Windows 11 Enterprise to najwyższa, komercyjna edycja systemu Windows 11 zaprojektowana dla średnich i dużych organizacji, które wymagają zaawansowanych narzędzi bezpieczeństwa, zarządzania flotą urządzeń oraz elastyczności licencjonowania. W przeciwieństwie do Windows 11 Pro — który dostajemy fabrycznie na większości laptopów biznesowych — Enterprise dodaje kilkadziesiąt technologii niedostępnych w niższych edycjach: od Credential Guard i Application Guard po Windows Autopatch i Microsoft Entra ID Join z pełnym dostępem warunkowym. W 2026 roku, po premierze Windows 11 25H2, Enterprise oferuje również zaawansowaną integrację z Copilot+, Universal Print i Windows LAPS dla automatycznego rotowania haseł lokalnych administratorów. Klucz Windows 11 Enterprise dostępny jest wyłącznie w kanale Volume Licensing, subskrypcji Microsoft 365 E3/E5 lub jako licencja typu Upgrade na istniejący Windows Pro — nie kupimy go jako samodzielnego pudełka w sklepie detalicznym. W polskich realiach zakup licencji Windows 11 Enterprise przez autoryzowanego partnera Microsoft, takiego jak KluczeSoft.pl, daje legalny klucz aktywacyjny, fakturę VAT 23% i wsparcie wdrożeniowe przy migracji z wersji Pro na Enterprise.
Co zawiera Windows 11 Enterprise — funkcje niedostępne w Pro i Home
Windows 11 Enterprise dziedziczy wszystkie funkcjonalności Windows 11 Pro — BitLocker, Remote Desktop, Hyper-V, Windows Sandbox, przystąpienie do domeny Active Directory — i dodaje kilkanaście technologii skierowanych wyłącznie do klientów korporacyjnych. Oto kluczowe z nich:
Bezpieczeństwo na poziomie sprzętowym i systemowym:
- Microsoft Defender Credential Guard — izolacja wirtualizacyjna procesu LSASS, która uniemożliwia kradzież poświadczeń przez narzędzia pokroju Mimikatz
- Microsoft Defender Application Guard — uruchamianie niezaufanych stron Edge w odizolowanym kontenerze Hyper-V
- Application Control (WDAC) — polityki kontroli aplikacji: administrator definiuje białą listę dozwolonych binarek, wszystko inne nie uruchomi się w systemie
- Windows Hello for Business z kluczami zabezpieczeń FIDO2 i uwierzytelnianiem opartym na certyfikatach (w Pro: tylko podstawowe Windows Hello)
Zarządzanie flotą:
- Microsoft Entra ID Join (dawniej Azure AD Join) z zaawansowanymi zasadami dostępu warunkowego — logowanie tylko z zaufanych lokalizacji, wymuszenie MFA, wykrywanie ryzyka sesji
- Windows Autopatch — automatyczne wdrażanie aktualizacji jakościowych i funkcjonalnych według harmonogramów pierścieniowych
- Universal Print — druk w chmurze bez serwerów wydruku i sterowników
- Group Policy Objects (GPO) rozszerzone o ponad 100 dodatkowych polityk niedostępnych w Pro — np. kontrolę telemetrii, Microsoft Store dla Firm, konfigurację Start Menu poprzez XML
Wirtualizacja i continuity:
- App-V — wirtualizacja aplikacji (uruchamianie programów bez instalacji lokalnej)
- UE-V — roaming ustawień użytkownika między urządzeniami
- DirectAccess — zawsze włączony VPN łączący urządzenia z siecią firmową bez interakcji użytkownika
- BranchCache — lokalne cache'owanie plików sieciowych w oddziałach
Zgodność i audyt:
- Microsoft BitLocker Administration and Monitoring (MBAM) — centralne zarządzanie szyfrowaniem dysków, raportowanie zgodności, odzyskiwanie kluczy
- AppLocker — szczegółowa kontrola uruchamiania aplikacji według wydawcy, ścieżki, hasha
- Windows LAPS — automatyczne rotowanie haseł lokalnych kont administratora z zapisem w Entra ID lub Active Directory
Windows 11 Enterprise zawiera też Windows 11 25H2 Enterprise LTSC — edycję Long-Term Servicing Channel z 5-letnim wsparciem bez aktualizacji funkcjonalnych, przeznaczoną dla urządzeń specjalistycznych: bankomatów, kiosków, systemów medycznych i sterowników przemysłowych.
Windows 11 Pro vs Enterprise — kiedy warto dokupić upgrade?
Porównanie Windows 11 Pro vs Enterprise to fundamentalne pytanie przy planowaniu budżetu IT. Formalnie Enterprise wymaga posiadania Windows Pro jako bazy — licencja Enterprise to upgrade, nie samodzielna instalacja. Oto kluczowe różnice:
| Funkcja | Windows 11 Pro | Windows 11 Enterprise |
|---|---|---|
| BitLocker, Remote Desktop, Hyper-V | Tak | Tak |
| Przystąpienie do domeny Active Directory | Tak | Tak |
| Microsoft Entra ID Join | Podstawowe | Pełne + dostęp warunkowy |
| Credential Guard | Wyłączone domyślnie, można włączyć ręcznie | Włączone domyślnie z pełnym zarządzaniem GPO |
| Application Guard (Edge) | Nie | Tak |
| Application Control (WDAC) | Nie | Tak |
| AppLocker | Nie | Tak |
| DirectAccess | Nie | Tak |
| BranchCache | Nie | Tak |
| App-V / UE-V | Nie | Tak |
| Windows LAPS | Nie | Tak |
| Windows Autopatch | Nie | Tak |
| Universal Print | Nie | Tak (z subskrypcją) |
| LTSC (Long-Term Servicing Channel) | Nie | Tak |
| Microsoft Defender for Endpoint | Nie (wymaga licencji P1/P2 osobno) | Tak (z licencją E5, Plan 2) |
| Wsparcie techniczne Microsoft | 24 miesiące (wersje H2) | 36 miesięcy (H2), 5 lat (LTSC) |
Praktyczna granica decyzyjna przebiega przy liczbie 50 urządzeń i obecności poufnych danych. Firma 30-osobowa korzystająca z Microsoft 365 Business Premium już ma warstwę ochrony na poziomie aplikacji — Windows Pro z Intune i Defender for Business zapewnia wystarczające bezpieczeństwo. Organizacja 200-osobowa z własnym SOC, audytami ISO 27001 i dostępem do danych klientów bankowych potrzebuje Credential Guard, Application Control i DirectAccess — czyli Enterprise.
Koszt upgrade'u z Windows Pro do Enterprise w kanale Volume Licensing to około 290-340 PLN netto za urządzenie rocznie (w ramach subskrypcji Microsoft 365 E3; E3 kosztuje około 36 USD netto miesięcznie za użytkownika i zawiera Windows Enterprise, Office, Exchange, Intune oraz inne komponenty). Dla porównania — roczny abonament na osobistego licencjobiorcę w Open Value to około 250 PLN netto za urządzenie. Kwoty są więc porównywalne z kosztem dobrej myszki bezprzewodowej w skali roku — przy jednoczesnym skoku możliwości zabezpieczeń o rząd wielkości.
Licencjonowanie Windows 11 Enterprise — kanały, subskrypcje i wymagania
Windows 11 Enterprise nie jest sprzedawany jako detaliczne pudełko OEM ani ESD dla konsumenta. Dostępne kanały licencjonowania w 2026 roku:
Microsoft 365 E3 / E5 (subscription) Najpopularniejszy model: użytkownik posiada subskrypcję Microsoft 365 E3 (około 36 USD netto/miesiąc) lub E5 (około 57 USD netto/miesiąc). Licencja Windows Enterprise przypisana jest do konta użytkownika, nie do urządzenia — użytkownik może aktywować Enterprise na maksymalnie 5 urządzeniach jednocześnie. Subskrypcja obejmuje również pakiet Office, Exchange Online, OneDrive, Teams, Intune, Defender for Office 365 i Entra ID Premium.
Windows Enterprise E3 / E5 per user (subscription) Samo Windows Enterprise w subskrypcji bez pakietu Office: E3 to około 10 USD netto miesięcznie za użytkownika, E5 z Defender for Endpoint Plan 2 to około 15 USD netto. Ten model sprawdza się, gdy firma ma już Office 2024 Professional Plus na licencji wieczystej i potrzebuje jedynie Windows Enterprise.
Volume Licensing — Open Value / Enterprise Agreement Tradycyjny kanał dla firm z minimum 5 urządzeniami. Umowa Open Value na 3 lata z opcją Software Assurance daje prawa do wszystkich nowych wersji Windows w okresie obowiązywania umowy. Koszt roczny to około 220-290 PLN netto za urządzenie.
Aktywacja Windows 11 Enterprise wymaga istniejącej, aktywowanej instalacji Windows 11 Pro. Nie można czysto zainstalować Enterprise bezpośrednio — proces wygląda następująco: instalujesz Windows 11 Pro, aktywujesz go (kluczem OEM lub cyfrową licencją), a następnie zmieniasz klucz produktu na klucz Enterprise. System pobiera dodatkowe komponenty, wykonuje jeden restart i od tego momentu wszystkie funkcje Enterprise są dostępne.
Bezpieczeństwo Windows 11 Enterprise — warstwy, których nie zapewni Pro
W 2026 roku cyberbezpieczeństwo w polskich firmach przeszło od opcjonalnego dodatku do wymogu biznesowego i regulacyjnego. KSeF (Krajowy System e-Faktur), NIS 2 oraz praktyka ubezpieczycieli sprawiają, że firma bez Credential Guard i Application Control może nie otrzymać polisy cyber. Oto warstwy dostępne wyłącznie w Enterprise:
Warstwa 1 — ochrona poświadczeń (Credential Guard) Ataki typu pass-the-hash, pass-the-ticket i kerberoasting polegają na wykradzeniu danych uwierzytelniających z pamięci procesu LSASS. Credential Guard uruchamia LSASS w odizolowanej maszynie wirtualnej Hyper-V, czyniąc zrzuty pamięci bezużytecznymi. Ta funkcja w Pro jest wyłączona i nieobjęta wsparciem Microsoft — ręczne włączenie przez rejestr działa tylko do pierwszej poważnej aktualizacji.
Warstwa 2 — izolacja przeglądarki (Application Guard) Każda niezaufana strona otwierana w Edge uruchamiana jest w osobnym, sprzętowo izolowanym kontenerze. Złośliwy JavaScript, exploit 0-day czy phishing z fałszywym logowaniem Microsoft 365 nie mają dostępu do systemu gospodarza, plików, schowka ani tokenów uwierzytelniających.
Warstwa 3 — kontrola aplikacji (WDAC + AppLocker) Nawet jeśli ransomware przedostanie się na urządzenie — na przykład przez złośliwe makro Worda — nie uruchomi się, bo jego binarka nie znajduje się na administratorowej białej liście dozwolonego oprogramowania. AppLocker blokuje też skrypty PowerShell, VBS i pakiety MSI spoza zdefiniowanych ścieżek.
Warstwa 4 — Windows LAPS Każde urządzenie z Enterprise automatycznie rotuje hasło lokalnego konta Administrator co 30 dni, zapisując nowe w Entra ID lub on-prem AD. Włamanie na jedno urządzenie nie daje dostępu do pozostałych przez to samo hasło lokalne — standardowa praktyka w atakach ransomware.
Warstwa 5 — Microsoft Defender for Endpoint Plan 2 (z licencją E5) Wykrywanie i automatyczna reakcja na incydenty w czasie rzeczywistym, polowanie na zagrożenia (advanced hunting) przez KQL, analiza behawioralna, izolacja sieciowa zainfekowanego urządzenia jednym kliknięciem z konsoli Microsoft 365 Defender.
Dla organizacji przetwarzających dane osobowe, finansowe czy zdrowotne — pominięcie tych pięciu warstw oznacza akceptację ryzyka, które w 2026 roku nie ma już biznesowego uzasadnienia. Koszt incydentu ransomware w polskim MŚP to średnio 180 000 PLN — równowartość 600 lat abonamentu Windows Enterprise dla jednego urządzenia.
Windows 11 Enterprise LTSC 2025 — edycja specjalnego przeznaczenia
Windows 11 Enterprise LTSC (Long-Term Servicing Channel) w wersji 2025 (wydany wraz z cyklem 24H2/25H2) to specjalna kompilacja systemu pozbawiona aplikacji Microsoft Store, Edge (doinstalowywalny osobno), Cortany i komponentów konsumenckich. Charakteryzuje się:
- 5-letnim wsparciem głównym (bez aktualizacji funkcjonalnych, tylko comiesięczne łatki bezpieczeństwa)
- Brakiem wymuszonych aktualizacji funkcjonalnych (brak przejścia 23H2 → 24H2 → 25H2)
- Zredukowanym rozmiarem obrazu (około 40% mniej składników niż standardowy Enterprise)
- Pełną kompatybilnością z Credential Guard, AppLocker, WDAC i MBAM
LTSC przeznaczony jest dla urządzeń, które nie mogą sobie pozwolić na restart aktualizacyjny w niekontrolowanym momencie: systemy sterowania produkcją (SCADA), bankomaty, terminale płatnicze, urządzenia medyczne (USG, tomografy), systemy biletowe, automaty przemysłowe i kioski informacyjne. Nie jest przeznaczony na komputery biurowe — na biurko lepiej wybrać standardowy Enterprise z Windows Autopatch.
Licencjonowanie LTSC wymaga Enterprise Agreement lub Microsoft 365 E5 — nie jest dostępny w niższych planach subskrypcyjnych.
Windows 11 Enterprise a Microsoft 365 E3 i E5 — co daje cały pakiet?
W praktyce zakup samego Windows 11 Enterprise jest rzadkością — częściej firmy nabywają go jako składnik planu Microsoft 365 E3 lub E5. Oto, co zawiera pełen pakiet:
| Komponent | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|
| Windows 11 Enterprise | Tak (do 5 urządzeń/użytkownika) | Tak (do 5 urządzeń) |
| Office (Word, Excel, PowerPoint, Outlook, OneNote, Publisher, Access) | Tak (desktop + web + mobile) | Tak (desktop + web + mobile) |
| Exchange Online (poczta) | 100 GB skrzynki | 100 GB skrzynki |
| OneDrive dla Firm | Nieograniczone (powyżej 5 użytkowników) | Nieograniczone |
| Teams | Tak | Tak + Phone System (telefonia VoIP) |
| SharePoint | Tak | Tak |
| Intune (MDM/MAM) | Tak | Tak |
| Microsoft Entra ID Premium (Azure AD P1/P2) | P1 | P2 |
| Microsoft Defender for Endpoint | Plan 1 | Plan 2 (EDR, hunting, automatyczne reagowanie) |
| Microsoft Defender for Office 365 | Plan 1 | Plan 2 (Safe Links, Safe Attachments, szkolenia antyphishingowe) |
| Microsoft Purview (DLP, eDiscovery, Information Protection) | Podstawowe | Pełne + inspekcja ryzyka wewnętrznego |
| Power BI Pro | Nie | Tak |
| Microsoft Copilot (AI w Office) | Nie (wymaga osobnej licencji) | Nie (wymaga osobnej licencji) |
| Szacunkowa cena netto / użytkownika / miesiąc | ~36 USD (~140 PLN) | ~57 USD (~222 PLN) |
Dla firmy 100-osobowej roczny koszt E3 to około 168 000 PLN netto. W zamian organizacja otrzymuje pełen stos: system operacyjny z zaawansowanymi zabezpieczeniami na każdym laptopie, pakiet biurowy, firmową pocztę, magazyn w chmurze, zarządzanie urządzeniami mobilnymi i zabezpieczenia przed phishingiem. Rozbicie tego na osobne produkty byłoby o 40-60% droższe.
Koszt wejścia do E3 można zoptymalizować: jeśli firma posiada już Windows 10/11 Pro na urządzeniach (zazwyczaj fabrycznie), licencję E3 można traktować jako upgrade — aktywacja Enterprise następuje przez zalogowanie użytkownika kontem Microsoft 365, bez ponownej instalacji systemu.
Windows 11 Enterprise — wdrożenie i migracja z Windows 10/11 Pro
Proces przejścia z Windows 11 Pro na Enterprise jest prostszy niż migracja między głównymi wersjami systemu. Nie wymaga ponownej instalacji, kopii zapasowej ani reinstalacji aplikacji:
-
Zweryfikuj wersję bazową — każde urządzenie musi mieć aktywny Windows 11 Pro (lub Windows 10 Pro). Komendą
winversprawdź wersję — dla upgrade'u Enterprise wspierane są Windows 10/11 wersje 22H2 i wyższe. -
Uzyskaj klucz Enterprise — przez Volume Licensing Service Center, portal Microsoft 365 Admin lub partnera CSP (KluczeSoft.pl). Klucz dla subskrybentów E3/E5 jest przypisywany automatycznie do konta użytkownika i nie wymaga ręcznego wprowadzania 25-znakowego klucza.
-
Zmień klucz produktu na urządzeniu — Ustawienia → System → Aktywacja → Zmień klucz produktu. Wprowadź klucz Enterprise (lub dla subskrypcji: zaloguj się kontem Microsoft 365 z licencją E3/E5 w Ustawienia → Konta → Dostęp służbowy).
-
Restart i aktywacja — system restartuje się, pobiera dodatkowe składniki Enterprise (około 2-4 GB) i aktywuje nową edycję. Proces trwa 10-20 minut w zależności od szybkości łącza i sprzętu.
-
Wdróż polityki bezpieczeństwa — przez GPO lub Intune włącz Credential Guard, Application Guard i Windows LAPS. Skonfiguruj AppLocker lub WDAC według listy dozwolonego oprogramowania w firmie.
-
Zarejestruj w Windows Autopatch — dla subskrybentów E3/E5 aktywuj automatyczne pierścienie aktualizacji: 1% urządzeń w pierścieniu testowym (dzień 0), 9% w pierścieniu pierwszego wdrożenia (dzień +7), 90% w pierścieniu szerokim (dzień +14).
Migrację można przeprowadzić stopniowo: część floty na Pro, część na Enterprise — systemy współistnieją w jednej domenie bez konfliktów. Firma 200-osobowa zazwyczaj przeprowadza migrację w 3-4 turach po 50 urządzeń, co pozwala wykryć ewentualne problemy z kompatybilnością aplikacji w pierwszej turze.
Częste pytania
Czy Windows 11 Enterprise można kupić jako osobny klucz, bez subskrypcji Microsoft 365?
Tak, w kanale Volume Licensing (Open Value, Enterprise Agreement). Klucz Windows 11 Enterprise Upgrade kosztuje około 290-340 PLN netto rocznie za urządzenie przy umowie 3-letniej. Nie ma wersji "wieczystej" Enterprise — licencja zawsze wygasa po zakończeniu umowy i system wraca do edycji Pro.
Czy Windows 11 Enterprise działa na tym samym sprzęcie co Pro?
Tak, wymagania sprzętowe są identyczne: TPM 2.0, Secure Boot, procesor Intel 8. generacji / AMD Ryzen 2000 lub nowszy, 4 GB RAM, 64 GB dysku. Różnica leży wyłącznie w zestawie funkcji i politykach.
Czy mogę używać Windows 11 Enterprise na komputerze domowym pracownika (BYOD)?
Tak, pod warunkiem że pracownik posiada licencję Windows Pro na tym urządzeniu. Licencja Enterprise z subskrypcji E3/E5 przypisana do użytkownika pozwala aktywować Enterprise na maksymalnie 5 urządzeniach — służbowych i prywatnych. Firma powinna jednak wdrożyć polityki Intune oddzielające dane firmowe od prywatnych (MAM bez pełnego MDM).
Co się stanie z Windows Enterprise po wygaśnięciu subskrypcji E3?
System automatycznie wraca do poprzedniej aktywnej edycji — Windows 11 Pro. Wszystkie funkcje Enterprise zostają wyłączone, ale dane i aplikacje pozostają nienaruszone. Na powrót do Enterprise jest 30 dni grace period, podczas którego można odnowić subskrypcję bez utraty ustawień.
Czy Windows 11 Enterprise wymaga stałego połączenia z internetem?
Nie — aktywacja subskrypcyjna wymaga połączenia raz na 30 dni w celu odnowienia tokenu licencji, ale system działa normalnie również offline. DirectAccess i BranchCache, przeciwnie, zaprojektowano właśnie dla scenariuszy z przerywanym łączem.
Jaka jest różnica między Windows 11 Enterprise a Windows 11 IoT Enterprise?
Windows 11 IoT Enterprise to edycja dla urządzeń wbudowanych (embedded) — bankomatów, kiosków, paneli sterowniczych. Oferuje te same funkcje bezpieczeństwa co klasyczny Enterprise, ale z dodatkowymi kontrolkami: filtr zapisu dysku (UWF), blokada klawiatury, tryb kiosku z jedną aplikacją i 10-letni cykl wsparcia LTSC. Licencjonowanie IoT Enterprise jest tańsze (około 90-120 PLN netto rocznie) i odbywa się przez oddzielny kanał OEM/Embedded.
Czy potrzebuję Windows Server CAL do logowania do domeny Active Directory z Windows 11 Enterprise?
Tak — Windows Enterprise nie zwalnia z obowiązku posiadania Windows Server CAL (Client Access License). Każde urządzenie lub użytkownik logujący się do domeny Active Directory (on-premises) musi mieć przypisaną licencję CAL, niezależnie od edycji Windows. CAL nie jest wymagany przy korzystaniu wyłącznie z Entra ID Join (chmurowym).
Czy Windows 11 Enterprise eliminuje potrzebę antywirusa firm trzecich?
Nie całkowicie. Microsoft Defender for Endpoint (szczególnie Plan 2 w licencji E5) zapewnia ochronę porównywalną z wiodącymi rozwiązaniami EDR — Gartner i Forrester klasyfikują go jako lidera. Jednak niektóre branże regulowane (finanse, ochrona zdrowia, infrastruktura krytyczna) mogą wymagać drugiego rozwiązania z powodów zgodności lub kontraktowych. W praktyce wiele polskich firm po wdrożeniu Enterprise rezygnuje z płatnego antywirusa — Defender for Endpoint Plan 2 w połączeniu z Credential Guard i Application Control tworzy zabezpieczenie, którego nie przełamują typowe ataki na polskie MŚP.
Czy Windows 11 Enterprise dostaje aktualizacje szybciej niż Pro?
Nie szybciej — ale w sposób bardziej kontrolowany. Windows Autopatch (dostępny w Enterprise z subskrypcją E3/E5) tworzy pierścienie aktualizacji: testowy (dzień 0), wczesny (dzień +7), szeroki (dzień +14). Administrator może wstrzymać wdrożenie, jeśli pierścień testowy wykaże problemy z aplikacją liniową. W Pro aktualizacje są wdrażane automatycznie bez możliwości pierścieniowego opóźnienia.
Jak uzyskać fakturę VAT 23% na Windows 11 Enterprise w Polsce?
Zakup licencji Windows 11 Enterprise przez autoryzowanego partnera Microsoft CSP w Polsce — takiego jak KluczeSoft.pl — pozwala otrzymać pełną fakturę VAT 23% z odliczeniem podatku naliczonego. W przypadku zakupu bezpośrednio z Microsoft Store dla Firm faktura wystawiana jest przez Microsoft Ireland i może wymagać rozliczenia importu usług — partner CSP eliminuje tę komplikację, wystawiając polską fakturę krajową. Klucz aktywacyjny lub przypisanie licencji następuje w ciągu kilku minut od zaksięgowania płatności.
Sprawdź też
- Microsoft Office 365 Personal — wszystko o tej edycji (2026)
- Ms Office 365 Personal — wszystko o tej edycji (2026)
- Office 365 Personal — wszystko o tej edycji (2026)
Potrzebujesz licencji? Microsoft Windows 11 — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.