Gestione dei dispositivi mobili self-hosted

Sovranità su ogni dispositivo che distribuisci.

ShadowZ MDM gestisce la tua flotta Android sul tuo server, sotto il tuo nome di dominio, senza che un vendor legga nel mezzo. Include l'hardening attivo contro IMSI catcher, tracciamento UWB e NFC.

Paga una volta. Gestiscilo tu. Nessun canone ricorrente.

panel.tuo-dominio.com
42 dispositivi
Pixel 8 — Ricerca
active
Pixel 7a — Lavoro sul campo
active
Pixel 8 — Studio legale
locked
Pixel 7 — Riserva
active

Il problema

Chi controlla il tuo MDM controlla la tua flotta.

Gli MDM cloud leggono nel mezzo

Hexnode, Scalefusion, Intune, JumpCloud. Funzionano tutti nel cloud del provider. Ogni configurazione, ogni comando, ogni log di posizione passa attraverso i loro server. Stai affidando a un secondo vendor l'accesso ai tuoi dispositivi.

Modello in abbonamento con lock-in

Da 50 a 80 euro per dispositivo all'anno. Con 30 dispositivi su 5 anni questo diventa rapidamente 10.000 euro per un software di gestione. Disdire significa migrare sotto pressione temporale e ri-registrare ogni dispositivo.

Tracciamento integrato

Le soluzioni standard non bloccano né il downgrade al 2G (IMSI catcher), né il tracciamento UWB, né la lettura passiva NFC. Chi sceglie GrapheneOS per evitare il tracciamento si ritrova la sorveglianza dalla porta di servizio degli MDM cloud.

La soluzione

Tre proprietà che nessun MDM cloud può offrirti.

01

Sovranità sui dati

Il server gira sul tuo hardware, sotto il tuo nome di dominio, con il tuo certificato TLS. Postgres, Redis, il core MDM. Tre container Docker. Nessuno tranne te ha accesso al database con le configurazioni, i dispositivi registrati, i log di audit.

02

Hardening anti-sorveglianza

Abilitato per configurazione: blocco del 2G contro gli IMSI catcher, radio UWB e NFC completamente disattivate, mesh Thread bloccato, condivisione contatti Bluetooth disattivata, servizio di localizzazione totalmente disattivato. Più hardening della schermata di blocco, cancellazione automatica dopo tentativi falliti, blocco dell'installazione di app.

03

Licenza a vita

Acquista una volta. Aggiornamenti inclusi. Nessun limite di dispositivi nel piano a vita. Se domani il mondo spegnesse il server delle licenze, il tuo MDM continuerebbe a funzionare perché il token viene validato offline. Nessun kill switch.

Funzionalità

Quattro aree tematiche, nessun fronzolo di marketing.

Ogni voce corrisponde a una funzione concreta del prodotto. Se ti manca qualcosa, chiedicelo prima di acquistare.

01

Anti-tracciamento

  • Blocco della rete mobile 2G (protezione IMSI catcher, Android 14+)
  • Disattivazione della radio UWB (tracciamento in stile FindMy, Android 14+)
  • Radio NFC disattivata (tracciamento passivo dei tag, Android 14+)
  • Blocco della rete mesh Thread (Android 15+)
  • Condivisione contatti Bluetooth disattivata
  • Disattivazione del servizio di localizzazione a livello di sistema
  • Blocco dell'attivazione della modalità aereo (rilevante a fini forensi)
02

Controllo

  • Modalità kiosk: una sola app visibile
  • Whitelist di app: Richieste più Consentite per configurazione
  • Profili di configurazione, assegnati a un gruppo o a un dispositivo
  • Blocco, riavvio e cancellazione remoti (con conferma)
  • Policy delle password su cinque livelli, dal PIN a 12+ caratteri alfanumerici
  • Forzatura del cambio password al prossimo sblocco
  • Gestione centralizzata degli sfondi
03

Osservabilità

  • Heartbeat live ogni 30 secondi, online o offline nel pannello
  • Report di crash caricati automaticamente, stack trace più coda di logcat
  • Snapshot dei log su richiesta, tempo di risposta da 2 a 5 secondi
  • Log di audit di tutte le azioni admin, trigger BEFORE contro le manomissioni
  • Logging di rete e di sicurezza abilitabile opzionalmente
  • Messaggio di supporto nella schermata di blocco: avviso del proprietario su ogni dispositivo
04

Sicurezza

  • mTLS tra agent e server, la tua CA interna
  • Postgres Row Level Security, fail closed in caso di filtro tenant dimenticato
  • 2FA TOTP per il login admin con codici di recupero
  • Protezione CSRF, HSTS, Content Security Policy
  • Backup cifrati AES-256-GCM via gpg, 600k iterazioni PBKDF2
  • Chiave CA su disco cifrata con una passphrase
  • Cifratura a riposo del JWT di licenza

In preparazione

Il ShadowZ Phone.

Un Pixel 9a preconfigurato basato su GrapheneOS, fornito con stato DeviceOwner attivo e l'agent ShadowZ MDM già registrato. Aprilo, scansiona il QR code della licenza, fatto.

  • Hardening GrapheneOS, Verified Boot attivo, bootloader bloccato
  • Funziona esclusivamente con ShadowZ MDM. Nessuna compatibilità con gli MDM cloud.
  • Policy anti-tracciamento di fabbrica: 2G bloccato, UWB e NFC disattivati, interruttore sensori preconfigurato
  • Hardware Pixel 9a con chip di sicurezza Titan M2
Nota: Il ShadowZ Phone richiede un'istanza ShadowZ MDM attiva. Entrambi i prodotti si acquistano separatamente. Il piano a vita dell'MDM non include l'hardware del telefono.
ShadowZ Phone: procedura guidata di configurazione basata su GrapheneOS, primo passaggio con branding ShadowZ
Agent MDM
registrato ✓

Prezzi

Una licenza per la tua intera flotta.

Tutti i prezzi sono IVA inclusa. Pagamento tramite bonifico bancario o Bitcoin. Attivazione di solito entro 24 ore.

Mensile

€199 al mese

Per valutazioni e deployment più brevi.

  • Fino a 50 dispositivi
  • Tutte le funzionalità
  • Supporto via email
  • Disdici in qualsiasi momento
Inizia il mensile

Annuale

€999 all'anno

Per installazioni consolidate con un numero fisso di dispositivi.

  • Fino a 500 dispositivi
  • Tutte le funzionalità
  • Supporto prioritario
  • Impegno di 12 mesi
Acquista l'annuale
Consigliato

A vita

€2.999 una tantum

Per operazioni che gestiscono l'MDM in modo permanente nel proprio stack.

  • Dispositivi illimitati
  • Tutte le funzionalità, tutti gli aggiornamenti futuri
  • Canale di supporto diretto
  • Nessun abbonamento, nessun rinnovo automatico, nessun kill switch
Assicurati la licenza a vita

Per licenze enterprise con più di 1000 dispositivi o setup on-premise con air gap, contattaci direttamente: sales@shadowz.live.

Dati tecnici

Sul tuo server, il tuo stack, le tue regole.

Stack del server
Docker Compose. Postgres 16, Redis 7, binario Go, Caddy o nginx come frontend TLS.
Hardware minimo
4 GB di RAM, 2 vCPU, 20 GB di disco. Sufficienti per diverse centinaia di dispositivi.
Dominio più TLS
Il tuo hostname. Let's Encrypt via Caddy automaticamente, oppure il tuo certificato.
Database
Postgres con Row Level Security. Backup cifrati tramite lo strumento integrato (gpg, AES-256-GCM).
Autenticazione
JWT con access e refresh token, 2FA TOTP per gli admin, mTLS tra agent e server.
Modello di aggiornamento
Pull dell'immagine Docker. Nessun aggiornamento automatico, decidi tu quando.
Compatibilità OS
Da Android 9 ad Android 16. Set completo di funzionalità solo come DeviceOwner. GrapheneOS consigliato.
Lingue
Inglese, tedesco, francese, spagnolo, italiano, portoghese.
Modello di licenza
JWT firmato da license.shadowz.live, validato offline. Se il server delle licenze si guasta, il tuo MDM continua a funzionare.
Codice sorgente
Proprietario. Documentazione completa dell'architettura su richiesta. Diritto di audit per i clienti a vita.

Domande frequenti

Quello che ci chiedono di più.

Su quali server gira l'MDM?
Sui tuoi. Lo installi con uno script shell su un VPS, una macchina dedicata o nel tuo data center. Consigliamo Hetzner, OVH, un server root Strato o una macchina nel tuo rack. ARM e x86_64 sono supportati.
È conforme al GDPR?
Tu sei il responsabile del trattamento, decidi tu dove stanno i tuoi server e come li proteggi. Noi forniamo lo strumento. Il software memorizza log di audit, report di crash e configurazioni esclusivamente sul tuo server. Nessun dato di telemetria viene inviato a noi.
Che rapporto ha con HeadwindMDM?
HeadwindMDM è una soluzione MDM open source più datata. ShadowZ MDM è un prodotto commerciale con un focus sulle funzioni anti-sorveglianza attuali (restrizioni della wave 4 come blocco 2G, UWB off, NFC off), uno stack tecnologico moderno (Go, Next.js, Postgres con RLS), sei lingue e supporto commerciale.
Cosa succede se cessate l'attività?
Il token di licenza viene validato offline ed è valido per 60 giorni per ciclo. Se il server delle licenze resta irraggiungibile più a lungo, l'MDM continua a funzionare in modalità di sola lettura, è possibile registrare nuovi dispositivi, quelli esistenti funzionano invariati. In caso di emergenza pubblichiamo una guida alla disattivazione della licenza così da poter usare il prodotto senza di noi.
Ricevo il codice sorgente?
Le licenze standard non ricevono il codice sorgente. I clienti a vita hanno un diritto di audit: dopo aver firmato un contratto con un accordo di riservatezza ricevono accesso in sola lettura al repository per audit di sicurezza. Non prevediamo di renderlo open source.
Scala a migliaia di dispositivi?
Il database è Postgres con Row Level Security. L'heartbeat è ogni 30 secondi, il server mantiene connessioni WebSocket aperte per ogni dispositivo online. Su una macchina con 8 vCPU e 16 GB di RAM abbiamo testato fino a 5000 dispositivi. Per flotte più grandi contattaci per una valutazione dell'architettura.
Quali versioni di Android sono supportate?
Da Android 9 ad Android 16. Le funzionalità anti-tracciamento richiedono Android 14 (2G, UWB, NFC) o Android 15 (Thread). Sulle versioni più vecchie questi interruttori sono disabilitati, il resto funziona. GrapheneOS è particolarmente consigliato perché lì l'hardening lavora con l'MDM invece che contro di esso.
Posso migrare da un altro MDM?
Sì, ma è un processo manuale. Ogni dispositivo deve essere ri-registrato perché lo stato DeviceOwner non è trasferibile tra MDM. Supportiamo la migrazione della configurazione tramite uno script per Hexnode, Scalefusion e HeadwindMDM. Per flotte più grandi accompagniamo la migrazione.

Hai ancora una domanda? Scrivi a hello@shadowz.live .