Microsoft Entra ID Protection i Identity Protection to nie dwie różne usługi — to ta sama usługa ochrony tożsamości, która w 2023 roku zmieniła nazwę z Azure AD Identity Protection na Microsoft Entra ID Protection. Różnice w funkcjonalności wynikają jednak z poziomu licencji (Free, P1, P2) i miejsca konfigurowania zasad — w nowoczesnym Conditional Access (Dostęp warunkowy) albo w starszych, wycofywanych zasadach wprost w panelu ID Protection. Poniżej rozkładamy dokładnie, co się zmieniło, czym dysponuje każdy plan i jak uniknąć pułapki przestarzałych ustawień.
Werdykt w jednym zdaniu: Jeśli masz licencję Microsoft Entra ID P2, używasz tego samego produktu, który kiedyś nazywał się Azure AD Identity Protection — ale musisz świadomie przejść ze starych zasad na Conditional Access, ponieważ legacy policies zostaną wyłączone 1 października 2026.
W skrócie
- Nazwa – Azure AD Identity Protection → Microsoft Entra ID Protection (rebranding, nie nowy produkt). Polska nazwa w dokumentacji Microsoft Learn: Ochrona tożsamości Microsoft Entra.
- Licencje – podstawowa wykrywalność ryzyka w Free/P1 (bez szczegółów), pełna funkcjonalność dopiero w Entra ID P2 (~9 USD/user/miesiąc) lub w pakiecie Microsoft Entra Suite (~12 USD/u/m).
- Silnik ryzyka – dziesiątki detekcji w czasie rzeczywistym i offline, które oceniają każde logowanie (sign-in risk) i każde konto użytkownika (user risk).
- Nowoczesne zasady (zalecane) – Conditional Access z warunkami Sign-in risk i User risk. Automatyczna autokorekta ryzyka po spełnieniu kontroli (np. MFA, bezpieczna zmiana hasła).
- Legacy policies – zasady konfigurowane wprost w panelu ID Protection. Wycofanie: 1 października 2026 — Microsoft wymaga migracji do Conditional Access.
- Różnica między "Identity Protection" a "Entra ID Protection" – wyłącznie nazewnictwo historyczne. Identity Protection = dawna nazwa (Azure AD). Entra ID Protection = obecna nazwa (Microsoft Entra). To ten sam kod, te same detekcje.
Tabela porównawcza: Identity Protection vs Entra ID Protection według poziomów licencji
| Funkcja | Microsoft Entra ID Free (dawniej Azure AD Free) | Microsoft Entra ID P1 | Microsoft Entra ID P2 (dawniej Azure AD P2) |
|---|---|---|---|
| Wykrywanie ryzyka logowania (sign-in risk) | Częściowe — bez szczegółów, tylko "Additional risk detected" | Częściowe — bez szczegółów | Pełne — wszystkie detekcje z opisem i poziomem ryzyka |
| Wykrywanie ryzyka użytkownika (user risk) | Częściowe — tylko użytkownicy z wysokim/średnim ryzykiem | Częściowe — tylko użytkownicy z wysokim/średnim ryzykiem | Pełne — historia ryzyka, szczegóły każdej detekcji |
| Raporty: Risky users | Ograniczone — bez panelu szczegółów, bez historii | Ograniczone — jak w Free | Pełny dostęp — wszystkie dane, historia ryzyka |
| Raporty: Risky sign-ins | Bez poziomu ryzyka, bez szczegółów | Bez poziomu ryzyka, bez szczegółów | Pełny dostęp — szczegóły każdego ryzykownego logowania |
| Raporty: Risk detections | ❌ Brak dostępu | Ograniczone — bez panelu szczegółów | Pełny dostęp — każda detekcja z opisem, źródłem, czasem |
| Risk-based Conditional Access | ❌ | ❌ | ✅ Tak — warunki Sign-in risk i User risk |
| Zasady korygowania ryzyka użytkowników | ❌ | ❌ | ✅ (w nowoczesnym CA: Require risk remediation) |
| Polityka rejestracji MFA | ❌ | ❌ | ✅ |
| Powiadomienia (alerty ryzyka) | ❌ | ❌ | ✅ Alerty + tygodniowe podsumowanie |
| Eksport danych ryzyka (Graph API) | ❌ | ❌ | ✅ |
| Detekcje real-time (anonimowe IP, unfamiliar properties, threat intelligence) | Podstawowe (bez szczegółów) | Podstawowe (bez szczegółów) | Pełne — wszystkie real-time + offline detekcje |
| Leaked credentials detection | ✅ (detekcja wysokiego ryzyka, widoczna) | ✅ | ✅ |
| Workload identities protection | ❌ (wymaga Workload ID Premium) | ❌ | ❌ (osobna licencja Workload ID Premium) |
Czym jest Microsoft Entra ID Protection (dawniej Identity Protection)
Microsoft Entra ID Protection to system wykrywania i automatycznej korekty zagrożeń tożsamościowych w chmurze Microsoft. Codziennie analizuje 78 bilionów sygnałów bezpieczeństwa (dane Microsoft Digital Defense Report 2024) — z logowań użytkowników, zachowań administratorów, wycieków haseł w dark webie, anomalii geograficznych i ruchów botnetów.
System generuje dwa niezależne poziomy ryzyka:
- Sign-in risk (ryzyko logowania) — oceniane w czasie rzeczywistym przy każdym logowaniu. Analizuje m.in. anonimowe IP, nietypowe właściwości sesji (ASN, przeglądarka, urządzenie), podejrzane zatwierdzenia MFA czy wykryte ataki password spray. Wynik: low / medium / high.
- User risk (ryzyko użytkownika) — zagregowany obraz konta. Bierze pod uwagę historię ryzykownych logowań oraz detekcje offline, takie jak wyciek danych uwierzytelniających (leaked credentials), token replay, aktywność atakującego w sesji (Attacker-in-the-Middle). Wynik: low / medium / high.
Gdy Conditional Access wykryje podwyższone ryzyko, może automatycznie wymusić MFA, bezpieczną zmianę hasła, blokadę dostępu albo — od 2025 roku — uruchomić adaptacyjną procedurę Require risk remediation, która sama dobiera odpowiednią ścieżkę naprawczą zależnie od typu zagrożenia i metody uwierzytelniania użytkownika.
Skąd wzięło się zamieszanie z nazwami?
| Okres | Nazwa produktu | Gdzie konfigurowano zasady |
|---|---|---|
| 2014–2023 | Azure AD Identity Protection | Osobny panel w Azure AD + Conditional Access |
| 2023–obecnie | Microsoft Entra ID Protection (Ochrona tożsamości Microsoft Entra) | Conditional Access (zalecane) + panel ID Protection (legacy, do wycofania 1.10.2026) |
Rebranding z Azure AD na Microsoft Entra ID objął całą platformę tożsamości Microsoft — nie tylko ID Protection. Identity Protection nie zniknęło — zmieniło tylko nazwę i sposób konfiguracji.
Identity Protection (legacy) — stare zasady i ich ograniczenia
"Identity Protection" w języku potocznym administratorów często oznacza stare, samodzielne zasady konfigurowane w panelu ID Protection, a nie w Conditional Access. Microsoft nazywa je legacy user risk policy i legacy sign-in risk policy.
Ich ograniczenia:
- Działają w izolacji — nie można ich łączyć z innymi warunkami (np. lokalizacja, aplikacja, platforma). W Conditional Access można powiedzieć: "wymagaj MFA, gdy sign-in risk = high, ALE tylko spoza zaufanej sieci firmowej".
- Obsługują tylko trzy akcje: blokada, wymuszenie MFA, wymuszenie zmiany hasła. Brak adaptacyjnej korekty (Require risk remediation).
- Brak report-only mode — nie można testować wpływu zasady przed wdrożeniem. Conditional Access wspiera tryb report-only od lat.
- Nie wspierają backup authentication system — nowego mechanizmu failover Microsoft, który zapewnia ciągłość uwierzytelniania nawet przy awarii głównego systemu MFA.
- Brak integracji z Graph API do zarządzania — starsze zasady nie są widoczne w API.
- Data wycofania: 1 października 2026 — po tym terminie legacy policies przestaną działać. Organizacje, które ich nie zmigrują, stracą automatyczną ochronę opartą na ryzyku.
Entra ID Protection (modern) — nowoczesna konfiguracja przez Conditional Access
Od 2024 roku Microsoft jednoznacznie rekomenduje tworzenie wszystkich zasad ryzyka wyłącznie w Conditional Access, nie w panelu ID Protection. Nowoczesne podejście daje:
- Dwa warunki ryzyka: Sign-in risk i User risk dostępne jako standardowe warunki w każdej polityce Conditional Access.
- Granularność: możesz stworzyć osobną politykę dla grupy "Zarząd" (user risk = medium → blokada + powiadomienie SOC) i osobną dla reszty firmy (user risk = high → MFA + zmiana hasła).
- Automatyczna korekta: użytkownik, który pomyślnie przejdzie MFA lub zmieni hasło, jest automatycznie oczyszczany z ryzyka — bez udziału administratora. W legacy policies ta autokorekta działa, ale tylko w wąskim zakresie.
- Sign-in frequency: nowoczesne polityki CA mogą wymusić ponowne uwierzytelnienie przy każdym ryzykownym logowaniu (opcja Every time).
- Diagnostyka: w logach sign-in widać dokładnie, która polityka CA zareagowała na ryzyko. W legacy policies log był ogólny ("ID Protection policy applied").
- Tryb report-only: przed wdrożeniem sprawdzasz przez tydzień, ilu użytkowników zostałoby objętych polityką — bez wpływu na ich pracę.
Kiedy używać Entra ID P2 a kiedy wystarczy P1 lub Free
Decyzja nie dotyczy wyboru między "Identity Protection" a "Entra ID Protection" (bo to ten sam produkt). Decyzja dotyczy poziomu licencji:
| Scenariusz | Zalecana licencja | Uzasadnienie |
|---|---|---|
| Firma <10 osób, tylko M365 Business Basic, brak danych wrażliwych | Free (w M365 Business Basic) | Podstawowe detekcje + leaked credentials — lepsze niż nic |
| Firma 10–300 osób, jedno biuro, [Microsoft 365 Business Premium](https://kluczesoft.pl/microsoft-365/microsoft-365-business-premium) | Entra ID P1 (wbudowany w Business Premium) | Conditional Access bez warunków ryzyka, ale z MFA i lokalizacją — już solidna ochrona |
| Firma >50 osób, praca zdalna, dane osobowe / regulowane (RODO, ISO 27001) | Entra ID P2 | Pełna ochrona tożsamości: risk-based CA, automatyczna korekta, raporty, alerty, Graph API. Koszt ~9 USD/u/mies. |
| Organizacja >500 osób, wiele lokalizacji, własny SOC / SIEM | Microsoft Entra Suite (~12 USD/u/mies.) | ID Protection + ID Governance + Verified ID + Internet Access + Private Access — kompletne Zero Trust |
Częste pytania
Czy Identity Protection to to samo co Entra ID Protection?
Tak — to ta sama usługa. Identity Protection (dawniej Azure AD Identity Protection) została przemianowana na Microsoft Entra ID Protection w 2023 roku w ramach rebrandingu całej platformy tożsamości Microsoft (Azure AD → Microsoft Entra ID). Silnik wykrywania ryzyka, raporty i integracje są identyczne. Różnica polega na tym, że starsza nazwa często przywołuje też przestarzałe legacy policies, które znikną 1 października 2026.
Czy do działania Entra ID Protection wystarczy licencja Microsoft 365 E3?
Nie — Microsoft 365 E3 zawiera Entra ID P1, a nie P2. P1 oferuje podstawowe raporty ryzyka (bez szczegółów) i nie pozwala tworzyć polityk dostępu warunkowego opartych na ryzyku (risk-based Conditional Access). Pełna funkcjonalność ID Protection — w tym warunki Sign-in risk i User risk w Conditional Access — wymaga Entra ID P2 (zawartego w Microsoft 365 E5 lub jako osobna licencja ~9 USD/u/mies.).
Co się stanie 1 października 2026, jeśli nadal używam starych zasad Identity Protection?
Twoje legacy user risk policy i legacy sign-in risk policy przestaną obowiązywać. Użytkownicy z wykrytym ryzykiem nie będą automatycznie blokowani ani proszeni o MFA przez te zasady. Microsoft nie usunie samych detekcji ryzyka — nadal będą widoczne w raportach — ale stracisz automatyczną reakcję. Musisz przenieść logikę tych zasad do Conditional Access przed tą datą. Microsoft udostępnia w panelu ID Protection kreator migracji.
Czym się różni sign-in risk od user risk?
Sign-in risk (ryzyko logowania) ocenia pojedyncze logowanie w czasie rzeczywistym — czy ta konkretna sesja wygląda podejrzanie (anonimowe IP, nietypowa przeglądarka, podejrzane MFA). Wynik znika po zakończeniu sesji, chyba że przekłada się na user risk. User risk (ryzyko użytkownika) to skumulowana ocena konta — uwzględnia historię ryzykownych logowań, wycieki haseł i detekcje offline. User risk utrzymuje się do czasu korekty (automatycznej lub ręcznej). W praktyce: sign-in risk = "to logowanie jest podejrzane", user risk = "to konto jest prawdopodobnie przejęte".
Jakie detekcje ryzyka są dostępne bez licencji P2?
Bez Entra ID P2 (czyli na licencji Free lub P1) widzisz tylko ogólne detekcje "Additional risk detected" — wiesz, że coś jest nie tak, ale nie wiesz co. Wyjątkiem jest detekcja leaked credentials (wyciek danych uwierzytelniających), która jest zawsze widoczna i oznaczana jako high risk nawet na licencji Free — ponieważ Microsoft uznaje ją za krytyczną. Pełna lista 20+ detekcji (password spray, impossible travel, token anomaly, suspicious API traffic, Attacker-in-the-Middle i inne) wymaga P2.
Czy małe firmy potrzebują Entra ID Protection (P2)?
Dla firmy 3–10-osobowej, która pracuje w jednym biurze i używa Microsoft 365 Business Basic — prawdopodobnie nie. Podstawowe MFA (wymagane przez Microsoft domyślnie od 2024) i detekcja leaked credentials na licencji Free dają już solidną bazę. Jeśli jednak firma przechowuje dane osobowe klientów, pracuje zdalnie albo podlega pod regulacje (RODO, KSC, ISO 27001), Entra ID P2 (dostępny m.in. przez Microsoft 365 Business Premium + dodatek P2) staje się praktycznie obowiązkowy — koszt ~9 USD/u/mies. to ułamek kosztu potencjalnego wycieku danych.
Jak sprawdzić, czy moja organizacja używa starych czy nowych zasad?
Zaloguj się do Microsoft Entra admin center (entra.microsoft.com). Przejdź do Protection → Identity Protection. Jeśli widzisz aktywne polityki w sekcji User risk policy lub Sign-in risk policy z datą utworzenia sprzed 2024 — używasz legacy policies. Następnie sprawdź Protection → Conditional Access — czy istnieją polityki z warunkiem Sign-in risk lub User risk. Jeśli nie — nie masz jeszcze nowoczesnych odpowiedników. Zalecenie: utwórz polityki w CA w trybie report-only, przetestuj przez tydzień, a następnie wyłącz legacy policies i włącz CA.
Którą licencję Microsoft Entra wybrać dla pełnej ochrony tożsamości?
Pełna ochrona tożsamości — z automatyczną detekcją i korektą ryzyka, alertami, raportami i integracją z SIEM — wymaga licencji Microsoft Entra ID P2 (~9 USD/użytkownika/miesiąc przy rozliczeniu rocznym). Jeśli Twoja organizacja korzysta już z Microsoft 365, najprostszą ścieżką jest Microsoft 365 E5 (zawiera P2 w cenie) lub dokupienie P2 jako dodatku do istniejącego planu.
Dla firm, które dopiero budują warstwę bezpieczeństwa — i szukają legalnego, przystępnego cenowo oprogramowania Microsoft na start — warto rozważyć zakup samodzielnych licencji Windows i Office, a następnie osobno subskrypcję Entra ID P2 przez Microsoft 365. W serwisie KluczeSoft.pl znajdziesz klucze Microsoft Windows 11 Professional oraz pakiety Microsoft Office w cenach wielokrotnie niższych od sugerowanych — to legalne licencje z rynku wtórnego (zgodnie z wyrokiem TSUE w sprawie UsedSoft), które pozwalają obniżyć koszty wejścia w ekosystem Microsoft przed wdrożeniem zaawansowanych zabezpieczeń tożsamości.
Niezależne zastrzeżenie: KluczeSoft.pl jest niezależnym sprzedawcą licencji na rynku wtórnym i nie jest powiązany z Microsoft Corporation. Microsoft, Entra ID, Azure AD i Windows są zastrzeżonymi znakami towarowymi Microsoft.
Artykuł opracowano na podstawie oficjalnej dokumentacji Microsoft Learn (stan na maj 2026), danych Microsoft Digital Defense Report 2024 oraz informacji prasowych Microsoft dotyczących wycofania legacy policies ID Protection.