Zasady grupy (Group Policy, GPO) i Microsoft Intune Policy to dwa różne mechanizmy zarządzania konfiguracją urządzeń z Windows — oba służą do tego samego celu (wymuszania ustawień i zabezpieczeń), ale działają w zupełnie innych architekturach. GPO jest rozwiązaniem on-premise, opartym o Active Directory i lokalny edytor gpedit.msc, podczas gdy Intune to natywnie chmurowa usługa MDM oparta o CSP (Configuration Service Providers) — działa bez domeny AD i zarządza urządzeniami przez internet, niezależnie od lokalizacji.
W skrócie
- GPO = lokalne zasady grupy w domenie Active Directory, zarządzane przez
gpmc.msc; wymaga serwera AD i połączenia z siecią firmową- Intune Policy = chmurowe zasady MDM działające przez internet, zarządzane w przeglądarce (admin center); urządzenie potrzebuje tylko połączenia z internetem
- GPO używa szablonów ADMX i edytuje rejestr Windows bezpośrednio; Intune używa CSP (Configuration Service Providers) jako warstwy pośredniej — te same ustawienia, inna droga
- Intune obsługuje szablony administracyjne ADMX (importowane przez Settings Catalog) — od grudnia 2024 r. stary profil „Administrative Templates" został wycofany, wszystko jest w Settings Catalog
- Co-management pozwala używać obu jednocześnie na tym samym urządzeniu — obciążenia (workloads) można przełączać między Configuration Manager a Intune
- Intune = chmurowy, bez serwerów, pełne wsparcie Windows 11 24H2 (2025/2026) z Copilotem do pomocy przy konfiguracji i rozwiązywaniu konfliktów
- GPO pozostaje kluczowe dla środowisk ściśle on-premise, air-gapped i legacy — Microsoft go nie wycofuje, ale inwestuje prawie wyłącznie w Intune
- Intune jest objęty licencjami Microsoft 365 E3/E5, Business Premium i EMS — nie wymaga osobnego zakupu w tych planach
Werdykt: GPO czy Intune?
| Kryterium | GPO (Zasady grupy) | Intune Policy | Wybór |
|---|---|---|---|
| Architektura | On-premise, Active Directory | Chmurowa (MDM przez CSP) | — |
| Zarządzanie zdalne | ❌ Tylko VPN / DirectAccess | ✅ Internet, wszędzie | Intune |
| Zależność od AD | ✅ Wymaga domeny AD | ❌ Nie potrzebuje AD (tylko Entra ID) | Intune |
| Offline / Air-gapped | ✅ Pełne wsparcie | ❌ Wymaga internetu | GPO |
| Szybkość wdrożenia | ⚠ Minuty–godziny (gpupdate) | ⚠ Minuty–godziny (sync cycle) | Remis |
| Ilość dostępnych ustawień | ✅ ~4000+ ustawień ADMX | ✅ ~3400+ (Settings Catalog, rośnie) | GPO |
| Szablony firm trzecich | ✅ Pełne ADMX/ADML | ✅ Import ADMX (od 1709) | Remis |
| Preferencje (Preferences) | ✅ Drives, shortcuts, registry | ⚠ Ograniczone (OMA-URI/Custom) | GPO |
| Filtrowanie WMI | ✅ Tak | ❌ Brak (Assignment Filters) | GPO |
| Loopback processing | ✅ Tak (merge/replace) | ⚠ Częściowe (przez scope) | GPO |
| PowerShell automatyzacja | ✅ Get-GPO, Set-GPRegistryValue | ✅ MS Graph API (w pełni) | Remis |
| Koszty infrastruktury | Wysokie (serwery AD, CALe) | Brak (tylko licencje Intune) | Intune |
| Raportowanie i audyt | ⚠ Resultant Set of Policy (RSOP) | ✅ Per-setting status, Copilot AI | Intune |
| Urządzenia mobilne | ❌ Tylko Windows | ✅ iOS, Android, macOS, Linux | Intune |
| Bezpieczeństwo Zero Trust | ❌ Opiera się na zaufaniu do sieci | ✅ Natywne Conditional Access | Intune |
| Konflikty | Ostatnia zastosowana wygrywa | User > Device scope, MDM > GP | — |
Czym są Zasady grupy (Group Policy, GPO)
Zasady grupy to fundament zarządzania Windows od Windows 2000. Działają w oparciu o Active Directory — kontroler domeny przechowuje obiekty GPO, które są replikowane na wszystkie kontrolery w domenie i pobierane przez komputery klienckie podczas uruchamiania oraz cyklicznego odświeżania (domyślnie co 90 minut).
Jak działa GPO — architektura
- Administrator tworzy GPO w Group Policy Management Console (
gpmc.msc) i linkuje go do jednostki organizacyjnej (OU) w AD. - GPO zawiera ustawienia zdefiniowane w plikach ADMX/ADML — szablonach XML opisujących, co można skonfigurować.
- Komputer kliencki podczas startu łączy się z kontrolerem domeny przez LDAP (port 389) i SMB (port 445), pobiera listę GPO, które go dotyczą, i aplikuje ustawienia do rejestru (
HKLMlubHKCU). - gpupdate /force wymusza natychmiastowe odświeżenie;
rsop.mscpokazuje zestawienie faktycznie zastosowanych ustawień (Resultant Set of Policy).
GPO oferuje bogaty ekosystem: Preferences (mapowanie dysków, skróty, klucze rejestru), logon/logoff scripts, WMI filtering (stosowanie GPO tylko gdy np. model laptopa = ThinkPad) i loopback processing (zasady użytkownika na podstawie komputera).
Ograniczenia GPO
- Wymaga łączności z siecią firmową (VPN lub DirectAccess dla zdalnych użytkowników). Bez połączenia z DC — brak aktualizacji GPO.
- Brak wsparcia dla urządzeń mobilnych (Android, iOS, macOS).
- Skomplikowana infrastruktura: kontrolery domeny, replikacja SYSVOL, zarządzanie uprawnieniami delegowania GPO.
- Trudne raportowanie: RSOP jest statyczny; analiza konfliktów między wieloma GPO bywa żmudna.
Czym jest Intune Policy
Microsoft Intune to chmurowa usługa Mobile Device Management (MDM) i Mobile Application Management (MAM), dostępna od 2010 r. (pierwotnie jako Windows Intune). W 2026 roku to dojrzała platforma Unified Endpoint Management (UEM) zarządzająca Windows, macOS, iOS, Android i Linux.
Jak działa Intune — architektura
- Administrator konfiguruje polityki w Microsoft Intune admin center (przeglądarka, portal online).
- Polityki są przypisywane do grup użytkowników lub urządzeń w Microsoft Entra ID (dawniej Azure AD).
- Urządzenie zarejestrowane w Intune (przez Autopilot, ręczne dołączenie do Entra ID lub hybrid join) cyklicznie sprawdza (co ~8 godzin lub na żądanie — "Sync") czy są nowe polityki.
- Polityki są dostarczane przez protokół MDM SyncML i aplikowane przez Policy CSP — warstwę systemową Windows, która przekłada ustawienia MDM na odpowiednie klucze rejestru, podobnie jak GPO.
Kluczowa różnica: Intune nie potrzebuje Active Directory. Urządzenie może być wyłącznie Entra ID joined (cloud-native) i otrzymywać wszystkie polityki przez internet — bez VPN, bez domeny on-premise.
Settings Catalog — serce Intune
Od 2022 roku Microsoft przesuwa wszystkie ustawienia do Settings Catalog — jednego, przeszukiwalnego katalogu zawierającego tysiące ustawień, w tym szablony administracyjne ADMX. W grudniu 2024 (wersja 2412) stary profil "Administrative Templates" został oficjalnie wycofany — ustawienia ADMX są teraz wyłącznie w Settings Catalog.
Settings Catalog daje też to, czego GPO nie ma: Copilot w Intune — AI, które analizuje polityki, wykrywa konflikty, podpowiada wartości i generuje podsumowania.
CSP vs ADMX — techniczna różnica
- GPO: ADMX → edytor zasad grupy → klient GPO → bezpośredni zapis do rejestru (
HKLM\Software\Policies,HKCU\Software\Policies) - Intune: CSP (Policy CSP) → SyncML (OMA-DM) → Policy CSP agent na urządzeniu → zapis do rejestru
CSP to most między protokołem MDM a wewnętrzną konfiguracją Windows. Te same polityki (np. "Wyłącz Windows Update") są dostępne w obu systemach — różni się tylko mechanizm dostarczania, nie końcowy efekt.
Kluczowe różnice w praktyce
1. GPO ma Preferences — Intune nie (bezpośrednio)
Group Policy Preferences (GPP) to osobna kategoria GPO umożliwiająca mapowanie dysków, tworzenie skrótów, kopiowanie plików, zarządzanie drukarkami i usługami. W Intune odpowiedniki są możliwe tylko przez PowerShell (platform scripts), OMA-URI lub Custom CSP — brakuje dedykowanego GUI.
2. Szybkość: Intune jest wolniejszy przy pierwszym wdrożeniu
GPO przy starcie komputera pobiera wszystkie polityki w ciągu sekund (jeśli DC jest dostępny). Intune działa asynchronicznie — pierwszy sync po rejestracji może zająć kilkanaście minut. Kolejne sync są szybsze, ale GPO pozostaje bardziej przewidywalne w sieci LAN.
3. Intune wygrywa w pracy zdalnej i hybrydowej
Pracownik w domu z laptopem Entra ID joined dostaje wszystkie polityki Intune przez internet — bez VPN. Z GPO byłby to problem: bez połączenia z DC przez VPN polityki się nie aktualizują. To największa przewaga architektoniczna Intune w erze pracy hybrydowej (model przyjęty trwale po 2020 roku).
4. Raportowanie: przepaść na korzyść Intune
GPO oferuje tylko rsop.msc i ręczne przeglądanie dziennika zdarzeń. Intune daje per-setting status — widzisz dokładnie, które ustawienie na którym urządzeniu się nie zastosowało, wraz z kodem błędu. Copilot dodatkowo robi podsumowania analityczne i pomaga rozwiązywać konflikty.
5. Bezpieczeństwo: Intune + Conditional Access
Intune integruje się z Microsoft Entra Conditional Access — dostęp do firmowych zasobów może być uzależniony od stanu zgodności urządzenia (compliance). GPO nie ma takiej możliwości — kontroluje tylko to, co dzieje się w domenie, bez łączenia z dostępem do aplikacji chmurowych (M365, SharePoint, Exchange Online).
Kiedy wybrać GPO, a kiedy Intune
Wybierz GPO, gdy:
- Masz istniejącą domenę Active Directory, która działa stabilnie i nie planujesz migracji do chmury.
- Potrzebujesz Preferences (mapowanie dysków, skróty, drukarki przez GPP).
- Działasz w środowisku air-gapped (bez dostępu do internetu) — Intune nie zadziała.
- Korzystasz intensywnie z WMI filtering — Intune nie ma bezpośredniego odpowiednika.
- Wymagasz loopback processing w trybie replace — Intune obsługuje podobny efekt tylko częściowo przez scope.
Wybierz Intune, gdy:
- Pracownicy są zdalni/hybrydowi — potrzebujesz zarządzać urządzeniami przez internet.
- Zarządzasz wieloma platformami — Windows + macOS + iOS + Android.
- Wdrażasz model Zero Trust — chcesz uzależniać dostęp od stanu urządzenia (Conditional Access).
- Budujesz nowe środowisko i nie chcesz stawiać serwerów AD — cloud-native z Entra ID Join.
- Chcesz zautomatyzować provisioning przez Windows Autopilot (od razu po wyjęciu z pudełka).
Opcja hybrydowa: co-management
Nie musisz wybierać jednego lub drugiego. Co-management (Configuration Manager + Intune) pozwala używać obu równolegle na tych samych urządzeniach. Możesz stopniowo przełączać poszczególne obciążenia (compliance, Windows Update, Endpoint Protection, konfiguracja urządzeń) z ConfigMgr na Intune, zachowując GPO dla tych warstw, które jeszcze nie są gotowe do migracji.
Microsoft określa co-management jako ścieżkę do chmury, nie jako stan docelowy — w dłuższej perspektywie firma zachęca do pełnego przejścia na Intune i Entra ID join.
Proces migracji z GPO do Intune — w praktyce
- Analiza GPO: Wyeksportuj istniejące GPO (
Backup-GPO) i zmapuj, które ustawienia faktycznie są używane. Narzędzia: Group Policy Analytics (wbudowane w Intune admin center od 2023 r.) — analizuje GPO i pokazuje, które ustawienia mają odpowiednik w Settings Catalog. - Pilotaż: Wybierz grupę testowych urządzeń, przełącz je na co-management i wdróż odpowiedniki GPO przez Intune.
- Testowanie konfliktów: MDM wins over GP — Intune nadpisuje GPO jeśli oba dotyczą tego samego ustawienia. Sprawdź, czy zamierzony efekt jest zachowany.
- Stopniowe przełączanie: Przełączaj kolejne obciążenia (workloads) w co-management, monitorując compliance.
- Czyste Entra ID Join: Docelowo — nowe urządzenia przez Autopilot, bez dołączania do domeny AD.
Częste pytania
Czy Microsoft wycofuje Group Policy?
Nie — Microsoft oficjalnie nie zapowiedział końca życia GPO. Jednak cały rozwój nowych funkcji zarządzania (ustawienia, raportowanie, AI Copilot) trafia wyłącznie do Intune. GPO pozostaje w trybie utrzymania (maintenance mode) — działa, dostaje poprawki bezpieczeństwa, ale nie otrzymuje nowych możliwości. Nowe ustawienia Windows 11 (np. Copilot w systemie, Windows Backup, nowe kontrolki prywatności) są często dostępne tylko przez CSP/MDM, nie przez ADMX.
Czy Intune ma wszystkie ustawienia dostępne w GPO?
Nie wszystkie — ale pokrycie stale rośnie. Intune obsługuje ponad 3400 ustawień przez Settings Catalog. GPO ma ich ~4000+. Różnica dotyczy głównie niszowych, starszych ustawień legacy, które Microsoft uznaje za przestarzałe. Do końca 2026 roku pokrycie ma sięgnąć ~90%. Dla pozostałych 10% można użyć Custom OMA-URI lub skryptów PowerShell.
Czy Intune działa na Windows 11 Home?
Ograniczenie — Intune działa na Windows 11 Home, ale część ustawień CSP wymaga wersji Pro, Enterprise lub Education. Microsoft oficjalnie zaleca Windows 11 Enterprise dla pełnego doświadczenia z Intune. W praktyce, do zarządzania flotą firmową potrzebujesz minimum Windows 11 Pro.
Co jest szybsze — GPO czy Intune?
W sieci LAN GPO jest szybsze — polityki są pobierane podczas startu systemu (~kilka–kilkanaście sekund). Intune ma opóźnienie — pierwsze sprawdzenie po rejestracji może zająć do 15 minut, kolejne synchronizacje są szybsze. W pracy zdalnej Intune wygrywa: urządzenie pobiera polityki przez internet bez VPN, podczas gdy z GPO potrzebowałbyś połączenia VPN do kontrolera domeny.
Czy mogę używać Group Policy i Intune jednocześnie?
Tak — to właśnie co-management. Na tym samym urządzeniu może działać klient Configuration Manager (z GPO) i Intune MDM. Trzeba tylko uważać na konflikty — zasada jest taka, że MDM (Intune) nadpisuje GPO, jeśli oba próbują kontrolować to samo ustawienie. Microsoft zaleca, aby nie konfigurować tych samych ustawień w obu systemach.
Jak sprawdzić, które ustawienia GPO mają odpowiednik w Intune?
Użyj wbudowanego narzędzia Group Policy Analytics w Intune admin center. Importujesz kopię zapasową GPO (folder z plikami XML), a narzędzie pokazuje: które ustawienia mają bezpośredni odpowiednik w Settings Catalog, które wymagają Custom OMA-URI, a które nie mają jeszcze odpowiednika w MDM. Narzędzie jest darmowe dla posiadaczy licencji Intune.
Czy potrzebuję Intune, jeśli mam tylko kilka komputerów?
Dla małych firm (1–25 komputerów) lokalny Edytor zasad grupy (gpedit.msc) może wystarczyć — pozwala skonfigurować większość ustawień na pojedynczym komputerze. Jednak gpedit.msc nie skaluje się — każdą zmianę trzeba robić ręcznie na każdym urządzeniu. Intune w planie Business Premium (ok. 90 zł/użytkownika/miesiąc) daje scentralizowane zarządzanie nawet dla małych zespołów.
Jeśli planujesz migrację na Intune i potrzebujesz nowych licencji Windows 11 z pełnym wsparciem zarządzania chmurami — w KluczeSoft znajdziesz legalne, niskokosztowe licencje Microsoft Windows 11 Professional w cenach zaczynających się od 199 zł. To pełnoprawne klucze, które umożliwiają dołączenie do Entra ID i pełne zarządzanie przez Intune — bez przepłacania za wersje retail.
→ Microsoft Windows 11 Professional — klucz licencyjny od 199 zł