设备、分组与蓝图如何协同工作
核心工作流
设备、分组和蓝图之间的关系遵循一个简单的三步流程:
流程是单向的: 蓝图分配给分组后,该分组内的每台设备会自动接收蓝图的配置。只需修改一次蓝图,分组内所有设备在下次回连时都会更新,无需逐台配置,也不会产生配置漂移。
实际示例:销售团队
下面通过一个具体场景来说明。
场景设定
公司有 20 台销售团队使用的 iPhone,需要:
- 8 位密码
- VPN 始终开启
- 安装公司 CRM 应用
- 禁用相机
分步操作
1. 创建蓝图
在 GuardMDM 中创建名为「销售安全」的蓝图:
| 设置 | 值 |
|---|---|
| 密码 | 至少 8 位 |
| VPN | 始终开启,公司网关 |
| 必需应用 | CRM(App Store ID: 123456) |
| 相机 | 禁用 |
2. 创建分组
创建名为「销售团队」的分组,并将 20 台 iPhone 全部加入。
3. 分配蓝图
将「销售安全」蓝图分配给「销售团队」分组。
4. 完成
在下次回连时,全部 20 台 iPhone 会自动:
- 强制使用 8 位密码
- 连接公司 VPN
- 安装 CRM 应用
- 禁用相机
多个蓝图,一个分组
一个分组可以分配多个蓝图。蓝图在应用到设备之前会先合并。
示例:「销售团队」分组可以同时拥有:
- 「销售安全」(密码、VPN、相机)
- 「销售效率」(CRM 应用、邮件配置、日历同步)
分组内的设备会接收来自两个蓝图的合并配置。
一个蓝图,多个分组
单个蓝图可以同时分配给多个分组。
示例:「公司 VPN」蓝图(VPN 配置)可分配给:
- 「销售团队」
- 「工程部」
- 「管理层」
- 「远程办公」
四个分组内的所有设备都会获得相同的 VPN 配置。更新一次蓝图,各分组内的设备都会自动更新。
设备属于多个分组
一台设备可以属于多个分组。此时会继承所有所属分组中的蓝图。
示例: 一台同时属于「销售团队」和「远程办公」的 iPhone 会接收:
- 来自「销售团队」:销售安全 + 销售效率蓝图
- 来自「远程办公」:公司 VPN 蓝图
该设备会获得三个蓝图的合并配置。
蓝图冲突与解决
当多个蓝图应用于同一台设备时(通过多个分组,或一个分组上的多个蓝图),设置可能发生冲突。
冲突如何解决
GuardMDM 使用优先级系统解决冲突:
| 冲突类型 | 解决方式 |
|---|---|
| 同一设置,不同值 | 限制更严格的值优先(例如 6 位密码覆盖 4 位) |
| 同一应用,不同安装类型 | 必需 覆盖可选 |
| 同一限制,不同状态 | 启用(受限)覆盖禁用 |
| 同一网络配置,不同值 | 最后应用的蓝图值生效 |
示例:密码冲突
- 蓝图 A:「要求 4 位密码」
- 蓝图 B:「要求 8 位密码」
结果: 设备强制使用 8 位密码(限制更严格者优先)。
示例:相机限制
- 蓝图 A:「禁用相机」
- 蓝图 B:「允许相机」
结果: 相机被禁用(启用限制者优先)。
示例:VPN 配置
- 蓝图 A:「VPN 网关:us-east」
- 蓝图 B:「VPN 网关:eu-west」
结果: 最后分配给该分组的蓝图的 VPN 配置生效。
避免冲突的最佳实践
- ✅ 让每个蓝图聚焦单一主题(安全、效率、网络)
- ✅ 使用清晰的命名,便于了解每个蓝图的作用
- ✅ 大规模推广前,先在小分组上测试蓝图组合
- ✅ 在 GuardMDM 控制台中查看设备的有效配置
- ❌ 不要创建设置重叠且值不一致的蓝图
- ❌ 分配蓝图给分组前不要跳过冲突检查
摘要
| 关系 | 行为 |
|---|---|
| 蓝图 → 分组 | 分组接收蓝图的设置 |
| 分组 → 设备 | 设备接收分配给该分组的所有蓝图 |
| 多个蓝图 → 一个分组 | 设置合并;冲突按优先级解决 |
| 一个蓝图 → 多个分组 | 所有分组共享相同配置 |
| 设备属于多个分组 | 设备继承所属每个分组的蓝图 |
下一步: 了解设备注册
