Grupa robocza (workgroup) to najprostszy model sieci peer-to-peer, w którym każdy komputer działa niezależnie — bez centralnego serwera i bez wspólnego logowania. Domena Active Directory zapewnia scentralizowane zarządzanie użytkownikami, zasadami i zasobami przez kontroler domeny (Windows Server). Microsoft Entra ID Join (dawniej Azure AD Join) przenosi tożsamość urządzenia do chmury, umożliwiając logowanie kontem służbowym i zarządzanie przez Intune — bez konieczności posiadania serwera lokalnego. Wybór między tymi trzema modelami zależy od wielkości organizacji, posiadanej infrastruktury i wymagań bezpieczeństwa.
W skrócie
- Grupa robocza — każdy komputer zarządza własnymi użytkownikami; brak centralnego logowania, brak Group Policy. Działa na [Windows 11 Home](https://kluczesoft.pl/klucz-windows-11/microsoft-windows-11-home) i Pro.
- Domena AD — scentralizowane logowanie (Kerberos/LDAP), Group Policy, wspólne zasoby sieciowe. Wymaga Windows Server i Windows 11 Pro/Enterprise (Home nie obsługuje).
- Microsoft Entra ID Join (dawniej "Azure AD Join") — urządzenie dołączone do katalogu w chmurze; logowanie kontem Microsoft 365/Entra ID, zarządzanie przez Intune, Conditional Access. Wymaga Windows 11 Pro/Enterprise/Education.
- Hybrid Entra Join — połączenie domeny lokalnej z rejestracją w Entra ID; dla firm z istniejącym AD, które chcą stopniowo przechodzić do chmury.
- Microsoft Entra registered (czwarty wariant, często mylony) — rejestracja urządzenia prywatnego (BYOD) bez pełnego dołączenia; działa również na Windows 11 Home.
- Od lipca 2023 roku Azure Active Directory oficjalnie nazywa się Microsoft Entra ID. W praktyce obie nazwy funkcjonują równolegle.
Czym jest grupa robocza (workgroup)
Grupa robocza to najprostszy model organizacji komputerów w sieci lokalnej (LAN). Każde urządzenie jest niezależne — przechowuje własną listę użytkowników i haseł, a udostępnianie plików czy drukarek odbywa się bezpośrednio między komputerami (peer-to-peer). Nie ma centralnego serwera, który weryfikowałby tożsamość użytkowników.
W praktyce: jeśli masz trzy komputery w domu lub małym biurze i chcesz udostępnić folder z dokumentami, każdy z tych komputerów musi znać login i hasło do konta na komputerze udostępniającym zasób. Przy 2-3 komputerach jest to wygodne. Przy 20 staje się koszmarem — każde nowe hasło trzeba ręcznie powielić na każdym komputerze, a każde zwolnienie pracownika wymaga ręcznego usunięcia konta z każdej maszyny.
Ograniczenia grupy roboczej:
- Maksymalnie 20 jednoczesnych połączeń do udziału SMB w Windows 11 (limit kliencki, nie sztywny limit liczby komputerów)
- Brak jednolitego logowania (Single Sign-On) — osobne hasło na każdym komputerze
- Brak Group Policy — nie da się wymusić jednolitych ustawień bezpieczeństwa na wszystkich komputerach
- Brak centralnego audytu — nie wiesz, kto i kiedy logował się na dany komputer
- Każdy komputer działa jako odrębna jednostka bezpieczeństwa
Grupa robocza działa na każdej edycji Windows 11, w tym Home. Nie wymaga żadnego serwera ani dodatkowych licencji.
Czym jest domena Active Directory
Domena Active Directory (AD DS) to hierarchiczna struktura, w której kontroler domeny (serwer z Windows Server) centralnie przechowuje wszystkie konta użytkowników, komputerów, grup i zasad. Gdy logujesz się na komputerze dołączonym do domeny, to kontroler domeny — nie lokalny komputer — weryfikuje Twoje hasło przez protokół Kerberos.
Kluczowe możliwości domeny:
- Jedno konto na wszystkie zasoby — logujesz się raz i masz dostęp do plików, drukarek, aplikacji w całej sieci (Single Sign-On)
- Group Policy (GPO) — administrator centralnie wymusza zasady: złożoność haseł, blokadę USB, instalację oprogramowania, mapowanie dysków sieciowych, ustawienia Windows Update
- Centralny audyt i monitoring — wszystkie logowania, próby dostępu, zmiany są rejestrowane na kontrolerze domeny
- Delegacja uprawnień — możesz nadać uprawnienia administracyjne tylko na wybrane komputery lub jednostki organizacyjne (OU)
- Trust między domenami — w dużych organizacjach domeny mogą sobie ufać, umożliwiając dostęp między oddziałami
Czego wymaga domena:
- Windows Server (2016/2019/2022/2025) z rolą AD DS — co najmniej jeden kontroler domeny (zalecane dwa dla redundancji)
- Licencje CAL (Client Access License) dla użytkowników lub urządzeń
- Windows 11 Pro, Enterprise lub Education na stacjach roboczych — Windows 11 Home nie obsługuje dołączenia do domeny
- Stałe lub okresowe połączenie sieciowe między komputerami a kontrolerem domeny
Czym jest Microsoft Entra ID Join
Microsoft Entra ID Join (wcześniej "Azure AD Join", nazwa zmieniona w lipcu 2023) to model, w którym urządzenie jest dołączone bezpośrednio do katalogu w chmurze Microsoft, z pominięciem lokalnego Active Directory. Użytkownik loguje się na komputerze kontem służbowym (np. jan@firma.pl z Microsoft 365), a uwierzytelnianie odbywa się przeciwko Entra ID w chmurze.
Co daje Entra ID Join:
- Logowanie kontem Microsoft 365 / Entra ID — to samo hasło co do Outlooka, Teams, SharePoint
- Zarządzanie przez Microsoft Intune — zdalna konfiguracja, wymuszanie szyfrowania, polityki zgodności, deployment aplikacji
- Conditional Access — możesz zablokować dostęp do zasobów firmowych z urządzeń niespełniających wymogów (np. brak BitLocker, nieaktualny system)
- Windows Hello for Business — logowanie PIN-em, twarzą lub odciskiem palca z kluczami kryptograficznymi
- Self-Service Password Reset — użytkownik sam resetuje hasło przez przeglądarkę, nawet z ekranu blokady
- Brak zależności od serwera lokalnego — idealne dla pracy zdalnej i firm bez własnej serwerowni
- Windows Autopilot — nowy komputer prosto od dostawcy automatycznie konfiguruje się po pierwszym uruchomieniu
Czego wymaga Entra ID Join:
- Licencja Microsoft Entra ID (Free wystarcza do samego dołączenia; P1/P2 potrzebne do Conditional Access i zaawansowanego bezpieczeństwa)
- Licencja Microsoft Intune do zarządzania (zawarta m.in. w Microsoft 365 Business Premium, E3, E5)
- Windows 11 Pro, Enterprise lub Education — Home nie obsługuje Entra Join (obsługuje tylko Entra Registered dla BYOD)
- Połączenie z internetem podczas pierwszego logowania
Hybrid Entra Join — pomost między domeną a chmurą
Jeśli Twoja organizacja ma już lokalny Active Directory i nie może od razu z niego zrezygnować (np. ze względu na starsze aplikacje wymagające uwierzytelniania Kerberos), Microsoft Entra hybrid join łączy oba światy. Urządzenie pozostaje dołączone do domeny lokalnej, ale jednocześnie rejestruje się w Entra ID — zyskując dostęp do funkcji chmurowych, takich jak Conditional Access czy Intune.
Wymaga to narzędzia Microsoft Entra Connect (lub Entra Connect Sync), które synchronizuje tożsamości między lokalnym AD a Entra ID. Minusem jest zależność od okresowego połączenia z kontrolerem domeny — bez niego urządzenie przestaje działać poprawnie. Dla pracowników zdalnych jest to istotne ograniczenie; Microsoft rekomenduje dziś czysty Entra Join jako preferowaną ścieżkę.
Tabela porównawcza: grupa robocza vs domena vs Entra ID Join
| Cecha | Grupa robocza | Domena AD | Entra ID Join | Hybrid Entra Join |
|---|---|---|---|---|
| Centralne logowanie (SSO) | ❌ | ✅ (Kerberos) | ✅ (Entra ID / M365) | ✅ (AD + Entra ID) |
| Group Policy / GPO | ❌ | ✅ | ❌ (zastąpione Intune CSP) | ✅ (GPO + Intune) |
| Zarządzanie przez chmurę | ❌ | ❌ (chyba że z Intune) | ✅ (Intune) | ✅ (Intune + GPO) |
| Conditional Access | ❌ | ❌ (bez Entra ID P1) | ✅ (z P1/P2) | ✅ (z P1/P2) |
| Windows Hello for Business | Ograniczone do PIN/biometrii lokalnej | ✅ (z certyfikatami) | ✅ (klucze cloud-trust) | ✅ |
| Autopilot / zero-touch deployment | ❌ | ❌ (ręczne dołączanie) | ✅ | ✅ |
| Wymaga Windows Server | ❌ | ✅ (+ licencje CAL) | ❌ | ✅ (+ Entra Connect) |
| Wymaga połączenia z siecią firmową | ❌ | ✅ (okresowo) | ❌ (tylko internet) | ✅ (okresowo z DC) |
| Działa na Windows 11 Home | ✅ | ❌ | ❌ (tylko Registered) | ❌ |
| Działa na Windows 11 Pro | ✅ | ✅ | ✅ | ✅ |
| Koszt infrastruktury | Zerowy | Wysoki (serwer + CAL + administracja AD) | Średni (licencje M365/Intune) | Wysoki (AD + dodatkowe licencje chmurowe) |
| Odpowiedni dla | Dom, mikro-firmy ≤5 osób | Średnie/duże firmy z własną infrastrukturą | Firmy cloud-first, praca zdalna | Firmy hybrydowe z istniejącym AD |
| Bezpieczeństwo urządzenia | Każdy komputer osobno | Scentralizowane (GPO) | Scentralizowane (Intune + CA) | Podwójne (GPO + Intune) |
| Skalowalność | Do ~20 komputerów | Tysiące | Tysiące | Tysiące |
Kiedy wybrać grupę roboczą
Grupa robocza ma sens w mikro-firmach i domach, gdzie:
- Jest maksymalnie 5–10 komputerów
- Nie ma potrzeby jednolitego logowania (każdy używa swojego komputera)
- Nie ma budżetu na Windows Server ani licencje Microsoft 365 Business Premium
- Udostępnianie plików odbywa się okazjonalnie, przez chmurę publiczną (OneDrive, Dysk Google) lub przez proste udziały SMB
Jeśli jednak firma rośnie i zatrudnia pracowników, którzy muszą logować się na różnych komputerach, grupa robocza szybko staje się balastem. Brak możliwości zdalnego wymuszenia zasad bezpieczeństwa (np. szyfrowania dysku BitLockerem) to także poważne ryzyko przy kontroli UODO czy audytach.
Kiedy wybrać domenę Active Directory
Domena AD pozostaje dobrym wyborem, gdy:
- Masz już infrastrukturę Windows Server i doświadczony zespół IT
- Korzystasz ze starszych aplikacji (Win32), które wymagają uwierzytelniania Kerberos lub NTLM
- Potrzebujesz Group Policy do precyzyjnego zarządzania setkami ustawień systemowych
- Operujesz w sieci zamkniętej (air-gapped), bez dostępu do internetu
- Wymagania zgodności (np. wojsko, infrastruktura krytyczna) nie pozwalają na zarządzanie przez chmurę
Pamiętaj jednak, że domena AD to nie tylko serwer — to także licencje CAL, backup kontrolerów, replikacja, monitoring, aktualizacje i stała administracja.
Kiedy wybrać Entra ID Join
Microsoft od 2023 roku otwarcie rekomenduje Entra ID Join jako domyślną ścieżkę dla nowych wdrożeń Windows 11. Jest to najlepszy wybór, gdy Twoja firma:
- Korzysta z Microsoft 365 (Exchange Online, Teams, SharePoint, OneDrive)
- Zatrudnia pracowników zdalnych i hybrydowych, którzy rzadko łączą się z siecią biurową
- Nie chce inwestować w lokalne serwery i ich utrzymanie
- Potrzebuje szybkiego wdrożenia nowych komputerów (Windows Autopilot)
- Chce egzekwować polityki bezpieczeństwa przez Conditional Access (np. "tylko zaszyfrowane i zaktualizowane urządzenia mają dostęp do poczty")
Minusem Entra ID Join jest zależność od internetu przy pierwszym logowaniu oraz to, że nie zastąpi wszystkich funkcji Group Policy — choć Microsoft Intune z każdym rokiem zmniejsza tę lukę.
Microsoft Entra Registered — czwarta opcja, o której warto wiedzieć
Istnieje jeszcze czwarty wariant: Microsoft Entra registered (dawniej "Azure AD Registered"). To najlżejsza forma powiązania urządzenia z Entra ID — dedykowana dla urządzeń prywatnych (BYOD) i jako jedyna działa również na Windows 11 Home. Użytkownik dodaje swoje konto służbowe w Ustawieniach (Konta → Dostęp do pracy lub szkoły), ale urządzenie nie jest w pełni zarządzane. Entra Registered umożliwia SSO do aplikacji chmurowych i podstawowe polityki zgodności, ale nie daje pełnej kontroli nad urządzeniem, jaką oferuje Entra Join.
Częste pytania
Czy Windows 11 Home obsługuje dołączenie do domeny?
Nie. Windows 11 Home nie obsługuje dołączania do domeny Active Directory, Entra ID Join ani Hybrid Entra Join. Jedyną opcją chmurową dla Home jest Microsoft Entra Registered (rejestracja urządzenia prywatnego przez dodanie konta służbowego). Aby dołączyć komputer do domeny lokalnej lub Entra ID, potrzebujesz Windows 11 Pro, Enterprise lub Education.
Czy Azure AD Join to to samo co Entra ID Join?
Tak. W lipcu 2023 roku Microsoft zmienił nazwę Azure Active Directory na Microsoft Entra ID. Funkcjonalność "Azure AD Join" nie zmieniła się — zmieniła się tylko nazwa. W dokumentacji, interfejsie i komunikatach możesz spotkać obie nazwy, ale odnoszą się do tej samej usługi.
Ile kosztuje Entra ID Join?
Samo dołączenie urządzenia do Entra ID jest darmowe (wymaga tylko licencji Entra ID Free, która jest częścią każdej subskrypcji Microsoft 365). Jednak pełne zarządzanie (Intune, Conditional Access, Windows Autopilot) wymaga płatnych licencji: Microsoft Intune (zawarty m.in. w Microsoft 365 Business Premium, E3, E5) oraz Entra ID P1 lub P2 dla zaawansowanych polityk bezpieczeństwa. Koszt zależy od konkretnego planu subskrypcji w Twojej organizacji.
Czy mogę przejść z grupy roboczej na domenę bez utraty danych?
Tak, ale samo dołączenie do domeny nie przenosi lokalnego profilu użytkownika na profil domenowy. Po dołączeniu komputera do domeny tworzysz nowy profil domenowy, a dane z lokalnego profilu (pulpit, dokumenty, zakładki przeglądarki) musisz ręcznie skopiować lub skorzystać z narzędzi migracyjnych, takich jak User State Migration Tool (USMT) albo rozwiązania innych firm.
Czy potrzebuję VPN, żeby korzystać z domeny Active Directory zdalnie?
Tak — komputer dołączony do domeny lokalnej wymaga okresowego połączenia z kontrolerem domeny (do odświeżenia biletu Kerberos, zmian haseł, aktualizacji Group Policy). Bez tego po pewnym czasie (domyślnie ~30 dni) komputer utraci zaufanie do domeny i nie będzie można się zalogować. W pracy zdalnej rozwiązaniem jest VPN łączący użytkownika z siecią firmową lub — jeszcze lepiej — migracja na Entra ID Join, który nie ma tego ograniczenia.
Czy mogę mieć jednocześnie domenę lokalną i Entra ID Join?
Nie na tym samym urządzeniu w tym samym czasie. Urządzenie jest albo dołączone do domeny lokalnej, albo do Entra ID — nie można być w obu jednocześnie jako "joined". Istnieje natomiast Hybrid Entra Join: urządzenie jest dołączone do domeny lokalnej i jednocześnie zarejestrowane w Entra ID. Łączy to funkcje obu światów, ale wymaga synchronizacji przez Entra Connect i dostępu do kontrolera domeny.
Co się stanie z moim komputerem, jeśli anuluję subskrypcję Microsoft 365?
Sam komputer nie przestanie działać — urządzenie dołączone do Entra ID nadal będzie się uruchamiać, a lokalne dane pozostaną nienaruszone. Stracisz natomiast dostęp do usług chmurowych (Exchange Online, Teams, SharePoint, OneDrive), zarządzania przez Intune oraz polityk Conditional Access. Zalogowanie lokalnym kontem administratora będzie nadal możliwe, chyba że polityki Intune wymusiły szyfrowanie z kluczem w chmurze — wtedy odzyskanie danych bez dostępu do Entra ID może być trudne.
Jaki system Windows wybrać do swojego środowiska?
Wybór między grupą roboczą, domeną a Entra ID Join zależy od skali i potrzeb Twojej organizacji. Niezależnie od ścieżki, potrzebujesz odpowiedniej edycji Windows 11, która umożliwi wybrany model. Dla domeny AD i Entra ID Join niezbędny jest Windows 11 Pro — Home nie obsługuje żadnego z tych scenariuszy poza podstawową rejestracją BYOD.
Jeśli szukasz legalnej, w pełni aktywowanej licencji Windows 11 w przystępnej cenie:
→ Microsoft Windows 11 Professional — klucz licencyjny od 199 zł — obsługuje domenę AD, Entra ID Join, BitLocker, Remote Desktop i Group Policy.
KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Active Directory, Microsoft Entra ID, Intune i Azure są zastrzeżonymi znakami towarowymi Microsoft Corporation. Informacje w tym artykule są aktualne na maj 2026 roku.