- Какие особенности установки SafeMobile на Astra Linux и РЕД ОС?
SafeMobile разворачивается в Docker на отечественных Linux-дистрибутивах, но Astra Linux (в мандатном режиме) и РЕД ОС требуют отдельных настроек. Для Astra нужен особый режим Docker и специальный экспорт БД, для РЕД ОС 8 — отключение системного сборщика метрик Spring Boot. Без этих шагов установка падает.
Astra Linux (SE / мандатный режим)
- Docker в SE-режиме: в /etc/docker/daemon.json задать astra-sec-level: 6.
- Экспорт базы: использовать pg_dump —disable-macs —no-security-labels — штатный pg_dump падает на мандатных метках MROSL ACL.
- Сетевой доступ: Docker может работать на порту 8443, но быть заблокирован на 443 мандатным контролем. Кастомные правила задавать через цепочку iptables DOCKER-USER (правила в INPUT Docker перезатирает).
РЕД ОС 8
- Запуск компонентов: Spring Boot падает на чтении cgroup v1 (/sys/fs/cgroup/…). Фикс — ключ management.metrics.binders.system.enabled: false в arm.yml.
- PostgreSQL: расширение pgcrypto ставится отдельно — dnf install postgresql14-contrib.
- Старые сборки: SafeMobile 10.1 собран с JDK 17.0.4.1 и может падать на новых ядрах РЕД ОС 8 — используйте актуальный релиз.
Debian / Ubuntu
Особых требований нет — установка штатная.
РЕД ОС
РЕД ОС поддерживается официально — и как серверная ОС для развёртывания SafeMobile (с настройками для РЕД ОС 8 выше), и как мобильная редакция РЕД ОС М. РЕД ОС М построена на AOSP, поэтому устройства на ней управляются как Android.
Базовый список серверных Linux для развёртывания: Alt Linux, Astra Linux, РЕД ОС.
- Чем отличается SafeMobile в облаке (SaaS) от установки on-premise?
Различие в том, где установлен сервер. On-premise — сервер разворачивается в инфраструктуре заказчика; SaaS — сервер размещается в дата-центре вендора. SaaS избавляет от необходимости держать Linux-специалистов и обслуживать инфраструктуру, но не поддерживает интеграцию с системами заказчика (MS AD, MS CA). Минимальный объём лицензий: on-premise — от 25 устройств, SaaS — от 10.
Когда выбирать SaaS
- Нет своих администраторов Linux и нет желания обслуживать сервер.
- Небольшой парк устройств (от 10).
- Не нужна интеграция с внутренними системами заказчика.
Когда выбирать on-premise
- Нужна интеграция с MS AD, корпоративным УЦ (MS CA) и другими внутренними системами.
- Требуется размещение в собственном (в т.ч. изолированном) контуре — см. zakrytaya-set-bez-interneta.
- Парк от 25 устройств.
Кратко
On-premise SaaS Где сервер у заказчика в ДЦ вендора Минимум лицензий 25 10 Интеграция с MS AD / MS CA да нет Обслуживание сервера заказчик вендор - Можно ли управлять устройствами через SafeMobile в закрытой сети без доступа в интернет?
Да. SafeMobile работает в закрытой сети без доступа в интернет для устройств на Android, ОС Аврора, Windows и Linux. Сервер разворачивается on-premise в изолированном контуре, и управление этими устройствами не требует выхода во внешнюю сеть. Исключение — iOS: для управления iOS устройству и серверу нужен доступ к серверам Apple.
Почему iOS — исключение
Архитектура управления iOS опирается на push-инфраструктуру Apple (APNs): команды доставляются на устройство через серверы Apple. Поэтому полностью изолировать iOS-сегмент от интернета нельзя — нужен доступ к серверам Apple и для устройства, и для сервера.
Что это значит для проекта
- Android / Аврора / Windows / Linux — полностью автономный контур, интернет не нужен.
- iOS — требуется управляемый доступ к серверам Apple.
Управление Android в закрытой сети не зависит от сервисов Google: push работает через собственный сервис SafeMobile, FCM нужен лишь в отдельных случаях — см. fcm-push-bez-google. О выборе между локальной установкой и облаком — см. saas-vs-on-premise.
- На сколько устройств масштабируется SafeMobile и как обеспечивается отказоустойчивость?
Крупнейшие реализованные проекты SafeMobile охватывают до 60 000 устройств на одной инсталляции, а в синтетических тестах система успешно проверена на 100 000 устройств. Отказоустойчивость обеспечивается балансировкой нагрузки на серверы подключения клиентов, кластеризацией сервера управления и, при необходимости, кластеризацией PostgreSQL.
Масштабирование
- До 60 000 устройств на одной инсталляции — подтверждённые проекты.
- До 100 000 устройств — успешные синтетические тесты.
Для ориентира по ресурсам: один сервер на 500 устройств — 2 ядра 2 ГГц, 6 ГБ RAM, 30 ГБ диска.
Отказоустойчивость (HA)
- Балансировка нагрузки серверов подключения клиентских устройств.
- Кластеризация сервера управления (в развёртываниях используется haproxy).
- Кластеризация PostgreSQL — возможна, но требуется редко.
Связанные темы
- Выбор между локальной установкой и облаком — см. saas-vs-on-premise.
Поддерживаемые СУБД — см. podderzhivaemye-subd.
- Как мигрировать базу SafeMobile с PostgreSQL 9.6 на 14?
При миграции базы SafeMobile с PostgreSQL 9.6 на 14 через pg_upgrade нужно заранее удалить две хранимые функции — sp_loader_adm_list_codes и sp_emp_ad_adm_list, иначе обновление сломается на них. После апгрейда также может потребоваться восстановить симлинки расширений PostgreSQL. Ниже — общая последовательность шагов.
Перед миграцией
Удалите функции, на которых падает pg_upgrade:
drop function sp_loader_adm_list_codes;drop function sp_emp_ad_adm_list;Резервная копия базы
Стандартный дамп базы sphone (схемы sphone и pgagent):
pg_dump -U sphone -h 127.0.0.1 -p 5432 —blobs -F c -Z 9 -v
-n sphone -n pgagent -f /tmp/sphone.dmp sphone
На Astra Linux в мандатном режиме используйте pg_dump —disable-macs —no-security-labels — штатный pg_dump падает на метках MROSL ACL.
После миграции
- При потере симлинков расширений восстановите их: cp /usr/lib64/pgsql/*.* /usr/lib64.
- На РЕД ОС 8 расширение pgcrypto ставится отдельно: dnf install postgresql14-contrib.
Особенности ОС
Настройки PostgreSQL и Docker под Astra Linux и РЕД ОС — см. astra-redos-ustanovka.
Точная последовательность patch-chain под вашу версию SafeMobile зависит от релиза — согласуйте план миграции с технической поддержкой перед выполнением на проде.
- Какие СУБД поддерживает UEM SafeMobile?
UEM SafeMobile работает с СУБД PostgreSQL, Postgres Pro и Pangolin. Postgres Pro и Pangolin — российские СУБД из реестра отечественного ПО; их выбирают, когда нужно полное импортозамещение всего стека, включая базу данных. PostgreSQL используется в большинстве стандартных установок.
Когда какую выбирать
- PostgreSQL — стандартный вариант для большинства проектов.
- Postgres Pro / Pangolin — когда требуется, чтобы и СУБД входила в реестр российского ПО.
Эксплуатационные нюансы
- В одном экземпляре базы хранятся схемы sphone и pgagent.
- Расширение pgcrypto входит в пакет -contrib и на некоторых ОС (например, РЕД ОС) ставится отдельно.
- Кластеризация PostgreSQL для отказоустойчивости возможна, но требуется редко — см. masshtabirovanie-otkazoustojchivost.
Миграция между версиями PostgreSQL имеет особенности (например, 9.6 → 14) — см. migraciya-postgresql-9-6-14.
- Нужен ли FCM (сервисы Google) для управления Android в SafeMobile?
Нет, для большинства устройств FCM не нужен. SafeMobile управляет Android через собственный сервис, который работает без Firebase и сервисов Google. FCM требуется только для старых устройств, которые принудительно завершают процесс монитора UEM — в основном это Meizu, Xiaomi и Huawei на Android 9 и более ранних версиях.
Почему это важно
Полноценная работа без сервисов Google (FCM) — отличительная черта SafeMobile среди российских UEM. Это позволяет управлять устройствами без GMS: китайскими брендами без сервисов Google, устройствами в изолированных сетях и спецсборками.
Когда FCM всё же нужен
FCM подключают как резервный канал доставки команд только для устройств, агрессивно «убивающих» фоновые процессы:
- старые Meizu, Xiaomi, Huawei на Android 9 и ниже.
На современных устройствах штатный сервис SafeMobile доставляет команды без FCM.
Связанные темы
- Управление китайскими Android (Xiaomi, Huawei) — см. kitajskie-android-xiaomi-huawei.
- Работа в закрытой сети без интернета — см. zakrytaya-set-bez-interneta.
- Как правильно подготовить сертификаты для интеграции iOS MDM в SafeMobile?
Для iOS-интеграции SafeMobile нужны два корректно подготовленных сертификата: iosmdm.crt (регистрация в MDM) и MdmPush.pem (push через Apple APNs). Большинство сбоев — это неполная цепочка iosmdm.crt, отсутствие приватного ключа в MdmPush.pem или несовпадение сертификата и ключа. Ниже — чеклист проверки.
iosmdm.crt (регистрация iOS MDM)
- Должна быть цепочка из трёх сертификатов (leaf + intermediate + root), а не из двух.
- CN/SAN сертификата должен точно совпадать со значением «Подключения к серверам → MDMServer» в АРМ.
- Рядом нужен соответствующий приватный ключ iosmdm.key.
Проверка совпадения сертификата и ключа (md5 должны совпасть):
openssl x509 -noout -modulus -in iosmdm.crt | openssl md5
openssl rsa -noout -modulus -in iosmdm.key | openssl md5
MdmPush.pem (push через Apple APNs)
- Файл должен содержать и сертификат, и приватный ключ — самая частая ошибка интеграторов в том, что кладут только сертификат.
- Обновлять на портале Apple только кнопкой «Renew». Никогда «Revoke» — это приводит к потере управления всеми устройствами.
- Один MdmPush.pem может обслуживать тестовый и продуктивный стенды одного заказчика.
SCEP и pinning
- SCEP настраивается только для пользовательских Wi-Fi-сертификатов. Сертификаты mTLS для монитора берутся из встроенного УЦ и SCEP не требуют — это частая путаница.
- Проверить возможности SCEP-сервера: https:///scep?operation=GetCACaps.
- Pinning на iOS должен быть выключен — включённый pinning легко выводит устройства из строя.
Связанные материалы
Общие возможности iOS — см. ios-podderzhka.
- Как SafeMobile управляет приложениями: установка, обновление и корпоративный магазин?
SafeMobile централизованно устанавливает, обновляет и контролирует приложения на устройствах: администратор задаёт правила приложений, тихо ставит корпоративные APK, публикует их в корпоративном магазине Safe Store, задаёт конфигурации приложений и собирает статистику использования. Поддерживаются форматы apk, apks, xapk и apkm; загрузку можно ставить в зависимость от типа сети.
Что доступно
- Правила приложений (app_rule) — какие приложения разрешены, обязательны или запрещены.
- Корпоративный магазин Safe Store — каталог приложений для пользователей (доступен при включённом управлении приложениями).
- Конфигурации приложений (app_config) — преднастройка параметров приложений централизованно.
- Статистика использования приложений и загрузка в зависимости от типа сети (Wi-Fi/мобильные данные).
- Доставка произвольных файлов на устройства — отдельная отличительная возможность.
Установка и обновление
Корпоративные приложения распространяются и обновляются через правила приложений. Версию корпоративного ПО на устройствах можно контролировать и приводить к актуальной централизованно.
Частая проблема: разные подписи
Если один и тот же пакет приходит из разных источников (Google Play и корпоративный APK) с разными подписями разработчика, установка завершается ошибкой о несовпадении подписи. Решение и порядок действий — см. apk-podpis-otlichaetsya.
Состав функций управления приложениями (Safe Store, конфигурации, API) зависит от лицензии. Полнота сценариев на iOS и ОС Аврора относительно Android может отличаться.
- Что такое режим supervised на iOS и зачем он нужен?
Режим supervised («контролируемый») помечает iOS-устройство как корпоративную собственность и открывает администратору расширенный набор политик безопасности — например, режим киоска. В supervised-режиме управляющие команды выполняются без подтверждения пользователем, то есть применяются «тихо». Это базовый режим для корпоративных iPhone и iPad под управлением UEM.
Что даёт supervised
- Расширенные политики безопасности, недоступные в обычном режиме (в т.ч. режим киоска).
- Тихое выполнение команд управления без подтверждения пользователя.
- Чёткий статус устройства как корпоративного.
Важное ограничение
Данные из резервной копии, сделанной до перевода устройства в supervised, восстановить после включения режима нельзя — это политика Apple, а не ограничение SafeMobile. Статус supervised сохраняется в резервных копиях, сделанных уже в этом режиме.
Связанные темы
- Поддержка iOS и какие версии — см. ios-podderzhka.
- Подготовка сертификатов iOS MDM — см. ios-sertifikaty.
- Что проверить перед установкой SafeMobile — preflight-чеклист (порты, RAM, время, nginx)?
Перед установкой SafeMobile убедитесь, что нужные порты свободны и не перехвачены сторонним ПО, синхронизировано системное время, выделены ресурсы под нагрузку и корректно настроен nginx для mTLS. Большинство долгих заявок на старте — это занятый порт 443, конфликт конфигов nginx или мандатные ограничения ОС. Чеклист ниже снимает их заранее.
Порты и сеть
- Проверьте, что порт 443 свободен и не перехвачен сторонним ПО (известны случаи перехвата 443 антивирусом на сервере). Диагностика: остановить Docker → nc -l -p 443 → telnet 127.0.0.1 443.
- На Astra Linux в мандатном режиме Docker может слушать 8443, но быть заблокирован на 443 — кастомные правила задавайте через цепочку iptables DOCKER-USER (правила в INPUT Docker перезатирает).
nginx и mTLS
- Для компонента mdm критичны директивы передачи клиентского сертификата:
- proxy_set_header X-Client-Certificate $ssl_client_escaped_cert; и X-Client-Certificate-Sha1 $ssl_client_fingerprint;.Конфликтующий proxy_headers.conf ломает mTLS (дублирует заголовок X-Client-Certificate) — его нужно удалить.
Время
- Синхронизируйте системное время и часовой пояс (TZ) на сервере — рассинхрон ломает проверку сроков сертификатов и токенов.
Ресурсы
- Заранее рассчитайте RAM и вычислительные ресурсы под планируемое число устройств — недостаток ресурсов проявляется уже под нагрузкой.
Особенности ОС
- Astra Linux и РЕД ОС требуют отдельных настроек Docker и PostgreSQL — см. astra-redos-ustanovka.
Точные значения портов, объёма RAM и вычислительных ресурсов под ваш парк устройств уточняйте в требованиях к развёртыванию у поставщика.
- Можно ли использовать одно устройство посменно несколькими сотрудниками (shared device)?
Да. SafeMobile позволяет передавать одно корпоративное устройство от сотрудника к сотруднику без снятия его с управления: устройство можно перерегистрировать на другого пользователя, не отключая от системы и не выполняя сброс к заводским настройкам. Это удобно для посменной работы, когда один планшет или терминал используют разные люди.
Как это работает
По данным сравнения российских MDM, перерегистрация устройства на другого сотрудника без отключения — заявленная возможность SafeMobile (у ряда конкурентов её нет). На практике это значит: при передаче устройства новой смене не нужно выводить его из-под управления и заново разворачивать — оно остаётся управляемым, меняется привязка к пользователю.
Где это применимо
- Сменные бригады с общими планшетами и терминалами сбора данных (ТСД).
- Подменный фонд устройств, переходящий между сотрудниками.
Точный механизм (отдельные пользовательские профили смен на одном устройстве, поведение данных предыдущего пользователя, поддержка по платформам) в доступных источниках детально не описан — уточняйте сценарий под конкретный парк устройств. проверить_перед_публикацией
Связанные темы: sposoby-registracii-ustrojstv, kontejnerizaciya-byod.
- Почему APK не устанавливается: «подпись APK отличается от подписи приложения на устройстве»?
Ошибка «Приложение не может быть установлено: подпись APK отличается от подписи приложения на устройстве» возникает, когда один и тот же пакет приходит из двух источников с разными подписями разработчика — например, из Google Play и из корпоративного APK. Android не даёт обновить приложение пакетом с другой подписью. Решение — заставить устройство ставить приложение только из одного источника.
Причина
Один и тот же package собран и подписан по-разному: версия из Google Play подписана ключом вендора, корпоративная версия — другим ключом. Установить поверх или обновить такой пакет невозможно из-за несовпадения подписи.
Как исправить
- Поставьте запрет в обоих правилах — и на корпоративном правиле, и на правиле Google Play.
- Дождитесь полного удаления приложения с устройства.
- Снимите запрет только на корпоративном правиле — это принудительно оставит один источник установки.
На что обратить внимание
Известен баг: при несовпадении подписи нет лимита на повторные попытки загрузки, из-за чего возможен неконтролируемый трафик (наблюдались десятки и более ГБ). Поэтому важно не оставлять оба источника активными одновременно, а сразу свести установку к одному источнику.
- Как запретить передачу файлов по USB на Android в SafeMobile?
Для полного запрета передачи файлов по USB на Android используйте обычный профиль «Политики ограничений Android» и политику «Запретить передачу файлов по USB». Это рекомендуется вместо Knox-профиля. Профиль «Политики ограничений Samsung Knox Android» для базового запрета USB не рекомендуется. Важно также учесть отдельную настройку OTG, иначе часть путей переноса данных останется открытой.
Правильный профиль
- Профиль «Политики ограничений Android» → политика «Запретить передачу файлов по USB».
- Knox-профиль «Политики ограничений Samsung Knox Android» для базового USB-запрета не рекомендуется.
Важный нюанс с OTG
Параметр «Разрешить работу с внешними USB устройствами через OTG» = Да разрешает перенос данных на USB-накопитель независимо от настроек MTP/PTP. При этом блокировка MTP/PTP закрывает только передачу мультимедиа на ПК.
То есть для действительно полного запрета недостаточно заблокировать MTP/PTP — нужно учитывать и OTG-доступ к внешним накопителям.
- Какими способами регистрируются устройства в SafeMobile (QR, Device Owner, Knox)?
Устройства в SafeMobile регистрируются через портал саморегистрации и по QR-коду, а на Android — в режиме Device Owner; для устройств Samsung доступна регистрация через Knox. Регистрация по QR-шаблону работает как через мобильные данные, так и через Wi-Fi, что удобно при массовой выдаче. Способ выбирают исходя из платформы и сценария (личное или корпоративное устройство).
Основные способы
- QR-код — регистрация по QR-шаблону через мобильные данные или Wi-Fi. Подходит для массовой выдачи устройств.
- Портал регистрации (саморегистрация) — пользователь сам регистрирует устройство через regportal; портал проверяет лимит устройств лицензии и ограничения по платформе/модели/производителю.
- Device Owner (Android) — режим полного управления Android-устройством; настраивается при первоначальной настройке устройства.
- Samsung Knox — для устройств Samsung доступна регистрация и управление через Knox.
На что обратить внимание
- На некоторых моделях есть нюансы: например, на отдельных Samsung функция «Поставщика услуг» может блокировать установку Device Owner, а на устройствах без сервисов Google после factory reset может пропадать QR-сканер. Это решается на уровне конкретной модели.
- Для регистрации основной пользователь должен быть доменной учётной записью со своим DN, иначе устройство не получит mTLS-сертификат — см. ad-integraciya-dmz.
- Устройства Аврора подключаются только по FQDN/DNS, не по IP — см. aurora-omp-sovmestimost.
Доступность конкретных сценариев (zero-touch, ABM/DEP для iOS, массовое развёртывание) зависит от платформы и версии — уточняйте в документации по развёртыванию.
FAQ / Развертывание и эксплуатация