Les demandes ci-dessous illustrent la gestion des règles avec l'API Policy. Avant de commencer veillez à consulter la présentation de l'API Chrome Policy pour obtenir un résumé général des fonctionnalités de cette API.
Toutes les requêtes présentées ci-dessous utilisent les variables suivantes:
$TOKEN: jeton OAuth 2$CUSTOMER: ID du client ou littéralmy_customer
Répertorier les schémas pour les règles des imprimantes
Pour répertorier les schémas qui ne concernent que les règles liées aux imprimantes, nous allons appliquer filter.
à la requête de liste Schema Service. Vous pouvez contrôler la pagination
résultat à l'aide des paramètres pageSize et pageToken.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas?filter=chrome.printers&pageSize=2"
Réponse
{
"policySchemas": [
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForUsers",
"policyDescription": "Allows a printer for users in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForUsers",
"field": [
{
"name": "allowForUsers",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForUsers",
"description": "Controls whether a printer is allowed for users in a given organization."
}
],
"schemaName": "chrome.printers.AllowForUsers"
},
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForDevices",
"policyDescription": "Allows a printer for devices in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForDevices",
"field": [
{
"name": "allowForDevices",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForDevices",
"description": "Controls whether a printer is allowed for devices in a given organization."
}
],
"schemaName": "chrome.printers.AllowForDevices"
}
],
"nextPageToken": "AEbDN_obE8A98T8YhIeU9VCIZhEBylLBwZRQpGu_DUug-mU4bnzcDx30UnO2xMuuImvfVpmeuXRF6VhJ4OmZpZ4H6EaRvu2qMOPxVN_u"
}
Rechercher des schémas
Vous pouvez créer des requêtes de recherche complexes à l'aide du paramètre filter= dans le schéma.
Requête de liste de services. Par exemple, si vous souhaitez rechercher des schémas ayant
le mot « imprimante » dans le nom et
le mot « appareils » dans la description, vous pouvez appliquer
la valeur suivante au filtre name=printers AND description=devices :
Découvrez comment répertorier les schémas de stratégie.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas?filter=name=printers%20AND%20description=devices"
Réponse
{
"policySchemas": [
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForDevices",
"policyDescription": "Allows a printer for devices in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForDevices",
"field": [
{
"name": "allowForDevices",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForDevices",
"description": "Controls whether a printer is allowed for devices in a given organization."
}
],
"schemaName": "chrome.printers.AllowForDevices"
}
]
}
Obtenir un schéma particulier
Le résultat ci-dessus présente la liste des schémas de stratégie pris en charge. Chaque schéma comporte
Un champ name qui identifie le schéma. À l'avenir, une fois que vous connaîtrez
nom de schéma, vous pouvez lire ce schéma directement en vous reportant au
nom du schéma dans l'URL de la requête.
Voyons un exemple de schéma chrome.printers.AllowForUsers.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas/chrome.printers.AllowForUsers"
Réponse
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForUsers",
"policyDescription": "Allows a printer for users in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForUsers",
"field": [
{
"name": "allowForUsers",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForUsers",
"description": "Controls whether a printer is allowed for users in a given organization."
}
],
"schemaName": "chrome.printers.AllowForUsers"
}
La réponse du schéma de stratégie ci-dessus décrit le schéma du
Règle chrome.printers.AllowForUsers. Champ d'avis additionalTargetKeyNames.
Ce champ explique que la règle nécessite de fournir des clés/valeurs supplémentaires.
concernant ces règles. En particulier, pour cette politique,
nous devons toujours
fournir l'identifiant
d'une imprimante.
Lire une valeur de règle
Lisons une règle chrome.printers.AllowForUsers pour une imprimante particulière.
Notez que vous pouvez utiliser le champ additionalTargetKeys pour spécifier l'ID de l'imprimante dans la requête.
Vous pouvez lire une stratégie à partir d'une unité organisationnelle ou d'un groupe.
Dans la réponse, notez le champ sourceKey, qui spécifie l'élément
Unité organisationnelle ou Groupe d’où provient la valeur de la stratégie. Pour
Unités organisationnelles, il existe les possibilités suivantes:
- Si l'UO source est identique à l'unité organisationnelle indiquée dans une requête, cela signifie que la règle est appliquée localement dans cette unité organisationnelle.
- Si l'unité organisationnelle source est différente de l'unité organisationnelle indiquée dans à une requête, cela signifie que la stratégie est héritée de l'organisation source Unité.
- Si aucun
sourceKeyn'est présent ou que la réponse est vide, cela signifie que la stratégie n'est pas défini pour le client et a une valeur système par défaut.
Pour les groupes, la clé source est toujours la même que le groupe qui a été spécifiées dans la demande.
L'exemple suivant concerne une unité organisationnelle. Une requête de groupe serait le même, sauf pour targetResource, qui aurait "groups/" au lieu de "orgunits/" avant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchemaFilter: "chrome.printers.AllowForDevices"
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies:resolve"
Réponse
{
"resolvedPolicies": [
{
"targetKey": {
"targetResource": "orgunits/03ph8a2z1xdnme9"
"additionalTargetKeys": {"printer_id":"0gjdgxs208tpef"}
},
"value": {
"policySchema": "chrome.users.AllowForDevices",
"value": {
"allowForDevices": true
}
},
"sourceKey": {
"targetResource": "orgunits/03ph8a2z3qhz81k"
}
}
]
}
Notez que toutes les entités des ressources cibles peuvent être récupérées en omettant
additionalTargetKeys de la requête. Par exemple, si additionalTargetKeys
ont été omis de la demande ci-dessus, la requête renvoie toutes les imprimantes du
ressource cible spécifiée.
Lire plusieurs règles
Indiquer un espace de noms de schéma avec un astérisque (par exemple, chrome.printers.*) autorise
de lire les valeurs de toutes les règles de cet espace de noms dans une
Unité organisationnelle ou Groupe. En savoir plus sur
Schémas de stratégies
L'exemple suivant concerne une unité organisationnelle. Une requête de groupe serait le même, sauf pour targetResource, qui aurait "groups/" au lieu de "orgunits/" avant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
},
policySchemaFilter: "chrome.printers.*"
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies:resolve"
Réponse
{
"resolvedPolicies": [
{
"targetKey": {
"targetResource": "orgunits/04fatzly4jbjho9",
"additionalTargetKeys": {
"printer_id": "0gjdgxs0xd59y1"
}
},
"value": {
"policySchema": "chrome.printers.AllowForUsers",
"value": {
"allowForUsers": false
}
}
},
{
"targetKey": {
"targetResource": "orgunits/04fatzly4jbjho9",
"additionalTargetKeys": {
"printer_id": "0gjdgxs0xd59y1"
}
},
"value": {
"policySchema": "chrome.printers.AllowForDevices",
"value": {
"allowForDevices": false
}
}
},
//...
],
"nextPageToken": "AEbDN_pFvDeGSbQDkvMxr4UA0Ew7UEUw8aJyw95VPs2en6YxMmFcWQ9OQQEIeSkjnWFCQNyz5GGoOKQGEd50e2z6WqvM2w7sQz6TMxVOBD_4NmEHRWtIJCYymeYXWHIrNH29Ezl1wkeyYBAOKnE="
}
Modifier la valeur de la règle
Comme indiqué dans la réponse du schéma de stratégie, la stratégie chrome.printers.AllowForUsers
contient un champ nommé allowForUsers. Ce champ est de type booléen. Exemple
la valeur de la stratégie peut être {allowForUsers: false} ou
{allowForUsers: true} Ici, nous n'avons qu'un seul champ,
tandis que d'autres règles
peuvent contenir plusieurs champs.
Dans les requêtes de modification, nous devons spécifier un updateMask. Mettre à jour le masque répertorie tous les
les champs que nous
souhaitons modifier. Si la règle a déjà été appliquée localement
Unité organisationnelle, alors les champs qui ne sont pas répertoriés via le masque de mise à jour
restent inchangés. Si la règle n'a pas déjà été appliquée localement
et tous les champs qui ne sont pas listés via le masque de mise à jour
Copiez les valeurs de l'Unité organisationnelle parente, le cas échéant, et
toute la règle sera appliquée localement.
Les exemples suivants concernent une Unité d'Organisation. Les requêtes de groupe
identique, sauf pour targetResource, qui aurait "groups/" au lieu de
"orgunits/" avant l'ID. Ici, nous allons interdire une imprimante 0gjdgxs208tpef pour
utilisateurs de l'unité organisationnelle 04fatzly4jbjho9:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForUsers",
value: {allowForUsers: false}
},
updateMask: {paths: "allowForUsers"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse positive est vide.
{}
Les champs à valeurs multiples, comme les listes ou les tableaux, sont marqués d'un libellé "LABEL_REPEATED"
libellé. Pour renseigner des champs à valeurs multiples, utilisez le format de tableau JSON suivant:
[value1, value2, value3, ...]
Par exemple, pour définir les URL sources des packages d'applications et d'extensions comme suit : "test1.com", "test2.com" et "test3.com", nous devons envoyer la requête suivante:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
requests: [
{
policy_target_key: {
target_resource: 'orgunits/03ph8a2z28rz85a'
},
updateMask: {
paths: ['extensionInstallSources']
},
policy_value: {
policy_schema: 'chrome.users.appsconfig.AppExtensionInstallSources',
value: {
extensionInstallSources: ['test1.com', 'test2.com', 'test3.com']
}
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse positive est vide.
{}
Il existe deux versions pour toutes les règles contenant des champs NullableDuration. La version d'origine n'accepte que les chaînes comme entrée pour NullableDuration et est désormais obsolète. Veuillez utiliser la version 2, qui remplace le type de durée par une entrée numérique. Par exemple, pour définir la durée maximale d'une session utilisateur sur 10 minutes nous devons envoyer la requête suivante:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
requests: [
{
policy_target_key: {
target_resource: 'orgunits/03ph8a2z28rz85a'
},
updateMask: {
paths: ['sessionDurationLimit']
},
policy_value: {
policy_schema: 'chrome.users.SessionLengthV2',
value: {
sessionDurationLimit: {
duration: 10
}
}
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse positive est vide.
{}
Modifier plusieurs règles à la fois
batchModify
vous permet d'envoyer plusieurs modifications de stratégie en même temps.
Cependant, toutes les stratégies ne peuvent pas être regroupées par lot. Pour en savoir plus,
consultez la section Règles de mise à jour groupée.
Dans cet exemple, nous allons modifier, dans la même requête, deux éléments
règles (chrome.printers.AllowForDevices et chrome.printers.AllowForUsers)
pour la même imprimante.
L'exemple suivant concerne une unité organisationnelle. Une requête de groupe serait le même, sauf pour targetResource, qui aurait "groups/" au lieu de "orgunits/" avant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForDevices",
value: {allowForDevices: true}
},
updateMask: {paths: "allowForDevices"}
},
{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForUsers",
value: {allowForUsers: true}
},
updateMask: {paths: "allowForUsers"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/C0202nabg/policies/orgunits:batchModify"
Réponse
Une réponse positive est vide.
{}
Hériter d'une valeur de règle dans une unité organisationnelle
batchInherit
vous permet de modifier l'état d'une stratégie dans une unité organisationnelle
"appliqué localement" à "héritée". Les valeurs locales seront effacées, et la règle
héritent des valeurs d'une unité organisationnelle parente, le cas échéant.
La méthode batchInherit vous permet également d'envoyer plusieurs stratégies
de requêtes en même temps. Cependant, toutes les stratégies ne peuvent pas être regroupées par lot.
Pour en savoir plus,
consultez la section Règles de mise à jour groupée.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly12wd3ox",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchema: "chrome.printers.AllowForUsers"
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchInherit"
Réponse
Une réponse positive est vide.
{}
Supprimer une valeur de règle dans un groupe
batchDelete
vous permet de supprimer une stratégie d'un groupe. Les valeurs locales seront effacées.
La méthode batchDelete vous permet également d'envoyer plusieurs suppressions de règles
de requêtes en même temps. Cependant, toutes les stratégies ne peuvent pas être regroupées par lot.
Pour en savoir plus, consultez
Règles de mise à jour par lot
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "groups/04fatzly12wd3ox",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchema: "chrome.printers.AllowForUsers"
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:batchDelete"
Réponse
Une réponse positive est vide.
{}
Lister l'ordre de priorité d'un groupe
listGroupPriorityOrdering
vous permet de lister l'ordre de priorité des groupes pour une application.
L'ordre des ID de groupe renvoyés indique la priorité dans laquelle leurs paramètres seront appliqués à l'application ; identifiants ultérieurs règles seront remplacées par des règles dont les ID figurent plus tôt dans la liste.
Notez que les priorités des groupes sont supérieures à celles des unités organisationnelles.
Dans cette requête, nous renvoyons l'ordre de priorité pour "exampleapp" Application d'utilisateur Chrome.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
additionalTargetKeys: {"app_id":"chrome:exampleapp"}
},
policyNamespace: 'chrome.users.apps'
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:listGroupPriorityOrdering"
Réponse
{
"policyTargetKey": {
"additionalTargetKeys": {
"app_id": "chrome:exampleapp"
}
},
"policyNamespace": "chrome.users.apps",
"groupIds": [
"03ep43zb2k1nodu",
"01t3h5sf2k52kol",
"03q5sasy2ihwnlz"
]
}
Mettre à jour l'ordre de priorité d'un groupe
updateGroupPriorityOrdering
vous permet de mettre à jour l'ordre de priorité des groupes pour une application.
L'ordre des ID de groupe dans la requête indique la priorité dans laquelle leurs paramètres seront appliqués à l'application ; identifiants ultérieurs règles seront remplacées par des règles dont les ID figurent plus tôt dans la liste. La demande doit inclure tous les ID de groupe actuellement appliqués à l'application.
Notez que les priorités des groupes sont supérieures à celles des unités organisationnelles.
Dans cette demande, nous définissons l'ordre de priorité pour "exampleapp" Application d'utilisateur Chrome.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
additionalTargetKeys: {"app_id":"chrome:exampleapp"}
},
policyNamespace: 'chrome.users.apps',
groupIds: ['03ep43zb2k1nodu', '01t3h5sf2k52kol', '03q5sasy2ihwnlz']
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:updateGroupPriorityOrdering"
Réponse
Une réponse positive est vide.
{}
Gérer les règles nécessitant une confirmation
Certains schémas de règles spécifient pour certaines valeurs d'un champ nécessitant une confirmation.
Exemple pour la règle chrome.users.PluginVmAllowd:
{
"name": "customers/C0202nabg/policySchemas/chrome.users.PluginVmAllowed",
"policyDescription": "Parallels Desktop.",
# ...
"fieldDescriptions": [
{
"field": "pluginVmAllowed",
"description": "N/A",
"knownValueDescriptions": [
{
"value": "true",
"description": "Allow users to use Parallels Desktop."
},
{
"value": "false",
"description": "Do not allow users to use Parallels Desktop."
}
]
},
{
"field": "ackNoticeForPluginVmAllowedSetToTrue",
"description": "This field must be set to true to acknowledge the notice message associated with the field 'plugin_vm_allowed' set to value 'true'. Please see the notices listed with this policy for more information."
}
],
"notices": [
{
"field": "pluginVmAllowed",
"noticeValue": "true",
"noticeMessage": "By enabling Parallels Desktop, you agree to the Parallels End-User License Agreement specified at https://www.parallels.com/about/legal/eula/. Warning: Device identifiers may be shared with Parallels. Please see privacy policy for more details at https://www.parallels.com/about/legal/privacy/. The minimum recommended configuration includes an i5 processor, 16 GB RAM, and 128 GB storage: https://support.google.com/chrome/a/answer/10044480.",
"acknowledgementRequired": true
}
],
"supportUri": "...",
"schemaName": "chrome.users.PluginVmAllowed"
}
Dans l'exemple ci-dessus, définir la valeur du champ pluginVmAllowed sur true est
associé à un avis comportant acknowledgementRequired. Pour bien
définissez la valeur de ce champ sur true, vous devez envoyer une requête spécifiant
le champ d'accusé de réception ackNoticeForPluginVmAllowedSetToTrue sur true,
sinon vous obtiendrez une erreur dans votre requête.
Dans cet exemple, vous devez envoyer la requête de modification groupée suivante.
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
'requests': [
{
'policyTargetKey': {
'targetResource': 'orgunits/03ph8a2z10ybbh2'
},
'policyValue': {
'policySchema': 'chrome.users.PluginVmAllowed',
'value': {
'pluginVmAllowed': true,
'ackNoticeForPluginVmAllowedSetToTrue': true
}
},
'updateMask': {
'paths': [
'pluginVmAllowed',
'ackNoticeForPluginVmAllowedSetToTrue'
]
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Définir des règles de fichiers
Certaines règles comportent des champs du type UploadedFile, vous devez importer le
que vous souhaitez définir comme valeur de ces stratégies sur le serveur d'API, afin
pour obtenir une URL à utiliser dans les requêtes BatchModify.
Dans cet exemple, nous allons définir chrome.users.Wallpaper en important un
Fichier JPEG.
Importer le fichier
Requête
curl -X POST \
-H "Content-Type: image/jpeg" \
-H "Authorization: Bearer $TOKEN" \
-T "/path/to/the/file" \
"https://chromepolicy.googleapis.com/upload/v1/customers/$CUSTOMER/policies/files:uploadPolicyFile?policy_field=chrome.users.Wallpaper.wallpaperImage"
Réponse
Une réponse positive doit contenir l'URL permettant d'accéder au fichier:
{
"downloadUri": "https://storage.googleapis.com/chromeos-mgmt/0gjdgxs370bkl6/ChromeOsWallpaper/32ac50ab-b5ae-4bba-afa8-b6b443912897"
}
Définir la règle de fichier
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
},
policyValue: {
policySchema: "chrome.users.Wallpaper",
value: {
wallpaperImage: {downloadUri: "https://storage.googleapis.com/chromeos-mgmt/0gjdgxs370bkl6/ChromeOsWallpaper/32ac50ab-b5ae-4bba-afa8-b6b443912897"}
}
},
updateMask: {paths: "wallpaperImage"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse positive doit être vide.
{}