Российский MDM/UEM для сотен Android/ТСД/Linux устройств. 100% независим от Google — AOSP-only DPC без GMS, MQTT вместо FCM, MapLibre вместо Google Maps, self-hosted всё. 20 отраслевых пресетов под установку в один клик, AI-копилот на GigaChat, HMAC-цепочка audit-log для 152-ФЗ. Freemium до 25 устройств.
Komendant MDM построен на принципе de-Google by design: ни одной зависимости от GMS, FCM, Google Maps, Google Play. Работает на чистом AOSP, ТСД Urovo, бюджетных Android-устройствах без Google-сертификации.
Свой EMQX-брокер на TLS 8883 с JWT-auth. Долгоживущая MQTT-сессия с keep-alive 60s + retain-flag для offline-устройств. cleanStart=false, session_expiry=3600s — команды доходят даже после reboot. Никакого FCM, никаких токенов Google.
Векторные тайлы OpenStreetMap в self-hosted pmtiles, сервится через nginx-snippet. Кластеризация, heatmap, geofence polygon drawing. Геокодирование через Nominatim. Никаких Google JS-bundle'ов, ни одного запроса на googleapis.com.
Android DPC ставится как Device Owner через QR-enrollment без Google-account. Provisioning через ManagedProvisioning API (Android 9+). Работает на ТСД Urovo RT40S, бюджетных смартфонах без GMS, режимных устройствах под Astra-Mobile.
WebRTC viewer + control через TURN_HOST из env, HMAC-SHA1 short-lived credentials. Без Google STUN/TURN fallback (специальная сборка libwebrtc). Запись в MinIO с HMAC-SHA256 manifest.
AI-копилот через GigaChat-2-Max — единственный LLM-провайдер для соответствия 152-ФЗ. RAG-стек: pgvector + tsvector(russian) + bge-reranker-v2-m3 cross-encoder, self-hosted Qwen3-Embedding-4B (1024-dim) на собственном GPU. Ни OpenAI, ни Anthropic, ни Google AI.
S3-API совместимый object-storage для APK, отчётов, OSM-тайлов, VPN-профилей, бэкапов и Remote Assist записей. Self-hosted, шифрование, retention. RuStore enterprise для распространения корп-APK без Google Play.
Зачем это нужно: 90% корпоративного парка в РФ — ТСД и бюджетные Android-устройства без сертификации Google (Urovo, Atol, Zebra, Honeywell, Samsung A-серия без Knox). Western MDM на них либо не работает, либо требует GMS-обвес который недоступен. Мы спроектированы под этот сегмент с первой коммитом.
Три реальные истории из парков наших пилотных клиентов. Если узнали себя — читайте дальше.
8 часов рейса. Планшет в незапертой машине. На подхвате маршруты клиентов, 1С-накладные, корпоративная почта. Угнали машину — и данные всей базы ушли вместе с ней.
Сотрудник 6 часов вне офиса. ТСД с полным ассортиментом, ценами, акциями. Разговаривают через камеру, фотографируют полки конкурентов, шлют по Telegram…
Urovo/Zebra на 50–200 ТСД. Каждые 6 месяцев выходит новый Android, часть ТСД уже на 10-м, часть на 13-м. Обновления вручную — неделя работы IT.
Не просто «ещё одна админка» — другой процесс управления парком.
Подвиньте ползунок — план и цена пересчитаются автоматически. Без звонка в отдел продаж.
6 секунд от «устройство пропало» до «данные защищены, геолокация зафиксирована».
IT нажал «Lost mode» в админ-панели.
Команда долетела до устройства через РФ-CDN.
«Найден? +7 495 … Вознаграждение.» Камера и буфер чистятся.
Координаты записаны, geofence-alert отправлен дежурному.
История перемещений и действий — в admin-web навсегда.
Android (production-ready, ТСД Urovo/Atol/Zebra без GMS), Linux и Аврора (production — общий Go-агент cross-build, E2E на amd64/armv7hl, Аврора verified на rootfs 5.2.0.180 Khabarovsk), Windows (beta — functional port из linux-dpc, E2E на реальной Windows 11 Pro, в backlog encoding/BitLocker/AppLocker/EV-signing). iOS / macOS — после регистрации российского юрлица (требование Apple Developer Program).
Шесть вещей, которых у зарубежных и крупных корпоративных MDM из коробки нет.
Админ загружает APK корпоративных приложений один раз — при enrollment устройство тихо ставит их все через PackageInstaller. Admin видит живой прогресс по каждому устройству. Ретраи при сбоях + alert при массовом падении установок. Canary rollout 5%→25%→50%→full с auto-rollback при превышении threshold ошибок.
20 готовых пресетов: ТСД склад, мерчендайзер, водитель-экспедитор, курьер, кассир POS, ПВЗ, такси, общепит KDS, киоск-планшет, выездной IT, охранник, врач/медсестра. Один клик — создаётся policy + device-group, тут же можно applies на устройства. Bundles собирают N пресетов под якорный сценарий.
SSE-чат с контекстом устройства/политики/инцидента. Генератор политик и скриптов из NL. NL2SQL для отчётов («покажи устройства offline > 24ч»). RAG-стек: pgvector + BM25 + bge-reranker, 446 chunks из KB+OpenAPI+docs. 5-слойная защита от prompt-injection. PII-санитайзер перед записью в логи. 152-ФЗ компатибельно.
IT-техник в поле запрашивает временные права на 15/30/60 мин — MFA и сервисный PIN, каждое действие в audit. Разрушительные операции (wipe, mass-unenroll, factory_reset) — dual-approval: один оператор инициирует, другой подтверждает в 15 мин. FRP security gate для tenant-protection.
Append-only audit_log с HMAC-SHA256 цепочкой (prev_hash → chain_hash), tamper-evidence для регулятора. Sealed PDF за период с external verify через CLI — для аудиторов ФСТЭК и РКН. 10-пунктовый readiness-чеклист 152-ФЗ. Auto-уведомления РКН 24/72ч при инциденте на ПДн-устройстве. Retention 36 мес (ст. 19 + ОИБ.5 ФСТЭК).
Стирание устройства с точной настройкой: shred (SecureRandom), eSIM, external storage, FRP-reset (tenant-gated). ZTNA-gateway: 7 типов auto-remediation playbook'ов с trigger'ами alert.fired/compliance.fail/incident.created. Anti-theft preset: lost-mode auto, alarm_on_lost, sim_change_alert, geofence_exit_alert. Threat feeds BDU FSTEC / NVD CVE / CISA KEV.
20 преднастроенных пресетов под конкретные роли в отраслях. Установка одним кликом — создаётся policy (draft) + device-group, готово к привязке устройств. Bundles собирают несколько пресетов под якорный сценарий клиента.
Готовые пресеты под Urovo RT40S/RT40 с MST Lab 24, AkiTorg мобильной торговлей, Я.Навигатором. Kiosk-режим, allowlist install_mode, anti-theft (lost-mode + geofence_exit_alert), per-app VPN для AkiTorg/1С. Bundle anchor_triol — full-stack под FMCG-дистрибуцию.
Кассирские терминалы со 100% kiosk, ПВЗ-планшеты с разрешённым набором карго-приложений, мерчендайзеры с AkiTorg + биометрия (грантятся CAMERA/LOCATION pre-runtime), KDS-планшеты для кухни с защитой от выхода из приложения.
Четыре встроенных набора compliance-правил, обновляются через миграции. One-click install копирует правила в `compliance_rules` с тегом pack_id. Custom packs — собственные через editor для tenant'а. Diff между версиями pack'а перед upgrade.
Школьный планшет, учитель, врач, медсестра/санитар, охранник, BYOD-сотрудник, выездной IT, такси-драйвер, киоск-планшет публичный. У каждого свой шаблон password / kiosk / restrictions / runtime_permissions / location_policy / wipe-flags под специфику роли.
Полноценный AI-копилот, генератор политик, NL2SQL и compliance-объяснения — всё на GigaChat-2-Max с собственным RAG и embedding-сервисом.
Диалоговый ассистент с RAG-поиском по KB, OpenAPI и docs. Контекст: device_id / policy_id / incident_id — копилот объясняет compliance-fail, предлагает fix, генерирует policy. Persistent история диалогов per-tenant. Rate-limit 20 запросов/час.
«Сделай политику для курьеров с lock 5 мин и обязательным VPN» → JSON-policy готовая к импорту. «Скрипт для проверки SELinux на Astra» → bash. ComplianceExplain — простым языком почему устройство не прошло проверку, что сделать.
Натуральный язык → JSON DSL → preview результата. Whitelist 10 таблиц (devices/commands/compliance_checks/incidents/audit_log/...), sanitizer не пускает write-операции. Preset-чипы для частых запросов. Сохранение как saved-query + pin как widget на dashboard.
pgvector (cosine) + tsvector(russian, BM25) → RRF k=60 → bge-reranker-v2-m3 cross-encoder → top-5. Anthropic Contextual Retrieval — каждый chunk с контекстным префиксом. 446 chunks. Embedding на собственном Qwen3-Embedding-4B (1024-dim) в self-hosted llama-server.
NFKC + lowercase, leet-декод (0→o, @→a), homoglyph-замена 22 пар кириллицы/латиницы, spaced-flatten, base64-decode. 18 EN + 11 RU паттернов на injection («ignore previous», «забудь инструкции», «DAN», «developer mode»). 7 паттернов response-leak + 6 code-leak. Длина >4000 символов отбрасывается.
Каждый AI-запрос проходит через PII-detector до записи в `ai_queries` и логов. Email/phone/IMEI/passport/snils маскируются. Per-tenant retention 30-365д. Cross-tenant cache-leak fix (Redis ключ с tenant_id префиксом + auto-invalidate при wipe/delete tenant).
Не «соответствие на бумаге», а реальные инструменты для оператора ПДн: реквизиты, шаблоны документов, авто-уведомления РКН, аудиторские отчёты.
Реквизиты оператора, контактное лицо, уведомление РКН подано, цели обработки, категории ПДн, категории субъектов, технические меры, трансграничная передача, актуальные инциденты, overdue-уведомления. Прогресс-бар с подсветкой что осталось.
При создании ПДн-инцидента БД-триггер автоматически планирует уведомление РКН по дедлайнам 24 (предварительное) и 72 часа (детальное). Шаблоны документов с переменными, PDF-печать с подписью оператора. Live countdown в админке + кнопка «Отметить отправленным» с audit-trail.
При enrollment пользователь подписывает согласие на обработку ПДн. Подпись HMAC-SHA256 через `tenants.consent_signing_secret`. DPC fetch consent-key через GET /api/v1/devices/me/consent-key, ключ в EncryptedSharedPreferences. Server verify ±5 мин. Tamper-evident экспорт в PDF для проверки регулятором.
Append-only audit_log через trigger immutability + HMAC-цепочка SHA-256 (prev_hash → chain_hash). Sealed snapshot: подписанный PDF за период + HMAC через `tenants.audit_chain_secret` + upload в MinIO. Внешняя верификация через VerifyAuditChain CLI. Retention 36 мес (152-ФЗ ст. 19 + ФСТЭК ОИБ.5).
12 готовых отчётов, кастомизируемые dashboards, scheduled-доставка по cron — без интеграции с внешним BI.
Устройства / compliance / security / операции / интеграции / приложения. Параметры days + limit. Форматы CSV / PDF / JSON. AI-объяснение данных на detail-странице. История запусков 90д. Прямая связка с Saved-queries через querybuilder DSL.
bar / line / area / pie / donut / sparkline / kpi / stacked-bar / heatmap / table. Smooth bezier через Catmull-Rom tension, gradient fills, floating tooltips, real-render preview. Drag-and-drop dashboards edit-mode. Per-widget days override, theme presets, density compact/cozy/spacious.
Авто-запуск built-in отчётов или saved-queries по интервалу. Доставка через email / Telegram / webhook / SMS или прямой webhook. Inline AI-explain в email. SSRF-валидация URL, channel ownership check, audit на каждый CRUD. History 90д с длительностью, размером, ошибкой.
7 KPI с sparkline-трендом (critical/alerts/RA/attestation/...), forensics timeline из 4 источников (audit + alerts + RA + commands). Server-side anomaly detector: брутфорс (≥5 failed-логинов с IP), ≥3 провалов аттестации. Recommendations engine. Threat hunting bar — NL через AI.
Прозрачно, без «свяжитесь с менеджером» на первой странице. Freemium — действительно free.
До 25 устройств. Все core-фичи. Без карт и триалов.
Для парков 26–500 устройств. SLA, email-поддержка. −15% при годовой оплате.
On-prem, air-gap, 500+ устройств, MSP-партнёрство, white-label, отдельная команда внедрения.
Если ответа нет — пишите hello@komendant-mdm.ru.
bootstrap.sh + Ansible-плейбук. Требуется: Ubuntu 22.04/24.04 или RHEL-совместимая, 4 CPU, 8 GB RAM, 100 GB SSD на 500 устройств. Air-gap bundle — tarball со всеми образами и регистри внутри. Обновления через signed bundles.Freemium, без привязки карты. Первые 25 устройств — навсегда бесплатно. Поддержка в Telegram на любом плане.