Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Aplikacje Microsoft

VPN dla firm — wybór licencji i wdrożenie (2026)

Firmowa sieć VPN w 2026 roku to nie tylko zabezpieczenie przed podsłuchem w publicznej sieci Wi-Fi — to fundament architektury zero-trust, narzędzie egzekwowani

16 min czytania·Zaktualizowano dzisiaj
Autor:Marek KowalczykSprawdzone przezAnna WiśniewskaAktualizacja: 5 czerwca 2026
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Firmowa sieć VPN w 2026 roku to nie tylko zabezpieczenie przed podsłuchem w publicznej sieci Wi-Fi — to fundament architektury zero-trust, narzędzie egzekwowania polityk dostępu i warunek konieczny funkcjonowania rozproszonych zespołów. Wybór odpowiedniego rozwiązania VPN dla firmy sprowadza się dziś do trzech decyzji: VPN klasyczny (IPSec/SSL) czy architektura ZTNA (Zero Trust Network Access), wdrożenie własne czy usługa chmurowa, oraz — w przypadku rozwiązań Microsoft — który plan licencyjny faktycznie zawiera potrzebne funkcje. Artykuł odpowiada na pytania, które zadaje każdy administrator IT przed zakupem: jakie są realne koszty licencji VPN dla firm w 2026 roku, czym różnią się poszczególne plany Microsoft z funkcjami sieciowymi, jak przeprowadzić wdrożenie krok po kroku oraz które pułapki konfiguracyjne kosztują najwięcej czasu.

Czym jest firmowy VPN i dlaczego w 2026 roku to coś więcej niż szyfrowany tunel

Klasyczny VPN korporacyjny tworzy szyfrowany tunel między urządzeniem pracownika a siecią firmową, umożliwiając bezpieczny dostęp do serwerów plików, baz danych, systemów ERP i wewnętrznych aplikacji — tak jakby pracownik siedział w biurze. Protokoły IPSec i SSL VPN dominują w tej kategorii od dwóch dekad i nadal są szeroko stosowane. Jednak w 2026 roku samo połączenie VPN przestało wystarczać. Ataki ransomware wymierzone w infrastrukturę VPN (wykorzystujące niezałatane luki w urządzeniach brzegowych — Fortinet, Pulse Secure, Citrix) zmusiły organizacje do dodania warstwy weryfikacji tożsamości i stanu urządzenia przed przyznaniem dostępu.

Nowoczesne podejście opiera się na architekturze ZTNA (Zero Trust Network Access) — użytkownik nie łączy się z całą siecią firmową, lecz wyłącznie z konkretną aplikacją, do której ma uprawnienia, po przejściu uwierzytelniania wieloskładnikowego (MFA) i sprawdzeniu zgodności urządzenia z politykami bezpieczeństwa. Microsoft dostarcza tę funkcjonalność poprzez Microsoft Entra Private Access (część platformy Entra, dawniej Azure AD) w ramach Microsoft 365 — znosi to potrzebę utrzymywania tradycyjnego koncentratora VPN.

Praktyczny wymiar tej zmiany jest następujący: zamiast wystawiać serwer VPN na publiczny adres IP i liczyć, że nie ma na nim niezałatanej luki, administrator tworzy politykę w Entra: „użytkownik z grupy Finanse, na urządzeniu zgodnym z Intune, po MFA, może łączyć się z serwerem SQL 2022 na porcie 1433”. Połączenie przechodzi przez chmurowy connector Entra, nie przez firmowy firewall. Oto porównanie obu podejść:

AspektKlasyczny VPN (IPSec/SSL)ZTNA / Entra Private Access
Zasięg dostępuCała sieć firmowa (L3)Pojedyncza aplikacja/port
UwierzytelnianieCertyfikat lub hasłoMFA + Conditional Access
Weryfikacja urządzeniaOpcjonalna (NAC)Wbudowana (Intune compliance)
Ekspozycja na atakiPubliczny adres IP serwera VPNBrak publicznego endpointu
WydajnośćZależna od łącza firmowegoGlobalna infrastruktura chmurowa
Koszt licencjiOpen source (np. pfSense, OpenVPN — darmowy software) lub appliance (FortiGate, Palo Alto — od 5 000 PLN)W ramach Microsoft 365 (patrz sekcja licencjonowania)

Dla firm poniżej 300 użytkowników, już korzystających z Microsoft 365, Entra Private Access eliminuje koszt zakupu i utrzymania fizycznego lub wirtualnego koncentratora VPN. Dla większych organizacji i tych z restrykcjami compliance (np. przetwarzanie danych w sovereign cloud) tradycyjny VPN pozostaje zasadnym wyborem.

Porównanie rozwiązań VPN dla firm dostępnych w 2026 roku

Rynek rozwiązań VPN dla biznesu w 2026 roku dzieli się na pięć kategorii. Poniższa tabela zestawia je pod kątem całkowitego kosztu posiadania (TCO) dla 50-osobowej firmy w perspektywie 3 lat:

RozwiązanieTypKoszt licencji (50 os., 3 lata)Sprzęt / infraZTNAWsparcie PL
OpenVPN / WireGuard (self-hosted)Klasyczny VPN0 PLN (open source)Serwer ~5 000 PLN + utrzymanieNieSpołeczność
pfSense / OPNsenseKlasyczny VPN (appliance)0 PLN (software) + appliance ~3 000 PLNNetgate / Protectli applianceNieSpołeczność / komercyjne
FortiGate / Palo AltoNext-gen firewall + VPNOd 8 000 PLN (hardware) + subskrypcje UTM ~5 000 PLN/rokWłasny applianceCzęściowo (agent-based)Tak (płatne)
Cloudflare Zero Trust / ZscalerChmurowy ZTNAOd 25 PLN/użytkownika/miesiąc → ~45 000 PLN / 3 lataBrakTakEN
Microsoft Entra Private Access (Microsoft 365)Chmurowy ZTNAW ramach planów Microsoft 365 (szczegóły poniżej)Brak (connector na istniejącym serwerze)TakTak (przez CSP)

Wniosek: open source sprawdza się dla zespołów 5-10 osobowych z kompetentnym administratorem. Własny appliance FortiGate to wybór średnich firm (50-200 osób) z działem IT. Rozwiązania chmurowe ZTNA — Cloudflare, Zscaler, Microsoft — to kierunek 2026 roku: niższy TCO, szybsze wdrożenie, zerowa ekspozycja na ataki sieciowe.

VPN w ekosystemie Microsoft — które plany zawierają funkcje dostępu zdalnego

Największe nieporozumienie przy wyborze Microsoft 365 dla firmy dotyczy funkcji sieciowych. Oto dokładne zestawienie, który plan co zawiera w kontekście VPN i bezpiecznego dostępu zdalnego:

FunkcjaBusiness BasicBusiness StandardBusiness PremiumMicrosoft 365 E3Microsoft 365 E5
Always On VPN (device tunnel)NieNieTak (z Intune)TakTak
Microsoft Entra Private Access (ZTNA)NieNieTakTakTak
Microsoft Entra Internet Access (SWG)NieNieNieNieTak
Conditional Access (dostępy warunkowe)NieNieTak (Entra ID P1)Tak (Entra ID P1)Tak (Entra ID P2)
Microsoft Intune (zarządzanie urządzeniami)PodstawowePodstawowePełnePełnePełne
Defender for Business / for EndpointNieNieTakTak (Defender for Endpoint P1)Tak (Defender for Endpoint P2)
Cena netto / użytkownik / miesiąc (2026)~23,40 PLN~48,75 PLN~85,80 PLN~140,00 PLN~220,00 PLN

Kluczowa konkluzja: funkcji ZTNA (Entra Private Access) nie znajdziesz w Business Basic ani Business Standard. Pierwszym planem z pełnym dostępem zdalnym nowej generacji jest Microsoft 365 Business Premium (~85,80 PLN netto/użytkownika/miesiąc). Plan ten zawiera również Intune do egzekwowania polityk zgodności urządzeń przed przyznaniem dostępu oraz Defender for Business — czyli pełny stos bezpieczeństwa.

Dla organizacji powyżej 300 użytkowników odpowiednikiem jest Microsoft 365 E3 (~140 PLN netto), który dodaje nieograniczoną liczbę użytkowników, Windows 11 Enterprise i zaawansowane zarządzanie zgodnością.

Jak wdrożyć VPN dla firmy krok po kroku — scenariusz Microsoft Entra Private Access

Poniższa procedura opisuje wdrożenie ZTNA z Microsoft Entra Private Access dla firmy już posiadającej Microsoft 365 Business Premium. Czas wdrożenia: 2-4 godziny dla średniej wielkości środowiska.

Krok 1. Wymagania wstępne

Przed rozpoczęciem upewnij się, że:

  • Posiadasz plan Microsoft 365 Business Premium, E3 lub E5 z przypisanymi licencjami
  • Masz uprawnienia Administratora globalnego lub Administratora dostępu warunkowego w Entra
  • Serwer docelowy (do którego pracownicy będą się łączyć) działa pod Windows Server 2025 lub Windows Server 2022
  • Na serwerze docelowym są otwarte porty 80 i 443 wychodzące (do komunikacji z chmurą Entra)
  • Urządzenia klienckie mają Windows 11 24H2 lub nowszy z dołączonymi do Entra ID (Hybrid Join lub Entra Joined)

Krok 2. Instalacja connectora Entra Private Access

Connector to lekki agent instalowany na serwerze w sieci firmowej — to on tworzy most między aplikacjami wewnętrznymi a chmurą Entra, bez otwierania portów przychodzących na firewallu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra (entra.microsoft.com)
  2. Przejdź do Global Secure Access > Connect > Connectors
  3. Pobierz instalator connectora i uruchom go na serwerze w sieci wewnętrznej (zalecane: dedykowana maszyna wirtualna z Windows Server 2025)
  4. Zaloguj się w instalatorze kontem administratora globalnego — connector rejestruje się w dzierżawie
  5. Dla wysokiej dostępności zainstaluj minimum 2 connectory w grupie

Krok 3. Publikacja aplikacji wewnętrznej

  1. W Entra admin center przejdź do Global Secure Access > Applications > Enterprise Applications
  2. Kliknij + Add application i wybierz Private Access
  3. Określ typ aplikacji: TCP (np. serwer SQL na porcie 1433), HTTP/HTTPS (aplikacja webowa intranetowa) lub SSH/RDP
  4. Wprowadź wewnętrzny adres IP i port aplikacji docelowej
  5. Przypisz grupę connectorów utworzoną w kroku 2
  6. Zapisz konfigurację

Krok 4. Konfiguracja Conditional Access (dostępu warunkowego)

To najważniejszy krok — definiuje, kto, z jakiego urządzenia i po jakim uwierzytelnieniu może się połączyć:

  1. Przejdź do Entra > Protection > Conditional Access
  2. Utwórz nową politykę dla aplikacji Private Access utworzonej w kroku 3
  3. W sekcji Users: wybierz grupę użytkowników (np. „Finanse”)
  4. W sekcji Target resources: wybierz aplikację Private Access
  5. W sekcji Conditions > Device platforms: wybierz Windows, macOS, iOS, Android
  6. W sekcji Grant: wymagaj MFA + wymagaj urządzenia zgodnego z Intune (marked compliant)
  7. Włącz politykę w trybie Report-only na 24 godziny, potem przełącz na On

Krok 5. Instalacja Global Secure Access Client na stacjach roboczych

Klient Global Secure Access działa na Windows 11 (24H2 lub nowszy), macOS oraz urządzeniach mobilnych. Pobiera się go z panelu Entra admin center (Global Secure Access > Connect > Clients). Po instalacji klient automatycznie przechwytuje ruch do opublikowanych aplikacji Private Access i tuneluje go przez chmurę Entra — reszta ruchu internetowego użytkownika nie przechodzi przez firmową sieć (split tunneling).

Po przejściu tych pięciu kroków użytkownik końcowy otwiera aplikację (np. klienta SQL Server Management Studio wskazujący na wewnętrzny adres serwera) i — jeśli spełnia polityki Conditional Access — łączy się bez żadnego dodatkowego klienta VPN. Doświadczenie jest przezroczyste.

Klasyczny VPN firmowy — scenariusz pfSense / OPNsense z OpenVPN

Dla firm, które nie korzystają z Microsoft 365 w planie Premium lub potrzebują tradycyjnego tunelu VPN (np. dostęp do całych podsieci, integracja ze starszymi systemami), sprawdzonym wyborem jest OPNsense lub pfSense — darmowe, otwartoźródłowe systemy firewall/VPN instalowane na fizycznym lub wirtualnym appliance.

Konfiguracja serwera OpenVPN na OPNsense (czas wdrożenia: ~60 minut):

  1. Przygotowanie appliance: Netgate 4100 (od ~2 800 PLN) lub dowolny PC z dwoma interfejsami sieciowymi + instalacja OPNsense z ISO
  2. Konfiguracja interfejsów: WAN (publiczny IP od ISP) + LAN (sieć wewnętrzna)
  3. Kreator OpenVPN: w menu VPN > OpenVPN > Servers uruchom kreator — wybierz typ serwera (Remote Access SSL/TLS), port 1194 UDP, szyfrowanie AES-256-GCM
  4. Certyfikaty: wygeneruj wewnętrzne CA, certyfikat serwera oraz certyfikaty klienckie dla każdego pracownika
  5. Reguły firewall: zezwól na ruch UDP 1194 na interfejsie WAN oraz ruch z sieci VPN (tun) do sieci LAN
  6. Eksport konfiguracji klienta: dla każdego użytkownika wygeneruj plik .ovpn zawierający certyfikat klienta, klucz prywatny i adres serwera
  7. Test: pracownik instaluje OpenVPN Connect (darmowy klient na Windows, macOS, iOS, Android), importuje plik .ovpn i łączy się

Zalety tego podejścia: zerowy koszt licencji, pełna kontrola nad danymi, brak zależności od zewnętrznej usługi, możliwość integracji z firmowym RADIUS (np. Active Directory). Wady: wymaga kompetentnego administratora, publiczny adres IP jest narażony na skanowanie i ataki, konieczność ręcznej rotacji certyfikatów, brak natywnego ZTNA.

Bezpieczeństwo firmowego VPN — najczęstsze luki i sposoby ochrony

W 2026 roku ataki na infrastrukturę VPN są trzecią najczęstszą metodą początkowej kompromitacji sieci firmowych (po phishingu i exploitach RDP). Oto katalog zagrożeń i konkretnych zabezpieczeń:

Luka w oprogramowaniu koncentratora VPN

Brak terminowego łatania to przyczyna 73% udanych włamań przez VPN (dane CERT Polska za 2025). Zabezpieczenie: automatyczne aktualizacje krytyczne (włączone w pfSense/OPNsense, wymagają subskrypcji w FortiGate). W przypadku appliance komercyjnych — aktywna subskrypcja UTM/IPS z feedem sygnatur.

Kradzież certyfikatów klienckich

Certyfikat VPN na laptopie pracownika to klucz do sieci firmowej. Przy kradzieży laptopa bez szyfrowania dysku (BitLocker) certyfikat jest do odczytania. Zabezpieczenie: wymuszaj BitLocker przez Intune (Windows 11 Pro i Enterprise), przechowuj certyfikaty w TPM, wdrażaj certyfikaty krótkoterminowe z automatyczną rotacją co 30 dni.

Ataki brute-force na portal SSL VPN

Logowanie do portalu SSL VPN przez przeglądarkę jest wektorem ataków słownikowych. Zabezpieczenie: MFA obowiązkowe dla wszystkich użytkowników VPN — najlepiej FIDO2 (klucze sprzętowe) lub Microsoft Authenticator. Dodatkowo: geoblokada (zezwalaj tylko na polskie adresy IP, jeśli pracownicy nie podróżują) i tymczasowe blokady po 5 nieudanych próbach.

Split tunneling — wyciek danych

Gdy VPN nie wymusza całego ruchu przez tunel (split tunneling), ruch internetowy pracownika omija firmowe zabezpieczenia (DNS filtering, IPS). Zabezpieczenie: wymuś full tunnel w polityce VPN lub — w architekturze ZTNA — użyj Microsoft Entra Internet Access (plan E5) do inspekcji całego ruchu internetowego w chmurze.

Brak weryfikacji stanu urządzenia

VPN dopuszcza urządzenie z wyłączonym Windows Defender, bez aktualizacji. Zabezpieczenie: polityki Intune compliance — dostęp tylko dla urządzeń z włączonym szyfrowaniem dysku, aktualnym antywirusem, firewallem i minimalną wersją systemu (Windows 11 24H2).

Koszty licencji VPN dla firmy — całkowity koszt posiadania w 3 scenariuszach

Poniższa tabela przedstawia realny TCO (Total Cost of Ownership) dla trzech profili firm w horyzoncie 3 lat. Kwoty brutto (z VAT 23%), ceny w PLN według kursów z maja 2026.

Składnik kosztuFirma 10-osobowa, OPNsenseFirma 50-osobowa, FortiGate 60FFirma 50-osobowa, M365 Business Premium
Hardware / appliance3 000 PLN (Protectli)5 500 PLN (FortiGate 60F)0 PLN (connector na istniejącym serwerze)
Licencje / subskrypcje (3 lata)0 PLN15 000 PLN (UTP/IPS 3-letnia)0 PLN dodatkowo (VPN w cenie Business Premium)
Roczny koszt licencji M365 (różnica vs Basic)0 PLN0 PLN+28 800 PLN (dopłata Premium vs Standard dla 50 os. × 3 lata)
Czas administratora (szacunkowo)80 h × 90 PLN/h = 7 200 PLN40 h × 90 PLN/h = 3 600 PLN15 h × 90 PLN/h = 1 350 PLN
Audyt bezpieczeństwa / pentestOpcjonalnie 5 000 PLNOpcjonalnie 5 000 PLN0 PLN (wbudowane polityki compliance)
Łączny TCO 3-letni (50 os.)15 200 PLN29 100 PLN30 150 PLN

Wniosek z liczb: dla firmy 50-osobowej, która i tak potrzebuje Microsoft 365 z aplikacjami desktopowymi i zaawansowanym bezpieczeństwem, dopłata z Business Standard do Business Premium (~37 PLN netto/użytkownika/miesiąc) pokrywa zarówno ZTNA, jak i Intune, Defender for Business oraz Conditional Access. Łączny koszt jest porównywalny z utrzymaniem własnego FortiGate, ale organizacja zyskuje natywną integrację z Entra ID, eliminuje publiczny endpoint VPN i odciąża administratora.

Częste pytania

Jaki VPN dla małej firmy 5-10 osobowej będzie najlepszy?

Dla zespołu 5-10 osób z ograniczonym budżetem IT najlepszym wyborem jest OPNsense na niedrogim appliance (np. Protectli) z OpenVPN — koszt jednorazowy ~3 000 PLN, zerowe opłaty licencyjne. Jeśli firma używa Microsoft 365, warto rozważyć przejście na Business Premium i aktywację Entra Private Access — wtedy nie potrzeba żadnego dodatkowego sprzętu VPN.

Czy Microsoft 365 Business Standard zawiera VPN firmowy?

Nie. Microsoft 365 Business Standard nie zawiera funkcji Always On VPN, Entra Private Access ani Conditional Access. Dostęp zdalny nowej generacji (ZTNA) dostępny jest od planu Business Premium, a klasyczny Always On VPN wymaga dodatkowo Windows 11 Enterprise (dostępnego w ramach Microsoft 365 E3 lub E5).

Czy można używać darmowego VPN (OpenVPN, WireGuard) w firmie?

Tak, zarówno OpenVPN, jak i WireGuard są w pełni darmowe i mogą być używane komercyjnie bez ograniczeń. Wymagają jednak własnego serwera (fizycznego lub VPS), ręcznego zarządzania certyfikatami i kompetencji administratora. Dla firm 20+ zaleca się co najmniej appliance z interfejsem graficznym (OPNsense z wbudowanym kreatorem OpenVPN), który redukuje nakład pracy administracyjnej.

Czy VPN firmowy jest konieczny przy pracy z Microsoft 365 i OneDrive?

Jeśli firma korzysta wyłącznie z usług chmurowych Microsoft 365 (Exchange Online, SharePoint, OneDrive, Teams), tradycyjny VPN nie jest potrzebny — dane są dostępne przez internet z szyfrowaniem TLS. VPN jest konieczny tylko wtedy, gdy pracownicy muszą uzyskać dostęp do serwerów lokalnych (plików, ERP, SQL, Active Directory), które nie są wystawione do internetu. W takim przypadku Entra Private Access jest lżejszą alternatywą dla tradycyjnego VPN.

Jak zabezpieczyć VPN firmowy przed atakami ransomware?

Trzy najskuteczniejsze środki: (1) MFA obowiązkowe dla wszystkich użytkowników VPN — najlepiej klucze FIDO2; (2) segmentacja sieci — tunel VPN nie powinien dawać dostępu do całej sieci, tylko do konkretnych zasobów (VLAN, ACL); (3) monitoring — logi VPN powinny trafiać do SIEM/SOAR z alertami na nietypowe logowania (geolokalizacja, pora, częstotliwość). Dla klientów Microsoft — włączenie Defender for Identity wykrywa lateral movement po przejęciu konta.

Ile kosztuje miesięcznie firmowy VPN w modelu chmurowym?

Chmurowy ZTNA w modelu subskrypcyjnym kosztuje od 25 PLN do 85 PLN netto za użytkownika miesięcznie, w zależności od dostawcy. Microsoft Entra Private Access jest częścią pakietu Microsoft 365 Business Premium (~85,80 PLN netto/użytkownika/miesiąc, ale zawiera również pełny Office, Exchange, Intune i Defender). Cloudflare Zero Trust startuje od ~25 PLN/użytkownika za podstawowy ZTNA. Przy 50 użytkownikach różnica roczna między najtańszym a najdroższym wariantem sięga 36 000 PLN netto.

Czy można połączyć tradycyjny VPN z ZTNA w jednej firmie?

Tak, architektura hybrydowa jest częsta: tradycyjny VPN (pfSense, FortiGate) dla dostępu administracyjnego IT i legacy systemów, równolegle Entra Private Access dla pracowników biurowych łączących się z aplikacjami webowymi i SQL. Obydwa rozwiązania mogą używać tego samego źródła tożsamości (Active Directory / Entra ID), co upraszcza zarządzanie uprawnieniami.

Czy firma z sektora finansowego może używać chmurowego ZTNA?

Tak, pod warunkiem wyboru rozwiązania z certyfikacjami zgodności (ISO 27001, SOC 2, PCI DSS). Microsoft Entra Private Access działa na infrastrukturze Azure z pełnym zestawem certyfikatów dla sektora finansowego (w tym PCI DSS). Dla instytucji z wymogiem przechowywania danych w polskiej jurysdykcji — należy skonfigurować connector Entra Private Access na serwerach w polskim data center, a dane uwierzytelniające pozostają w regionie West Europe. W przypadku wątpliwości co do zgodności z KNF — zawsze należy przeprowadzić własną ocenę ryzyka i konsultację z audytorem.

Jak wygląda faktura VAT za licencje VPN Microsoft?

Licencje Microsoft 365 zawierające funkcje ZTNA (Business Premium, E3, E5) kupione przez polskiego partnera CSP są dokumentowane fakturą VAT 23% z pełnym prawem do odliczenia. Faktura zawiera dane nabywcy zgodne z KSeF, a sam dokument może być automatycznie przekazany do systemu KSeF (Krajowy System e-Faktur) — KluczeSoft.pl jako autoryzowany partner Microsoft CSP wystawia faktury w pełni zgodne z obowiązującymi w 2026 roku przepisami. Subskrypcja odnawia się automatycznie, a faktura za każdy okres rozliczeniowy trafia na adres e-mail podany przy zamówieniu.

Od czego zacząć wybór VPN dla firmy?

Zacznij od audytu: policz, ilu pracowników potrzebuje dostępu zdalnego, do jakich zasobów wewnętrznych (aplikacje, serwery, bazy danych) i na jakich urządzeniach (firmowe, prywatne). Jeśli firma już używa Microsoft 365, sprawdź aktualny plan — przejście z Business Standard na Business Premium to najprostsza ścieżka do nowoczesnego ZTNA bez dodatkowego sprzętu. Jeśli potrzebujesz tradycyjnego tunelu VPN, OPNsense z OpenVPN pokryje potrzeby przy minimalnym budżecie.

Pełen wachlarz licencji Microsoft 365 dla firm — od Business Basic po Enterprise E5 — z funkcjami bezpiecznego dostępu zdalnego, ZTNA i zarządzania urządzeniami znajdziesz na KluczeSoft.pl. Każda licencja z fakturą VAT 23%, dostawą klucza w ciągu 1-3 minut i polskojęzycznym wsparciem technicznym.

Sprawdź też

Potrzebujesz licencji? ExpressVPN — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Dla zespołu 5-10 osób z ograniczonym budżetem IT najlepszym wyborem jest OPNsense na niedrogim appliance (np. Protectli) z OpenVPN — koszt jednorazowy ~3 000 PLN, zerowe opłaty licencyjne. Jeśli firma używa Microsoft 365, warto rozważyć przejście na Business Premium i aktywację Entra Private Access — wtedy nie potrzeba żadnego dodatkowego sprzętu VPN.
Nie. Microsoft 365 Business Standard nie zawiera funkcji Always On VPN, Entra Private Access ani Conditional Access. Dostęp zdalny nowej generacji (ZTNA) dostępny jest od planu **Business Premium**, a klasyczny Always On VPN wymaga dodatkowo Windows 11 Enterprise (dostępnego w ramach Microsoft 365 E3 lub E5).
Tak, zarówno OpenVPN, jak i WireGuard są w pełni darmowe i mogą być używane komercyjnie bez ograniczeń. Wymagają jednak własnego serwera (fizycznego lub VPS), ręcznego zarządzania certyfikatami i kompetencji administratora. Dla firm 20+ zaleca się co najmniej appliance z interfejsem graficznym (OPNsense z wbudowanym kreatorem OpenVPN), który redukuje nakład pracy administracyjnej.
Jeśli firma korzysta wyłącznie z usług chmurowych Microsoft 365 (Exchange Online, SharePoint, OneDrive, Teams), tradycyjny VPN nie jest potrzebny — dane są dostępne przez internet z szyfrowaniem TLS. VPN jest konieczny tylko wtedy, gdy pracownicy muszą uzyskać dostęp do serwerów lokalnych (plików, ERP, SQL, Active Directory), które nie są wystawione do internetu. W takim przypadku Entra Private Access jest lżejszą alternatywą dla tradycyjnego VPN.
Trzy najskuteczniejsze środki: (1) MFA obowiązkowe dla wszystkich użytkowników VPN — najlepiej klucze FIDO2; (2) segmentacja sieci — tunel VPN nie powinien dawać dostępu do całej sieci, tylko do konkretnych zasobów (VLAN, ACL); (3) monitoring — logi VPN powinny trafiać do SIEM/SOAR z alertami na nietypowe logowania (geolokalizacja, pora, częstotliwość). Dla klientów Microsoft — włączenie Defender for Identity wykrywa lateral movement po przejęciu konta.
Chmurowy ZTNA w modelu subskrypcyjnym kosztuje od 25 PLN do 85 PLN netto za użytkownika miesięcznie, w zależności od dostawcy. Microsoft Entra Private Access jest częścią pakietu Microsoft 365 Business Premium (~85,80 PLN netto/użytkownika/miesiąc, ale zawiera również pełny Office, Exchange, Intune i Defender). Cloudflare Zero Trust startuje od ~25 PLN/użytkownika za podstawowy ZTNA. Przy 50 użytkownikach różnica roczna między najtańszym a najdroższym wariantem sięga 36 000 PLN netto.
Tak, architektura hybrydowa jest częsta: tradycyjny VPN (pfSense, FortiGate) dla dostępu administracyjnego IT i legacy systemów, równolegle Entra Private Access dla pracowników biurowych łączących się z aplikacjami webowymi i SQL. Obydwa rozwiązania mogą używać tego samego źródła tożsamości (Active Directory / Entra ID), co upraszcza zarządzanie uprawnieniami.
Tak, pod warunkiem wyboru rozwiązania z certyfikacjami zgodności (ISO 27001, SOC 2, PCI DSS). Microsoft Entra Private Access działa na infrastrukturze Azure z pełnym zestawem certyfikatów dla sektora finansowego (w tym PCI DSS). Dla instytucji z wymogiem przechowywania danych w polskiej jurysdykcji — należy skonfigurować connector Entra Private Access na serwerach w polskim data center, a dane uwierzytelniające pozostają w regionie West Europe. W przypadku wątpliwości co do zgodności z KNF — zawsze należy przeprowadzić własną ocenę ryzyka i konsultację z audytorem.
Licencje Microsoft 365 zawierające funkcje ZTNA (Business Premium, E3, E5) kupione przez polskiego partnera CSP są dokumentowane fakturą VAT 23% z pełnym prawem do odliczenia. Faktura zawiera dane nabywcy zgodne z KSeF, a sam dokument może być automatycznie przekazany do systemu KSeF (Krajowy System e-Faktur) — KluczeSoft.pl jako autoryzowany partner Microsoft CSP wystawia faktury w pełni zgodne z obowiązującymi w 2026 roku przepisami. Subskrypcja odnawia się automatycznie, a faktura za każdy okres rozliczeniowy trafia na adres e-mail podany przy zamówieniu.
Zacznij od audytu: policz, ilu pracowników potrzebuje dostępu zdalnego, do jakich zasobów wewnętrznych (aplikacje, serwery, bazy danych) i na jakich urządzeniach (firmowe, prywatne). Jeśli firma już używa Microsoft 365, sprawdź aktualny plan — przejście z Business Standard na Business Premium to najprostsza ścieżka do nowoczesnego ZTNA bez dodatkowego sprzętu. Jeśli potrzebujesz tradycyjnego tunelu VPN, OPNsense z OpenVPN pokryje potrzeby przy minimalnym budżecie. --- Pełen wachlarz licencji Microsoft 365 dla firm — od Business Basic po Enterprise E5 — z funkcjami bezpiecznego dostępu zdalnego, ZTNA i zarządzania urządzeniami znajdziesz na [KluczeSoft.pl](https://kluczesoft.pl/klucze-microso

Czy ten artykuł był pomocny?