Безпарольний вхід до Entra ID за допомогою віртуальних смарт-карток і Hideez Authenticator

Ця інструкція описує налаштування безпарольного входу до робочої станції Windows, яка підключена до домену Entra ID, за допомогою технології віртуальних смарт-карток і мобільного застосунку Hideez Authenticator

Use case:

1. Користувач сканує QR-код на екрані заблокованої робочої станції через застосунок Hideez Authenticator.

2. Проходить аутентифікацію у застосунку за допомогою біометрії або PIN-коду.

3. Обирає обліковий запис і розблокує ПК — без введення пароля.

4. Завдяки цій технології немає потреби змінювати пароль доменного облікового запису.

Пререквізити для налаштування

1. Обліковий запис адміністратора Hideez Enterprise Server

2. Обліковий запис Entra ID з правами додавання сертифікатів

3. Налаштована інтеграція Hideez Enterprise Server з Entra ID

4. Кореневий сертифікат із сервера Hideez Enterprise Server завантажено до Entra ID

5. Користувач існує з однаковим email у Hideez Enterprise Server і в Entra ID

6. Мобільний застосунок Hideez Authenticator зареєстровано у профілі користувача Hideez Enterprise Server

7. На Робочій станції встановлено Hideez Client

8. Робоча станція затверджена на сервері Hideez Enterprise Server

Налаштування

1. Додавання Entra ID до сервера Hideez та отримання сертифіката

Після успішного підключення — завантажте сертифікат для подальшого використання у Entra ID.

2. Завантаження кореневого сертифіката до Entra ID

1. Увійдіть до Microsoft Entra Admin Center - https://entra.microsoft.com

2. Створіть a Public Key Infrastructure:

Protection → Security Center → Public Key Infrastructure → Create PKI

1. Перейдіть у створений PKI і додайте сертифікаційний центр (CA)

Натисніть Add CA → Завантажте файл сертифіката з Hideez Enterprise Server Certificate Revocation List URL — залиште порожнім.

1. Збережіть зміни

3. Налаштування автентифікації на основі сертифікатів (Certificate-Based Authentication, CBA)

На цьому кроці потрібно дозволити користувачам входити в систему без пароля, використовуючи сертифікат від Hideez Enterprise Server і Hideez Authenticator App.

1. Створіть групу користувачів

• Перейдіть: Users → Groups

• Створіть Security Group (наприклад: Smartcard logon)

• Додайте до неї користувачів, які будуть використовувати Hideez Authenticator App для аутентифікації в робочу станцію.

1. Увімкніть метод автентифікації для групи користувачів

Перейдіть до Protection → Authentication Methods → Certificate-Based Authentication

• Натисніть Add Group

• Активуйте метод і додайте створену групу

1. Оберіть вибрану групу і натисніть “Configure”

1. Налаштуйте Authentication binding наступним чином:

1. Налаштуйте Username Binding

Натисніть Ad rule та оберіть Certificate field - PrincipalName

Натисніть Ad rule і оберіть Certificate field - RFC822Name

Це забезпечує відповідність між сертифікатом та обліковим записом Entra ID

1. Увімкніть багатофакторну автентифікацію (MFA) (опціонально)

Якщо політика безпеки вашого тенанту вимагає MFA — переконайтеся, що вона активна для цієї групи

4. Створення облікового запису для безпарольного входу

1. Увійдіть до облікового запису Entra ID на робочому ПК

2. Запустіть Hideez Client → Mobile → Passwordless Authorization

3. Скануйте QR-код через мобільний застосунок Hideez Authenticator

4. Застосунок створить обліковий запис для безпарольного входу

5. Надалі ви зможете входити в систему без пароля

Додатково: Робота в офлайн-режимі

У разі відсутності інтернет-з’єднання ви можете скористатися офлайн-кодами для розблокування робочої станції. Ці коди генеруються у мобільному застосунку Hideez Authenticator та автоматично оновлюються після кожної успішної авторизації в онлайн-режимі і зберігаються у TPM модулі вашого ПК.

Як скористатися офлайн-кодом:

1. На екрані блокування комп’ютера натисніть "Розблокувати за допомогою офлайн-коду".

2. У мобільному застосунку Hideez Authenticator:

• Оберіть відповідний акаунт у розділі Робочі станції.

• Натисніть Показати офлайн-код.

• Введіть згенерований код на комп’ютері для автентифікації