> For the complete documentation index, see [llms.txt](https://enterprise-ua.hideez.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://enterprise-ua.hideez.com/integraciyi-servera-hideez/integraciyi-z-active-directory-ta-entra-id/pidklyuchennya-hideez-server-do-microsoft-entra-id.md).

# Підключення Hideez Server до Microsoft Entra ID

## Огляд

Інтеграція Hideez Server з Microsoft Entra ID дозволяє автоматизувати керування користувачами, увімкнути захищений SSO (єдиний вхід) та здійснювати віддалену ротацію паролів. Це покращує безпеку та зменшує адміністративне навантаження.

#### Основні переваги:

* **Імпорт користувачів**: Автоматична синхронізація користувачів із Microsoft Entra ID до Hideez Server на основі членства в групах.
* **SSO**: Користувачі можуть входити до Windows-станцій через ключі Hideez або мобільні додатки, використовуючи облікові дані Entra ID — без введення паролів.
* **Управління паролями**: Паролі вибраних користувачів можуть автоматично змінюватися в Entra ID за розкладом.

## Попередні вимоги

Перед інтеграцією переконайтесь у наявності:

* Адміністративного доступу до Microsoft Entra ID та Hideez Server
* Активного тенанту Microsoft Entra ID
* Дозволу на реєстрацію застосунків у Entra ID
* Доступності Hideez Server через HTTPS

### Крок 1: Підготуйте групи в Microsoft Entra ID

Для керування синхронізацією та ротацією паролів створіть такі групи:

* **Hideez Users Sync**\
  Додайте до цієї групи всіх користувачів, яких слід імпортувати до Hideez Server.
* **Hideez Key Auto Password Change** *(необов’язково)*\
  Додайте користувачів, чиї паролі мають автоматично змінюватися через Hideez Server. Вони також повинні бути членами групи **Hideez Users Sync**.

### Крок 2: Зареєструйте застосунок у Microsoft Entra ID

1. Увійдіть до порталу адміністратора [Microsoft Entra](https://entra.microsoft.com/).
2. Перейдіть до **Azure Active Directory → App registrations**.
3. Натисніть **New registration** та заповніть форму:
   * **Name**: Hideez Server Integration
   * **Supported account types**: Single tenant
   * **Redirect URI**: залиште порожнім або вкажіть пізніше
4. Натисніть **Register**.
5. На сторінці **Overview** скопіюйте:

   * **Application (Client) ID**
   * **Directory (Tenant) ID**

   <figure><img src="/files/BXtAfUlaxXrd3yTUzR64" alt=""><figcaption></figcaption></figure>

   <figure><img src="/files/EHjpBL3WdXz4tbpgIKeC" alt=""><figcaption></figcaption></figure>

### Крок 3: Створіть секрет клієнта

1. Перейдіть у розділ **Certificates & secrets**.
2. Натисніть **New client secret** → задайте опис і термін дії.
3. Натисніть **Add**.
4. Скопіюйте значення з колонки **Value** — це ваш **Client Secret**.

<figure><img src="/files/iCx1lDd1uEyP1kbQsaE8" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/iQPdunnW9AVM4EtyW8qQ" alt=""><figcaption></figcaption></figure>

### Крок 4: Призначте дозволи API

1. Перейдіть до **API permissions → Add a permission → Microsoft Graph**.
2. Оберіть **Application permissions**.

<figure><img src="/files/Uj5mUWgdxXtoOWmDVVJW" alt=""><figcaption></figcaption></figure>

3. Додайте наступні дозволи:

**Для імпорту користувачів:**

* `User.Read.All`
* `Group.Read.All`
* `Domain.Read.All` *(або `Directory.Read.All` як загальну альтернативу)*

**Для керування паролями:**

* `User.ReadWrite.All`
* `User-PasswordProfile.ReadWrite.All`

{% hint style="info" %}
Ці дозволи дозволяють Hideez Server змінювати паролі безпосередньо в облікових записах Microsoft Entra ID.\
Паролі оновлюватимуться автоматично відповідно до інтервалу, зазначеного в **Auto Password Change (days)** на сервері Hideez.
{% endhint %}

4. Натисніть **Grant admin consent**, щоб застосувати всі дозволи.

### Крок 5: Налаштування Hideez Server

1. Увійдіть до панелі адміністратора Hideez Server.
2. Перейдіть до **Settings → Parameters** та натисніть **Add Domain Settings**.
3. Оберіть **Azure Active Directory**.
4. Заповніть форму значеннями з попередніх кроків:
   * **Domain** – ваш домен Entra ID (наприклад, `yourcompany.onmicrosoft.com`)
   * **Application ID** – Client ID
   * **Client Secret** – значення з Кроку 3
   * **Tenant ID** – Directory ID
   * **Auto Password Change (days)** – наприклад, 28 *(необов’язково)*

**Поведінка при видаленні користувача з групи синхронізації:**

* **Keep** – користувач залишається на сервері Hideez. Доступ через SSO і розблокування ПК залишаються.
* **Deactivate** – користувач деактивується, але не видаляється. SSO вимикається, розблокування ПК залишається. Активація лише вручну.
* **Delete** – користувач повністю видаляється. SSO і розблокування ПК стають недоступними.

5. Натисніть **Save**.

<figure><img src="/files/mwzPr2g8Eixtr6iFIE6e" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/rPXj3t1LYgT1IQ2D8jGy" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
*Примітка: після збереження облікові дані будуть приховані з міркувань безпеки.*
{% endhint %}

### Крок 6: Імпорт користувачів до Hideez Server

1. Перейдіть до **Users → Import from AD**.
2. Hideez Server отримає список користувачів із групи **Hideez Users Sync** в Entra ID.
3. Оберіть і імпортуйте потрібних користувачів.

{% hint style="info" %}
**Примітки**

* Ротація паролів застосовується лише до користувачів у групі **Hideez Key Auto Password Change**.
* Для гібридної інфраструктури увімкніть **Microsoft Entra password writeback**.
* У середовищах Linux сервер має бути приєднаний до домену Active Directory.
* Видалення облікових даних Entra ID з Hideez Server призведе до вимкнення функцій синхронізації.
* Можна додати кілька доменів — кожен керується окремо.
  {% endhint %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://enterprise-ua.hideez.com/integraciyi-servera-hideez/integraciyi-z-active-directory-ta-entra-id/pidklyuchennya-hideez-server-do-microsoft-entra-id.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.