利用 Jamf Pro 蓝图部署自定义 DDM 声明

Jamf Pro 通过蓝图提供的管理选项之一，是能够创建自定义的声明式声明并将其部署到受管理的 Mac。这意味着，如果您可以手动为 DDM 声明构建 JSON 负载，那么您现在应该能够使用蓝图部署它，即使 Jamf 尚未为该声明提供蓝图模板。这在概念上类似于 Jamf Pro 使用“应用程序和自定义设置”管理配置文件负载向 macOS 部署自定义配置的能力。

更多详情，请见下文。

在此示例中，我将使用以下自定义声明来设置磁盘管理设置。蓝图本身也有一个磁盘管理声明模板，但使用自定义声明来部署磁盘管理设置允许我们使用一个示例，该示例中的所有声明都集中在一个 JSON 负载中，并且无需引用其他组件（需要引用其他组件的声明示例是部署 sudo 配置的服务配置声明，其文件需要从外部源下载）。

1
2
3
4
5
6

{
 "Restrictions": {
 "ExternalStorage": "Disallowed",
 "NetworkStorage": "Disallowed"
  }
}

在本例中，该声明设置了以下磁盘管理设置：

• 禁止外部存储设备：系统无法挂载任何外部存储。
• 禁止网络存储：系统无法挂载来自网络服务器的任何存储。

截至 Jamf Pro 11.22.1，尚无用于创建部署自定义声明的蓝图的蓝图模板，因此需要手动配置蓝图。为此，请使用以下步骤：

1. 登录 Jamf Pro。
2. 选择“蓝图”。
3. 点击“创建蓝图”按钮。
4. 您将看到一个未配置的蓝图。点击显示“未命名蓝图”的地方并提供一个名称。在此示例中，我使用“磁盘管理设置”。
5. 在浏览器窗口左侧的列表中向下滚动，找到“自定义声明”组件。
6. 点击“自定义声明”组件并将其拖动到“声明组”区域。
7. 将其添加到“声明组”区域后，点击“自定义声明”组件上的任意位置以打开进行编辑。 当“自定义声明”组件打开进行编辑时，会显示关于自定义配置的说明以及警告：使用自定义配置可能带来风险，在生产环境中部署之前，请仔细测试使用“自定义声明”组件构建的所有配置。
8. 阅读完警告并了解潜在风险后，点击“开始”按钮。
9. 点击“添加项目”按钮。自定义声明设置将打开并显示一组占位符设置。

在继续之前，如果您尚未阅读，我强烈建议您阅读《创建自定义声明蓝图》文档，以了解使用“自定义声明”蓝图组件创建自定义声明所涉及的所有部分。 在“自定义声明”组件的“种类”字段中，有两个选项：

• 配置：定义设备应如何配置的设置和策略，其功能类似于配置文件负载。
• 资产：配置所使用的数据，例如证书、配置文件、脚本或 DDM 声明中支持使用的其他数据。 对于我们的示例，我们选择“配置”。 在“自定义声明”组件的“通道”字段中，有两个选项：
• 系统：将管理设置应用于设备。
• 用户：将管理设置应用于 MDM 管理的用户。 对于我们的示例，我们选择“系统”。 在“类型”字段中，输入声明类型。 对于我们的示例，我们使用磁盘管理的声明类型：com.apple.configuration.diskmanagement.settings 在“负载”字段中，以 JSON 格式输入声明的配置。对于我们的示例，这是我们使用的配置：

1
2
3
4
5
6

{
 "Restrictions": {
 "ExternalStorage": "Disallowed",
 "NetworkStorage": "Disallowed"
  }
}

10. 配置并验证“种类”、“通道”、“类型”和“负载”设置后，点击“更新”按钮。
11. 验证所有设置是否符合预期，然后点击“保存”按钮。
12. 此时，您应该已有一个配置了所有设置但尚未设置目标作用域的蓝图。要为此蓝图设置作用域，请转到“作用域”部分并点击箭头按钮。
13. 选择一个 Jamf Pro 智能组或静态组。在此示例中，我选择一个名为“磁盘管理部署组”的静态组。
14. 完成所有配置后，点击“部署”按钮，将更改部署到您要管理的 Mac。
15. 部署完成后，Jamf Pro 中的“蓝图”屏幕应显示新创建的“磁盘管理设置”蓝图已部署。

在您的受管理设备上，您可以验证新的自定义声明是否已部署，方法是点击注册描述文件，然后滚动到底部。在此示例中，因为您部署的是磁盘管理配置，所以应该会看到一个“设备声明”部分，其中列出了“磁盘管理”。

如果您点击“磁盘管理”列表，它应报告以下内容：

• 外部存储限制：不允许
• 网络存储限制：不允许