Blueprint 概览
什么是 Blueprint
Blueprint 是一个配置设置的集合,用于定义设备的行为方式。可以将其视为策略模板——您创建一个包含所需设置(密码策略、Wi-Fi 配置文件、限制等)的 Blueprint,然后将其分配给一个或多个设备组。该组中的每台设备都会自动接收相同的配置。
Blueprint 是规模化管理设备设置的主要机制。您只需定义一次策略,让系统将其传播到各设备,而无需单独配置每台设备。
如何创建 Blueprint
- 导航至 Configuration Management > Blueprints。
- 点击 Create Blueprint。
- 为其命名并添加可选的描述。
- 配置所需的设置(请参阅下方可用的配置类型)。
- 保存 Blueprint。
保存后,Blueprint 即可分配给设备组。
可用的配置类型
iOS / iPadOS / tvOS
| 类型 | 描述 |
|---|---|
| Passcode | 要求设备设置密码,可配置复杂度、最小长度和锁定规则。 |
| Restrictions | 阻止或允许设备功能(相机、应用商店、应用内购买等)。 |
| WiFi | 部署 Wi-Fi 网络配置文件(SSID、安全类型、证书)。 |
| VPN | 配置 VPN 连接(IKEv2、IPSec、PPTP 或按应用 VPN)。 |
| Content Filter | 通过 URL 允许/阻止列表或基于插件的过滤来过滤网页内容。 |
| Certificate | 安装用于身份验证和信任的 PKCS12 或 PEM 证书。 |
| SCEP | 部署简单证书注册协议配置文件,实现证书自动颁发。 |
| 配置 Exchange ActiveSync 或 IMAP/POP 电子邮件账户。 | |
| Exchange | 完整的 Exchange 账户设置,支持日历、联系人和提醒同步。 |
| LDAP | 配置 LDAP 目录服务器连接,用于联系人查询。 |
| CalDAV | CalDAV 日历账户配置。 |
| CardDAV | CardDAV 联系人账户配置。 |
| Subscribed Calendar | 通过 URL 订阅只读日历。 |
| Web Clip | 将网页快捷方式添加到主屏幕,并支持自定义图标。 |
| Single App Mode | 将设备锁定到单个应用(自助服务终端模式)。 |
| Global HTTP Proxy | 将所有 HTTP 流量通过代理服务器路由。 |
| DNS Settings | 配置自定义 DNS 服务器和搜索域。 |
| Domains | 标记电子邮件域和受管理的 Safari 域。 |
| AirPrint | 按 IP 地址或主机名预配置 AirPrint 打印机。 |
| Home Screen Layout | 定义主屏幕和程序坞上的精确应用布局。 |
| Notifications | 按应用配置通知设置(横幅、标记、声音)。 |
macOS
| 类型 | 描述 |
|---|---|
| Login Window | 自定义 macOS 登录窗口(横幅文本、电源控制、自动登录)。 |
| Dock | 在程序坞中固定应用、文件夹和最近项目。 |
| Energy Saver | 配置睡眠、显示器关闭和唤醒时间。 |
| Software Update | 强制执行操作系统更新行为(延迟、自动更新、测试版注册)。 |
| FileVault | 启用全盘加密,支持个人或机构恢复密钥。 |
| Firewall | 启用应用防火墙并配置隐身模式。 |
| Privacy Preferences | 授予特定应用访问隐私敏感服务(相机、麦克风、辅助功能)的权限。 |
| System Extensions | 允许并配置系统扩展(网络、端点安全、驱动程序工具包)。 |
| Kernel Extensions | 按团队 ID 和包 ID 允许特定的内核扩展。 |
| Login Items | 指定用户登录时启动的应用和脚本。 |
跨平台
| 类型 | 描述 |
|---|---|
| Custom Configuration | 上传原始 plist(Apple 属性列表),用于任何不受支持或自定义的配置描述文件负载。 |
| VPP App Assignments | 将批量购买计划应用分配给设备,支持许可证管理(基于设备或基于用户)。 |
将 Blueprint 分配给设备组
创建 Blueprint 后,将其分配给一个或多个设备组:
- 打开 Blueprint 详情页面。
- 点击 Assign to Groups。
- 从列表中选择目标设备组。
- 确认分配。
一个设备组一次只能分配一个 Blueprint。为设备组分配新的 Blueprint 将替换之前的 Blueprint。
以徽章形式查看已分配的组
在 Blueprint 列表页面上,每个 Blueprint 会显示一个徽章计数,表示当前已分配给多少个设备组。点击徽章可导航到该 Blueprint 的分配视图。
Blueprint 同步流程
当 Blueprint 被创建或更新时,系统按以下步骤处理更改:
- 配置文件生成 — 系统将 Blueprint 设置编译为 Apple 配置描述文件格式(XML plist)。
- 推送通知 — 向已分配组中的每台已注册设备发送 APNs 推送通知,提示配置更新。
- 设备签入 — 设备向 MDM 服务器签入并下载更新后的描述文件。
- 安装 — 设备安装描述文件并应用新设置。
此过程是异步的。根据设备连接状态和 APNs 投递情况,更改通常在几分钟内传播完成。
