Можливості
Керування пристроями повного циклу, створене для GrapheneOS.
GemiGuard MDM охоплює звичні функції MDM, яких очікує кожна команда безпеки — за життєвим циклом керування мобільними пристроями від NIST, — і додає шар унікальних для GrapheneOS засобів, яких стандартний Android просто не пропонує. Усе наведене нижче налаштовується під рівень, потрібний кожному клієнту.
Життєвий цикл керування
Реєстрація
Розгортайте пристрої Pixel у режимі власника пристрою через AOSP — без облікового запису Google й без Managed Google Play.
Налаштування
Застосовуйте політики паролів, мережі, VPN, сертифікатів і обмежень з єдиної панелі.
Захист
Застосовуйте посилений захист ОС, контроль застосунків і блокування в режимі кіоску під конкретне розгортання.
Моніторинг
Відстежуйте інвентаризацію, рівень оновлень, відповідність вимогам і цілісність — постійно й приватно.
Виведення
Блокуйте, криптографічно стирайте та знімайте пристрої з обслуговування наприкінці їх служби або в разі втрати.
Базові можливості MDM
Функції, яких бізнес очікує від будь-якого серйозного MDM, — реалізовані без жодної залежності від Google.
Реєстрація та розгортання
Реєстрація пристроїв Pixel у режимі власника пристрою (повне керування) через відкритий механізм AOSP — за QR-кодом або локально. Прив’язка ідентичності та призначення власника, без облікового запису Google чи залежності від Zero-Touch.
Політики та конфігурація
Базові рівні безпеки й обмеження для користувачів: контроль над бездротовими інтерфейсами, периферією, передаванням даних у роумінгу, режимом розробника тощо — узгоджено застосовується по всьому парку пристроїв і позначається, щойно пристрій відхиляється від норми.
Паролі та екран блокування
Застосовуйте вимоги до складності, довжини й кількості спроб введення пароля; автоблокування за бездіяльності; контроль функцій екрана блокування; автентифікацію за сертифікатами до корпоративних ресурсів.
Керування застосунками
Тихе встановлення, оновлення й видалення; перелік дозволених і блокування; захист від видалення; політика прав доступу під час роботи. Застосунки надходять із надійних для вас джерел — вашого власного репозиторію, F-Droid чи прямого пакета — а не з Managed Google Play.
Мережа, VPN і сертифікати
Налаштовуйте профілі Wi-Fi, постійно активний VPN і VPN для окремих застосунків, а також кореневі й клієнтські сертифікати. Видавайте, оновлюйте та відкликайте GemiGuard VPN прямо з панелі MDM.
Режим кіоску та спеціалізовані пристрої
Обмежуйте пристрій одним застосунком або невеликим затвердженим набором у режимі lock-task — для польових інструментів, телефонів єдиного призначення, пристроїв для підписання та захищених терміналів.
Керування ОС та оновленнями
Застосовуйте політику оновлень, вимагайте мінімальний рівень ОС/оновлень і обмежуйте пристрої, які йому не відповідають, — тримаючи парк пристроїв у межах гарантованого вікна оновлень.
Віддалені дії та виведення з експлуатації
Віддалене блокування, віддалене перезавантаження, повне й криптографічне стирання та чисте зняття з обслуговування. Відкликайте доступ пристрою тієї ж миті, щойно хтось звільняється або телефон зникає.
Інвентаризація, відповідність вимогам і аудит
Інвентаризація обладнання й програм, звіти про ОС і рівень оновлень, сповіщення про відхилення конфігурації та журнали аудиту — моніторинг, який NIST вважає базовим, навмисно зведений до мінімуму відповідно до пріоритету приватності.
★ Засоби лише для GrapheneOS
Це й є відмінності — можливості, які існують завдяки платформі, а не всупереч їй.
Апаратно підкріплена віддалена атестація
Криптографічно перевіряйте, що пристрій працює на справжньому, незмінному GrapheneOS із правильним станом перевіреного завантаження, закріпленим у захищеному елементі Pixel, — за розкладом і зі сповіщеннями. Жоден сервіс Google (SafetyNet/Play Integrity) у цьому не задіяний і не потрібен.
Контроль мережі та сенсорів для кожного застосунку
Надавайте чи забороняйте доступ до мережі та сенсорів окремо для кожного застосунку — засоби, яких немає на стандартному Android, — тож керований застосунок можна повністю відрізати від мережі або від сенсорів пристрою.
PIN-код під примусом і екстрене стирання
Налаштовуйте PIN-код під примусом, який безповоротно стирає пристрій — разом із його eSIM — тієї ж миті, щойно його ввели. Захист для польових команд і сценаріїв вилучення пристрою.
Автоперезавантаження та посилений захист USB
Повертайте пристрої в захищений стан спокою за таймером автоперезавантаження й блокуйте передавання даних через USB-C, поки пристрій заблоковано, — знешкоджуючи цілий клас атак фізичного видобування даних.
Блокування радіо та 2G
Вимикайте з’єднання 2G і обмежуйте поведінку радіомодулів, щоб звузити поверхню атаки в ефірі проти перехоплення та атак на кшталт stingray.
Вимкнення камери, мікрофона й сенсорів
Вимикайте камеру, мікрофон та інші сенсори політикою для середовищ підвищеної чутливості й ролей спеціалізованих пристроїв.
Рівно стільки, скільки вам потрібно
Не кожній організації потрібні всі засоби. Ми налаштовуємо розгортання під будь-який потрібний клієнту рівень — від легкого контролю над кількома телефонами керівників до повністю заблокованого, атестованого парку пристроїв із ролями кіоску та екстреним стиранням. Ви описуєте модель загроз і робочий процес — ми будуємо платформу навколо них і обслуговуємо все на своєму боці.
Чого ми не робимо — принципово
Оскільки усередині немає сервісів Google, ми не пропонуємо залежних від Google функцій, як-от Android Enterprise / Managed Google Play, Android Management API, реєстрація через Zero-Touch, Play Integrity чи push через Firebase. Це свідомий вибір: ці функції існують, щоб обслуговувати платформу Google. Усе, що ми обслуговуємо, натомість працює на відкритих, перевірюваних інтерфейсах керування пристроями Android. Якщо якась можливість потребуватиме повернення Google, ми чесно про це скажемо, а не впровадимо її.