Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Aplikacje Microsoft

Microsoft Intune MDM — co to jest, jak działa i jak skonfigurować krok po kroku (2026)

Intune to fundament strategii nowoczesnego zarządzania punktami końcowymi Microsoftu. Zastępuje (lub uzupełnia) tradycyjne podejścia: lokalną domenę Active Dire

10 min czytania·Zaktualizowano dzisiaj

Microsoft Intune to oparta na chmurze usługa do zarządzania punktami końcowymi (UEM — Unified Endpoint Management), która umożliwia firmom zdalne konfigurowanie, zabezpieczanie i aktualizowanie urządzeń oraz aplikacji — bez potrzeby budowania własnej infrastruktury serwerowej. Intune łączy dwa tryby zarządzania: MDM (Mobile Device Management — pełna kontrola nad urządzeniem) i MAM (Mobile Application Management — ochrona tylko aplikacji firmowych), dzięki czemu sprawdza się zarówno na sprzęcie służbowym, jak i prywatnych urządzeniach pracowników (BYOD).

W skrócie

  • Intune to usługa chmurowa Microsoft — nie wymaga serwera lokalnego, konsola dostępna z przeglądarki
  • Obsługuje Windows, macOS, iOS/iPadOS, Android, Linux, tvOS i visionOS — jedna konsola dla wszystkich platform
  • Działa w modelu Zero Trust — dostęp do zasobów firmowych zależy od rzeczywistego stanu urządzenia, a nie od tego, czy jest w sieci biurowej
  • Integruje się natywnie z Microsoft Entra ID (dawniej Azure AD) i dostępu warunkowym (Conditional Access)
  • Dostępny w ramach subskrypcji Microsoft 365 E3/E5/E7 lub jako samodzielny Plan 1; zaawansowane funkcje w Planie 2 i Intune Suite
  • Obejmuje pełny cykl życia urządzenia: od rejestracji, przez konfigurację i monitoring zgodności, po zdalne czyszczenie
  • Wbudowany asystent AI — Copilot w Intune — pomaga analizować zasady, wykrywać konflikty i rozwiązywać problemy

Czym dokładnie jest Microsoft Intune

Intune to fundament strategii nowoczesnego zarządzania punktami końcowymi Microsoftu. Zastępuje (lub uzupełnia) tradycyjne podejścia: lokalną domenę Active Directory z Group Policy, SCCM (System Center Configuration Manager) oraz rozwiązania MDM innych producentów, takie jak Workspace ONE, MobileIron czy MaaS360.

Kluczowa różnica: Intune nie wymaga, aby urządzenie znajdowało się w sieci firmowej. Zarządza urządzeniami przez internet — laptop pracownika na drugim końcu świata otrzymuje zasady bezpieczeństwa, aplikacje i aktualizacje dokładnie tak samo, jak komputer w biurze obok.

Trzy filary Intune

FilarRolaTechnologia Microsoft
TożsamośćKto się loguje i z jakimi uprawnieniamiMicrosoft Entra ID (uwierzytelnianie, grupy, MFA)
UrządzenieCzy sprzęt jest zgodny z polityką firmyIntune MDM (rejestracja, konfiguracja, compliance)
AplikacjeJakie dane firmowe są chronioneIntune MAM (ochrona aplikacji, selektywne czyszczenie)

Te trzy filary spotykają się w dostępie warunkowym (Conditional Access) — silniku, który w czasie rzeczywistym decyduje: to urządzenie jest zgodne → przepuść; to urządzenie nie spełnia polityki → zablokuj lub wymuś korektę.

MDM vs MAM — dwa tryby działania Intune

To rozróżnienie jest kluczowe, aby zrozumieć, jak Intune pasuje do różnych scenariuszy w firmie.

Mobile Device Management (MDM)

Pełne zarządzanie urządzeniem. Intune przejmuje kontrolę nad całym sprzętem — może wymusić szyfrowanie dysku (BitLocker), konfigurację WiFi i VPN, zainstalować certyfikaty, wymusić PIN, zdalnie zablokować lub wyczyścić urządzenie. Stosowane dla sprzętu firmowego.

Metody rejestracji MDM:

  • Windows Autopilot — nowe komputery same konfigurują się po pierwszym uruchomieniu
  • Apple Automated Device Enrollment (ADE, dawniej DEP) — zero-touch dla Mac i iPhone/iPad
  • Android Enterprise — profile służbowe na Androidzie
  • Company Portal — ręczna rejestracja przez użytkownika

Mobile Application Management (MAM)

Zarządzanie tylko aplikacjami i danymi firmowymi — bez dotykania prywatnej części urządzenia. Pracownik instaluje aplikację Outlook, Teams lub Edge, a Intune nakłada na nie polityki ochrony: blokuje kopiowanie danych do prywatnych aplikacji, wymusza PIN na poziomie aplikacji, umożliwia zdalne wyczyszczenie tylko danych służbowych. Idealne dla BYOD (Bring Your Own Device).

MDM + MAM razem

Można łączyć oba tryby. Przykład: służbowy iPhone (MDM) z dodatkową polityką MAM na aplikacjach zawierających dane szczególnie chronione (finanse, HR). Po odejściu pracownika dane firmowe znikają, zdjęcia z wakacji zostają.

Jak skonfigurować Microsoft Intune — przewodnik krok po kroku

Poniżej opis konfiguracji Intune od zera, oparty na oficjalnym przewodniku wdrożeniowym Microsoft (stan na maj 2026).

Wymagania wstępne

  • Subskrypcja Microsoft 365 lub samodzielna licencja Intune (Plan 1 minimum). Każdy użytkownik lub urządzenie, które korzysta z Intune, potrzebuje licencji (administratorzy mogą zarządzać bez licencji w tenantach utworzonych po lipcu 2021).
  • Konto z rolą Global Administrator lub Intune Administrator w Microsoft Entra ID.
  • Opcjonalnie: Microsoft Entra ID P1 lub P2 (wymagane dla dostępu warunkowego i zaawansowanych funkcji).

1. Rejestracja i konfiguracja tenantu

  1. Przejdź do intune.microsoft.com i zaloguj się kontem administratora.
  2. Jeśli nie masz jeszcze tenantu Intune, załóż bezpłatny 30-dniowy okres próbny (25 licencji testowych).
  3. (Opcjonalnie) Skonfiguruj własną domenę (np. twoja-firma.pl) zamiast domyślnej twoja-firma.onmicrosoft.com.

2. Dodanie użytkowników i grup

  1. W centrum administracyjnym Entra ID dodaj użytkowników — ręcznie, zbiorczo (CSV) lub synchronizując z lokalnego Active Directory przez Microsoft Entra Connect.
  2. Utwórz grupy zabezpieczeń według struktury firmy — np. Dział_IT, Sprzedaż, Zarząd. To do grup przypiszesz później zasady i aplikacje.

3. Przypisanie licencji

  1. W centrum administracyjnym Microsoft 365 przypisz licencje Intune użytkownikom — indywidualnie lub grupowo.
  2. Sprawdź stan licencji: Intune Admin Center → Administracja dzierżawą → Stan dzierżawy.

4. Ustawienie źródła autorytetu MDM (MDM Authority)

  1. W Intune Admin Center przejdź do: Administracja dzierżawą → Zarządzanie urządzeniami → Ustawienia MDM.
  2. Jeśli to nowa instalacja, autorytet MDM powinien być już ustawiony na Microsoft Intune. Jeśli migrujesz z innego rozwiązania, zmień go tutaj (uwaga: zmiana jest jednokierunkowa).

5. Konfiguracja zasad zgodności (Compliance Policies)

  1. Przejdź do: Urządzenia → Zgodność → Utwórz zasady.
  2. Wybierz platformę (np. Windows 10/11) i zdefiniuj wymagania: minimalna wersja systemu, włączony BitLocker, aktywny firewall, brak root/jailbreak.
  3. Zdefiniuj akcje za nieprzestrzeganie zgodności — np. wyślij e-mail, zablokuj dostęp po 7 dniach.

6. Tworzenie profili konfiguracyjnych (Device Configuration Profiles)

  1. Przejdź do: Urządzenia → Konfiguracja → Utwórz profil.
  2. Wybierz platformę i typ profilu — najczęściej Katalog ustawień (Settings Catalog) daje największą elastyczność.
  3. Skonfiguruj ustawienia: polityka haseł, Windows Update, konfiguracja WiFi/VPN, certyfikaty, mapowanie dysków OneDrive, ustawienia Microsoft Edge.
  4. Przypisz profil do grupy użytkowników lub urządzeń.

Wskazówka dla migrujących z Group Policy: Intune oferuje narzędzie Group Policy Analytics — importujesz swoje GPO i widzisz, które ustawienia mają odpowiednik w Intune, a które trzeba przepisać ręcznie.

7. Wdrożenie aplikacji

  1. Przejdź do: Aplikacje → Wszystkie aplikacje → Dodaj.
  2. Wybierz typ: Microsoft 365 Apps, Win32 (.intunewin), iOS App Store, Android Managed Google Play, aplikacja biznesowa (LOB).
  3. Skonfiguruj wykrywanie instalacji, wymagania systemowe i metodę przypisania (wymagana / dostępna w Company Portal / odinstaluj).

8. Konfiguracja Portalu firmowego (Company Portal)

  1. Przejdź do: Administracja dzierżawą → Dostosowywanie → Portal firmowy.
  2. Dodaj logo firmy, nazwę, dane kontaktowe IT, kolorystykę.
  3. Użytkownicy będą widzieć tę markę w aplikacjach Company Portal na Windows, Mac, iOS i Android.

9. Rejestracja urządzeń

  1. Włącz metody rejestracji dla każdej platformy: Urządzenia → Rejestracja → Windows / Apple / Android.
  2. Dla Windows skonfiguruj Windows Autopilot (dla nowych urządzeń) lub zezwól na ręczną rejestrację przez Company Portal.
  3. Dla BYOD skonfiguruj App Protection Policies (MAM) — nie wymagają rejestracji MDM.

Porównanie: Intune vs Configuration Manager (SCCM) vs Group Policy

CechaMicrosoft IntuneConfiguration Manager (SCCM)Group Policy (GPO)
ArchitekturaChmurowa (SaaS)Lokalna (+ opcjonalnie cloud attach)Lokalna (Active Directory)
Zarządzanie poza siecią firmową✅ Tak (internet)❌ VPN lub CMG wymagane❌ Wymaga połączenia z DC
PlatformyWindows, Mac, iOS, Android, LinuxWindows, Mac (ograniczone)Tylko Windows
Wdrażanie aplikacjiWin32, LOB, Store, Microsoft 365Wszystkie typy (bardzo rozbudowane)❌ (tylko MSI przez GPO)
Aktualizacje systemuWindows Update for BusinessWSUS + sekwencje zadań
Windows Server✅ Tak✅ Tak
Zero-touch deployment✅ Autopilot✅ PXE / sekwencje zadań
Copilot / AI✅ Wbudowany
KosztSubskrypcja (za użytkownika/miesiąc)W ramach licencji + infrastruktura lokalnaW ramach licencji Windows Server
Kiedy wybraćOrganizacje cloud-first, praca zdalna, flota mieszanaDuże środowiska on-premises, serwery, task sequencesMałe środowiska bez chmury, legacy

Co wybrać?

  • Tylko Intune — firma bez serwerów lokalnych, pracownicy zdalni, urządzenia różnych platform.
  • Intune + co-management (SCCM + Intune) — organizacja, która ma SCCM, ale chce stopniowo przenosić obciążenia do chmury (np. Windows Update przez Intune, aplikacje przez SCCM).
  • Tylko SCCM — serwerownie, Windows Server, środowiska bez internetu.
  • Group Policy → Intune — małe biuro z Active Directory, które chce zrezygnować z serwera i przejść w chmurę.

Częste pytania

Czym różni się Microsoft Intune od Microsoft Endpoint Manager?

Od 2023 roku Microsoft uprościł nazewnictwo: Microsoft Endpoint Manager jako osobna marka marketingowa został wycofany. Obecnie obowiązuje nazwa Microsoft Intune — obejmuje ona zarówno MDM/MAM, jak i centrum administracyjne, w którym zarządza się również Configuration Managerem przez tenant attach. Jeśli widzisz w dokumentacji "Endpoint Manager", dotyczy to dokładnie tej samej usługi — Intune.

Ile kosztuje Microsoft Intune?

Intune Plan 1 (podstawowe MDM + MAM) jest zawarty w subskrypcjach Microsoft 365 E3, E5, E7, Business Premium oraz Enterprise Mobility + Security E3/E5. Jako samodzielny dodatek — około 8–10 USD za użytkownika/miesiąc. Intune Plan 2 (Remote Help, Advanced Analytics) i Intune Suite (dodatkowo: EPM, Enterprise App Management, Cloud PKI) wymagają dopłaty — szczegółowe ceny dostępne na stronie Microsoft Intune plans and pricing. Bezpłatny 30-dniowy okres próbny obejmuje 25 licencji Planu 1.

Czy Intune wymaga, aby urządzenia były w domenie Active Directory?

Nie — i to jest główna zaleta Intune. Urządzenia są przyłączone do Microsoft Entra ID (dawniej Azure AD Join), a nie do lokalnego AD. Dla organizacji hybrydowych dostępny jest też model Hybrid Microsoft Entra Join (urządzenie jest jednocześnie w lokalnym AD i w Entra ID), który umożliwia stopniową migrację.

Jakie urządzenia można zarządzać przez Intune?

Pełna lista obsługiwanych systemów w 2026: Windows 10/11, macOS 13+ (Ventura, Sonoma, Sequoia), iOS/iPadOS 16+, Android 10+ (Enterprise i Device Admin), Linux (Ubuntu 22.04+, Red Hat Enterprise Linux 8+), tvOS, visionOS (Apple Vision Pro). Dla każdej platformy dostępne są osobne profile konfiguracyjne i metody rejestracji.

Czy Intune zastępuje antywirusa?

Nie. Intune zarządza konfiguracją i zgodnością, ale nie jest programem antywirusowym. Współpracuje natomiast natywnie z Microsoft Defender for Endpoint — możesz wymagać przez Intune, aby Defender był aktywny i zgłaszał stan zagrożeń, a Conditional Access może blokować dostęp urządzeniom z wysokim ryzykiem. Dla pełnej ochrony zaleca się połączenie Intune + Defender for Endpoint (lub innego EDR).

Jak przenieść się z innego rozwiązania MDM (np. MobileIron, Workspace ONE) do Intune?

Proces migracji obejmuje: (1) skonfigurowanie Intune równolegle; (2) wdrożenie zasad ochrony aplikacji (MAM) jako zabezpieczenia na czas przejścia; (3) wyrejestrowanie urządzeń ze starego MDM przez użytkowników; (4) rejestrację w Intune. Microsoft zaleca podejście fazowe — zacznij od małej grupy pilotażowej, zweryfikuj sukces rejestracji i produktywność użytkowników, potem skaluj.

Czy Intune działa offline?

Nie w pełni. Intune wymaga połączenia z internetem, aby urządzenie otrzymało zasady i zgłosiło stan zgodności. Raz pobrane zasady działają lokalnie (np. wymóg PIN, szyfrowanie), ale zmiana polityki wymaga synchronizacji. Typowe urządzenia sprawdzają się z Intune co 8 godzin lub przy restarcie — administrator może też wymusić natychmiastową synchronizację z konsoli.

Zabezpiecz swoją flotę urządzeń z pełnym ekosystemem Microsoft

Intune działa najlepiej, gdy urządzenia są oparte na nowoczesnych, wspieranych systemach — Windows 11, macOS, Android Enterprise. Jeśli przygotowujesz firmową flotę pod wdrożenie Intune i potrzebujesz legalnych, trwałych licencji na systemy operacyjne w niskich kosztach:

Windows 11 Pro — klucz licencyjny od 159,90 zł — BitLocker, Remote Desktop, dołączanie do domeny Entra ID i pełna kompatybilność z Intune

Microsoft 365 Business Premium — subskrypcje dla firm — Intune Plan 1, Defender for Business, Entra ID P1 i Office w jednym abonamencie

Najczęściej zadawane pytania

Od 2023 roku Microsoft uprościł nazewnictwo: **Microsoft Endpoint Manager** jako osobna marka marketingowa został wycofany. Obecnie obowiązuje nazwa **Microsoft Intune** — obejmuje ona zarówno MDM/MAM, jak i centrum administracyjne, w którym zarządza się również Configuration Managerem przez tenant attach. Jeśli widzisz w dokumentacji "Endpoint Manager", dotyczy to dokładnie tej samej usługi — Intune.
Intune Plan 1 (podstawowe MDM + MAM) jest zawarty w subskrypcjach **Microsoft 365 E3, E5, E7, Business Premium** oraz **Enterprise Mobility + Security E3/E5**. Jako samodzielny dodatek — około **8–10 USD za użytkownika/miesiąc**. Intune Plan 2 (Remote Help, Advanced Analytics) i Intune Suite (dodatkowo: EPM, Enterprise App Management, Cloud PKI) wymagają dopłaty — szczegółowe ceny dostępne na stronie Microsoft Intune plans and pricing. Bezpłatny 30-dniowy okres próbny obejmuje 25 licencji Planu 1.
Nie — i to jest główna zaleta Intune. Urządzenia są **przyłączone do Microsoft Entra ID** (dawniej Azure AD Join), a nie do lokalnego AD. Dla organizacji hybrydowych dostępny jest też model **Hybrid Microsoft Entra Join** (urządzenie jest jednocześnie w lokalnym AD i w Entra ID), który umożliwia stopniową migrację.
Pełna lista obsługiwanych systemów w 2026: **Windows 10/11**, **macOS 13+** (Ventura, Sonoma, Sequoia), **iOS/iPadOS 16+**, **Android 10+** (Enterprise i Device Admin), **Linux** (Ubuntu 22.04+, Red Hat Enterprise Linux 8+), **tvOS**, **visionOS** (Apple Vision Pro). Dla każdej platformy dostępne są osobne profile konfiguracyjne i metody rejestracji.
Nie. Intune zarządza konfiguracją i zgodnością, ale nie jest programem antywirusowym. Współpracuje natomiast natywnie z **Microsoft Defender for Endpoint** — możesz wymagać przez Intune, aby Defender był aktywny i zgłaszał stan zagrożeń, a Conditional Access może blokować dostęp urządzeniom z wysokim ryzykiem. Dla pełnej ochrony zaleca się połączenie Intune + Defender for Endpoint (lub innego EDR).
Proces migracji obejmuje: (1) skonfigurowanie Intune równolegle; (2) wdrożenie zasad ochrony aplikacji (MAM) jako zabezpieczenia na czas przejścia; (3) wyrejestrowanie urządzeń ze starego MDM przez użytkowników; (4) rejestrację w Intune. Microsoft zaleca podejście **fazowe** — zacznij od małej grupy pilotażowej, zweryfikuj sukces rejestracji i produktywność użytkowników, potem skaluj.
Nie w pełni. Intune wymaga połączenia z internetem, aby urządzenie otrzymało zasady i zgłosiło stan zgodności. Raz pobrane zasady działają lokalnie (np. wymóg PIN, szyfrowanie), ale zmiana polityki wymaga synchronizacji. Typowe urządzenia sprawdzają się z Intune co 8 godzin lub przy restarcie — administrator może też wymusić natychmiastową synchronizację z konsoli.

Czy ten artykuł był pomocny?