Funcionalidades
Gestión de dispositivos de ciclo completo, creada para GrapheneOS.
GemiGuard MDM cubre las funciones MDM estándar que espera todo equipo de seguridad —alineadas con el ciclo de gestión de dispositivos móviles del NIST— y añade una capa de control propia de GrapheneOS que Android de fábrica sencillamente no puede ofrecer. Todo lo que sigue se ajusta al nivel que quiera cada cliente.
El ciclo de gestión
Inscribir
Aprovisiona dispositivos Pixel en modo propietario de dispositivo sobre AOSP, sin cuenta de Google ni Managed Google Play.
Configurar
Aplica políticas de contraseña, red, VPN, certificados y restricciones desde un único panel.
Proteger
Aplica fortalecimiento del sistema, control de aplicaciones y bloqueo en modo quiosco a la medida del despliegue.
Supervisar
Controla el inventario, el nivel de parches, el cumplimiento y la integridad, de forma continua y privada.
Retirar
Bloquea, borra criptográficamente y desaprovisiona los dispositivos al final de su vida útil o en caso de pérdida.
Funcionalidades MDM esenciales
Las funciones que esperas de cualquier MDM serio, entregadas sin una sola dependencia de Google.
Inscripción y aprovisionamiento
Inscripción en modo propietario de dispositivo (totalmente gestionado) de hardware Pixel sobre el marco abierto AOSP, mediante código QR o aprovisionamiento local. Vinculación de identidad y asignación de propiedad, sin cuenta de Google ni dependencia de Zero-Touch.
Políticas y configuración
Líneas base de seguridad y restricciones de usuario: control sobre las interfaces inalámbricas, los periféricos, la itinerancia de datos, el modo desarrollador y mucho más, aplicado de forma coherente en toda la flota y señalizado cuando un dispositivo se desvía.
Contraseña y pantalla de bloqueo
Aplica complejidad, longitud y límites de intentos de la contraseña; autobloqueo por inactividad; control de las funciones de la pantalla de bloqueo; autenticación basada en certificados frente a los recursos corporativos.
Gestión de aplicaciones
Instalación, actualización y eliminación silenciosas; autorización y bloqueo; protección frente a la desinstalación; políticas de permisos en tiempo de ejecución. Las aplicaciones provienen de fuentes en las que confías —tu propio repositorio, F-Droid o el paquete directo—, no de Managed Google Play.
Red, VPN y certificados
Aplica perfiles de wifi, VPN siempre activa y por aplicación, y certificados de CA y de cliente. Aprovisiona, rota y revoca GemiGuard VPN directamente desde el panel de MDM.
Quiosco y dispositivos dedicados
Restringe un dispositivo a una sola aplicación o a un pequeño conjunto aprobado con el modo de tarea bloqueada: para herramientas de campo, terminales de un solo propósito, dispositivos de firma y terminales seguros.
Gestión del sistema y los parches
Aplica políticas de actualización, exige un nivel mínimo de sistema o parches y restringe los dispositivos que no cumplen, manteniendo la flota dentro de su ventana de actualizaciones garantizada.
Acciones remotas y retirada
Bloqueo remoto, reinicio remoto, borrado completo y criptográfico y desaprovisionamiento limpio. Revoca el acceso de un dispositivo en cuanto alguien deja la organización o un teléfono desaparece.
Inventario, cumplimiento y auditoría
Inventario de hardware y software, informes del sistema y de parches, alertas de desviación de configuración y registros de auditoría: la supervisión que el NIST considera esencial, mantenida deliberadamente al mínimo en coherencia con una postura centrada en la privacidad.
★ Controles exclusivos de GrapheneOS
Estos son los diferenciadores: funcionalidades que existen gracias a la plataforma, no a pesar de ella.
Atestación remota respaldada por hardware
Verifica criptográficamente que un dispositivo ejecuta un GrapheneOS auténtico y sin alteraciones, con el estado de arranque verificado correcto y anclado en el elemento seguro del Pixel: de forma programada y con alertas. No interviene ni hace falta ningún servicio de Google (SafetyNet/Play Integrity).
Control de Red y Sensores por aplicación
Concede o deniega el acceso a la red y a los sensores por aplicación —controles que no existen en Android de fábrica—, de modo que una aplicación gestionada puede quedar aislada por completo de la red o de los sensores del dispositivo.
PIN de coacción y borrado de pánico
Define un PIN de coacción que borra de forma irreversible el dispositivo —y sus eSIM— en el instante en que se introduce. Protección para equipos sobre el terreno y escenarios de incautación.
Reinicio automático y fortalecimiento de USB
Devuelve los dispositivos a un estado seguro en reposo mediante un temporizador de reinicio automático y bloquea la ruta de datos USB-C mientras están bloqueados, neutralizando una amplia categoría de ataques de extracción física.
Bloqueo de 2G y de radios
Desactiva la conectividad 2G y restringe el comportamiento de las radios para reducir la superficie de ataque por aire frente a la intercepción y los ataques tipo stingray.
Desactivación de cámara, micrófono y sensores
Desactiva por política la cámara, el micrófono y otros sensores para entornos de alta sensibilidad y roles de dispositivo dedicado.
Ajustado a lo que de verdad necesitas
No todas las organizaciones quieren todos los controles. Ajustamos el despliegue al nivel que quiera el cliente: desde un enfoque ligero para un puñado de teléfonos de dirección hasta una flota totalmente blindada y atestada, con roles de quiosco y borrado de pánico. Tú nos cuentas el modelo de amenazas y el flujo de trabajo; nosotros configuramos la plataforma a su alrededor y lo alojamos todo.
Lo que no hacemos, por principio
Como no hay servicios de Google en la infraestructura, no ofrecemos funciones dependientes de Google como Android Enterprise / Managed Google Play, la Android Management API, la inscripción Zero-Touch, Play Integrity o las notificaciones de Firebase. Es una renuncia deliberada: esas funciones existen para servir a la plataforma de Google. Todo lo que gestionamos se ejecuta, en cambio, sobre interfaces de gestión de dispositivos Android abiertas y auditables. Si una funcionalidad exigiera reintroducir Google, te lo diremos con claridad en lugar de incluirla.