Zarządzanie flotą urządzeń z Windows 11 można oprzeć na trzech różnych podejściach dostarczanych przez Microsoft: czystym MDM (poprzez Intune), co-management (Intune + Configuration Manager), oraz Windows Autopatch — w pełni zautomatyzowanej usłudze aktualizacji. Wybór zależy od tego, skąd startujesz: firma bez infrastruktury on-premises wybierze Intune MDM + Autopatch; organizacja z istniejącym SCCM sięgnie po co-management jako pomost do chmury.
W skrócie
- MDM (Mobile Device Management) — natywny protokół zarządzania Windows 11 przez chmurę (Intune lub zewnętrzne MDM); rejestracja, polityki, compliance, zdalne akcje.
- Co-management — jednoczesne zarządzanie tym samym urządzeniem przez Configuration Manager (on-prem) i Intune (chmura); stopniowe przenoszenie obciążeń (workloads) do chmury.
- Windows Autopatch — usługa chmurowa automatyzująca wdrażanie aktualizacji Windows, Microsoft 365 Apps, Edge i Teams; wymaga licencji E3/E5/A3/A5/F3 lub Business Premium.
- MDM i Autopatch się uzupełniają — nie konkurują. Co-management to strategia przejściowa z SCCM do chmury.
- Sam Autopatch nie zastępuje MDM — potrzebuje Intune jako warstwy rejestracji i polityk.
Czym jest MDM w Windows 11
MDM (Mobile Device Management) w kontekście Windows 11 to wbudowany w system komponent zarządzania, który komunikuje się z serwerem zarządzania w chmurze — najczęściej z Microsoft Intune, ale możliwe są też zewnętrzne rozwiązania MDM (VMware Workspace ONE, Ivanti, itp.). Protokół MDM opiera się na standardzie OMA-DM i nie wymaga instalowania agenta — wszystko działa natywnie przez usługę dmwappushsvc.
MDM umożliwia:
- Rejestrację urządzeń (Autopilot, Azure AD Join, Hybrid Join) i automatyczne przypisywanie polityk
- Konfigurację polityk bezpieczeństwa — odpowiednik GPO w świecie chmurowym: BitLocker, Windows Defender, firewall, ograniczenia kont
- Compliance policies — wymuszanie BitLockera, minimalnej wersji OS, stanu antywirusa
- Zdalne akcje: restart, wipe, remote lock, lokalizacja urządzenia
- Dystrybucję aplikacji (Win32, LOB, Microsoft Store)
- Konfigurację Windows Update for Business — pierścienie aktualizacji, deferral, godziny aktywności
- Conditional Access — integracja z Entra ID: urządzenie niespełniające compliance nie dostanie dostępu do zasobów Microsoft 365
Wymagania licencyjne MDM przez Intune: subskrypcja Intune (osobno lub w ramach EMS, Microsoft 365 E3/E5, Business Premium). Sam system Windows 11 Pro/Enterprise/Edu wspiera MDM — nie trzeba dopłacać za funkcję w OS.
Jeden MDM na urządzenie. Windows pozwala tylko na jednego dostawcę MDM. Jeśli masz Intune, nie podepniesz równolegle drugiego zewnętrznego MDM.
Czym jest co-management
Co-management to tryb, w którym jedno urządzenie z Windows 11 jest zarządzane jednocześnie przez Configuration Manager (SCCM) i Microsoft Intune. Nie mylić z coexistence (SCCM + zewnętrzny MDM — brak koordynacji między systemami). W co-management Intune i SCCM są świadome siebie nawzajem i dzielą się odpowiedzialnością za poszczególne obciążenia (workloads).
Dostępne obciążenia do przełączania z SCCM na Intune (lub do pilotażu):
| Obciążenie (workload) | Co robi |
|---|---|
| Compliance policies | Reguły zgodności urządzenia z polityką firmy |
| Windows Update policies | Konfiguracja pierścieni aktualizacji, deferral |
| Resource access policies | VPN, Wi-Fi, certyfikaty |
| Endpoint Protection | Windows Defender, firewall, ASR, EDR |
| Device configuration | Profile konfiguracyjne (CSP), GPO cloud |
| Office Click-to-Run apps | Zarządzanie instalacją i aktualizacjami M365 Apps |
| Client apps | Dystrybucja aplikacji przez Intune (Company Portal) |
Kluczowa zaleta co-management: możesz przełączać obciążenia stopniowo. Np. Endpoint Protection dalej w SCCM, ale Windows Update już w Intune. Możesz też ustawić obciążenie na Pilot Intune — nowe zachowanie testujesz na wąskiej grupie, zanim włączysz dla całej floty.
Dwie główne ścieżki dojścia do co-management:
- Z SCCM do chmury — masz urządzenia w SCCM, dodajesz Hybrid Azure AD Join, rejestrujesz w Intune, włączasz co-management.
- Z chmury do SCCM — nowe urządzenia od razu w Intune/Autopilot; instalujesz klienta SCCM dla zachowania pełnego zarządzania on-prem.
Wymagania: Microsoft Entra ID P1/P2, Intune, Configuration Manager w obsługiwanej wersji, urządzenia muszą być Entra hybrid joined lub Entra joined (samo registered to za mało).
Czym jest Windows Autopatch
Windows Autopatch to w pełni zarządzana usługa chmurowa Microsoft, która przejmuje odpowiedzialność za cały cykl aktualizacji: planowanie, testowanie (na pierścieniach deploymentu), stopniowe wdrażanie i monitorowanie. Nie jest to osobny produkt — to funkcjonalność działająca wewnątrz Intune, korzystająca z jego infrastruktury.
Co obejmuje Autopatch:
- Windows quality updates (comiesięczne poprawki bezpieczeństwa)
- Windows feature updates (nowe wersje, np. 24H2 → 25H2)
- Microsoft 365 Apps for Enterprise (dawniej Office 365 ProPlus)
- Microsoft Edge (aktualizacje przeglądarki)
- Microsoft Teams (aktualizacje klienta Teams)
- Driver and firmware updates (sterowniki od producentów sprzętu)
- Hotpatch — poprawki bezpieczeństwa bez restartu (dla kwalifikujących się urządzeń)
Autopatch działa na zasadzie Autopatch Groups — dynamicznych grup urządzeń, przez które aktualizacje przechodzą etapami: Ring 1 (najwcześniej, testowe), Ring 2, Ring 3 (produkcja), aż do Last (ostatnie urządzenia, największa ostrożność). Jeśli aktualizacja wywoła problem, Autopatch może automatycznie wstrzymać rollout (Halt) lub wycofać aktualizację.
Licencjonowanie:
| Licencja | Autopatch |
|---|---|
| Windows 11 Enterprise E3 / E5 (także w ramach M365 E3/E5/F3) | ✔️ Pełna funkcjonalność |
| Windows 11 Education A3 / A5 | ✔️ Pełna funkcjonalność |
| Microsoft 365 Business Premium | ✔️ Pełna funkcjonalność |
| Windows 11 Pro (standalone) | ❌ Niedostępny |
| Windows Enterprise E3/E5 VDA | ✔️ Pełna funkcjonalność |
⚠ Autopatch potrzebuje Intune. Urządzenia muszą być już zarejestrowane w Intune (MDM) lub w co-management z przełączonym obciążeniem Windows Update na Intune.
Porównanie: MDM vs Co-management vs Windows Autopatch
| Kryterium | MDM (Intune) | Co-management | Windows Autopatch |
|---|---|---|---|
| Czym jest | Protokół/platforma zarządzania | Tryb łączący SCCM + Intune | Usługa automatyzacji aktualizacji |
| Zakres | Polityki, aplikacje, compliance, update rings, zdalne akcje | Wszystkie obciążenia — część w SCCM, część w Intune | Wyłącznie aktualizacje: Windows, M365 Apps, Edge, Teams, sterowniki |
| Wymaga SCCM? | Nie | Tak | Nie (ale może współpracować) |
| Wymaga Intune? | Tak (lub innego MDM) | Tak | Tak (Intune jako podstawa) |
| Agent na urządzeniu? | Nie (natywny protokół) | Klient SCCM + natywny MDM | Nie (działa przez usługi Intune) |
| Aktualizacje Windows | Ręczna konfiguracja update rings i deferrali | Ręczna konfiguracja w Intune lub SCCM | W pełni zautomatyzowane, stopniowe rollouty |
| Testowanie aktualizacji | Administrator tworzy własne pierścienie | Administrator tworzy własne kolekcje/pierścienie | Wbudowane Autopatch Groups (4 pierścienie) |
| Hotpatch (bez restartu) | Wymaga ręcznej konfiguracji | Wymaga ręcznej konfiguracji | ✔️ Włączony domyślnie |
| Automatyczne wstrzymanie | ❌ | ❌ | ✔️ Automatyczne Halt przy wykryciu błędów |
| Compliance / Conditional Access | ✔️ | ✔️ | Nie (to domena MDM, nie Autopatch) |
| Dystrybucja aplikacji | ✔️ | ✔️ (przez Intune lub SCCM) | ❌ (nie zajmuje się aplikacjami poza M365/Edge/Teams) |
| Model licencjonowania | Intune (osobno, EMS lub M365) | SCCM + Intune + Entra ID P1/P2 | W ramach E3/E5/A3/A5/Business Premium |
| Dla kogo | Organizacje cloud-first | Organizacje z istniejącym SCCM, migrujące do chmury | Organizacje chcące zautomatyzować aktualizacje w 100% |
Kiedy wybrać które rozwiązanie
Wybierz czyste MDM (Intune), jeśli:
- Nie masz infrastruktury on-premises (brak SCCM, brak AD)
- Twoje urządzenia dołączają bezpośrednio do Entra ID (Entra Joined)
- Potrzebujesz pełnego zarządzania z chmury: polityki, aplikacje, compliance
- Chcesz uprościć stack — jeden system, jedno źródło prawdy
Wybierz co-management, jeśli:
- Masz istniejącą infrastrukturę SCCM i nie chcesz/nie możesz jej od razu wyłączyć
- Chcesz stopniowo przenosić obciążenia do chmury (np. najpierw compliance, potem update, potem aplikacje)
- Potrzebujesz funkcji niedostępnych jeszcze w Intune (np. zaawansowane raportowanie SCCM, obrazowanie OS, PXE boot)
- Chcesz zachować Cloud Management Gateway (CMG) dla urządzeń zdalnych, które wciąż komunikują się z SCCM
Wybierz Windows Autopatch (jako dodatek do MDM lub co-management), jeśli:
- Chcesz w pełni zautomatyzować cykl aktualizacji i zdjąć ten ciężar z zespołu IT
- Posiadasz odpowiednie licencje (E3/E5/A3/A5/Business Premium)
- Twoje urządzenia są już w Intune i spełniają telemetrię (Required diagnostic data)
- Zależy Ci na szybszym osiąganiu compliance — hotpatch skraca czas osiągnięcia 90% zgodności o połowę
- Chcesz, aby Microsoft monitorował rollout i automatycznie wstrzymywał problematyczne aktualizacje
Jak te trzy elementy współpracują ze sobą
W praktyce organizacje rzadko używają tylko jednego z tych trzech podejść. Najczęstszy scenariusz:
- MDM (Intune) jest fundamentem — każde urządzenie firmowe jest w Intune, niezależnie czy przez Autopilota, ręczną rejestrację, czy co-management.
- Co-management jest pomostem dla firm z historią — przez kilka kwartałów/lat zespoły IT przełączają kolejne obciążenia do Intune, aż SCCM stanie się zbędny.
- Windows Autopatch jest nakładką na Intune — nie zastępuje MDM, tylko automatyzuje jeden z najważniejszych, najbardziej czasochłonnych aspektów: aktualizacje.
Przykład: firma z 2000 urządzeń, która ma SCCM i pakiet M365 E3, może (a) włączyć co-management i ustawić Windows Update na Pilot Intune dla 50 urządzeń testowych, (b) na tych 50 urządzeniach włączyć Windows Autopatch, (c) po 2 miesiącach testów przełączyć Windows Update na Intune dla całej floty i włączyć Autopatch dla wszystkich. Efekt: zero ręcznego planowania Patch Tuesday.
Częste pytania
Czy Windows Autopatch zastępuje Intune MDM?
Nie. Windows Autopatch to usługa automatycznych aktualizacji działająca na bazie Intune — nie zastępuje zarządzania politykami, compliance, aplikacjami ani zdalnymi akcjami. Urządzenia muszą być najpierw zarejestrowane w Intune (MDM lub co-management), aby Autopatch mógł nimi zarządzać.
Czy mogę używać Autopatch bez licencji E3/E5?
Autopatch wymaga jednej z kwalifikujących licencji: Windows Enterprise E3/E5, Education A3/A5, Microsoft 365 Business Premium lub F3. Sam Windows 11 Pro nie daje dostępu do Autopatch — potrzebujesz co najmniej Business Premium.
Czy co-management to tylko krok przejściowy, czy docelowa architektura?
Microsoft pozycjonuje co-management jako stan przejściowy w drodze do pełnego zarządzania chmurą (cloud-native). Jednak wiele organizacji zostaje w co-management długoterminowo, jeśli potrzebują funkcji SCCM niedostępnych w Intune — np. zaawansowanego obrazowania OS czy integracji z on-premises.
Jaka jest różnica między Windows Update for Business (przez Intune) a Windows Autopatch?
WUfB konfigurujesz ręcznie: sam definiujesz pierścienie aktualizacji, okresy odroczenia, godziny aktywności. Autopatch robi to za Ciebie — tworzy pierścienie, stopniowo wdraża aktualizacje, monitoruje błędy i automatycznie wstrzymuje problematyczne wdrożenia. Autopatch dodatkowo obejmuje M365 Apps, Edge, Teams i sterowniki — których WUfB sam w sobie nie zarządza.
Czy mogę używać co-management i Autopatch jednocześnie?
Tak. Co-management z obciążeniem Windows Update policies przełączonym na Intune (lub Pilot Intune) spełnia jeden z warunków wstępnych Autopatch. Urządzenia zarządzane tylko przez SCCM (bez Intune) nie mogą korzystać z Autopatch.
Jakie dane telemetryczne muszę wysłać Microsoft, żeby Autopatch działał?
Minimum Required (dawniej Basic) dla Windows 11, by Autopatch mógł monitorować stan wdrożeń i automatycznie reagować na błędy. Bez tego Autopatch nie ma danych o kondycji rolloutu i nie zadziała jego kluczowa funkcja — automatyczne wstrzymanie aktualizacji.
Czy mogę zarządzać aktualizacjami Windows przez samo SCCM?
Tak. Jeśli masz SCCM i WSUS, możesz w pełni zarządzać aktualizacjami bez Intune i bez Autopatch. Tracisz jednak automatyzację Autopatch, hotpatch bez restartu i spójny pulpit Intune z raportowaniem cloud-first. Co-management daje Ci możliwość stopniowego przełączania aktualizacji do chmury bez rezygnacji z SCCM.
Potrzebujesz licencji Windows 11 dla swojej organizacji?
Niezależnie od tego, czy planujesz wdrożenie Intune MDM, co-management z SCCM, czy Windows Autopatch — wszystko zaczyna się od odpowiedniej licencji na Windows 11. W KluczeSoft.pl znajdziesz legalne, w pełni aktywowalne klucze Windows 11 Professional oraz Enterprise — które otwierają dostęp do wszystkich opisanych wyżej funkcji zarządzania i automatycznych aktualizacji.
→ Kup Windows 11 Professional — klucz cyfrowy od ręki — legalne licencje, natychmiastowa dostawa, pełne wsparcie Intune/Autopatch/co-management.
KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Intune, Configuration Manager, Windows Autopatch oraz Entra ID są zastrzeżonymi znakami towarowymi Microsoft.