Microsoft Purview Compliance Manager to narzędzie do zarządzania zgodnością w chmurze Microsoft 365, które pomaga organizacjom oceniać, monitorować i poprawiać poziom zgodności z regulacjami prawnymi, standardami branżowymi oraz wewnętrznymi politykami bezpieczeństwa. Compliance Manager automatyzuje proces audytu, przypisuje oceny ryzyka i generuje rekomendacje naprawcze — wszystko w ramach jednego dashboardu dostępnego z poziomu Microsoft Purview compliance portal.
Przedsiębiorstwa w 2026 roku mierzą się z bezprecedensową liczbą regulacji: RODO, NIS2, DORA, AI Act, ISO 27001:2022, SOC 2, PCI DSS 4.0. Każda z nich wymaga setek kontroli, dowodów zgodności i regularnych przeglądów. Ręczne zarządzanie tym procesem jest kosztowne, powolne i podatne na błędy. Compliance Manager rozwiązuje ten problem, oferując ustandaryzowaną platformę do ciągłego monitorowania zgodności — bez konieczności zatrudniania sztabu audytorów.
W tym przewodniku omówimy architekturę Compliance Managera, dostępne edycje i licencjonowanie, mechanizm oceny zgodności, integrację z ekosystemem Microsoft 365, porównanie z konkurencyjnymi rozwiązaniami GRC oraz najczęściej zadawane pytania użytkowników korporacyjnych w Polsce.
Czym jest Microsoft Purview Compliance Manager — definicja i architektura
Microsoft Purview Compliance Manager to komponent platformy Microsoft Purview — zunifikowanego zestawu narzędzi do zarządzania ryzykiem, zgodnością i ochroną danych w ekosystemie Microsoft 365. Purview zastąpił i rozszerzył wcześniejsze portfolio Microsoft 365 Compliance Center, integrując funkcje Information Protection, Data Loss Prevention (DLP), Insider Risk Management, eDiscovery, Audit i właśnie Compliance Manager w jednym portalu.
Compliance Manager działa w oparciu o trzy kluczowe filary:
- Szablony oceny zgodności (Assessment Templates) — gotowe zestawy kontroli odwzorowujące wymagania konkretnych regulacji. Microsoft dostarcza ponad 360 predefiniowanych szablonów, obejmujących m.in. RODO, ISO 27001, SOC 1/2/3, HIPAA, NIST SP 800-53, PCI DSS, FedRAMP, NIS2, DORA i AI Act. Każdy szablon zawiera od kilkudziesięciu do kilkuset szczegółowych kontroli.
- Mechanizm oceny (Compliance Score) — automatyczny scoring w skali 0-100% pokazujący aktualny poziom zgodności organizacji z daną regulacją. Punkty przyznawane są za wdrożone działania naprawcze (Improvement Actions), które dzielą się na działania zarządzane przez Microsoft (platform-side) i działania po stronie klienta (customer-managed).
- Silnik rekomendacji — na podstawie bieżącego wyniku i niewdrożonych kontroli Compliance Manager generuje priorytetyzowaną listę działań do wykonania, wraz z instrukcjami krok po kroku, przypisaniem odpowiedzialności i szacowanym wpływem każdego działania na końcowy Compliance Score.
Architektura Compliance Managera jest wielodzierżawcza (multi-tenant) i opiera się na Microsoft Graph API oraz konektorach do Microsoft Defender for Cloud, Microsoft Sentinel, Microsoft Intune i Azure Policy. Oznacza to, że Compliance Manager automatycznie pobiera dane telemetryczne z tych usług i wykorzystuje je do automatycznej weryfikacji statusu wielu kontroli technicznych — bez potrzeby ręcznego zbierania dowodów.
Compliance Score — jak działa ocena zgodności
Compliance Score to numeryczny wskaźnik w skali 0-100% reprezentujący stopień zgodności organizacji z wybraną regulacją. Jest to najważniejsza metryka w Compliance Managerze i punkt wyjścia do wszelkich działań doskonalących.
Każda kontrola w szablonie oceny ma przypisaną wagę (punktową wartość maksymalną). Łączna suma punktów za wszystkie kontrole w danym szablonie stanowi mianownik. Compliance Score to stosunek punktów zdobytych (za kontrole spełnione) do punktów możliwych. Kontrole zarządzane przez Microsoft — np. fizyczne bezpieczeństwo centrów danych Azure, szyfrowanie danych w spoczynku, certyfikacja SOC infrastruktury chmury — są automatycznie uznawane za spełnione i nie wymagają działań ze strony klienta. Kontrole zarządzane przez klienta — np. polityka haseł, szkolenia pracowników, klasyfikacja danych — wymagają wdrożenia i udokumentowania.
Działania naprawcze (Improvement Actions) dzielą się na trzy kategorie:
| Kategoria działania | Opis | Przykład | Typowy wpływ na score |
|---|---|---|---|
| Techniczne | Konfiguracja ustawień w Microsoft 365, Azure, Intune | Włączenie MFA dla wszystkich użytkowników, skonfigurowanie DLP dla danych wrażliwych | 10-30 punktów za działanie |
| Operacyjne | Procesy, procedury, polityki wewnętrzne | Opracowanie i wdrożenie polityki klasyfikacji danych, regularne przeglądy uprawnień | 5-15 punktów za działanie |
| Dokumentacyjne | Dowody zgodności, raporty, rejestry | Dokumentacja analizy ryzyka RODO, rejestr incydentów bezpieczeństwa | 5-10 punktów za działanie |
Compliance Manager umożliwia również ręczne testowanie i potwierdzanie kontroli. Dla każdej kontroli można dodać dowody (załączniki, linki), przypisać osobę odpowiedzialną, ustawić datę implementacji i testu oraz status (Implemented, Not Implemented, Alternative Implementation, Not Applicable). Mechanizm historii zmian rejestruje każdą modyfikację, co jest kluczowe podczas rzeczywistego audytu zewnętrznego.
Szablony oceny — jakie regulacje obsługuje Compliance Manager
Microsoft Purview Compliance Manager oferuje w 2026 roku ponad 360 gotowych szablonów oceny, pogrupowanych w kategorie geograficzne i branżowe. Oto najważniejsze z nich w kontekście polskich i europejskich przedsiębiorstw:
Regulacje europejskie:
- RODO (GDPR) — ogólne rozporządzenie o ochronie danych; 66 kontroli; obowiązkowe dla każdej organizacji przetwarzającej dane osobowe obywateli UE
- NIS2 — dyrektywa o bezpieczeństwie sieci i systemów informatycznych; 47 kontroli; obowiązuje od października 2024, rozszerzona na 18 sektorów krytycznych
- DORA (Digital Operational Resilience Act) — regulacja odporności operacyjnej sektora finansowego; 86 kontroli; pełne egzekwowanie od stycznia 2025
- AI Act (EU) — unijne rozporządzenie o sztucznej inteligencji; 52 kontrole; stopniowe wchodzenie w życie od lutego 2025 do sierpnia 2027
- ISO 27001:2022 — międzynarodowy standard zarządzania bezpieczeństwem informacji; 114 kontroli (zaktualizowany w październiku 2022, wersja 2022 obowiązuje w Compliance Managerze)
Regulacje amerykańskie (istotne dla firm z oddziałami w USA):
- SOC 1 / SOC 2 / SOC 3 — standardy AICPA dla organizacji usługowych
- HIPAA / HITECH — ochrona danych medycznych
- PCI DSS 4.0 — bezpieczeństwo danych kart płatniczych
- NIST SP 800-53 Rev. 5 — katalog kontroli bezpieczeństwa dla systemów federalnych
- FedRAMP High — federalny program autoryzacji usług chmurowych
Każdy szablon jest regularnie aktualizowany przez Microsoft w ślad za zmianami legislacyjnymi. Organizacje mogą również tworzyć szablony niestandardowe (custom) — kopiując istniejący szablon i modyfikując go o dodatkowe kontrole specyficzne dla danej firmy, branży lub wymagań klienta. Szablony custom można eksportować i importować między tenantami.
Licencjonowanie Microsoft Purview Compliance Manager — edycje i ceny
Compliance Manager dostępny jest w różnych poziomach funkcjonalności w zależności od posiadanej licencji Microsoft 365:
| Funkcja | Microsoft 365 E3 | Microsoft 365 E5 / E5 Compliance | Microsoft 365 E5 + Compliance Add-on |
|---|---|---|---|
| Compliance Manager (podstawowy) | ✓ | ✓ | ✓ |
| Predefiniowane szablony oceny (360+) | ✓ | ✓ | ✓ |
| Szablony niestandardowe | Ograniczone (maks. 2) | ✓ (bez limitu) | ✓ (bez limitu) |
| Automatyczne testowanie kontroli | ✗ | ✓ | ✓ |
| Zaawansowane raportowanie i dashboardy | ✗ | ✓ | ✓ |
| Microsoft Priva (Privacy Management) | ✗ | ✗ | ✓ (dodatkowa licencja) |
| Insider Risk Management | ✗ | ✓ | ✓ |
| Advanced eDiscovery | ✗ | ✓ | ✓ |
| Communication Compliance | ✗ | ✓ | ✓ |
| Cena / użytkownik / mc (orientacyjna, 2026) | ~160 PLN | ~230 PLN | ~290 PLN |
Licencje E5 Compliance oferują pełną funkcjonalność Compliance Managera, w tym automatyczne testowanie kontroli technicznych, które eliminuje konieczność ręcznego weryfikowania statusu setek ustawień. Dla polskich firm istotne jest, że Microsoft respektuje unijny model suwerenności danych (EU Data Boundary) — wszystkie dane Compliance Managera są przechowywane i przetwarzane w centrach danych na terenie Unii Europejskiej dla tenantów zlokalizowanych w UE.
KluczeSoft oferuje oryginalne klucze Microsoft 365 E3, E5 oraz subskrypcje E5 Compliance w cenach niższych od cennika Microsoft Direct — z fakturą VAT 23% i dostawą w 1-3 minuty — szczegóły dostępne na kluczesoft.pl/klucze-microsoft-365.
Koszty licencjonowania Compliance Managera należy rozpatrywać w kontekście oszczędności: typowy zewnętrzny audyt RODO kosztuje 15 000-50 000 PLN, audyt ISO 27001 — 30 000-80 000 PLN, a roczne utrzymanie zgodności z NIS2 wymaga minimum 2-3 etatów specjalistów ds. compliance. Compliance Manager z automatyzacją testowania kontroli pozwala zredukować nakład pracy audytowej o 50-70%.
Microsoft Purview Compliance Manager a konkurencyjne rozwiązania GRC
Rynek narzędzi Governance, Risk & Compliance (GRC) jest zróżnicowany. Compliance Manager wyróżnia się głęboką integracją z ekosystemem Microsoft, ale nie jest jedynym rozwiązaniem dostępnym dla organizacji. Oto porównanie:
| Kryterium | Microsoft Purview Compliance Manager | ServiceNow GRC | Vanta | Drata | OneTrust |
|---|---|---|---|---|---|
| Integracja z M365 | Natywna, automatyczna | Przez API/konektory | Przez API | Przez API | Przez API |
| Automatyczne testowanie kontroli M365 | ✓ (E5) | ✗ (konfiguracja manualna) | ✓ (częściowo) | ✓ (częściowo) | ✗ |
| Szablony regulacji (liczba) | 360+ | ~50 (płatne dodatki) | ~30 | ~25 | ~200 |
| Cena / użytkownik / mc | Wliczone w M365 E5 | ~250-400 PLN (oddzielnie) | ~120-250 PLN | ~150-300 PLN | ~200-500 PLN |
| Integracja z Azure / Defender / Sentinel | ✓ natywna | ✗ | ✗ (częściowo) | ✗ (częściowo) | ✗ |
| Obsługa KSeF / polskich regulacji | ✓ (custom templates) | ✗ (brak szablonów PL) | ✗ | ✗ | ✓ (ograniczone) |
| Wdrożenie (czas) | 1-2 tygodnie | 3-6 miesięcy | 2-4 tygodnie | 2-4 tygodnie | 3-8 miesięcy |
Główna przewaga Compliance Managera to brak dodatkowych kosztów licencyjnych dla organizacji już posiadających Microsoft 365 E5 — narzędzie jest wliczone w subskrypcję. Konkurencyjne rozwiązania GRC wymagają oddzielnych, często wyższych opłat. Z drugiej strony, Compliance Manager jest silnie związany z ekosystemem Microsoft — organizacje korzystające z Google Workspace, AWS jako głównej chmury lub rozproszonych środowisk on-premises spoza Microsoftu mogą uznać Vanta lub OneTrust za bardziej elastyczne.
Praktyczne przypadki użycia Compliance Managera w polskich firmach
Scenariusz 1: Firma przetwarzająca dane medyczne (200 użytkowników) Szpital lub klinika podlega pod RODO, ustawę o ochronie zdrowia oraz NIS2 (sektor opieki zdrowotnej). Compliance Manager z szablonem RODO (66 kontroli) i ISO 27799 (bezpieczeństwo informacji w ochronie zdrowia) pozwala na bieżąco monitorować zgodność. Automatyczne testowanie kontroli w E5 sprawdza, czy wszystkie konta mają MFA, czy dane pacjentów są szyfrowane, czy polityki DLP blokują wyciek numerów PESEL. Raport zgodności można wyeksportować jako PDF i przedstawić Prezesowi UODO podczas kontroli.
Scenariusz 2: Bank spółdzielczy (100 użytkowników) Banki podlegają pod DORA, RODO, PCI DSS 4.0 oraz wytyczne KNF (Komisja Nadzoru Finansowego). Compliance Manager integruje się z Microsoft Sentinel i Defender for Cloud, automatycznie weryfikując kontrole techniczne DORA dotyczące ciągłości działania, odporności na incydenty i zarządzania ryzykiem dostawców. Szablon niestandardowy odzwierciedlający wytyczne KNF można zbudować na bazie istniejącego szablonu NIST SP 800-53 i rozszerzyć o polskie wymogi nadzorcze.
Scenariusz 3: Software house dostarczający SaaS do klientów enterprise (80 użytkowników) Firma potrzebuje SOC 2 Type II, aby podpisać umowy z klientami z USA, oraz ISO 27001:2022 dla klientów europejskich. Compliance Manager pozwala zarządzać obydwoma programami równolegle, identyfikując kontrole wspólne (np. zarządzanie dostępem, backup, zarządzanie incydentami) — co eliminuje dublowanie pracy. Raport Compliance Score dla SOC 2 można udostępnić klientom jako dowód należytej staranności (due diligence).
Strategia wdrożenia Compliance Managera — od zera do Compliance Score 80%+
Wdrożenie Compliance Managera w organizacji, która nigdy wcześniej nie korzystała z narzędzi GRC, składa się z pięciu faz:
Faza 1: Inwentaryzacja regulacji (tydzień 1) Zidentyfikuj wszystkie regulacje, które dotyczą Twojej organizacji — na podstawie profilu branżowego, lokalizacji geograficznej, typów przetwarzanych danych i wymagań kontraktowych klientów. Dla każdej regulacji utwórz osobną Assessment w Compliance Managerze.
Faza 2: Baseline Score (tydzień 2) Uruchom automatyczne testowanie kontroli (wymaga E5) lub ręcznie zweryfikuj status najważniejszych kontroli. Compliance Score startowy dla organizacji bez wcześniejszego programu zgodności wynosi typowo 15-35%. Ten wynik staje się Twoim punktem odniesienia (baseline) do mierzenia postępu.
Faza 3: Priorytetyzacja Improvement Actions (tydzień 3) Compliance Manager automatycznie sortuje działania naprawcze według wpływu na Compliance Score. Skup się na działaniach o najwyższym wpływie, które jednocześnie pokrywają kontrole wspólne dla wielu regulacji. Na przykład włączenie MFA dla wszystkich użytkowników podbija score w RODO, ISO 27001, SOC 2 i NIS2 jednocześnie.
Faza 4: Wdrożenie kwartalne (tygodnie 4-12) Realizuj Improvement Actions w 2-tygodniowych sprintach. Każdy sprint kończy się aktualizacją Compliance Score i raportem dla zarządu. Typowy przyrost to 5-8 punktów procentowych na sprint. Po 3 miesiącach organizacja osiąga 60-75% zgodności dla kluczowych regulacji.
Faza 5: Ciągłe monitorowanie (od miesiąca 4) Compliance Manager działa w trybie ciągłym — gdy Microsoft zmieni konfigurację swojej części (np. nowy certyfikat ISO dla centrum danych Azure), Twój score automatycznie rośnie. Gdy wyjdzie nowa poprawka do regulacji (np. aktualizacja wytycznych EROD dotycząca transferów danych), Compliance Manager sygnalizuje nowe kontrole do wdrożenia. Regularny przegląd miesięczny zastępuje kosztowne audyty roczne.
Częste pytania
Czy Microsoft Purview Compliance Manager zastępuje audytora zewnętrznego?
Nie całkowicie. Compliance Manager automatyzuje zbieranie dowodów zgodności, testowanie kontroli technicznych i generowanie raportów, ale nie zastępuje niezależnej oceny audytora zewnętrznego wymaganej przez niektóre regulacje (np. ISO 27001 wymaga certyfikacji przez akredytowaną jednostkę, SOC 2 wymaga raportu od niezależnego CPA). Compliance Manager radykalnie skraca jednak czas i koszt audytu — zamiast 2-3 miesięcy ręcznego zbierania dowodów, audytor otrzymuje kompletny zestaw danych z platformy.
Jakie są wymagania techniczne do uruchomienia Compliance Managera?
Compliance Manager jest usługą chmurową dostępną przez przeglądarkę (Microsoft Purview compliance portal). Nie wymaga instalacji żadnego oprogramowania na komputerach końcowych. Wymagana jest licencja Microsoft 365 E3 (podstawowa funkcjonalność) lub E5/E5 Compliance (pełna funkcjonalność z automatycznym testowaniem). Do automatycznego testowania kontroli technicznych wymagane są dodatkowo usługi Microsoft w chmurze — Intune, Defender for Cloud, Azure AD/Entra ID — ale samo narzędzie działa również bez nich (w trybie ręcznym).
Czy Compliance Manager obsługuje język polski?
Interfejs Microsoft Purview compliance portal dostępny jest w języku polskim. Opisy kontroli, działań naprawczych i instrukcje dla szablonów Microsoft (RODO, NIS2) są w języku angielskim. Szablony niestandardowe można tworzyć w dowolnym języku, w tym po polsku. Nazwy własne regulacji (np. "Ogólne rozporządzenie o ochronie danych") wyświetlane są w języku angielskim jako "General Data Protection Regulation (GDPR)".
Czy mogę używać Compliance Managera bez Microsoft 365 E5?
Tak, podstawowa funkcjonalność (przeglądanie szablonów, ręczne zarządzanie ocenami, ręczne wdrażanie działań naprawczych) jest dostępna w licencji Microsoft 365 E3. Ograniczenia E3 to: brak automatycznego testowania kontroli, limit 2 szablonów niestandardowych i brak zaawansowanego raportowania. Dla organizacji powyżej 50 użytkowników zdecydowanie rekomendowane jest E5 — ręczne testowanie setek kontroli technicznych jest niewykonalne przy większej skali.
Jak długo trwa uzyskanie pierwszego Compliance Score?
Przy użyciu E5 z automatycznym testowaniem — około 24-48 godzin od utworzenia Assessment (system potrzebuje czasu na zebranie danych telemetrycznych ze wszystkich zintegrowanych usług). W trybie ręcznym (E3) — od kilku dni do kilku tygodni, zależnie od dostępności personelu i liczby kontroli do zweryfikowania.
Czy Compliance Manager działa z Windows Server 2025 i SQL Server 2022?
Tak. Compliance Manager monitoruje zgodność na poziomie dzierżawy Microsoft 365 i Azure, a nie pojedynczych serwerów. Jeśli korzystasz z Windows Server 2025 lub SQL Server 2022 w ramach subskrypcji Azure, Microsoft Defender for Cloud raportuje ich stan bezpieczeństwa do Compliance Managera automatycznie (wymaga Defender for Cloud włączonego na subskrypcji). Dla serwerów on-premises spoza Azure konieczne jest ręczne raportowanie kontroli.
Czy raport z Compliance Managera jest akceptowany przez polski Urząd Ochrony Danych Osobowych (UODO)?
Tak, raporty z Compliance Managera — w szczególności historia zmian, lista wdrożonych działań naprawczych i Compliance Score dla szablonu RODO — stanowią solidny materiał dowodowy podczas kontroli UODO. Prezes UODO wymaga wykazania rozliczalności (accountability) — czyli udokumentowania, że organizacja podjęła odpowiednie środki techniczne i organizacyjne. Compliance Manager dostarcza właśnie taką dokumentację. Należy jednak pamiętać, że sam raport nie zwalnia z obowiązku posiadania polityk wewnętrznych, rejestru czynności przetwarzania czy umów powierzenia.
Czy mogę udostępnić Compliance Score klientom lub partnerom biznesowym?
Tak. Compliance Manager umożliwia eksport raportów do formatu PDF i Excel. Możesz również wygenerować Compliance Manager Report zawierający szczegółowy wykaz wszystkich kontroli i ich statusów. Wiele firm dostarcza taki raport klientom jako część procesu due diligence przed podpisaniem umowy. Funkcja dostępna jest w pełnym zakresie w licencji E5 i E5 Compliance.
Jak Compliance Manager radzi sobie z regulacjami spoza katalogu Microsoft — np. wytycznymi KNF?
Regulacje specyficzne dla polskiego rynku (wytyczne KNF, Standardy KRI, Rekomendacja D) nie mają gotowych szablonów. Można je obsłużyć poprzez szablony niestandardowe — tworząc własną ocenę z kontrolami odwzorowującymi wymagania KNF. Microsoft umożliwia import/eksport szablonów w formacie JSON, co otwiera drogę do budowy biblioteki polskich szablonów branżowych. W praktyce większość firm konsultingowych w Polsce tworzy własne szablony KNF i wdraża je u klientów.
Czy dane w Compliance Managerze podlegają RODO?
Tak, ale Microsoft jako podmiot przetwarzający zapewnia pełną zgodność z RODO dla danych przechowywanych w Compliance Managerze. Dane te są przechowywane w centrach danych na terenie UE (dla tenantów zlokalizowanych w UE) i objęte są standardowymi klauzulami umownymi (SCC) oraz EU Data Boundary. Organizacja pozostaje administratorem danych Compliance Managera i odpowiada za ich prawidłowe wykorzystanie w ramach własnych procesów compliance.