• SafeMobile разворачивается в Docker на отечественных Linux-дистрибутивах, но Astra Linux (в мандатном режиме) и РЕД ОС требуют отдельных настроек. Для Astra нужен особый режим Docker и специальный экспорт БД, для РЕД ОС 8 — отключение системного сборщика метрик Spring Boot. Без этих шагов установка падает.

    Astra Linux (SE / мандатный режим)

    • Docker в SE-режиме: в /etc/docker/daemon.json задать astra-sec-level: 6.
    • Экспорт базы: использовать pg_dump —disable-macs —no-security-labels — штатный pg_dump падает на мандатных метках MROSL ACL.
    • Сетевой доступ: Docker может работать на порту 8443, но быть заблокирован на 443 мандатным контролем. Кастомные правила задавать через цепочку iptables DOCKER-USER (правила в INPUT Docker перезатирает).

    РЕД ОС 8

    • Запуск компонентов: Spring Boot падает на чтении cgroup v1 (/sys/fs/cgroup/…). Фикс — ключ management.metrics.binders.system.enabled: false в arm.yml.
    • PostgreSQL: расширение pgcrypto ставится отдельно — dnf install postgresql14-contrib.
    • Старые сборки: SafeMobile 10.1 собран с JDK 17.0.4.1 и может падать на новых ядрах РЕД ОС 8 — используйте актуальный релиз.

    Debian / Ubuntu

    Особых требований нет — установка штатная.

    РЕД ОС

    РЕД ОС поддерживается официально — и как серверная ОС для развёртывания SafeMobile (с настройками для РЕД ОС 8 выше), и как мобильная редакция РЕД ОС М. РЕД ОС М построена на AOSP, поэтому устройства на ней управляются как Android.

    Базовый список серверных Linux для развёртывания: Alt Linux, Astra Linux, РЕД ОС.

  • Различие в том, где установлен сервер. On-premise — сервер разворачивается в инфраструктуре заказчика; SaaS — сервер размещается в дата-центре вендора. SaaS избавляет от необходимости держать Linux-специалистов и обслуживать инфраструктуру, но не поддерживает интеграцию с системами заказчика (MS AD, MS CA). Минимальный объём лицензий: on-premise — от 25 устройств, SaaS — от 10.

    Когда выбирать SaaS

    • Нет своих администраторов Linux и нет желания обслуживать сервер.
    • Небольшой парк устройств (от 10).
    • Не нужна интеграция с внутренними системами заказчика.

    Когда выбирать on-premise

    • Нужна интеграция с MS AD, корпоративным УЦ (MS CA) и другими внутренними системами.
    • Требуется размещение в собственном (в т.ч. изолированном) контуре — см. zakrytaya-set-bez-interneta.
    • Парк от 25 устройств.

    Кратко

    On-premise SaaS
    Где сервер у заказчика в ДЦ вендора
    Минимум лицензий 25 10
    Интеграция с MS AD / MS CA да нет
    Обслуживание сервера заказчик вендор
  • Да. SafeMobile работает в закрытой сети без доступа в интернет для устройств на Android, ОС Аврора, Windows и Linux. Сервер разворачивается on-premise в изолированном контуре, и управление этими устройствами не требует выхода во внешнюю сеть. Исключение — iOS: для управления iOS устройству и серверу нужен доступ к серверам Apple.

    Почему iOS — исключение

    Архитектура управления iOS опирается на push-инфраструктуру Apple (APNs): команды доставляются на устройство через серверы Apple. Поэтому полностью изолировать iOS-сегмент от интернета нельзя — нужен доступ к серверам Apple и для устройства, и для сервера.

    Что это значит для проекта

    • Android / Аврора / Windows / Linux — полностью автономный контур, интернет не нужен.
    • iOS — требуется управляемый доступ к серверам Apple.

    Управление Android в закрытой сети не зависит от сервисов Google: push работает через собственный сервис SafeMobile, FCM нужен лишь в отдельных случаях — см. fcm-push-bez-google. О выборе между локальной установкой и облаком — см. saas-vs-on-premise.

  • Крупнейшие реализованные проекты SafeMobile охватывают до 60 000 устройств на одной инсталляции, а в синтетических тестах система успешно проверена на 100 000 устройств. Отказоустойчивость обеспечивается балансировкой нагрузки на серверы подключения клиентов, кластеризацией сервера управления и, при необходимости, кластеризацией PostgreSQL.

    Масштабирование

    • До 60 000 устройств на одной инсталляции — подтверждённые проекты.
    • До 100 000 устройств — успешные синтетические тесты.

    Для ориентира по ресурсам: один сервер на 500 устройств — 2 ядра 2 ГГц, 6 ГБ RAM, 30 ГБ диска.

    Отказоустойчивость (HA)

    • Балансировка нагрузки серверов подключения клиентских устройств.
    • Кластеризация сервера управления (в развёртываниях используется haproxy).
    • Кластеризация PostgreSQL — возможна, но требуется редко.

    Связанные темы

    • Выбор между локальной установкой и облаком — см. saas-vs-on-premise.

    Поддерживаемые СУБД — см. podderzhivaemye-subd.

  • При миграции базы SafeMobile с PostgreSQL 9.6 на 14 через pg_upgrade нужно заранее удалить две хранимые функции — sp_loader_adm_list_codes и sp_emp_ad_adm_list, иначе обновление сломается на них. После апгрейда также может потребоваться восстановить симлинки расширений PostgreSQL. Ниже — общая последовательность шагов.

    Перед миграцией

    Удалите функции, на которых падает pg_upgrade:

    drop function sp_loader_adm_list_codes;

    drop function sp_emp_ad_adm_list;

    Резервная копия базы

    Стандартный дамп базы sphone (схемы sphone и pgagent):

    pg_dump -U sphone -h 127.0.0.1 -p 5432 —blobs -F c -Z 9 -v

    -n sphone -n pgagent -f /tmp/sphone.dmp sphone

    На Astra Linux в мандатном режиме используйте pg_dump —disable-macs —no-security-labels — штатный pg_dump падает на метках MROSL ACL.

    После миграции

    • При потере симлинков расширений восстановите их: cp /usr/lib64/pgsql/*.* /usr/lib64.
    • На РЕД ОС 8 расширение pgcrypto ставится отдельно: dnf install postgresql14-contrib.

    Особенности ОС

    Настройки PostgreSQL и Docker под Astra Linux и РЕД ОС — см. astra-redos-ustanovka.

    Точная последовательность patch-chain под вашу версию SafeMobile зависит от релиза — согласуйте план миграции с технической поддержкой перед выполнением на проде.

  • UEM SafeMobile работает с СУБД PostgreSQL, Postgres Pro и Pangolin. Postgres Pro и Pangolin — российские СУБД из реестра отечественного ПО; их выбирают, когда нужно полное импортозамещение всего стека, включая базу данных. PostgreSQL используется в большинстве стандартных установок.

    Когда какую выбирать

    • PostgreSQL — стандартный вариант для большинства проектов.
    • Postgres Pro / Pangolin — когда требуется, чтобы и СУБД входила в реестр российского ПО.

    Эксплуатационные нюансы

    • В одном экземпляре базы хранятся схемы sphone и pgagent.
    • Расширение pgcrypto входит в пакет -contrib и на некоторых ОС (например, РЕД ОС) ставится отдельно.
    • Кластеризация PostgreSQL для отказоустойчивости возможна, но требуется редко — см. masshtabirovanie-otkazoustojchivost.

    Миграция между версиями PostgreSQL имеет особенности (например, 9.6 → 14) — см. migraciya-postgresql-9-6-14.

  • Нет, для большинства устройств FCM не нужен. SafeMobile управляет Android через собственный сервис, который работает без Firebase и сервисов Google. FCM требуется только для старых устройств, которые принудительно завершают процесс монитора UEM — в основном это Meizu, Xiaomi и Huawei на Android 9 и более ранних версиях.

    Почему это важно

    Полноценная работа без сервисов Google (FCM) — отличительная черта SafeMobile среди российских UEM. Это позволяет управлять устройствами без GMS: китайскими брендами без сервисов Google, устройствами в изолированных сетях и спецсборками.

    Когда FCM всё же нужен

    FCM подключают как резервный канал доставки команд только для устройств, агрессивно «убивающих» фоновые процессы:

    • старые Meizu, Xiaomi, Huawei на Android 9 и ниже.

    На современных устройствах штатный сервис SafeMobile доставляет команды без FCM.

    Связанные темы

    • Управление китайскими Android (Xiaomi, Huawei) — см. kitajskie-android-xiaomi-huawei.
    • Работа в закрытой сети без интернета — см. zakrytaya-set-bez-interneta.
  • Для iOS-интеграции SafeMobile нужны два корректно подготовленных сертификата: iosmdm.crt (регистрация в MDM) и MdmPush.pem (push через Apple APNs). Большинство сбоев — это неполная цепочка iosmdm.crt, отсутствие приватного ключа в MdmPush.pem или несовпадение сертификата и ключа. Ниже — чеклист проверки.

    iosmdm.crt (регистрация iOS MDM)

    • Должна быть цепочка из трёх сертификатов (leaf + intermediate + root), а не из двух.
    • CN/SAN сертификата должен точно совпадать со значением «Подключения к серверам → MDMServer» в АРМ.
    • Рядом нужен соответствующий приватный ключ iosmdm.key.

    Проверка совпадения сертификата и ключа (md5 должны совпасть):

    openssl x509 -noout -modulus -in iosmdm.crt | openssl md5

    openssl rsa  -noout -modulus -in iosmdm.key | openssl md5

    MdmPush.pem (push через Apple APNs)

    • Файл должен содержать и сертификат, и приватный ключ — самая частая ошибка интеграторов в том, что кладут только сертификат.
    • Обновлять на портале Apple только кнопкой «Renew». Никогда «Revoke» — это приводит к потере управления всеми устройствами.
    • Один MdmPush.pem может обслуживать тестовый и продуктивный стенды одного заказчика.

    SCEP и pinning

    • SCEP настраивается только для пользовательских Wi-Fi-сертификатов. Сертификаты mTLS для монитора берутся из встроенного УЦ и SCEP не требуют — это частая путаница.
    • Проверить возможности SCEP-сервера: https:///scep?operation=GetCACaps.
    • Pinning на iOS должен быть выключен — включённый pinning легко выводит устройства из строя.

    Связанные материалы

    Общие возможности iOS — см. ios-podderzhka.

  • SafeMobile централизованно устанавливает, обновляет и контролирует приложения на устройствах: администратор задаёт правила приложений, тихо ставит корпоративные APK, публикует их в корпоративном магазине Safe Store, задаёт конфигурации приложений и собирает статистику использования. Поддерживаются форматы apk, apks, xapk и apkm; загрузку можно ставить в зависимость от типа сети.

    Что доступно

    • Правила приложений (app_rule) — какие приложения разрешены, обязательны или запрещены.
    • Корпоративный магазин Safe Store — каталог приложений для пользователей (доступен при включённом управлении приложениями).
    • Конфигурации приложений (app_config) — преднастройка параметров приложений централизованно.
    • Статистика использования приложений и загрузка в зависимости от типа сети (Wi-Fi/мобильные данные).
    • Доставка произвольных файлов на устройства — отдельная отличительная возможность.

    Установка и обновление

    Корпоративные приложения распространяются и обновляются через правила приложений. Версию корпоративного ПО на устройствах можно контролировать и приводить к актуальной централизованно.

    Частая проблема: разные подписи

    Если один и тот же пакет приходит из разных источников (Google Play и корпоративный APK) с разными подписями разработчика, установка завершается ошибкой о несовпадении подписи. Решение и порядок действий — см. apk-podpis-otlichaetsya.

    Состав функций управления приложениями (Safe Store, конфигурации, API) зависит от лицензии. Полнота сценариев на iOS и ОС Аврора относительно Android может отличаться.

  • Режим supervised («контролируемый») помечает iOS-устройство как корпоративную собственность и открывает администратору расширенный набор политик безопасности — например, режим киоска. В supervised-режиме управляющие команды выполняются без подтверждения пользователем, то есть применяются «тихо». Это базовый режим для корпоративных iPhone и iPad под управлением UEM.

    Что даёт supervised

    • Расширенные политики безопасности, недоступные в обычном режиме (в т.ч. режим киоска).
    • Тихое выполнение команд управления без подтверждения пользователя.
    • Чёткий статус устройства как корпоративного.

    Важное ограничение

    Данные из резервной копии, сделанной до перевода устройства в supervised, восстановить после включения режима нельзя — это политика Apple, а не ограничение SafeMobile. Статус supervised сохраняется в резервных копиях, сделанных уже в этом режиме.

    Связанные темы

    • Поддержка iOS и какие версии — см. ios-podderzhka.
    • Подготовка сертификатов iOS MDM — см. ios-sertifikaty.
  • Перед установкой SafeMobile убедитесь, что нужные порты свободны и не перехвачены сторонним ПО, синхронизировано системное время, выделены ресурсы под нагрузку и корректно настроен nginx для mTLS. Большинство долгих заявок на старте — это занятый порт 443, конфликт конфигов nginx или мандатные ограничения ОС. Чеклист ниже снимает их заранее.

    Порты и сеть

    • Проверьте, что порт 443 свободен и не перехвачен сторонним ПО (известны случаи перехвата 443 антивирусом на сервере). Диагностика: остановить Docker → nc -l -p 443 → telnet 127.0.0.1 443.
    • На Astra Linux в мандатном режиме Docker может слушать 8443, но быть заблокирован на 443 — кастомные правила задавайте через цепочку iptables DOCKER-USER (правила в INPUT Docker перезатирает).

    nginx и mTLS

    • Для компонента mdm критичны директивы передачи клиентского сертификата:
    • proxy_set_header X-Client-Certificate $ssl_client_escaped_cert; и X-Client-Certificate-Sha1 $ssl_client_fingerprint;.Конфликтующий proxy_headers.conf ломает mTLS (дублирует заголовок X-Client-Certificate) — его нужно удалить.

    Время

    • Синхронизируйте системное время и часовой пояс (TZ) на сервере — рассинхрон ломает проверку сроков сертификатов и токенов.

    Ресурсы

    • Заранее рассчитайте RAM и вычислительные ресурсы под планируемое число устройств — недостаток ресурсов проявляется уже под нагрузкой.

    Особенности ОС

    • Astra Linux и РЕД ОС требуют отдельных настроек Docker и PostgreSQL — см. astra-redos-ustanovka.

    Точные значения портов, объёма RAM и вычислительных ресурсов под ваш парк устройств уточняйте в требованиях к развёртыванию у поставщика.

  • Да. SafeMobile позволяет передавать одно корпоративное устройство от сотрудника к сотруднику без снятия его с управления: устройство можно перерегистрировать на другого пользователя, не отключая от системы и не выполняя сброс к заводским настройкам. Это удобно для посменной работы, когда один планшет или терминал используют разные люди.

    Как это работает

    По данным сравнения российских MDM, перерегистрация устройства на другого сотрудника без отключения — заявленная возможность SafeMobile (у ряда конкурентов её нет). На практике это значит: при передаче устройства новой смене не нужно выводить его из-под управления и заново разворачивать — оно остаётся управляемым, меняется привязка к пользователю.

    Где это применимо

    • Сменные бригады с общими планшетами и терминалами сбора данных (ТСД).
    • Подменный фонд устройств, переходящий между сотрудниками.

    Точный механизм (отдельные пользовательские профили смен на одном устройстве, поведение данных предыдущего пользователя, поддержка по платформам) в доступных источниках детально не описан — уточняйте сценарий под конкретный парк устройств. проверить_перед_публикацией

    Связанные темы: sposoby-registracii-ustrojstv, kontejnerizaciya-byod.

  • Ошибка «Приложение не может быть установлено: подпись APK отличается от подписи приложения на устройстве» возникает, когда один и тот же пакет приходит из двух источников с разными подписями разработчика — например, из Google Play и из корпоративного APK. Android не даёт обновить приложение пакетом с другой подписью. Решение — заставить устройство ставить приложение только из одного источника.

    Причина

    Один и тот же package собран и подписан по-разному: версия из Google Play подписана ключом вендора, корпоративная версия — другим ключом. Установить поверх или обновить такой пакет невозможно из-за несовпадения подписи.

    Как исправить

    1. Поставьте запрет в обоих правилах — и на корпоративном правиле, и на правиле Google Play.
    2. Дождитесь полного удаления приложения с устройства.
    3. Снимите запрет только на корпоративном правиле — это принудительно оставит один источник установки.

    На что обратить внимание

    Известен баг: при несовпадении подписи нет лимита на повторные попытки загрузки, из-за чего возможен неконтролируемый трафик (наблюдались десятки и более ГБ). Поэтому важно не оставлять оба источника активными одновременно, а сразу свести установку к одному источнику.

  • Для полного запрета передачи файлов по USB на Android используйте обычный профиль «Политики ограничений Android» и политику «Запретить передачу файлов по USB». Это рекомендуется вместо Knox-профиля. Профиль «Политики ограничений Samsung Knox Android» для базового запрета USB не рекомендуется. Важно также учесть отдельную настройку OTG, иначе часть путей переноса данных останется открытой.

    Правильный профиль

    • Профиль «Политики ограничений Android» → политика «Запретить передачу файлов по USB».
    • Knox-профиль «Политики ограничений Samsung Knox Android» для базового USB-запрета не рекомендуется.

    Важный нюанс с OTG

    Параметр «Разрешить работу с внешними USB устройствами через OTG» = Да разрешает перенос данных на USB-накопитель независимо от настроек MTP/PTP. При этом блокировка MTP/PTP закрывает только передачу мультимедиа на ПК.

    То есть для действительно полного запрета недостаточно заблокировать MTP/PTP — нужно учитывать и OTG-доступ к внешним накопителям.

  • Устройства в SafeMobile регистрируются через портал саморегистрации и по QR-коду, а на Android — в режиме Device Owner; для устройств Samsung доступна регистрация через Knox. Регистрация по QR-шаблону работает как через мобильные данные, так и через Wi-Fi, что удобно при массовой выдаче. Способ выбирают исходя из платформы и сценария (личное или корпоративное устройство).

    Основные способы

    • QR-код — регистрация по QR-шаблону через мобильные данные или Wi-Fi. Подходит для массовой выдачи устройств.
    • Портал регистрации (саморегистрация) — пользователь сам регистрирует устройство через regportal; портал проверяет лимит устройств лицензии и ограничения по платформе/модели/производителю.
    • Device Owner (Android) — режим полного управления Android-устройством; настраивается при первоначальной настройке устройства.
    • Samsung Knox — для устройств Samsung доступна регистрация и управление через Knox.

    На что обратить внимание

    • На некоторых моделях есть нюансы: например, на отдельных Samsung функция «Поставщика услуг» может блокировать установку Device Owner, а на устройствах без сервисов Google после factory reset может пропадать QR-сканер. Это решается на уровне конкретной модели.
    • Для регистрации основной пользователь должен быть доменной учётной записью со своим DN, иначе устройство не получит mTLS-сертификат — см. ad-integraciya-dmz.
    • Устройства Аврора подключаются только по FQDN/DNS, не по IP — см. aurora-omp-sovmestimost.

    Доступность конкретных сценариев (zero-touch, ABM/DEP для iOS, массовое развёртывание) зависит от платформы и версии — уточняйте в документации по развёртыванию.

Остались вопросы?

Пишите на электронную почту

Или задайте их прямо сейчас: