Skip to content

设备、分组与蓝图如何协同工作

核心工作流

设备、分组和蓝图之间的关系遵循一个简单的三步流程:

流程是单向的: 蓝图分配给分组后,该分组内的每台设备会自动接收蓝图的配置。只需修改一次蓝图,分组内所有设备在下次回连时都会更新,无需逐台配置,也不会产生配置漂移。


实际示例:销售团队

下面通过一个具体场景来说明。

场景设定

公司有 20 台销售团队使用的 iPhone,需要:

  • 8 位密码
  • VPN 始终开启
  • 安装公司 CRM 应用
  • 禁用相机

分步操作

1. 创建蓝图

在 GuardMDM 中创建名为「销售安全」的蓝图:

设置
密码至少 8 位
VPN始终开启,公司网关
必需应用CRM(App Store ID: 123456)
相机禁用

2. 创建分组

创建名为「销售团队」的分组,并将 20 台 iPhone 全部加入。

3. 分配蓝图

将「销售安全」蓝图分配给「销售团队」分组。

4. 完成

在下次回连时,全部 20 台 iPhone 会自动:

  • 强制使用 8 位密码
  • 连接公司 VPN
  • 安装 CRM 应用
  • 禁用相机

多个蓝图,一个分组

一个分组可以分配多个蓝图。蓝图在应用到设备之前会先合并。

示例:「销售团队」分组可以同时拥有:

  • 「销售安全」(密码、VPN、相机)
  • 「销售效率」(CRM 应用、邮件配置、日历同步)

分组内的设备会接收来自两个蓝图的合并配置。


一个蓝图,多个分组

单个蓝图可以同时分配给多个分组。

示例:「公司 VPN」蓝图(VPN 配置)可分配给:

  • 「销售团队」
  • 「工程部」
  • 「管理层」
  • 「远程办公」

四个分组内的所有设备都会获得相同的 VPN 配置。更新一次蓝图,各分组内的设备都会自动更新。


设备属于多个分组

一台设备可以属于多个分组。此时会继承所有所属分组中的蓝图。

示例: 一台同时属于「销售团队」和「远程办公」的 iPhone 会接收:

  • 来自「销售团队」:销售安全 + 销售效率蓝图
  • 来自「远程办公」:公司 VPN 蓝图

该设备会获得三个蓝图的合并配置。


蓝图冲突与解决

当多个蓝图应用于同一台设备时(通过多个分组,或一个分组上的多个蓝图),设置可能发生冲突。

冲突如何解决

GuardMDM 使用优先级系统解决冲突:

冲突类型解决方式
同一设置,不同值限制更严格的值优先(例如 6 位密码覆盖 4 位)
同一应用,不同安装类型必需 覆盖可选
同一限制,不同状态启用(受限)覆盖禁用
同一网络配置,不同值最后应用的蓝图值生效

示例:密码冲突

  • 蓝图 A:「要求 4 位密码」
  • 蓝图 B:「要求 8 位密码」

结果: 设备强制使用 8 位密码(限制更严格者优先)。

示例:相机限制

  • 蓝图 A:「禁用相机」
  • 蓝图 B:「允许相机」

结果: 相机被禁用(启用限制者优先)。

示例:VPN 配置

  • 蓝图 A:「VPN 网关:us-east」
  • 蓝图 B:「VPN 网关:eu-west」

结果: 最后分配给该分组的蓝图的 VPN 配置生效。

避免冲突的最佳实践

  • ✅ 让每个蓝图聚焦单一主题(安全、效率、网络)
  • ✅ 使用清晰的命名,便于了解每个蓝图的作用
  • ✅ 大规模推广前,先在小分组上测试蓝图组合
  • ✅ 在 GuardMDM 控制台中查看设备的有效配置
  • ❌ 不要创建设置重叠且值不一致的蓝图
  • ❌ 分配蓝图给分组前不要跳过冲突检查

摘要

关系行为
蓝图 → 分组分组接收蓝图的设置
分组 → 设备设备接收分配给该分组的所有蓝图
多个蓝图 → 一个分组设置合并;冲突按优先级解决
一个蓝图 → 多个分组所有分组共享相同配置
设备属于多个分组设备继承所属每个分组的蓝图

下一步: 了解设备注册

基于 MIT 许可证发布