Windows 11 domyślnie wysyła do Microsoft dane telemetryczne, dane diagnostyczne oraz informacje o aktywności użytkownika — w środowisku firmowym warto skonfigurować ograniczenia zgodnie z wewnętrzną polityką bezpieczeństwa i RODO. Microsoft udostępnia kompletny zestaw zasad grupy (GPO) i ustawień MDM, które pozwalają administratorowi IT ograniczyć zbieranie danych do niezbędnego minimum, nie paraliżując przy tym Windows Update, Microsoft Defender czy list odwołania certyfikatów (CRL).
W skrócie
- Domyślny poziom telemetrii w Windows 11 Pro to Wymagane dane diagnostyczne (poziom 1/Required), ale warto rozważyć przejście na poziom 0 (Security/Off) na Enterprise.
- Kluczowe kategorie do skonfigurowania: dane diagnostyczne, identyfikator reklamowy, Cortana i wyszukiwanie, lokalizacja, synchronizacja ustawień, dostęp aplikacji do kamery/mikrofonu, historia aktywności, Windows Spotlight.
- Wszystkie ustawienia można wdrożyć centralnie przez GPO:
Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds.- Microsoft udostępnia gotowy pakiet Windows Restricted Traffic Limited Functionality Baseline jako punkt startowy dla firm chcących zminimalizować ruch wychodzący.
- Wersja Windows 11 Pro wystarcza do podstawowego zarządzania prywatnością; Enterprise lub Education daje dostęp do poziomu diagnostyki Security (0).
Pełna definicja — o co chodzi z prywatnością w Windows 11
Prywatność w Windows 11 to nie jeden przełącznik, a kilkadziesiąt ustawień rozrzuconych po różnych zakładkach (Ustawienia > Prywatność i zabezpieczenia), zasadach grupy, rejestrze oraz zaporze systemowej. Microsoft zbiera dane w kilku osobnych strumieniach:
| Strumień danych | Co zawiera | Gdzie się wyłącza |
|---|---|---|
| Dane diagnostyczne (telemetria) | Informacje o konfiguracji sprzętu, sterownikach, awariach, wydajności | GPO: Allow diagnostic data — poziom 0/1/3 |
| Identyfikator reklamowy | Unikalny identyfikator używany przez aplikacje do targetowania reklam | GPO: Turn off the advertising ID |
| Cortana i wyszukiwanie | Zapytania wpisywane w pasku wyszukiwania (także lokalnie) | GPO: Allow Cortana, Do not allow web search |
| Historia aktywności / Timeline | Jakie aplikacje i pliki użytkownik otwierał, na jakich urządzeniach | Rejestr: EnableActivityFeed |
| Windows Spotlight / rekomendacje | Obrazy blokady, sugestie aplikacji w menu Start | GPO: Turn off Windows Spotlight |
| Aplikacje w tle | Które aplikacje UWP mogą działać w tle i wysyłać dane | Ustawienia: Prywatność > Aplikacje w tle |
| Lokalizacja | Dane z czujników GPS / Wi-Fi / IP o położeniu urządzenia | GPO: Turn off location |
| Synchronizacja ustawień | Motyw, hasła, preferencje językowe synchronizowane przez konto Microsoft | GPO: Do not sync |
| Raportowanie błędów (WER) | Zrzuty pamięci przy awariach, które mogą zawierać wycinki danych użytkownika | GPO: Limit dump collection |
Każdy z tych strumieni można ograniczyć niezależnie. W środowisku firmowym decyzja sprowadza się do odpowiedzi na pytanie: ile danych możesz wysyłać do Microsoft, żeby Windows Update i Defender działały bez zarzutu, ale jednocześnie minimalizować ryzyko wycieku informacji o pracownikach i infrastrukturze?
Jak skonfigurować ustawienia prywatności krok po kroku
Poniżej znajduje się ścieżka rekomendowana dla typowej firmy (małej i średniej), która korzysta z Windows 11 Pro. Wszystkie ustawienia zakładamy we wdrażaniu przez GPO z kontrolera domeny lub lokalnie przez gpedit.msc.
1. Poziom danych diagnostycznych — podstawa
To najważniejsze ustawienie. Ścieżka GPO:
Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds > Allow diagnostic data
| Poziom | Wartość | Co wysyła | Dostępność |
|---|---|---|---|
| Security (Off) | 0 | Zero danych diagnostycznych | Tylko Enterprise / Education / Server |
| Required (Basic) | 1 | Konfiguracja sprzętu, awarie, kompatybilność sterowników | Wszystkie edycje (domyślnie w Pro) |
| Optional (Full) | 3 | Pełne dane + historia przeglądania Edge, zrzuty pamięci, logi diagnostyczne | Wszystkie edycje |
Rekomendacja dla Windows 11 Pro: poziom 1 (Required). Poziom 0 nie jest dostępny w wersji Pro, a poziom 3 stanowi zbyt duże ryzyko — zrzuty pamięci przy awariach mogą zawierać fragmenty otwartych dokumentów, haseł w schowku czy treści z przeglądarki. Jeśli firma posiada licencje Enterprise, warto rozważyć poziom 0 — Microsoft nie blokuje Windows Update na poziomie Security, ale traci informacje o awariach, co może wydłużyć czas reakcji na błędy krytyczne.
Dodatkowo warto ustawić towarzyszące zasady:
Limit dump collection→ Enabled (ogranicza zrzuty awarii do mini dumpów jądra, wyłącza pełne zrzuty pamięci)Limit diagnostic log collection→ Enabled (blokuje wysyłanie logów diagnostycznych)
2. Identyfikator reklamowy — wyłącz zawsze
Każda instalacja Windows 11 generuje unikalny identyfikator reklamowy, który aplikacje ze Sklepu Microsoft mogą odczytywać do profilowania użytkownika. W firmie nie ma dla niego żadnego uzasadnienia biznesowego.
GPO: Computer Configuration > Administrative Templates > System > User Profiles > Turn off the advertising ID → Enabled
Efekt: identyfikator przestaje być generowany przy logowaniu każdego nowego użytkownika.
3. Cortana i wyszukiwanie sieciowe
Pasek wyszukiwania w Windows 11 domyślnie wysyła zapytania do Bing, nawet gdy użytkownik szuka pliku lokalnego. W środowisku firmowym, gdzie wyszukiwane są nazwy projektów, nazwiska klientów czy wewnętrzne numery dokumentów, to niedopuszczalne ryzyko.
GPO (Computer Configuration > Administrative Templates > Windows Components > Search):
| Zasada | Ustawienie |
|---|---|
Allow Cortana | Disabled |
Allow search and Cortana to use location | Disabled |
Do not allow web search | Enabled |
Don't search the web or display web results in Search | Enabled |
4. Lokalizacja — wyłącz na poziomie systemu
Nawet stacjonarny komputer może raportować przybliżoną lokalizację przez adres IP i sieci Wi-Fi.
GPO: Computer Configuration > Administrative Templates > Windows Components > Location and Sensors > Turn off location → Enabled
5. Synchronizacja ustawień i historia aktywności
Windows 11 potrafi synchronizować ustawienia między urządzeniami przez konto Microsoft. W firmie z Active Directory / Entra ID ten mechanizm nie ma zastosowania, a dane o aktywności mogą wyciekać poza kontrolę administratora.
GPO (Computer Configuration > Administrative Templates > Windows Components > Sync your settings):
Do not sync→ Enabled
GPO (Computer Configuration > Administrative Templates > System > OS Policies):
Allow upload of User Activities→ Disabled
6. Uprawnienia aplikacji: kamera, mikrofon, powiadomienia
Windows 11 pozwala centralnie blokować dostęp do kamery i mikrofonu dla wszystkich aplikacji UWP.
GPO (Computer Configuration > Administrative Templates > Windows Components > App Privacy):
| Zasada | Ustawienie |
|---|---|
Let Windows apps access the camera | Force Deny |
Let Windows apps access the microphone | Force Deny |
Let Windows apps access notifications | Force Deny (opcjonalnie — jeśli powiadomienia nie są potrzebne) |
Uwaga: te zasady działają tylko dla aplikacji UWP/ze Sklepu. Aplikacje klasyczne (Teams, Zoom, przeglądarka) mają własne mechanizmy dostępu, które trzeba konfigurować osobno.
7. Windows Spotlight i rekomendacje w menu Start
Windows Spotlight pobiera obrazy ekranu blokady i wyświetla reklamy/sugestie Microsoft. W środowisku firmowym to zbędny ruch sieciowy i potencjalne rozproszenie uwagi pracowników.
GPO (Computer Configuration > Administrative Templates > Windows Components > Cloud Content):
Turn off Windows Spotlight→ EnabledTurn off Microsoft consumer experiences→ Enabled
Porównanie: ustawienia prywatności w Windows 11 Pro vs Enterprise
| Funkcja / Ustawienie | Windows 11 Pro | Windows 11 Enterprise |
|---|---|---|
| Poziom telemetrii Security (0) | ❌ Niedostępny | ✅ Dostępny |
| Windows Restricted Traffic Baseline | ✅ Tak | ✅ Tak |
| GPO do zarządzania prywatnością | ✅ Pełne | ✅ Pełne |
| Reklamy i sugestie Microsoft | ⚠️ Można wyłączyć GPO | ⚠️ Można wyłączyć GPO |
| Przetwarzanie danych diagnostycznych jako kontroler (GDPR) | ✅ Tak (z Entra ID) | ✅ Tak (z Entra ID) |
| Limit diagnostic log collection (MDM) | ✅ Tak | ✅ Tak |
| Zarządzanie przez Microsoft Intune / MDM | ✅ Tak | ✅ Tak |
| Cena orientacyjna licencji (2026, nowa) | ~800 zł | ~1200 zł |
Dla większości MŚP Windows 11 Pro jest wystarczający. Enterprise ma sens, gdy firma wymaga poziomu Security (0) — np. w sektorze finansowym, obronnym lub przy przetwarzaniu danych szczególnie chronionych.
Przykładowy skrypt PowerShell do szybkiej konfiguracji (lokalnej)
Poniżej kompletny skrypt dla pojedynczej stacji roboczej — do użycia przy wdrożeniu, zanim GPO zostaną pobrane z kontrolera domeny:
# Wyłączenie identyfikatora reklamowego
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo" -Name "DisabledByGroupPolicy" -Value 1 -Type DWord
# Wyłączenie Cortany
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search" -Name "AllowCortana" -Value 0 -Type DWord
# Wyłączenie wyszukiwania w sieci
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search" -Name "ConnectedSearchUseWeb" -Value 0 -Type DWord
# Wyłączenie historii aktywności
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "EnableActivityFeed" -Value 0 -Type DWord
# Wyłączenie Windows Spotlight
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent" -Name "DisableWindowsSpotlightFeatures" -Value 1 -Type DWord
# Ograniczenie zrzutów diagnostycznych
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "LimitDumpCollection" -Value 1 -Type DWord
Po wykonaniu skryptu wymagany jest restart stacji.
Windows Restricted Traffic Baseline — gotowy pakiet od Microsoft
Microsoft udostępnia oficjalny pakiet Windows Restricted Traffic Limited Functionality Baseline, który pozwala jednym wdrożeniem GPO wyłączyć większość połączeń wychodzących do usług Microsoft. Pakiet zawiera gotowe szablony administracyjne i jest dostępny bezpłatnie na stronie Microsoft Learn.
Co zawiera baseline: wyłączenie Cortany, wyszukiwania sieciowego, identyfikatora reklamowego, Windows Spotlight, synchronizacji ustawień, telemetrii na poziomie Security (gdzie dostępne), OneDrive (opcjonalnie) oraz znaczne ograniczenie diagnostyki.
Uwaga: po wdrożeniu baseline przestają działać łącza Uzyskaj pomoc i Prześlij opinię w systemie. Microsoft Defender i Windows Update pozostają aktywne — baseline celowo nie wyłącza komponentów związanych z bezpieczeństwem.
Konsekwencje zbyt agresywnego ograniczenia prywatności
Warto znać granicę między rozsądną konfiguracją a nadgorliwością, która zaszkodzi bezpieczeństwu:
- Wyłączenie automatycznej aktualizacji certyfikatów głównych (
Turn off Automatic Root Certificates Update) → urządzenie może nie łączyć się z częścią legalnych witryn HTTPS, a lista odwołania CRL nie będzie aktualizowana. - Zablokowanie endpointów autoryzacji Microsoft (
login.live.com) → utrata aktywacji systemu i Office. - Zablokowanie
settings-win.data.microsoft.com→ Microsoft nie może zdalnie zmienić konfiguracji diagnostycznej, ale też tracisz możliwość zarządzania przez Intune. - Wyłączenie Microsoft Defender → oczywiste ryzyko, ale niektórzy w pośpiechu blokują endpointy
*.events.data.microsoft.com, które obsługują zarówno telemetrię systemu, jak i sygnatury antywirusa.
Częste pytania
Czy Windows 11 Pro pozwala całkowicie wyłączyć telemetrię?
Nie — poziom Security (0), który całkowicie wyłącza wysyłanie danych diagnostycznych, jest dostępny wyłącznie w edycjach Enterprise, Education oraz Windows Server. W Windows 11 Pro minimalnym poziomem jest Required (Basic), czyli podstawowe dane o konfiguracji sprzętu, awariach i sterownikach. To wciąż akceptowalny kompromis dla większości firm — dane na poziomie Required nie zawierają treści użytkownika, historii przeglądania ani zrzutów pamięci.
Czy wyłączenie danych diagnostycznych na poziomie Security zablokuje Windows Update?
Nie. Windows Update działa niezależnie od poziomu telemetrii. Microsoft rekomenduje poziom co najmniej Required, ponieważ w przypadku awarii aktualizacji firma nie otrzyma od klienta żadnych danych umożliwiających diagnozę problemu. W praktyce oznacza to, że błędy specyficzne dla twojej konfiguracji sprzętowej mogą być naprawiane wolniej, bo Microsoft ich po prostu nie widzi.
Czy potrzebuję Windows 11 Enterprise, żeby spełnić wymogi RODO?
Nie. Windows 11 Pro z poziomem Required, wdrożony z odpowiednimi GPO, skonfigurowany w ramach Windows diagnostic data processor configuration (wymaga dołączenia do Microsoft Entra ID) spełnia wymogi RODO. Microsoft działa wtedy jako podmiot przetwarzający dane diagnostyczne, a twoja firma pozostaje administratorem danych. Enterprise jest potrzebny tylko wtedy, gdy wewnętrzna polityka bezpieczeństwa wymaga poziomu Security (0).
Jakie ustawienia prywatności warto skonfigurować jako pierwsze w nowej firmie?
Kolejność priorytetów: (1) poziom danych diagnostycznych na Required (jeśli Pro), (2) identyfikator reklamowy, (3) wyłączenie Cortany i wyszukiwania sieciowego, (4) wyłączenie lokalizacji, (5) blokada dostępu do kamery i mikrofonu dla nieautoryzowanych aplikacji. Te pięć ustawień eliminuje ~90% powierzchni wycieku danych w typowym środowisku biurowym. Reszta (Spotlight, synchronizacja, historia aktywności) to już kwestia doczyszczenia.
Czy Microsoft zbiera dane z Windows 11 nawet po wyłączeniu wszystkiego?
Pewne połączenia sieciowe z infrastrukturą Microsoft pozostają niemożliwe do wyłączenia bez utraty funkcjonalności i są sklasyfikowane jako Allowed Traffic: lista CRL (unieważnionych certyfikatów), OCSP (sprawdzanie statusu certyfikatów) oraz podstawowa autoryzacja urządzenia (login.live.com). Są to mechanizmy bezpieczeństwa, nie inwigilacji. Przy poziomie Required Microsoft nie otrzymuje żadnych danych, które umożliwiałyby identyfikację użytkownika lub zawartości jego plików.
Czy da się ustawić wszystkie restrykcje prywatności bez kontrolera domeny?
Tak — każdą zasadę grupy można zaaplikować lokalnie przez gpedit.msc (edytor lokalnych zasad grupy) lub przez bezpośrednie wpisy w rejestrze (HKLM\SOFTWARE\Policies\Microsoft\...). W małych firmach bez Active Directory to akceptowalne rozwiązanie, choć wymaga ręcznej konfiguracji na każdej stacji. Alternatywą jest przygotowanie obrazu systemu z predefiniowanymi ustawieniami.
Co z Microsoft Edge — czy telemetria przeglądarki to osobny problem?
Tak. Od marca 2024 roku dane diagnostyczne Microsoft Edge są zbierane osobno od telemetrii systemowej i podlegają własnym ustawieniom. Należy skonfigurować osobne zasady GPO dla Edge (Computer Configuration > Administrative Templates > Microsoft Edge), wyłączając m.in. SearchSuggestEnabled, SmartScreenEnabled (jeśli nie jest potrzebny), PasswordManagerEnabled i AutofillAddressEnabled.
Artykuł ma charakter informacyjny, niezależny od Microsoft Corporation. KluczeSoft jest niezależnym sprzedawcą legalnych licencji Microsoft — jeśli szukasz Windows 11 Pro lub Enterprise do wdrożenia w swojej firmie z opisaną wyżej konfiguracją prywatności, sprawdź dostępne klucze w KluczeSoft.pl — klucze Windows.