 不适用 | rule_id | 字符串 | ||
| RuleState | 不适用(适用于所有规则) | 已启用 | boolean | |
| rule_id | 字符串 | |||
| RuleConditions | 受影响的电子邮件 | 入站 | affect_inbound_messages | boolean |
| 出站 | affect_outbound_messages | boolean | ||
| 内部 - 发送 | affect_internal_sending_messages | boolean | ||
| 内部 - 接收 | affect_internal_receiving_messages | boolean | ||
| 地址列表 | 使用地址列表来绕过此设置或控制此设置的应用 | address_list_option | 枚举:
|
|
| 为特定电子邮件地址 / 网域绕过此设置 | ||||
| 仅为特定电子邮件地址 / 网域应用此设置 | ||||
| 使用现有列表 / 创建或修改列表 | address_lists | StringValue[] | ||
| 受影响的账号类型 | 用户 | account_type_user | boolean | |
| 群组 | account_type_group | boolean | ||
| 无法识别 / 无限别名 | account_type_unrecognized | boolean | ||
| 信封过滤条件 | 仅影响特定的信包发件人 | envelope_sender_filter | AddressMatcher | |
| 仅影响特定的信包收件人 | envelope_recipient_filter | AddressMatcher | ||
| AddressMatcher | 仅影响特定的信包发件人 / 仅影响特定的信包收件人 | 已启用 | boolean | |
| 单个电子邮件地址 | 不适用 | address_match_type | 枚举:EXACT
|
|
| 电子邮件地址 | exact_address_match_value | 字符串 | ||
| 模式匹配 | 不适用 | address_match_type | 枚举:REGEXP
|
|
| Regexp | regexp_match_value | 字符串 | ||
| 群组成员资格(仅已发邮件)/群组成员资格(仅已收邮件) | 不适用 | address_match_type | 枚举:GROUP_MEMBERSHIP
|
|
| 选择群组 | group_ids | 字符串 [] | ||
| MatchExpression | 简单内容匹配 | 不适用 | match_expression_type | 枚举:SIMPLE_CONTENT
|
| 内容 | match_content | 字符串 | ||
| 高级内容匹配 | 不适用 | match_expression_type | 枚举:ADVANCED_CONTENT
|
|
| 内容 / 正则表达式 | match_content | 字符串 | ||
| 不适用 | advanced_content_match | AdvancedContentMatch | ||
| 元数据匹配 | match_expression_type | 枚举:METADATA
|
||
| metadata_match | MetadataMatch | |||
| 预定义的内容匹配 | match_expression_type | 枚举:PREDEFINED_CONTENT
|
||
| predefined_content_match | PredefinedContentMatch | |||
| 文件类型 | match_expression_type | 枚举:FILE_TYPE
|
||
| file_type_match | FileTypeMatch | |||
| 文件名 | 不适用 | match_expression_type | 枚举:FILE_NAME
|
|
| 附件文件名包含 | file_name | 字符串 | ||
| 消息大小 | 不适用 | match_expression_type | 枚举:MESSAGE_SIZE
|
|
| 整个邮件(正文 + 附件)大小超出以下值 (MB) | message_size_threshold_in_megabytes | 整数 | ||
| AdvancedContentMatch | 位置 | 标头 + 正文 | advanced_content_match_location | 枚举:HEADERS_AND_BODY
|
| 完整标头 | 枚举:FULL_HEADERS
|
|||
| 正文 | 枚举:BODY
|
|||
| 主题 | 枚举:SUBJECT
|
|||
| 发件人标头 | 枚举:SENDER_HEADER
|
|||
| 收件人标头 | 枚举:RECIPIENTS_HEADER
|
|||
| 信包发件人 | 枚举:ENVELOPE_SENDER
|
|||
| 任何信包收件人 | 枚举:ANY_ENVELOPE_RECIPIENT
|
|||
| 原始消息 | 枚举:RAW_MESSAGE
|
|||
| 匹配类型 | 开头为 | advanced_content_match_type | 枚举:STARTS_WITH
|
|
| 结尾为 | 枚举:ENDS_WITH
|
|||
| 包含文本 | 枚举:CONTAINS_TEXT
|
|||
| 不包含文本 | 枚举:NOT_CONTAINS_TEXT
|
|||
| 等于 | 枚举:<code< code="" dir="ltr" translate="no">EQUALS </code<> | |||
| 为空 | 枚举:IS_EMPTY
|
|||
| 匹配正则表达式 | 枚举:MATCHES_REGEXP
|
|||
| 不匹配正则表达式 | 枚举:NOT_MATCHES_REGEXP
|
|||
| 匹配任意字词 | 枚举:MATCH_ANY_WORD
|
|||
| 匹配所有字词 | 枚举:MATCH_ALL_WORDS
|
|||
| 不适用 | regexp_match | RegexpMatch | ||
| RegexpMatch | 正则表达式说明 | 说明 | 字符串 | |
| 最低相符项目数 | min_match_count | 整数 | ||
| MetadataMatch | 特性 | 消息身份验证 | metadata_match_attribute | 枚举:MESSAGE_AUTHENTICATION
|
| 来源 IP | 枚举:SOURCE_IP
|
|||
| 安全传输 (TLS) | 枚举:TLS
|
|||
| 消息大小 | 枚举:MESSAGE_SIZE
|
|||
| S/MIME 加密 | 枚举:SMIME_ENCRYPTED
|
|||
| S/MIME 签名 | 枚举:SMIME_SIGNED
|
|||
| Gmail 机密模式 | 枚举:CONFIDENTIAL_MODE
|
|||
| 垃圾内容 | 枚举:SPAM
|
|||
| 匹配类型 | 以下范围 | source_ip_range | 字符串 | |
| 以下值(以 MB 为单位) | message_size_in_megabytes | 整数 | ||
| 邮件已经过身份验证 | metadata_match_type | 枚举:MESSAGE_AUTHENTICATED
|
||
| 邮件未经过身份验证 | 枚举:MESSAGE_NOT_AUTHENTICATED
|
|||
| 来源 IP 在以下范围内 | 枚举:SOURCE_IP_IN_RANGE
|
|||
| 来源 IP 不在 | 枚举:SOURCE_IP_NOT_IN_RANGE
|
|||
| 连接已经过 TLS 加密 | 枚举:TLS_ENCRYPTED
|
|||
| 连接未经过 TLS 加密 | 枚举:TLS_NOT_ENCRYPTED
|
|||
| 邮件大小大于 | 枚举:MESSAGE_SIZE_GREATER_THAN
|
|||
| 邮件大小小于 | 枚举:MESSAGE_SIZE_LESS_THAN
|
|||
| 邮件已经过 S/MIME 加密 | 枚举:MESSAGE_IS_SMIME_ENCRYPTED
|
|||
| 邮件未经过 S/MIME 加密 | 枚举:MESSAGE_IS_NOT_SMIME_ENCRYPTED
|
|||
| 邮件有 S/MIME 签名 | 枚举:MESSAGE_IS_SMIME_SIGNED
|
|||
| 邮件没有 S/MIME 签名 | 枚举:MESSAGE_IS_NOT_SMIME_SIGNED
|
|||
| 邮件已使用 Gmail 机密模式 | 枚举:MESSAGE_IS_IN_CONFIDENTIAL_MODE
|
|||
| 邮件未使用 Gmail 机密模式 | 枚举:MESSAGE_IS_NOT_IN_CONFIDENTIAL_MODE
|
|||
| 在安全沙盒中检测到恶意软件 | 枚举:MALWARE_DETECTED_FROM_SECURITY_SANDBOX
|
|||
| PredefinedContentMatch | 不适用(预定义的内容匹配选择器) | predefined_content_match_name | 字符串 | |
| 最低相符项目数 | min_match_count | 整数 | ||
| 置信度阈值 | confidence_threshold | 枚举:
|
||
| FileTypeMatch | 已加密的 Office 文档 | encrypted_office_documents | boolean | |
| 未加密的 Office 文档 | unencrypted_office_documents | boolean | ||
| 视频和多媒体 | 视频 | boolean | ||
| 音乐和音效 | 音乐 | boolean | ||
| 图片 | image | boolean | ||
| 已加密的压缩文件和归档内容 | compressed_encrypted_files | boolean | ||
| 未加密的压缩文件和归档内容 | compressed_unencrypted_files | boolean | ||
| 自定义文件类型 - 根据文件扩展名匹配文件 | custom_file_extensions | 字符串 [] | ||
| 同时根据文件格式匹配文件 | match_file_format | boolean | ||
| RuleConsequences | 修改邮件 | 不适用 | rule_consequence_type | 枚举:MODIFY_MESSAGE
|
| 不适用 | primary_delivery | 投放 | ||
| 添加更多收件人 | deliver_to_additional_recipients | boolean | ||
| 收件人 | bcc_deliveries | 投放 [] | ||
| 投放 | 添加 X-Gm-Original-To 标头 | add_x_gm_original_to_header | boolean | |
| 添加 X-Gm-Spam 和 X-Gm-Phishy 标头 | add_x_gm_spam_header | boolean | ||
| 添加自定义标头 | add_custom_headers | boolean | ||
| 自定义标头 | custom_headers | 字符串 [] | ||
| 前置自定义主题 | prepend_custom_subject | boolean | ||
| 输入新的主题前缀 | custom_subject | 字符串 | ||
| 更改路线 | change_default_route | boolean | ||
| 同时更改垃圾邮件的递送路线 | reroute_spam | boolean | ||
| 禁止接收来自此收件人的退回邮件 | suppress_bounces_from_recipient | boolean | ||
| 不适用(路由选择器) | normal_routing | boolean | ||
| 更改信包收件人 不适用 | change_envelope_recipient | boolean | ||
| 替换收件人 | replace_envelope_recipient_type | 枚举:REPLACE_ADDRESS
|
||
| recipient_address | 字符串 | |||
| 替换用户名 | replace_envelope_recipient_type | 枚举:REPLACE_USER
|
||
| recipient_user | 字符串 | |||
| 替换网域 | replace_envelope_recipient_type | 枚举:REPLACE_DOMAIN
|
||
| recipient_domain | 字符串 | |||
| 对于此邮件,绕过垃圾邮件过滤器 | bypass_spam_filter | boolean | ||
| 移除邮件中的附件 | remove_attachments | boolean | ||
| 附上此文本,以通知收件人附件已被移除 | attachment_removal_notice | 字符串 | ||
| 需要安全传输(启用 TLS) | require_tls | boolean | ||
| 加密未经加密的邮件(启用 S/MIME) | encrypt_outgoing_messages | boolean | ||
| 退回无法签名和加密的邮件 | bounce_unencrypted_messages | boolean | ||
| 不向此收件人递送垃圾邮件 | do_not_deliver_spam_to_recipient | boolean | ||
| OAuthMailClientList | 限定用户可以使用哪些邮件客户端(仅限 OAuth 邮件客户端) | oauth_mail_client | OAuthMailClient[] | |
| OAuthMailClient | 不适用 | oauth_mail_client_id | 字符串 | |
群组企业版设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 群组企业版 | 共享设置 > 共享选项 | groups_for_business.groups_sharing
|
否 | 设定有关更改群组共享设置的政策 | collaborationCapability | 枚举:
|
| 创建群组 | createGroupsAccessLevel | 枚举:
|
||||
| 群组所有者可以允许外部成员 | ownersCanAllowExternalMembers | boolean | ||||
| 群组所有者可以允许接收来自组织外部的电子邮件 | ownersCanAllowIncomingMailFromPublic | boolean | ||||
| 会话查看权限的默认设置 | viewTopicsDefaultAccessLevel | 枚举:
|
||||
| 群组所有者可以在目录中隐藏群组 | ownersCanHideGroups | boolean | ||||
| 隐藏新建的群组,使其不显示在目录中 | newGroupsAreHidden | boolean | ||||
法律及法规遵从
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 账号设置 | 共享选项 | cloud_sharing_options.cloud_data_sharing
|
否 | Google Cloud Platform 共享选项 | sharingOptions | 枚举:
|
应用商店设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 应用列表 | 应用列表 | workspace_marketplace.apps_allowlist
|
否 | 目前显示的是供所有组织部门中的用户安装的应用 | 应用 | AppsAllowlistSetting[] |
| 设置 | 管理应用访问权限 > 管理 Google Workspace Marketplace 许可名单的访问权限 | workspace_marketplace.apps_access_options
|
否 | 选择用户可以运行和安装 Marketplace 中的哪些应用。 | access_level | 枚举:
|
Marketplace 子设置
| 政策 API 子集名称 | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| AppsAllowlistSetting | 不适用 | application_id | 字符串 |
| 不适用 | 访问权限 | 枚举:
|
API 响应中的 workspace_marketplace.apps_allowlist 设置会公开 Marketplace application_id,而不是 application_name。以下 Python 脚本可用于将命令行中指定的一个或多个 application_id 转换为 application_name。
import re
import requests
import sys
output = {}
app_ids = sys.argv[1:]
for id in app_ids:
url = f"https://workspace.google.com/marketplace/app/_/{id}"
response = requests.get(url, allow_redirects=False)
final_url = response.headers['Location']
pattern = f"^https://workspace.google.com/marketplace/app/(.*)/{id}$"
a = re.search(pattern, final_url)
output[id] = a.group(1)
# Output application name captured from returned URL
print(output)
Meet 设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| Google Meet | Meet 视频设置 > 录制 | meet.video_recording
|
否 | 允许用户录制会议。 | enable_recording | boolean |
| 满足安全设置> 网域 | meet.safety_domain
|
否 | 哪些人可以加入贵组织中的用户创建的会议。 | users_allowed_to_join | 枚举:
|
|
| 满足安全设置> 访问 | meet.safety_access
|
否 | 组织中的用户可以加入哪些会议或通话。“来电限制”可以进一步限制用户能够接听的电话 | meetings_allowed_to_join | 枚举:
|
|
| Meet 安全设置 > 主持人管理 | meet.safety_host_management
|
否 | 主持人管理的默认设置 | enable_host_management | boolean | |
| Meet 安全设置 > 外部参与者警告 | meet.safety_external_participants
|
否 | 表示“组织”以外或身份未经确认的参与者。 | enable_external_label | boolean | |
| Meet 安全设置 > 加入 | meet.joining
|
否 | 会议访问权限类型(受到网域中设置的限制) | allowed_audience | 枚举:
|
|
| Meet 安全设置 > 聊天 | meet.messaging
|
否 | 谁可以在通话期间发送聊天消息 | 已启用 | boolean | |
| 符合安全设置 > 演示 | meet.presenting
|
否 | 谁可以在通话期间共享屏幕。 | 已启用 | boolean | |
| 符合安全设置 > 问答 | meet.questions
|
否 | 谁可以在通话期间参加问答 | 已启用 | boolean | |
| Meet 安全设置 > 投票 | meet.polls
|
否 | 谁可以在通话期间参加投票 | 已启用 | boolean |
规则和检测器设置
数据保护规则设置
如需大致了解数据保护规则和检测器,请参阅创建云端硬盘 DLP 规则和自定义内容检测器。
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 数据保护 | 安全性 > 访问权限和数据控件 > 数据保护 > 管理规则 | rule.dlp
|
是 | 名称 | display_name | 字符串 |
| 说明 | 说明 | 字符串 | ||||
| 应用 | 触发器 | string[] - 应用专用触发字符串的列表。有关可用应用触发器的列表,请参阅下文的“触发器”部分。 | ||||
| 条件 | condition | 字符串 - 规则扫描的数据条件的通用表达式语言 (CEL) 表达式。以下“条件”部分提供了 CEL 语法和一些常见示例。 | ||||
| 操作 | 操作 | 结构体 - 嵌套对象,表示满足条件时要执行的应用特定操作。以下“操作”部分提供了每个应用触发器的可用操作。 | ||||
| 州 | state | 枚举:
|
||||
| 创建 | create_time | 时间戳 | ||||
| 上次修改时间 | update_time | 时间戳 | ||||
| 特定于规则类型的元数据 | rule_type_metadata | 结构体 - 表示特定于规则类型的元数据的嵌套对象。对于数据保护规则,此列包含触发事件的严重程度。 | ||||
触发器
可用应用及其触发器的列表。
- “google.workspace.chrome.file.v1.upload”
- “google.workspace.chrome.file.v1.download”
- “google.workspace.chrome.web_content.v1.upload”
- “google.workspace.chrome.page.v1.print”
- “google.workspace.chrome.url.v1.navigation”
- “google.workspace.chromeos.file.v1.transfer”
- “google.workspace.chat.message.v1.send”
- “google.workspace.chat.attachment.v1.upload”
- “google.workspace.drive.file.v1.share”
- “google.workspace.gmail.email.v1.send”
条件
为了表示数据条件,该 API 使用通用表达式语言 (CEL) 表达式。每个条件的格式都为 {content type}.{content to scan for}({additional scan parameters})。例如,all_content.contains('apple') 表示一种数据条件,如果任何扫描的内容(例如 Google 云端硬盘文档、聊天消息等)包含子字符串 apple,则匹配该条件。
内容类型
可用内容类型的列表,与管理控制台中具有相同名称的匹配配置相对应。
- access_levels
- all_content
- all_headers
- body
- destination_type
- destination_url
- drive_enterprise_metadata
- encryption_state
- envelope_from
- file_size_in_bytes
- file_type
- from_header
- message_security_status
- request_attributes
- sender_header
- source_chrome_context
- source_url
- source_url_category
- subject
- 意见
- target_user
- title
- to_header_recipients
- 网址
- url_category
要扫描的内容
可扫描的内容列表,与管理控制台中同名的匹配配置相对应。
contains({string})starts_with({string})ends_with({string})equals({string})matches_dlp_detector({detector name}, {likelihood}, {minimum_match_count: {count}, minimum_unique_match_count: {count}})- 对应于管理控制台中的与预定义的数据类型匹配选项。
{detector name}表示要扫描的预定义数据类型,可以是 Cloud DLP 支持的内置 infoType 之一:https://cloud.google.com/sensitive-data-protection/docs/infotypes-reference。例如,CREDIT_CARD_NUMBER或US_SOCIAL_SECURITY_NUMBER{likelihood}表示匹配的可能性阈值。例如,google.privacy.dlp.v2.Likelihood.LIKELY 对应于管理控制台中的高阈值。
matches_regex_detector({detector name}, {minimum_match_count: {count}})- 对应于管理控制台中的匹配正则表达式选项。
{detector name}是表示正则表达式检测器的政策的资源名称。如需了解如何在 API 中查询检测器政策,请参阅数据保护检测器部分。
matches_word_list({detector name}, {minimum_match_count: {count}, minimum_unique_match_count: {count}})- 对应于管理控制台中的与字词表中的字词匹配选项。
{detector name}是表示字词列表检测器的政策的资源名称。如需了解如何在 API 中查询检测器政策,请参阅数据保护检测器部分。
matches_web_category({category})- 对应于管理控制台中 Chrome“访问过的网址”触发器的网址类别匹配选项。
{category}表示管理控制台配置支持的网址类别。如需查看可用类别及其 API 表示形式的列表,请参阅网址类别。
复合条件
您可以将多个基本条件与 AND (&&)、OR (||) 或 NOT (!) 运算符混合使用,以形成复合条件。例如,"all_content.contains('apple') && all_content.contains('banana')" 表示一种条件,如果扫描的任何内容同时包含“apple”和“banana”子字符串,则匹配。
操作
每个应用都会在嵌套的消息中指定在数据条件匹配时要执行的操作。例如,{ "driveAction" { "warnUser" { } } } 表示一项云端硬盘操作,用于在用户对外共享文件时向其发出警告。可用的应用专用操作如下:
| 应用 | 操作键 | 子操作 | 管理控制台说明 |
| 云端硬盘 | driveAction | blockAccess | 禁止与外部共享 |
| warnUser | 与外部共享时发出警告 | ||
| auditOnly | 无操作 | ||
| restrictCopyPrintDownload | 停用下载、打印和复制功能 | ||
| applyLabels | 应用分类标签 | ||
| Gmail | gmailAction | blockContent | 屏蔽邮件 |
| warnUser | 警告用户 | ||
| auditOnly | 仅审核 | ||
| quarantineMessage | 隔离邮件 | ||
| 聊天 | chatAction | blockContent | 屏蔽邮件 |
| warnUser | 警告用户 | ||
| auditOnly | 仅审核 | ||
| Chrome | chromeAction | blockContent | 区块 |
| warnUser | 允许共享且显示警告 |
特定于规则类型的元数据
此属性包含特定于规则类型的元数据。对于数据保护规则,此列包含在安全信息中心和提醒中心内报告事件时,提醒事件的严重程度。表示低严重程度的提醒的元数据值示例:
fields {
key: "ruleTypeMetadata"
value {
struct_value {
fields {
key: "dlpRuleMetadata"
value {
struct_value {
fields {
key: "alertSeverity"
value {
string_value: "LOW"
}
}
}
}
}
}
}
}
数据保护检测工具设置
如需大致了解数据保护规则和检测器,请参阅创建云端硬盘 DLP 规则和自定义内容检测器。
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 数据保护 | 安全性 > 访问权限和数据控件 > 数据保护 > 管理检测器 | detector.regular_expression detector.word_list | 是 | 名称 | display_name | 字符串 |
| 说明 | 说明 | 字符串 | ||||
| 正则表达式 | regular_expression | 结构体 - 包含正则表达式字符串。仅当检测器类型为 detector.regular_expression 时才设置。 | ||||
| 字词表 | word_list | 字符串 - 包含字词字符串列表。仅当检测器类型为 detector.word_list 时才设置。
|
||||
| 创建 | create_time | 时间戳 | ||||
| 上次修改时间 | update_time | 时间戳 | ||||
系统定义的提醒规则设置
本部分介绍了 Google Workspace 系统定义的提醒规则。 该 API 仅返回由管理员修改的系统定义的提醒(与默认值相比)。
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 数据保护 | 规则(适用于“系统定义的”规则类型) | rule.system_defined_alerts
|
否 | 名称 | display_name | 字符串 |
| 说明 | 说明 | 字符串 | ||||
| 操作 | 操作 | 结构 - 嵌套对象,表示触发系统定义的提醒时的通知设置。详细信息请参阅下文的“操作”部分。 | ||||
| 州 | state | 枚举:
|
||||
| 创建 | create_time | 时间戳 | ||||
| 上次修改时间 | update_time | 时间戳 | ||||
操作
系统定义的提醒规则只有一项操作,用于表示提醒的通知设置。
| 操作键 | 子操作 | 管理控制台说明 |
| alertCenterAction | alertCenterConfig | 发送至提醒中心 |
| 收件人 | 发送电子邮件通知 |
安全设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 账号恢复 | 超级用户账号恢复 | security.super_admin_account_recovery
|
否 | 允许超级用户恢复自己的账号 | enableAccountRecovery | boolean |
| 用户账号恢复 | security.user_account_recovery
|
否 | 允许用户和非超级用户恢复自己的账号 | enableAccountRecovery | boolean | |
| 密码管理 | 密码管理 | security.password
|
否 | 到期 | expirationDuration | 秒数(0 秒表示永不过期) |
| 重复使用 | allowReuse | boolean | ||||
| 密码强度和长度强制执行 | enforceRequirementsAtLogin | boolean | ||||
| 长度(最长长度) | maximumLength | 整数 | ||||
| 长度(最短长度) | minimumLength | 整数 | ||||
| 强度 | allowedStrength | 枚举:
|
||||
| Google 会话控制 | 会话控制 | security.session_controls
|
否 | 网络会话时长 | webSessionDuration | 秒 |
| 安全性较低的应用 | 安全性较低的应用 | security.less_secure_apps
|
否 | 控制用户对采用较低安全性登录技术的应用的访问权限,这些应用会使账号更容易受到攻击。 | allowLessSecureApps | boolean |
| 登录验证 | 登录验证 | security.login_challenges
|
否 | 使用员工 ID 以提升用户账号的安全性 | enableEmployeeIdChallenge | boolean |
| 高级保护计划 | 注册 | security.advanced_protection_program
|
否 | 使用员工 ID 以提升用户账号的安全性 | enableAdvancedProtectionSelfEnrollment | boolean |
| 安全码 | securityCodeOption | 枚举:
|
||||
| 两步验证 | 身份验证 | security.two_step_verification_enrollment
|
否 | 允许用户启用两步验证 | allowEnrollment | boolean |
security.two_step_verification_enforcement
|
实施 | enforcedFrom | 时间戳 | |||
security.two_step_verification_grace_period
|
新用户注册期 | enrollmentGracePeriod | 时长 | |||
security.two_step_verification_device_trust
|
允许用户信任设备 | allowTrustingDevice | boolean | |||
security.two_step_verification_enforcement_factor
|
方法 | allowedSignInFactorSet | 枚举:
|
|||
security.two_step_verification_sign_in_code
|
暂停执行两步验证政策时的宽限期 | backupCodeExceptionPeriod | 时长 |
服务状态设置
service_status 设置包含一个布尔值,用于指明是否为特定 OrgUnit 或 Group 启用了服务。
Policy API 支持管理控制台中列出的 Google Workspace、附加 Google 服务和生成式 AI 服务的服务状态设置。
Google Workspace
| 管理控制台中的服务名称 | Policy API 中的服务名称 |
| AppSheet | appsheet |
| 日历 | 日历 |
| Cloud Search | cloud_search |
| 云端硬盘和文档 | drive_and_docs |
| Gmail | Gmail |
| Google Chat | 聊天 |
| Google Meet | meet |
| Google 保险柜 | 保险柜 |
| Google Voice | 语音 |
| Google 群组企业版 | groups_for_business |
| Keep | keep |
| Google 协作平台 | 网站 |
| 任务 | 任务 |
附加 Google 服务
| 管理控制台中的服务名称 | Policy API 中的服务名称 |
| AI Studio | ai_studio |
| 应用数字技能 | applied_digital_skills |
| 分配 | 作业 |
| Blogger | blogger |
| 品牌账号 | brand_accounts |
| Campaign Manager 360 | campaign_manager |
| Chrome 画布 | chrome_canvas |
| Chrome 手写板 | chrome_cursive |
| Chrome 远程桌面 | chrome_remote_desktop |
| Chrome 应用商店 | chrome_web_store |
| Google 课堂 | classroom |
| CS First | cs_first |
| Currents | currents |
| 抢先体验类应用 | early_access_apps |
| 实验性应用 | experimental_apps |
| FeedBurner | feedburner |
| Google Ad Manager | ad_manager |
| Google Ads | 广告 |
| Google AdSense | adsense |
| Google 快讯 | 提醒 |
| Google Analytics | 分析 |
| Google 艺术与文化 | arts_and_culture |
| Google 书签 | 书签 |
| Google 图书 | 图书 |
| Google Chrome 同步 | chrome_sync |
| Google Cloud | 云 |
| Google 云打印 | cloud_print |
| Google Colab | colab |
| Google 开发者 | 开发者 |
| Google Domains | 网域 |
| Google 地球 | 地球 |
| Google Fi | fi |
| Google 群组 | 群组 |
| Google 地图 | 地图 |
| Google 信息 | 消息 |
| Google 我的商家 | my_business |
| Google My Maps | my_maps |
| Google 新闻 | 新闻 |
| Google Pay | 支付 |
| Google 相册 | 照片 |
| Google Play | play |
| Google Play 管理中心 | play_console |
| Google 公开数据浏览器 | public_data |
| Google Read Along | read_along |
| Google Search Console | search_console |
| Google Takeout | 外带 |
| Google 翻译 | 翻译 |
| Google 旅行 | 行程 |
| Jamboard | jamboard |
| 位置记录 | location_history |
| Looker Studio | data_studio |
| Google Play 企业版 | managed_play |
| Material Gallery | material_gallery |
| Merchant Center | merchant_center |
| Partner Dash | partner_dash |
| Pinpoint | 精确定位 |
| Play 图书合作伙伴中心 | play_books_partner_center |
| 可编程搜索引擎 | programmable_search_engine |
| QuestionHub | question_hub |
| 个人学术档案 | scholar_profiles |
| Search Ads 360 | search_ads_360 |
| 搜索和 Google 助理 | search_and_assistant |
| Socratic | socratic |
| Studio | 工作室 |
| 第三方应用备份 | third_party_app_backups |
| 虚拟导览制作工具 | tour_creator |
| 数字化转型洞察 | work_insights |
| YouTube | YouTube |
生成式 AI
| 管理控制台中的服务名称 | Policy API 中的服务名称 |
| Gemini 应用 | gemini_app |
| NotebookLM | notebooklm |
Google 协作平台设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| Google 协作平台 | 新版 Google 协作平台 > 网站创建和修改 | sites.sites_creation_and_modification
|
否 | 允许用户新建网站 | allowSitesCreation | boolean |
| 用户可以/无法修改网站 | allowSitesModification | boolean | ||||
UserTakeout 设置
| 管理控制台中的页面 | 管理控制台中的特定设置 | 政策 API 设置类型 | v1beta1 中支持的 mutate | 管理控制台说明 | 政策 API 字段名称 | 数据类型 |
| 数据 | 数据导入和导出 > Google 导出 > 用户针对 Google 服务使用导出功能的权限 |
|
否 | 管理用户针对 Google 服务使用导出功能的权限 | takeout_status | 枚举:
|