> For the complete documentation index, see [llms.txt](https://enterprise-ua.hideez.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://enterprise-ua.hideez.com/mobilnii-zastosunok-hideez-authenticator/nalashtuvannya-hideez-authenticator-dlya-administratoriv/nalashtuvannya-dlya-autentifikaciyi-u-robochu-stanciyu-windows/nalashtuvannya-dlya-vkhodu-v-robochu-stanciyu-bez-parolya/bezparolnii-vkhid-do-entra-id-za-dopomogoyu-virtualnikh-smart-kartok-i-hideez-authenticator.md).

# Безпарольний вхід до Entra ID за допомогою віртуальних смарт-карток і Hideez Authenticator

Ця інструкція описує налаштування безпарольного входу до робочої станції Windows, яка підключена до домену Entra ID, за допомогою технології віртуальних смарт-карток і мобільного застосунку Hideez Authenticator

## Use case:

1. Користувач сканує QR-код на екрані заблокованої робочої станції через застосунок Hideez Authenticator.
2. Проходить аутентифікацію у застосунку за допомогою біометрії або PIN-коду.
3. Обирає обліковий запис і розблокує ПК — без введення пароля.
4. Завдяки цій технології немає потреби змінювати пароль доменного облікового запису.<br>

## Пререквізити для налаштування

1. Обліковий запис адміністратора Hideez Enterprise Server
2. Обліковий запис Entra ID з правами додавання сертифікатів
3. [Налаштована інтеграція Hideez Enterprise Server з Entra ID](/integraciyi-servera-hideez/integraciyi-z-active-directory-ta-entra-id/pidklyuchennya-hideez-server-do-microsoft-entra-id.md)
4. Кореневий сертифікат із сервера Hideez Enterprise Server завантажено до Entra ID
5. Користувач існує з однаковим email у Hideez Enterprise Server  і в Entra ID
6. [Мобільний застосунок Hideez Authenticator зареєстровано у профілі користувача Hideez Enterprise Server](/mobilnii-zastosunok-hideez-authenticator/nalashtuvannya-dlya-kincevikh-koristuvachiv/reyestraciya-zastosunku-hideez-authenticator-na-serveri-hideez.md)
7. [На Робочій станції встановлено Hideez Client](/desktopna-programa-hideez-client-korporativna-versiya/windows-deployment/set-up-hideez-client-app.md)
8. [Робоча станція затверджена на сервері Hideez Enterprise Server](/korporativnii-server-hideez/workstations/how-to-add-and-approve-workstations.md)

## &#x20;Налаштування

### 1. Додавання Entra ID до сервера Hideez та отримання сертифіката

{% hint style="info" %}
[Дотримуйтесь інструкції з підключення Entra ID до сервера HES.](/integraciyi-servera-hideez/integraciyi-z-active-directory-ta-entra-id/pidklyuchennya-hideez-server-do-microsoft-entra-id.md)
{% endhint %}

Після успішного підключення — завантажте сертифікат для подальшого використання у Entra ID.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeP5BrrQv24WuO2AHM42EM8fqI2b-P5V3JAOsS3__4VF_b4jv3WA6Gydufc0lzaqqX9bv49NnmA-18uAKa58noGW-fR-084uYKelrBnOMQaD8YNJiJ65ls0riee9dbQNM6wPKrbLw?key=nG0HN9_TgcPwbaV4gcVF9eAU" alt=""><figcaption></figcaption></figure>

### 2. Завантаження кореневого сертифіката до Entra ID

1. Увійдіть до Microsoft Entra Admin Center - [https://entra.microsoft.com](https://entra.microsoft.com/)
2. Введіть «**Security»** в поле пошуку і перейдіть в цей розділ.

<figure><img src="/files/Eykh2PWyFs4mwjpIUpaI" alt=""><figcaption></figcaption></figure>

3. Створіть a Public Key Infrastructure:

`Security → Public Key Infrastructure → Create PKI`

<figure><img src="/files/z9av6noIAyQ2zNehzjH4" alt=""><figcaption></figcaption></figure>

4. Перейдіть у створений PKI і додайте сертифікаційний центр (CA)

**Натисніть Add CA → Завантажте файл сертифіката з Hideez Enterprise Server** \
\
Certificate Revocation List URL — залиште порожнім.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe_5INLx_tRHWXDXLXeqoz2jFeIYX-gAnEx36KLIERRu87_v5xbMkRKAFJIsaEYDUn_UTLMEswRnMug2oWTcvrts6E7feSxoM9C_WeX_RxQKGs6g83fvg-w5fkjagq3kcm9ZIuH?key=nG0HN9_TgcPwbaV4gcVF9eAU" alt=""><figcaption></figcaption></figure>

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeZasW1Oc5g3F7EX9xMoDkStFmDlxwEh5Ni2aqSlYiPtMpL0g8nZuMn3x8Npsh47ykpASro6Jf8XYlKyNysFy-bps0BaOqf1Z9LvVIV_6NQ1a7krP4DB0DvdI3Px-E5uzHw1sApYg?key=nG0HN9_TgcPwbaV4gcVF9eAU" alt=""><figcaption></figcaption></figure>

4. Збережіть зміни

{% hint style="info" %}
&#x20;Докладніше: [How to: Configure Certificate Authorities (Microsoft)](https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication#configure-certificate-authorities-by-using-the-microsoft-entra-admin-center)
{% endhint %}

### 3. Налаштування автентифікації на основі сертифікатів (Certificate-Based Authentication, CBA)

На цьому кроці потрібно дозволити користувачам входити в систему без пароля, використовуючи сертифікат від Hideez Enterprise Server і  Hideez Authenticator App.

1. Створіть групу користувачів

   &#x20;

* Перейдіть: Users → Groups
* Створіть Security Group (наприклад: `Smartcard logon`)
* Додайте до неї користувачів, які будуть використовувати Hideez Authenticator App для аутентифікації в робочу станцію.&#x20;

2. Увімкніть метод автентифікації для групи користувачів

Перейдіть до **Protection → Authentication Methods → Certificate-Based Authentication**

<figure><img src="/files/EwdASzV3EuAdFyGqS6g0" alt=""><figcaption></figcaption></figure>

* Натисніть **Add Group**

<figure><img src="/files/RwF0HuNU0OLrvirtVlty" alt=""><figcaption></figcaption></figure>

* Активуйте метод і додайте створену групу

3. Оберіть вибрану групу і натисніть “Configure”

<figure><img src="/files/gvEi5715sBJzlw7vWLm4" alt=""><figcaption></figcaption></figure>

3. Налаштуйте Authentication binding наступним чином:

<figure><img src="/files/5UpZiBU35xViAhDCZSjr" alt=""><figcaption></figcaption></figure>

3. Налаштуйте Username Binding

Натисніть Ad rule та оберіть Certificate field - PrincipalName

<figure><img src="/files/x3FDJJEzHUhb5Tn5OjxU" alt=""><figcaption></figcaption></figure>

Натисніть Ad rule і оберіть Certificate field - RFC822Name

<figure><img src="/files/yMReH2YyMtO0mO9oEpzb" alt=""><figcaption></figcaption></figure>

Це забезпечує відповідність між сертифікатом та обліковим записом Entra ID<br>

6. Увімкніть багатофакторну автентифікацію (MFA) (опціонально)

Якщо політика безпеки вашого тенанту вимагає MFA — переконайтеся, що вона активна для цієї групи

{% hint style="info" %}
Докладніше: [ How to: Enable Certificate-Based Authentication (Microsoft)](https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication#step-2-enable-cba-on-the-tenant)
{% endhint %}

### 4. Створення облікового запису для безпарольного входу

1. Увійдіть до облікового запису Entra ID на робочому ПК
2. Запустіть Hideez Client → Mobile → Passwordless Authorization
3. Скануйте QR-код через мобільний застосунок Hideez Authenticator
4. Застосунок створить обліковий запис для безпарольного входу
5. Надалі ви зможете входити в систему без пароля

### &#x20;Додатково: Робота в офлайн-режимі

У разі відсутності інтернет-з’єднання ви можете скористатися офлайн-кодами для розблокування робочої станції. Ці коди генеруються у мобільному застосунку Hideez Authenticator та автоматично оновлюються після кожної успішної авторизації в онлайн-режимі і зберігаються у TPM модулі вашого ПК.

&#x20;Як скористатися офлайн-кодом:

1. На екрані блокування комп’ютера натисніть "Розблокувати за допомогою офлайн-коду".
2. У мобільному застосунку Hideez Authenticator:

* Оберіть відповідний акаунт у розділі Робочі станції.
* Натисніть Показати офлайн-код.

<figure><img src="/files/xKTDDMGaPycJLVJPI586" alt="" width="296"><figcaption></figcaption></figure>

* Введіть згенерований код на комп’ютері для автентифікації

<figure><img src="/files/by5n6RSamToKpMDxg6b2" alt="" width="563"><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://enterprise-ua.hideez.com/mobilnii-zastosunok-hideez-authenticator/nalashtuvannya-hideez-authenticator-dlya-administratoriv/nalashtuvannya-dlya-autentifikaciyi-u-robochu-stanciyu-windows/nalashtuvannya-dlya-vkhodu-v-robochu-stanciyu-bez-parolya/bezparolnii-vkhid-do-entra-id-za-dopomogoyu-virtualnikh-smart-kartok-i-hideez-authenticator.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.