Przejdź do treści
Powrót do Centrum Pomocy
Windows 11
Porównania

Windows 11: MDM vs Co-management vs Windows Autopatch — jak zarządzać aktualizacjami i politykami w środowisku firmowym (2026)

MDM umożliwia:

11 min czytania·Zaktualizowano 1 miesiąc temu

Zarządzanie flotą urządzeń z Windows 11 można oprzeć na trzech różnych podejściach dostarczanych przez Microsoft: czystym MDM (poprzez Intune), co-management (Intune + Configuration Manager), oraz Windows Autopatch — w pełni zautomatyzowanej usłudze aktualizacji. Wybór zależy od tego, skąd startujesz: firma bez infrastruktury on-premises wybierze Intune MDM + Autopatch; organizacja z istniejącym SCCM sięgnie po co-management jako pomost do chmury.

W skrócie

  • MDM (Mobile Device Management) — natywny protokół zarządzania Windows 11 przez chmurę (Intune lub zewnętrzne MDM); rejestracja, polityki, compliance, zdalne akcje.
  • Co-management — jednoczesne zarządzanie tym samym urządzeniem przez Configuration Manager (on-prem) i Intune (chmura); stopniowe przenoszenie obciążeń (workloads) do chmury.
  • Windows Autopatch — usługa chmurowa automatyzująca wdrażanie aktualizacji Windows, Microsoft 365 Apps, Edge i Teams; wymaga licencji E3/E5/A3/A5/F3 lub Business Premium.
  • MDM i Autopatch się uzupełniają — nie konkurują. Co-management to strategia przejściowa z SCCM do chmury.
  • Sam Autopatch nie zastępuje MDM — potrzebuje Intune jako warstwy rejestracji i polityk.

Czym jest MDM w Windows 11

MDM (Mobile Device Management) w kontekście Windows 11 to wbudowany w system komponent zarządzania, który komunikuje się z serwerem zarządzania w chmurze — najczęściej z Microsoft Intune, ale możliwe są też zewnętrzne rozwiązania MDM (VMware Workspace ONE, Ivanti, itp.). Protokół MDM opiera się na standardzie OMA-DM i nie wymaga instalowania agenta — wszystko działa natywnie przez usługę dmwappushsvc.

MDM umożliwia:

  • Rejestrację urządzeń (Autopilot, Azure AD Join, Hybrid Join) i automatyczne przypisywanie polityk
  • Konfigurację polityk bezpieczeństwa — odpowiednik GPO w świecie chmurowym: BitLocker, Windows Defender, firewall, ograniczenia kont
  • Compliance policies — wymuszanie BitLockera, minimalnej wersji OS, stanu antywirusa
  • Zdalne akcje: restart, wipe, remote lock, lokalizacja urządzenia
  • Dystrybucję aplikacji (Win32, LOB, Microsoft Store)
  • Konfigurację Windows Update for Business — pierścienie aktualizacji, deferral, godziny aktywności
  • Conditional Access — integracja z Entra ID: urządzenie niespełniające compliance nie dostanie dostępu do zasobów Microsoft 365

Wymagania licencyjne MDM przez Intune: subskrypcja Intune (osobno lub w ramach EMS, Microsoft 365 E3/E5, Business Premium). Sam system Windows 11 Pro/Enterprise/Edu wspiera MDM — nie trzeba dopłacać za funkcję w OS.

Jeden MDM na urządzenie. Windows pozwala tylko na jednego dostawcę MDM. Jeśli masz Intune, nie podepniesz równolegle drugiego zewnętrznego MDM.

Czym jest co-management

Co-management to tryb, w którym jedno urządzenie z Windows 11 jest zarządzane jednocześnie przez Configuration Manager (SCCM) i Microsoft Intune. Nie mylić z coexistence (SCCM + zewnętrzny MDM — brak koordynacji między systemami). W co-management Intune i SCCM są świadome siebie nawzajem i dzielą się odpowiedzialnością za poszczególne obciążenia (workloads).

Dostępne obciążenia do przełączania z SCCM na Intune (lub do pilotażu):

Obciążenie (workload)Co robi
Compliance policiesReguły zgodności urządzenia z polityką firmy
Windows Update policiesKonfiguracja pierścieni aktualizacji, deferral
Resource access policiesVPN, Wi-Fi, certyfikaty
Endpoint ProtectionWindows Defender, firewall, ASR, EDR
Device configurationProfile konfiguracyjne (CSP), GPO cloud
Office Click-to-Run appsZarządzanie instalacją i aktualizacjami M365 Apps
Client appsDystrybucja aplikacji przez Intune (Company Portal)

Kluczowa zaleta co-management: możesz przełączać obciążenia stopniowo. Np. Endpoint Protection dalej w SCCM, ale Windows Update już w Intune. Możesz też ustawić obciążenie na Pilot Intune — nowe zachowanie testujesz na wąskiej grupie, zanim włączysz dla całej floty.

Dwie główne ścieżki dojścia do co-management:

  1. Z SCCM do chmury — masz urządzenia w SCCM, dodajesz Hybrid Azure AD Join, rejestrujesz w Intune, włączasz co-management.
  2. Z chmury do SCCM — nowe urządzenia od razu w Intune/Autopilot; instalujesz klienta SCCM dla zachowania pełnego zarządzania on-prem.

Wymagania: Microsoft Entra ID P1/P2, Intune, Configuration Manager w obsługiwanej wersji, urządzenia muszą być Entra hybrid joined lub Entra joined (samo registered to za mało).

Czym jest Windows Autopatch

Windows Autopatch to w pełni zarządzana usługa chmurowa Microsoft, która przejmuje odpowiedzialność za cały cykl aktualizacji: planowanie, testowanie (na pierścieniach deploymentu), stopniowe wdrażanie i monitorowanie. Nie jest to osobny produkt — to funkcjonalność działająca wewnątrz Intune, korzystająca z jego infrastruktury.

Co obejmuje Autopatch:

  • Windows quality updates (comiesięczne poprawki bezpieczeństwa)
  • Windows feature updates (nowe wersje, np. 24H2 → 25H2)
  • Microsoft 365 Apps for Enterprise (dawniej Office 365 ProPlus)
  • Microsoft Edge (aktualizacje przeglądarki)
  • Microsoft Teams (aktualizacje klienta Teams)
  • Driver and firmware updates (sterowniki od producentów sprzętu)
  • Hotpatch — poprawki bezpieczeństwa bez restartu (dla kwalifikujących się urządzeń)

Autopatch działa na zasadzie Autopatch Groups — dynamicznych grup urządzeń, przez które aktualizacje przechodzą etapami: Ring 1 (najwcześniej, testowe), Ring 2, Ring 3 (produkcja), aż do Last (ostatnie urządzenia, największa ostrożność). Jeśli aktualizacja wywoła problem, Autopatch może automatycznie wstrzymać rollout (Halt) lub wycofać aktualizację.

Licencjonowanie:

LicencjaAutopatch
Windows 11 Enterprise E3 / E5 (także w ramach M365 E3/E5/F3)✔️ Pełna funkcjonalność
Windows 11 Education A3 / A5✔️ Pełna funkcjonalność
Microsoft 365 Business Premium✔️ Pełna funkcjonalność
Windows 11 Pro (standalone)❌ Niedostępny
Windows Enterprise E3/E5 VDA✔️ Pełna funkcjonalność

Autopatch potrzebuje Intune. Urządzenia muszą być już zarejestrowane w Intune (MDM) lub w co-management z przełączonym obciążeniem Windows Update na Intune.

Porównanie: MDM vs Co-management vs Windows Autopatch

KryteriumMDM (Intune)Co-managementWindows Autopatch
Czym jestProtokół/platforma zarządzaniaTryb łączący SCCM + IntuneUsługa automatyzacji aktualizacji
ZakresPolityki, aplikacje, compliance, update rings, zdalne akcjeWszystkie obciążenia — część w SCCM, część w IntuneWyłącznie aktualizacje: Windows, M365 Apps, Edge, Teams, sterowniki
Wymaga SCCM?NieTakNie (ale może współpracować)
Wymaga Intune?Tak (lub innego MDM)TakTak (Intune jako podstawa)
Agent na urządzeniu?Nie (natywny protokół)Klient SCCM + natywny MDMNie (działa przez usługi Intune)
Aktualizacje WindowsRęczna konfiguracja update rings i deferraliRęczna konfiguracja w Intune lub SCCMW pełni zautomatyzowane, stopniowe rollouty
Testowanie aktualizacjiAdministrator tworzy własne pierścienieAdministrator tworzy własne kolekcje/pierścienieWbudowane Autopatch Groups (4 pierścienie)
Hotpatch (bez restartu)Wymaga ręcznej konfiguracjiWymaga ręcznej konfiguracji✔️ Włączony domyślnie
Automatyczne wstrzymanie✔️ Automatyczne Halt przy wykryciu błędów
Compliance / Conditional Access✔️✔️Nie (to domena MDM, nie Autopatch)
Dystrybucja aplikacji✔️✔️ (przez Intune lub SCCM)❌ (nie zajmuje się aplikacjami poza M365/Edge/Teams)
Model licencjonowaniaIntune (osobno, EMS lub M365)SCCM + Intune + Entra ID P1/P2W ramach E3/E5/A3/A5/Business Premium
Dla kogoOrganizacje cloud-firstOrganizacje z istniejącym SCCM, migrujące do chmuryOrganizacje chcące zautomatyzować aktualizacje w 100%

Kiedy wybrać które rozwiązanie

Wybierz czyste MDM (Intune), jeśli:

  • Nie masz infrastruktury on-premises (brak SCCM, brak AD)
  • Twoje urządzenia dołączają bezpośrednio do Entra ID (Entra Joined)
  • Potrzebujesz pełnego zarządzania z chmury: polityki, aplikacje, compliance
  • Chcesz uprościć stack — jeden system, jedno źródło prawdy

Wybierz co-management, jeśli:

  • Masz istniejącą infrastrukturę SCCM i nie chcesz/nie możesz jej od razu wyłączyć
  • Chcesz stopniowo przenosić obciążenia do chmury (np. najpierw compliance, potem update, potem aplikacje)
  • Potrzebujesz funkcji niedostępnych jeszcze w Intune (np. zaawansowane raportowanie SCCM, obrazowanie OS, PXE boot)
  • Chcesz zachować Cloud Management Gateway (CMG) dla urządzeń zdalnych, które wciąż komunikują się z SCCM

Wybierz Windows Autopatch (jako dodatek do MDM lub co-management), jeśli:

  • Chcesz w pełni zautomatyzować cykl aktualizacji i zdjąć ten ciężar z zespołu IT
  • Posiadasz odpowiednie licencje (E3/E5/A3/A5/Business Premium)
  • Twoje urządzenia są już w Intune i spełniają telemetrię (Required diagnostic data)
  • Zależy Ci na szybszym osiąganiu compliance — hotpatch skraca czas osiągnięcia 90% zgodności o połowę
  • Chcesz, aby Microsoft monitorował rollout i automatycznie wstrzymywał problematyczne aktualizacje

Jak te trzy elementy współpracują ze sobą

W praktyce organizacje rzadko używają tylko jednego z tych trzech podejść. Najczęstszy scenariusz:

  1. MDM (Intune) jest fundamentem — każde urządzenie firmowe jest w Intune, niezależnie czy przez Autopilota, ręczną rejestrację, czy co-management.
  2. Co-management jest pomostem dla firm z historią — przez kilka kwartałów/lat zespoły IT przełączają kolejne obciążenia do Intune, aż SCCM stanie się zbędny.
  3. Windows Autopatch jest nakładką na Intune — nie zastępuje MDM, tylko automatyzuje jeden z najważniejszych, najbardziej czasochłonnych aspektów: aktualizacje.

Przykład: firma z 2000 urządzeń, która ma SCCM i pakiet M365 E3, może (a) włączyć co-management i ustawić Windows Update na Pilot Intune dla 50 urządzeń testowych, (b) na tych 50 urządzeniach włączyć Windows Autopatch, (c) po 2 miesiącach testów przełączyć Windows Update na Intune dla całej floty i włączyć Autopatch dla wszystkich. Efekt: zero ręcznego planowania Patch Tuesday.

Częste pytania

Czy Windows Autopatch zastępuje Intune MDM?

Nie. Windows Autopatch to usługa automatycznych aktualizacji działająca na bazie Intune — nie zastępuje zarządzania politykami, compliance, aplikacjami ani zdalnymi akcjami. Urządzenia muszą być najpierw zarejestrowane w Intune (MDM lub co-management), aby Autopatch mógł nimi zarządzać.

Czy mogę używać Autopatch bez licencji E3/E5?

Autopatch wymaga jednej z kwalifikujących licencji: Windows Enterprise E3/E5, Education A3/A5, Microsoft 365 Business Premium lub F3. Sam Windows 11 Pro nie daje dostępu do Autopatch — potrzebujesz co najmniej Business Premium.

Czy co-management to tylko krok przejściowy, czy docelowa architektura?

Microsoft pozycjonuje co-management jako stan przejściowy w drodze do pełnego zarządzania chmurą (cloud-native). Jednak wiele organizacji zostaje w co-management długoterminowo, jeśli potrzebują funkcji SCCM niedostępnych w Intune — np. zaawansowanego obrazowania OS czy integracji z on-premises.

Jaka jest różnica między Windows Update for Business (przez Intune) a Windows Autopatch?

WUfB konfigurujesz ręcznie: sam definiujesz pierścienie aktualizacji, okresy odroczenia, godziny aktywności. Autopatch robi to za Ciebie — tworzy pierścienie, stopniowo wdraża aktualizacje, monitoruje błędy i automatycznie wstrzymuje problematyczne wdrożenia. Autopatch dodatkowo obejmuje M365 Apps, Edge, Teams i sterowniki — których WUfB sam w sobie nie zarządza.

Czy mogę używać co-management i Autopatch jednocześnie?

Tak. Co-management z obciążeniem Windows Update policies przełączonym na Intune (lub Pilot Intune) spełnia jeden z warunków wstępnych Autopatch. Urządzenia zarządzane tylko przez SCCM (bez Intune) nie mogą korzystać z Autopatch.

Jakie dane telemetryczne muszę wysłać Microsoft, żeby Autopatch działał?

Minimum Required (dawniej Basic) dla Windows 11, by Autopatch mógł monitorować stan wdrożeń i automatycznie reagować na błędy. Bez tego Autopatch nie ma danych o kondycji rolloutu i nie zadziała jego kluczowa funkcja — automatyczne wstrzymanie aktualizacji.

Czy mogę zarządzać aktualizacjami Windows przez samo SCCM?

Tak. Jeśli masz SCCM i WSUS, możesz w pełni zarządzać aktualizacjami bez Intune i bez Autopatch. Tracisz jednak automatyzację Autopatch, hotpatch bez restartu i spójny pulpit Intune z raportowaniem cloud-first. Co-management daje Ci możliwość stopniowego przełączania aktualizacji do chmury bez rezygnacji z SCCM.

Potrzebujesz licencji Windows 11 dla swojej organizacji?

Niezależnie od tego, czy planujesz wdrożenie Intune MDM, co-management z SCCM, czy Windows Autopatch — wszystko zaczyna się od odpowiedniej licencji na Windows 11. W KluczeSoft.pl znajdziesz legalne, w pełni aktywowalne klucze Windows 11 Professional oraz Enterprise — które otwierają dostęp do wszystkich opisanych wyżej funkcji zarządzania i automatycznych aktualizacji.

Kup Windows 11 Professional — klucz cyfrowy od ręki — legalne licencje, natychmiastowa dostawa, pełne wsparcie Intune/Autopatch/co-management.


KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Intune, Configuration Manager, Windows Autopatch oraz Entra ID są zastrzeżonymi znakami towarowymi Microsoft.

<!-- IL-V1 -->

Powiązane artykuły

Powiązane produkty

Najczęściej zadawane pytania

Nie. Windows Autopatch to usługa automatycznych aktualizacji działająca na bazie Intune — nie zastępuje zarządzania politykami, compliance, aplikacjami ani zdalnymi akcjami. Urządzenia muszą być najpierw zarejestrowane w Intune (MDM lub co-management), aby Autopatch mógł nimi zarządzać.
Autopatch wymaga jednej z kwalifikujących licencji: Windows Enterprise E3/E5, Education A3/A5, Microsoft 365 Business Premium lub F3. Sam Windows 11 Pro nie daje dostępu do Autopatch — potrzebujesz co najmniej Business Premium.
Microsoft pozycjonuje co-management jako stan przejściowy w drodze do pełnego zarządzania chmurą (cloud-native). Jednak wiele organizacji zostaje w co-management długoterminowo, jeśli potrzebują funkcji SCCM niedostępnych w Intune — np. zaawansowanego obrazowania OS czy integracji z on-premises.
WUfB konfigurujesz ręcznie: sam definiujesz pierścienie aktualizacji, okresy odroczenia, godziny aktywności. Autopatch robi to za Ciebie — tworzy pierścienie, stopniowo wdraża aktualizacje, monitoruje błędy i automatycznie wstrzymuje problematyczne wdrożenia. Autopatch dodatkowo obejmuje M365 Apps, Edge, Teams i sterowniki — których WUfB sam w sobie nie zarządza.
Tak. Co-management z obciążeniem *Windows Update policies* przełączonym na Intune (lub Pilot Intune) spełnia jeden z warunków wstępnych Autopatch. Urządzenia zarządzane tylko przez SCCM (bez Intune) nie mogą korzystać z Autopatch.
Minimum **Required** (dawniej *Basic*) dla Windows 11, by Autopatch mógł monitorować stan wdrożeń i automatycznie reagować na błędy. Bez tego Autopatch nie ma danych o kondycji rolloutu i nie zadziała jego kluczowa funkcja — automatyczne wstrzymanie aktualizacji.
Tak. Jeśli masz SCCM i WSUS, możesz w pełni zarządzać aktualizacjami bez Intune i bez Autopatch. Tracisz jednak automatyzację Autopatch, hotpatch bez restartu i spójny pulpit Intune z raportowaniem cloud-first. Co-management daje Ci możliwość stopniowego przełączania aktualizacji do chmury bez rezygnacji z SCCM.

Czy ten artykuł był pomocny?