Les requêtes ci-dessous illustrent la gestion des règles avec l'API Policy. Avant de commencer, veillez à consulter la présentation de l'API Chrome Policy pour obtenir un résumé général des fonctionnalités de cette API.
Toutes les requêtes présentées ci-dessous utilisent les variables suivantes:
$TOKEN: jeton OAuth 2$CUSTOMER: ID du client ou littéralmy_customer
Lister les schémas pour les règles d'imprimante
Pour répertorier les schémas qui ne concernent que les règles relatives aux imprimantes, nous allons appliquer le paramètre filter à la requête de liste de service de schéma. Vous pouvez contrôler la pagination du résultat à l'aide des paramètres pageSize et pageToken.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas?filter=chrome.printers&pageSize=2"
Réponse
{
"policySchemas": [
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForUsers",
"policyDescription": "Allows a printer for users in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForUsers",
"field": [
{
"name": "allowForUsers",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForUsers",
"description": "Controls whether a printer is allowed for users in a given organization."
}
],
"schemaName": "chrome.printers.AllowForUsers"
},
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForDevices",
"policyDescription": "Allows a printer for devices in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForDevices",
"field": [
{
"name": "allowForDevices",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForDevices",
"description": "Controls whether a printer is allowed for devices in a given organization."
}
],
"schemaName": "chrome.printers.AllowForDevices"
}
],
"nextPageToken": "AEbDN_obE8A98T8YhIeU9VCIZhEBylLBwZRQpGu_DUug-mU4bnzcDx30UnO2xMuuImvfVpmeuXRF6VhJ4OmZpZ4H6EaRvu2qMOPxVN_u"
}
Rechercher des schémas
Vous pouvez créer des requêtes de recherche complexes à l'aide du paramètre filter= dans la requête de liste de services de schémas. Par exemple, si vous souhaitez rechercher des schémas dont le nom contient le mot "imprimante" et le mot "devices" dans la description, vous pouvez appliquer la valeur suivante au filtre name=printers AND description=devices.
Découvrez comment répertorier les schémas de règle.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas?filter=name=printers%20AND%20description=devices"
Réponse
{
"policySchemas": [
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForDevices",
"policyDescription": "Allows a printer for devices in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForDevices",
"field": [
{
"name": "allowForDevices",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForDevices",
"description": "Controls whether a printer is allowed for devices in a given organization."
}
],
"schemaName": "chrome.printers.AllowForDevices"
}
]
}
Obtenir un schéma particulier
Le résultat ci-dessus liste les schémas de règle compatibles. Chaque schéma comporte un champ name qui l'identifie. À l'avenir, une fois que vous connaissez le nom du schéma, vous pourrez le lire directement en faisant référence au nom du schéma dans l'URL de la requête.
Examinons un exemple de schéma chrome.printers.AllowForUsers.
Requête
curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policySchemas/chrome.printers.AllowForUsers"
Réponse
{
"name": "customers/C0202nabg/policySchemas/chrome.printers.AllowForUsers",
"policyDescription": "Allows a printer for users in a given organization.",
"additionalTargetKeyNames": [
{
"key": "printer_id",
"keyDescription": "Id of printer as visible in Admin SDK printers API."
}
],
"definition": {
"messageType": [
{
"name": "AllowForUsers",
"field": [
{
"name": "allowForUsers",
"number": 1,
"label": "LABEL_OPTIONAL",
"type": "TYPE_BOOL"
}
]
}
]
},
"fieldDescriptions": [
{
"field": "allowForUsers",
"description": "Controls whether a printer is allowed for users in a given organization."
}
],
"schemaName": "chrome.printers.AllowForUsers"
}
La réponse au schéma de stratégie ci-dessus décrit le schéma de la stratégie chrome.printers.AllowForUsers. Champ d'avis additionalTargetKeyNames.
Ce champ indique que la règle nécessite la fourniture de clés-valeurs supplémentaires. En particulier, pour cette règle, nous devons
toujours fournir l'identifiant d'une imprimante.
Lire une valeur de règle
Lisons une règle chrome.printers.AllowForUsers pour une imprimante en particulier.
Vous remarquerez que le champ additionalTargetKeys permet de spécifier l'ID de l'imprimante dans la requête.
Vous pouvez lire une règle depuis une unité organisationnelle ou un groupe.
Dans la réponse, notez le champ sourceKey, qui spécifie l'unité organisationnelle ou le groupe d'où provient la valeur de la règle. Pour les unités organisationnelles, les possibilités suivantes s'offrent à vous:
- Si l'unité organisationnelle source est identique à l'unité organisationnelle indiquée dans une requête, cela signifie que la règle est appliquée localement dans cette unité.
- Si l'unité organisationnelle source est différente de celle indiquée dans une requête, cela signifie que la règle est héritée de l'unité organisationnelle source.
- Si aucun élément
sourceKeyn'est présent ou si la réponse est vide, cela signifie que la règle n'est pas définie pour le client et qu'elle est associée à une valeur système par défaut.
Pour les groupes, la clé source est toujours la même que celle spécifiée dans la requête.
L'exemple suivant concerne une unité organisationnelle. Une requête Group est identique, sauf pour targetResource, qui contient "groups/" au lieu de "orgunits/" devant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchemaFilter: "chrome.printers.AllowForDevices"
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies:resolve"
Réponse
{
"resolvedPolicies": [
{
"targetKey": {
"targetResource": "orgunits/03ph8a2z1xdnme9"
"additionalTargetKeys": {"printer_id":"0gjdgxs208tpef"}
},
"value": {
"policySchema": "chrome.users.AllowForDevices",
"value": {
"allowForDevices": true
}
},
"sourceKey": {
"targetResource": "orgunits/03ph8a2z3qhz81k"
}
}
]
}
Notez que toutes les entités des ressources cibles peuvent être récupérées en omettant additionalTargetKeys de la requête. Par exemple, si additionalTargetKeys a été omis de la requête ci-dessus, toutes les imprimantes de la ressource cible spécifiée étaient renvoyées.
Lire plusieurs règles
Fournir un espace de noms de schéma avec un astérisque (par exemple, chrome.printers.*) vous permet de lire les valeurs de toutes les règles de cet espace de noms dans une unité organisationnelle ou un groupe particulier. Apprenez-en plus sur les schémas de stratégie.
L'exemple suivant concerne une unité organisationnelle. Une requête Group est identique, sauf pour targetResource, qui contient "groups/" au lieu de "orgunits/" devant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
},
policySchemaFilter: "chrome.printers.*"
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies:resolve"
Réponse
{
"resolvedPolicies": [
{
"targetKey": {
"targetResource": "orgunits/04fatzly4jbjho9",
"additionalTargetKeys": {
"printer_id": "0gjdgxs0xd59y1"
}
},
"value": {
"policySchema": "chrome.printers.AllowForUsers",
"value": {
"allowForUsers": false
}
}
},
{
"targetKey": {
"targetResource": "orgunits/04fatzly4jbjho9",
"additionalTargetKeys": {
"printer_id": "0gjdgxs0xd59y1"
}
},
"value": {
"policySchema": "chrome.printers.AllowForDevices",
"value": {
"allowForDevices": false
}
}
},
//...
],
"nextPageToken": "AEbDN_pFvDeGSbQDkvMxr4UA0Ew7UEUw8aJyw95VPs2en6YxMmFcWQ9OQQEIeSkjnWFCQNyz5GGoOKQGEd50e2z6WqvM2w7sQz6TMxVOBD_4NmEHRWtIJCYymeYXWHIrNH29Ezl1wkeyYBAOKnE="
}
Modifier la valeur de la règle
Comme vous pouvez le voir dans la réponse du schéma de stratégie, la stratégie chrome.printers.AllowForUsers comporte un champ nommé allowForUsers. Ce champ est de type booléen. Exemples de valeur de la règle : {allowForUsers: false} ou {allowForUsers: true}. Dans ce cas particulier, nous n'avons qu'un seul champ, mais d'autres règles peuvent en contenir plusieurs.
Dans les requêtes de modification, nous devons spécifier un updateMask. Le masque de mise à jour liste tous les
champs que nous souhaitons modifier. Si la règle a déjà été appliquée localement dans l'unité organisationnelle, les champs qui ne sont pas répertoriés via le masque de mise à jour restent inchangés. Si la règle n'a pas déjà été appliquée localement dans l'unité organisationnelle et que tous les champs qui ne sont pas répertoriés via le masque de mise à jour copieront leurs valeurs à partir de l'unité organisationnelle parente le cas échéant, et l'ensemble de la règle sera appliqué localement.
Les exemples suivants concernent une unité organisationnelle. Les requêtes de groupe sont identiques, à l'exception de targetResource, qui aurait pour identifiant "groups/" au lieu de "orgunits/". Ici, nous allons interdire une imprimante 0gjdgxs208tpef pour les utilisateurs de l'ID d'unité organisationnelle 04fatzly4jbjho9:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForUsers",
value: {allowForUsers: false}
},
updateMask: {paths: "allowForUsers"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse réussie est vide.
{}
Les champs à plusieurs valeurs, tels que les listes ou les tableaux, sont marqués d'un libellé "LABEL_REPEATED". Pour renseigner des champs à valeurs multiples, utilisez le format de tableau JSON suivant : [value1, value2, value3, ...].
Par exemple, pour définir les URL sources des packages d'applications et d'extensions sur "test1.com", "test2.com" et "test3.com", nous devons envoyer la requête suivante:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
requests: [
{
policy_target_key: {
target_resource: 'orgunits/03ph8a2z28rz85a'
},
updateMask: {
paths: ['extensionInstallSources']
},
policy_value: {
policy_schema: 'chrome.users.appsconfig.AppExtensionInstallSources',
value: {
extensionInstallSources: ['test1.com', 'test2.com', 'test3.com']
}
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse réussie est vide.
{}
Pour toutes les règles contenant des champs NullableDuration, il existe deux versions. La version d'origine n'accepte que la chaîne comme entrée pour NullableDuration et est désormais obsolète. Veuillez utiliser la version V2 qui remplace le type de durée par une entrée numérique. Par exemple, pour définir la durée maximale de session utilisateur sur 10 minutes, nous devons envoyer la requête suivante:
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
requests: [
{
policy_target_key: {
target_resource: 'orgunits/03ph8a2z28rz85a'
},
updateMask: {
paths: ['sessionDurationLimit']
},
policy_value: {
policy_schema: 'chrome.users.SessionLengthV2',
value: {
sessionDurationLimit: {
duration: 10
}
}
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse réussie est vide.
{}
Modifier plusieurs règles à la fois
La méthode batchModify vous permet d'envoyer plusieurs modifications de règle en même temps.
Cependant, toutes les règles ne peuvent pas être regroupées. Pour en savoir plus, consultez la section Règles de mise à jour par lots.
Dans cet exemple, nous allons modifier, dans la même requête, deux règles différentes (chrome.printers.AllowForDevices et chrome.printers.AllowForUsers) pour la même imprimante.
L'exemple suivant concerne une unité organisationnelle. Une requête Group est identique, sauf pour targetResource, qui contient "groups/" au lieu de "orgunits/" devant l'ID.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForDevices",
value: {allowForDevices: true}
},
updateMask: {paths: "allowForDevices"}
},
{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policyValue: {
policySchema: "chrome.printers.AllowForUsers",
value: {allowForUsers: true}
},
updateMask: {paths: "allowForUsers"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/C0202nabg/policies/orgunits:batchModify"
Réponse
Une réponse réussie est vide.
{}
Hériter d'une valeur de règle dans une unité organisationnelle
La méthode batchInherit vous permet de faire passer l'état d'une règle d'une unité organisationnelle de "Appliqué localement" à "Hérité". Les valeurs locales seront effacées, et la règle héritera, le cas échéant, des valeurs d'une unité organisationnelle parente.
La méthode batchInherit vous permet également d'envoyer plusieurs requêtes héritées des règles en même temps. Cependant, toutes les règles ne peuvent pas être regroupées.
Pour en savoir plus, consultez la section Règles de mise à jour par lots.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly12wd3ox",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchema: "chrome.printers.AllowForUsers"
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchInherit"
Réponse
Une réponse réussie est vide.
{}
Supprimer une valeur de règle dans un groupe
La méthode batchDelete vous permet de supprimer une stratégie d'un groupe. Les valeurs locales seront effacées.
La méthode batchDelete vous permet également d'envoyer plusieurs requêtes de suppression de règle en même temps. Cependant, toutes les règles ne peuvent pas être regroupées.
Pour en savoir plus, consultez la section Règles de mise à jour par lots.
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "groups/04fatzly12wd3ox",
additionalTargetKeys: {"printer_id":"0gjdgxs208tpef"}
},
policySchema: "chrome.printers.AllowForUsers"
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:batchDelete"
Réponse
Une réponse réussie est vide.
{}
Lister l'ordre de priorité d'un groupe
La méthode listGroupPriorityOrdering vous permet de répertorier l'ordre de priorité des groupes pour une application.
L'ordre des ID de groupe renvoyés indique la priorité dans laquelle leurs paramètres seront appliqués pour l'application. Les stratégies d'ID ultérieures seront remplacées par les règles dont les ID figurent en tête de la liste.
Notez que les priorités des groupes sont plus élevées que celles des unités organisationnelles.
Dans cette demande, nous renvoyons l'ordre de priorité de l'application utilisateur Chrome "exampleapp".
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
additionalTargetKeys: {"app_id":"chrome:exampleapp"}
},
policyNamespace: 'chrome.users.apps'
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:listGroupPriorityOrdering"
Réponse
{
"policyTargetKey": {
"additionalTargetKeys": {
"app_id": "chrome:exampleapp"
}
},
"policyNamespace": "chrome.users.apps",
"groupIds": [
"03ep43zb2k1nodu",
"01t3h5sf2k52kol",
"03q5sasy2ihwnlz"
]
}
Mettre à jour l'ordre de priorité d'un groupe
La méthode updateGroupPriorityOrdering vous permet de mettre à jour l'ordre de priorité des groupes pour une application.
L'ordre des ID de groupe dans la requête indique la priorité dans laquelle leurs paramètres seront appliqués pour l'application. Les stratégies d'ID ultérieures seront remplacées par les règles dont les ID figurent en tête de la liste. La requête doit inclure chaque ID de groupe actuellement appliqué à l'application.
Notez que les priorités des groupes sont plus élevées que celles des unités organisationnelles.
Dans cette demande, nous définissons l'ordre de priorité de l'application utilisateur Chrome "exampleapp".
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
policyTargetKey: {
additionalTargetKeys: {"app_id":"chrome:exampleapp"}
},
policyNamespace: 'chrome.users.apps',
groupIds: ['03ep43zb2k1nodu', '01t3h5sf2k52kol', '03q5sasy2ihwnlz']
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/groups:updateGroupPriorityOrdering"
Réponse
Une réponse réussie est vide.
{}
Gérer les règles nécessitant une confirmation
Certains schémas de règle spécifient des "avis" pour certaines valeurs d'un champ particulier nécessitant une confirmation.
Exemple pour la règle chrome.users.PluginVmAllowd:
{
"name": "customers/C0202nabg/policySchemas/chrome.users.PluginVmAllowed",
"policyDescription": "Parallels Desktop.",
# ...
"fieldDescriptions": [
{
"field": "pluginVmAllowed",
"description": "N/A",
"knownValueDescriptions": [
{
"value": "true",
"description": "Allow users to use Parallels Desktop."
},
{
"value": "false",
"description": "Do not allow users to use Parallels Desktop."
}
]
},
{
"field": "ackNoticeForPluginVmAllowedSetToTrue",
"description": "This field must be set to true to acknowledge the notice message associated with the field 'plugin_vm_allowed' set to value 'true'. Please see the notices listed with this policy for more information."
}
],
"notices": [
{
"field": "pluginVmAllowed",
"noticeValue": "true",
"noticeMessage": "By enabling Parallels Desktop, you agree to the Parallels End-User License Agreement specified at https://www.parallels.com/about/legal/eula/. Warning: Device identifiers may be shared with Parallels. Please see privacy policy for more details at https://www.parallels.com/about/legal/privacy/. The minimum recommended configuration includes an i5 processor, 16 GB RAM, and 128 GB storage: https://support.google.com/chrome/a/answer/10044480.",
"acknowledgementRequired": true
}
],
"supportUri": "...",
"schemaName": "chrome.users.PluginVmAllowed"
}
Dans l'exemple ci-dessus, la définition de la valeur du champ pluginVmAllowed sur true est associée à une notification contenant acknowledgementRequired. Pour définir correctement cette valeur de champ sur true, vous devez envoyer une requête spécifiant le champ de confirmation ackNoticeForPluginVmAllowedSetToTrue à true. Sinon, vous obtiendrez une erreur dans votre requête.
Dans cet exemple, vous devez envoyer la requête de modification groupée suivante.
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d "{
'requests': [
{
'policyTargetKey': {
'targetResource': 'orgunits/03ph8a2z10ybbh2'
},
'policyValue': {
'policySchema': 'chrome.users.PluginVmAllowed',
'value': {
'pluginVmAllowed': true,
'ackNoticeForPluginVmAllowedSetToTrue': true
}
},
'updateMask': {
'paths': [
'pluginVmAllowed',
'ackNoticeForPluginVmAllowedSetToTrue'
]
}
}
]
}" \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Définir des règles de fichiers
Certaines règles comportent des champs de type UploadedFile. Vous devez importer le fichier que vous souhaitez définir comme valeur de ces règles sur le serveur d'API afin d'obtenir une URL à utiliser dans les requêtes BatchModify.
Dans cet exemple, nous allons définir chrome.users.Wallpaper en important un fichier JPEG.
Importer le fichier
Requête
curl -X POST \
-H "Content-Type: image/jpeg" \
-H "Authorization: Bearer $TOKEN" \
-T "/path/to/the/file" \
"https://chromepolicy.googleapis.com/upload/v1/customers/$CUSTOMER/policies/files:uploadPolicyFile?policy_field=chrome.users.Wallpaper.wallpaperImage"
Réponse
Une réponse réussie doit contenir l'URL permettant d'accéder au fichier:
{
"downloadUri": "https://storage.googleapis.com/chromeos-mgmt/0gjdgxs370bkl6/ChromeOsWallpaper/32ac50ab-b5ae-4bba-afa8-b6b443912897"
}
Définir la règle de fichier
Requête
curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $TOKEN" \
-d '{
requests: [{
policyTargetKey: {
targetResource: "orgunits/04fatzly4jbjho9",
},
policyValue: {
policySchema: "chrome.users.Wallpaper",
value: {
wallpaperImage: {downloadUri: "https://storage.googleapis.com/chromeos-mgmt/0gjdgxs370bkl6/ChromeOsWallpaper/32ac50ab-b5ae-4bba-afa8-b6b443912897"}
}
},
updateMask: {paths: "wallpaperImage"}
}]
}' \
"https://chromepolicy.googleapis.com/v1/customers/$CUSTOMER/policies/orgunits:batchModify"
Réponse
Une réponse réussie doit être vide.
{}