Microsoft Entra ID (do lipca 2023 znany jako Azure Active Directory lub Azure AD) to oparta na chmurze usługa zarządzania tożsamością i dostępem (IAM) od Microsoftu, która zastępuje — ale nie jest tym samym co — tradycyjny lokalny Active Directory. W 2026 roku Entra ID to fundament bezpieczeństwa dla ponad 720 tysięcy organizacji, obsługujący logowanie do Microsoft 365, Azure, Dynamics 365 i tysięcy zewnętrznych aplikacji SaaS z użyciem jednego konta służbowego.
W skrócie
- Zmiana nazwy nastąpiła 15 lipca 2023 — Azure AD oficjalnie stał się Microsoft Entra ID; funkcjonalność pozostała ta sama, zmieniła się tylko nazwa i pozycjonowanie w rodzinie produktów Microsoft Entra
- To nie Active Directory z Windows Server — Entra ID działa w chmurze i nie zastępuje lokalnego AD, choć można je zsynchronizować przez Microsoft Entra Connect
- Obsługuje logowanie jednokrotne (SSO), uwierzytelnianie wieloskładnikowe (MFA), dostęp bezhasłowy, dostęp warunkowy i ochronę tożsamości opartą na ryzyku
- Występuje w 3 poziomach: Free (wliczony w subskrypcje Microsoft 365/Azure), P1 (6 USD/użytkownika/miesiąc), P2 (9 USD/użytkownika/miesiąc)
- Microsoft Entra ID Free jest domyślnie obecny przy każdej subskrypcji Microsoft 365 lub Azure — Twoja organizacja już go prawdopodobnie używa
- Nie myl z kontem Microsoft (osobiste @outlook.com, @hotmail.com) — Entra ID zarządza kontami służbowymi (work/school accounts)
Czym dokładnie jest Microsoft Entra ID
Microsoft Entra ID to usługa katalogowa i system zarządzania tożsamością, który przechowuje informacje o użytkownikach, grupach, urządzeniach i aplikacjach w chmurze Microsoft Azure. Jego zadaniem jest potwierdzenie, że użytkownik jest tym, za kogo się podaje (uwierzytelnienie), oraz określenie, do czego ma dostęp (autoryzacja).
Każda organizacja korzystająca z Microsoft 365, Azure lub Dynamics 365 automatycznie otrzymuje dzierżawę Entra ID (ang. tenant) — wydzieloną, odizolowaną instancję katalogu, która jest fundamentem wszystkich operacji związanych z tożsamością w chmurze Microsoftu.
W przeciwieństwie do klasycznego Active Directory działającego na Windows Server, Entra ID:
- Nie wymaga serwera lokalnego — wszystko działa w chmurze Microsoft Azure
- Nie używa protokołu Kerberos — opiera się na nowoczesnych standardach OAuth 2.0, OpenID Connect i SAML 2.0
- Nie zarządza komputerami przez zasady grupy (GPO) — do zarządzania urządzeniami służy Microsoft Intune
- Działa natywnie z aplikacjami SaaS — obsługuje ponad 3000 preintegrowanych aplikacji (Salesforce, ServiceNow, Google Workspace, Slack, GitHub i wiele innych)
Krótka historia i rebranding
| Data | Wydarzenie |
|---|---|
| Październik 2008 | Uruchomienie usługi pod nazwą Azure Active Directory jako części platformy Azure |
| 2014–2015 | Azure AD staje się silnikiem tożsamości dla Office 365 (dziś Microsoft 365) |
| 2018 | Wprowadzenie dostępu warunkowego (Conditional Access) w planie P1 |
| Lipiec 2023 | Azure AD zmienia nazwę na Microsoft Entra ID — rebranding bez zmian funkcjonalnych |
| 2024–2025 | Integracja z Microsoft Security Copilot — AI do wykrywania anomalii tożsamości |
| 2025–2026 | Rozwój Entra Agent ID (zarządzanie tożsamością agentów AI) i Entra Suite (pakiet łączący ID + dostęp sieciowy ZTNA) |
Zmiana nazwy z Azure AD na Microsoft Entra ID w 2023 roku nie była kaprysem marketingowym — Microsoft wydzielił całą rodzinę produktów tożsamościowych pod marką Microsoft Entra, gdzie Entra ID jest fundamentem, a Entra Suite, Entra Private Access i Entra Internet Access rozszerzają go o bezpieczny dostęp sieciowy w modelu Zero Trust. Dla użytkownika końcowego nic się nie zmieniło — adresy URL (np. portal.azure.com, entra.microsoft.com), API, cmdlety PowerShell i skrypty działają identycznie jak przed zmianą nazwy.
Jak działa Microsoft Entra ID — architektura i kluczowe pojęcia
Dzierżawa (tenant)
Każda organizacja otrzymuje jedną dzierżawę Entra ID podczas rejestracji w Microsoft 365 lub Azure. Dzierżawa to logiczny kontener zawierający użytkowników, grupy, urządzenia i aplikacje — całkowicie odizolowany od innych dzierżaw. Adres dzierżawy ma postać nazwa.onmicrosoft.com.
Użytkownicy i grupy
- Użytkownicy — konta służbowe (np.
jan.kowalski@firma.pl), które są przechowywane w chmurze albo synchronizowane z lokalnego Active Directory przez Microsoft Entra Connect (dawniej Azure AD Connect). Można też tworzyć konta gości (B2B) dla zewnętrznych partnerów. - Grupy — używane do zbiorczego przydzielania dostępu. Obsługiwane są grupy zabezpieczeń i grupy Microsoft 365 (zintegrowane z Teams, Sharepointem, wspólną skrzynką).
Rejestracja aplikacji i SSO
Entra ID jest brokerem tożsamości dla aplikacji. Po jednorazowym zalogowaniu się do Entra ID (np. przez login.microsoftonline.com), użytkownik uzyskuje dostęp do wszystkich przypisanych aplikacji bez ponownego wpisywania hasła — to logowanie jednokrotne (SSO). Działa to dla aplikacji Microsoftu (Teams, Outlook, SharePoint, Power BI) oraz tysięcy zewnętrznych SaaS-ów przez galerię aplikacji korporacyjnych.
Dostęp warunkowy (Conditional Access)
To mechanizm, który ocenia każdą próbę logowania w czasie rzeczywistym i decyduje, czy ją przepuścić, zablokować, czy zażądać dodatkowego potwierdzenia (MFA). Reguły mogą uwzględniać:
- Lokalizację geograficzną użytkownika (np. blokada logowania spoza Polski)
- Typ urządzenia (tylko urządzenia zgodne z polityką Intune)
- Ryzyko sesji ocenione przez AI (np. nietypowa pora logowania, podejrzany adres IP)
- Aplikację docelową (np. dla panelu administracyjnego zawsze wymagaj MFA)
Ochrona tożsamości (Identity Protection — P2)
W planie P2 Entra ID wykorzystuje uczenie maszynowe do wykrywania podejrzanych zachowań: wyciek danych uwierzytelniających, niemożliwą podróż (logowanie z Warszawy i 5 minut później z Tokio), anonimowe adresy IP. Dla każdego ryzyka administrator może ustawić automatyczną reakcję — od wymuszenia resetu hasła po całkowite zablokowanie konta.
Microsoft Entra ID vs Active Directory — to NIE jest zamiennik
To najczęstsze nieporozumienie wśród administratorów IT:
| Cecha | Microsoft Entra ID (chmura) | Active Directory (Windows Server, lokalnie) |
|---|---|---|
| Gdzie działa | Chmura Microsoft Azure | Serwer(y) Windows Server w sieci lokalnej |
| Protokół uwierzytelniania | OAuth 2.0, OpenID Connect, SAML 2.0 | Kerberos, NTLM, LDAP |
| Zarządzanie urządzeniami | Przez Intune (MDM) | Przez Group Policy (GPO) |
| Struktura | Płaska (jedna dzierżawa, brak jednostek organizacyjnych w sensie AD) | Hierarchiczna (las, domena, OU) |
| Aplikacje SaaS | ✅ Natywnie — galeria 3000+ aplikacji | ❌ Nie obsługuje natywnie |
| Synchronizacja | Entra Connect synchronizuje AD → Entra ID (one-way) | Nie synchronizuje się automatycznie z chmurą |
| Działa bez serwera | ✅ Tak | ❌ Wymaga Windows Server |
| Idealny do | Pracy zdalnej, aplikacji chmurowych, Microsoft 365 | Tradycyjnej infrastruktury biurowej, serwerów plików, drukarek |
W praktyce większość średnich i dużych firm używa modelu hybrydowego: Active Directory lokalnie dla drukarek, serwerów plików i stacji roboczych, zsynchronizowany z Entra ID dla usług chmurowych (Microsoft 365, Teams, SharePoint, aplikacje SaaS). Małe firmy często w ogóle nie mają AD — korzystają wyłącznie z Entra ID.
Plany licencyjne Microsoft Entra ID (2026)
| Plan | Cena (USD/użytk./mies.) | Kluczowe funkcje |
|---|---|---|
| Free | 0 $ (wliczony w Azure/M365) | Użytkownicy, grupy, synchronizacja z AD, SSO do aplikacji Microsoft i 10 aplikacji SaaS na użytkownika, samoobsługowa zmiana hasła, podstawowe raporty |
| P1 | 6,00 $ | Wszystko z Free + dostęp warunkowy, zaawansowane raporty, grupy dynamiczne, Microsoft Entra Connect Health, samoobsługowy reset hasła (SSPR) z zapisem zwrotnym do AD |
| P2 | 9,00 $ | Wszystko z P1 + ochrona tożsamości (Identity Protection), Privileged Identity Management (PIM), przeglądy dostępu, zarządzanie uprawnieniami |
| Entra Suite | ~16 $ | Wszystko z P2 + Entra Private Access (ZTNA), Entra Internet Access (SWG), Entra ID Governance, Verified ID |
P1 i P2 można dokupić osobno (jako dodatek do subskrypcji Microsoft 365) lub są już zawarte w wyższych planach: Microsoft 365 Business Premium zawiera P1, a Microsoft 365 E5 zawiera P2. W 2026 roku ponad 90% organizacji korzystających płatnie z Entra ID wybiera plan P1 lub wyższy ze względu na dostęp warunkowy, który jest dziś podstawowym wymogiem cyberbezpieczeństwa.
Do czego używa się Microsoft Entra ID
1. Uwierzytelnianie do Microsoft 365 i Azure
To podstawowy przypadek — każdy użytkownik Microsoft 365 loguje się przez Entra ID. Bez Entra ID nie działa Outlook, Teams, SharePoint, OneDrive ani żadna inna usługa M365. To największa baza użytkowników Entra ID na świecie.
2. Centralne zarządzanie dostępem do aplikacji SaaS
Zamiast tworzyć osobne konta w każdym narzędziu, administrator przypisuje użytkownikom aplikacje z galerii Entra ID. Użytkownik loguje się raz do panelu myapps.microsoft.com i widzi wszystkie przypisane mu aplikacje. Zwolnienie pracownika oznacza wyłączenie jednego konta w Entra ID, które automatycznie odcina dostęp do wszystkich aplikacji.
3. Wymuszanie dostępu warunkowego i MFA
Reguły typu "wymagaj MFA przy logowaniu spoza biura", "blokuj logowania z krajów wysokiego ryzyka", "zezwalaj tylko na urządzeniach zarządzanych przez Intune" — to są polityki Conditional Access, które działają w planie P1 i wyżej. W 2026 roku Microsoft raportuje, że MFA redukuje ryzyko przejęcia tożsamości o 99,22%.
4. Zarządzanie tożsamością gości (B2B)
Zapraszanie partnerów, kontrahentów i klientów do współpracy w Teams, SharePoint lub aplikacjach — bez tworzenia dla nich pełnych kont w organizacji. Gość loguje się własnym kontem (np. z innej dzierżawy Entra ID lub kontem Google), a administrator kontroluje poziom dostępu.
5. Ochrona tożsamości uprzywilejowanych (PIM)
W planie P2 dostępne jest Privileged Identity Management — mechanizm just-in-time access: administrator nie ma stałych uprawnień Global Admin, tylko aktywuje je na określony czas (np. 2 godziny) po dodatkowym zatwierdzeniu i uzasadnieniu. To dramatycznie ogranicza powierzchnię ataku.
6. Bezhasłowe uwierzytelnianie
Entra ID wspiera logowanie przez Windows Hello for Business, klucze sprzętowe FIDO2 i Microsoft Authenticator (powiadomienie push na telefon zamiast hasła). W 2026 roku Microsoft aktywnie promuje model passwordless jako standard dla organizacji z planem P1/P2.
Częste pytania
Czy Microsoft Entra ID to po prostu Azure AD z nową nazwą?
Tak, dokładnie. 15 lipca 2023 Microsoft zmienił nazwę Azure Active Directory na Microsoft Entra ID. Nie zmieniła się żadna funkcjonalność, API, endpointy ani cmdlety PowerShell. Wszystkie skrypty, integracje i konfiguracje działają identycznie — zmieniły się tylko nazwy w portalu administracyjnym i dokumentacji. Celem rebrandingu było uporządkowanie rodziny produktów tożsamościowych Microsoftu pod wspólną marką Entra.
Czym różni się Entra ID od lokalnego Active Directory?
To dwa zupełnie różne produkty. Active Directory (AD) działa na serwerze Windows Server w sieci lokalnej, używa protokołu Kerberos, zarządza komputerami przez GPO i ma strukturę hierarchiczną (las, domena, OU). Entra ID działa w chmurze, używa OAuth 2.0 / SAML, jest płaski (jedna dzierżawa) i służy głównie do logowania do aplikacji w chmurze. Nie można zastąpić AD przez Entra ID 1:1 — w większości firm działają równolegle (model hybrydowy).
Czy Entra ID jest darmowy?
Tak, podstawowy plan Free jest całkowicie darmowy i wliczony w każdą subskrypcję Microsoft 365, Azure, Dynamics 365, Intune czy Power Platform. Obejmuje zarządzanie użytkownikami i grupami, synchronizację z AD, SSO do aplikacji Microsoft i 10 aplikacji SaaS na użytkownika, samoobsługową zmianę hasła oraz podstawowe raporty. Płatne plany P1 (6 USD/mies.) i P2 (9 USD/mies.) dodają dostęp warunkowy, ochronę tożsamości i zaawansowane zarządzanie.
Czy mogę używać Entra ID bez subskrypcji Microsoft 365?
Tak. Entra ID jest usługą platformy Azure — możesz utworzyć dzierżawę w portal.azure.com bez kupowania Microsoft 365. Otrzymasz wtedy katalog w chmurze z planem Free, do którego możesz dodawać użytkowników, rejestrować aplikacje i korzystać z SSO. Wiele organizacji używa Entra ID wyłącznie jako brokera tożsamości dla aplikacji SaaS, bez wykupionej subskrypcji Microsoft 365.
Czy zmiana nazwy z Azure AD na Entra ID coś popsuła w istniejących konfiguracjach?
Nie. Microsoft zadbał o pełną wsteczną kompatybilność. Wszystkie endpointy (login.microsoftonline.com, graph.microsoft.com), cmdlety PowerShell (AzureAD, MSOnline — choć te są stopniowo zastępowane przez Microsoft.Graph), adresy URL i klucze konfiguracyjne pozostały niezmienione. Jeśli Twój system działał z Azure AD, działa również z Entra ID — bez żadnych modyfikacji.
Co to jest Microsoft Entra Suite i czy zastępuje Entra ID?
Microsoft Entra Suite to rozszerzenie Entra ID, a nie zastąpienie. Jest to pakiet łączący Entra ID P2 z dodatkowymi usługami: Entra Private Access (bezpieczny dostęp ZTNA do aplikacji on-premises bez VPN), Entra Internet Access (bezpieczna brama do internetu), Entra ID Governance (zarządzanie cyklem życia tożsamości) oraz Verified ID (zdecentralizowane poświadczenia). Entra Suite kosztuje około 16 USD/użytkownika/miesiąc i jest skierowany do organizacji wdrażających architekturę Zero Trust.
Jak Entra ID współpracuje z Windows Server i licencjami Microsoft?
Entra ID zarządza tożsamościami w chmurze, ale do pełnego działania infrastruktury hybrydowej potrzebny jest również licencjonowany Windows Server dla lokalnego Active Directory. Niezależnie od planu Entra ID, komputery w organizacji muszą działać na legalnie aktywowanym systemie Windows 10 lub Windows 11, a serwery lokalne na Windows Server. Wiele firm decyduje się na odświeżenie licencji Windows przy okazji migracji do modelu chmurowego. Jeśli Twoja organizacja potrzebuje nowych licencji Windows 11 Professional lub Windows Server, sprawdź ofertę legalnych kluczy Microsoft w niższej cenie: Licencje Windows Server — KluczeSoft.
KluczeSoft jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Entra ID, Azure i Active Directory są znakami towarowymi Microsoft Corporation.