Windows 11: Zasady grupy (Group Policy) vs Intune Policy — porównanie

Zasady grupy (Group Policy, GPO) i Microsoft Intune Policy to dwa różne mechanizmy zarządzania konfiguracją urządzeń z Windows — oba służą do tego samego celu (wymuszania ustawień i zabezpieczeń), ale działają w zupełnie innych architekturach. GPO jest rozwiązaniem on-premise, opartym o Active Directory i lokalny edytor gpedit.msc, podczas gdy Intune to natywnie chmurowa usługa MDM oparta o CSP (Configuration Service Providers) — działa bez domeny AD i zarządza urządzeniami przez internet, niezależnie od lokalizacji.

W skrócie

• GPO = lokalne zasady grupy w domenie Active Directory, zarządzane przez gpmc.msc; wymaga serwera AD i połączenia z siecią firmową
• Intune Policy = chmurowe zasady MDM działające przez internet, zarządzane w przeglądarce (admin center); urządzenie potrzebuje tylko połączenia z internetem
• GPO używa szablonów ADMX i edytuje rejestr Windows bezpośrednio; Intune używa CSP (Configuration Service Providers) jako warstwy pośredniej — te same ustawienia, inna droga
• Intune obsługuje szablony administracyjne ADMX (importowane przez Settings Catalog) — od grudnia 2024 r. stary profil „Administrative Templates" został wycofany, wszystko jest w Settings Catalog
• Co-management pozwala używać obu jednocześnie na tym samym urządzeniu — obciążenia (workloads) można przełączać między Configuration Manager a Intune
• Intune = chmurowy, bez serwerów, pełne wsparcie Windows 11 24H2 (2025/2026) z Copilotem do pomocy przy konfiguracji i rozwiązywaniu konfliktów
• GPO pozostaje kluczowe dla środowisk ściśle on-premise, air-gapped i legacy — Microsoft go nie wycofuje, ale inwestuje prawie wyłącznie w Intune
• Intune jest objęty licencjami Microsoft 365 E3/E5, Business Premium i EMS — nie wymaga osobnego zakupu w tych planach

Werdykt: GPO czy Intune?

Czym są Zasady grupy (Group Policy, GPO)

Zasady grupy to fundament zarządzania Windows od Windows 2000. Działają w oparciu o Active Directory — kontroler domeny przechowuje obiekty GPO, które są replikowane na wszystkie kontrolery w domenie i pobierane przez komputery klienckie podczas uruchamiania oraz cyklicznego odświeżania (domyślnie co 90 minut).

Jak działa GPO — architektura

1. Administrator tworzy GPO w Group Policy Management Console (gpmc.msc) i linkuje go do jednostki organizacyjnej (OU) w AD.
2. GPO zawiera ustawienia zdefiniowane w plikach ADMX/ADML — szablonach XML opisujących, co można skonfigurować.
3. Komputer kliencki podczas startu łączy się z kontrolerem domeny przez LDAP (port 389) i SMB (port 445), pobiera listę GPO, które go dotyczą, i aplikuje ustawienia do rejestru (HKLM lub HKCU).
4. gpupdate /force wymusza natychmiastowe odświeżenie; rsop.msc pokazuje zestawienie faktycznie zastosowanych ustawień (Resultant Set of Policy).

GPO oferuje bogaty ekosystem: Preferences (mapowanie dysków, skróty, klucze rejestru), logon/logoff scripts, WMI filtering (stosowanie GPO tylko gdy np. model laptopa = ThinkPad) i loopback processing (zasady użytkownika na podstawie komputera).

Ograniczenia GPO

• Wymaga łączności z siecią firmową (VPN lub DirectAccess dla zdalnych użytkowników). Bez połączenia z DC — brak aktualizacji GPO.
• Brak wsparcia dla urządzeń mobilnych (Android, iOS, macOS).
• Skomplikowana infrastruktura: kontrolery domeny, replikacja SYSVOL, zarządzanie uprawnieniami delegowania GPO.
• Trudne raportowanie: RSOP jest statyczny; analiza konfliktów między wieloma GPO bywa żmudna.

Czym jest Intune Policy

Microsoft Intune to chmurowa usługa Mobile Device Management (MDM) i Mobile Application Management (MAM), dostępna od 2010 r. (pierwotnie jako Windows Intune). W 2026 roku to dojrzała platforma Unified Endpoint Management (UEM) zarządzająca Windows, macOS, iOS, Android i Linux.

Jak działa Intune — architektura

1. Administrator konfiguruje polityki w Microsoft Intune admin center (przeglądarka, portal online).
2. Polityki są przypisywane do grup użytkowników lub urządzeń w Microsoft Entra ID (dawniej Azure AD).
3. Urządzenie zarejestrowane w Intune (przez Autopilot, ręczne dołączenie do Entra ID lub hybrid join) cyklicznie sprawdza (co ~8 godzin lub na żądanie — "Sync") czy są nowe polityki.
4. Polityki są dostarczane przez protokół MDM SyncML i aplikowane przez Policy CSP — warstwę systemową Windows, która przekłada ustawienia MDM na odpowiednie klucze rejestru, podobnie jak GPO.

Kluczowa różnica: Intune nie potrzebuje Active Directory. Urządzenie może być wyłącznie Entra ID joined (cloud-native) i otrzymywać wszystkie polityki przez internet — bez VPN, bez domeny on-premise.

Settings Catalog — serce Intune

Od 2022 roku Microsoft przesuwa wszystkie ustawienia do Settings Catalog — jednego, przeszukiwalnego katalogu zawierającego tysiące ustawień, w tym szablony administracyjne ADMX. W grudniu 2024 (wersja 2412) stary profil "Administrative Templates" został oficjalnie wycofany — ustawienia ADMX są teraz wyłącznie w Settings Catalog.

Settings Catalog daje też to, czego GPO nie ma: Copilot w Intune — AI, które analizuje polityki, wykrywa konflikty, podpowiada wartości i generuje podsumowania.

CSP vs ADMX — techniczna różnica

• GPO: ADMX → edytor zasad grupy → klient GPO → bezpośredni zapis do rejestru (HKLM\Software\Policies, HKCU\Software\Policies)
• Intune: CSP (Policy CSP) → SyncML (OMA-DM) → Policy CSP agent na urządzeniu → zapis do rejestru

CSP to most między protokołem MDM a wewnętrzną konfiguracją Windows. Te same polityki (np. "Wyłącz Windows Update") są dostępne w obu systemach — różni się tylko mechanizm dostarczania, nie końcowy efekt.

Kluczowe różnice w praktyce

1. GPO ma Preferences — Intune nie (bezpośrednio)

Group Policy Preferences (GPP) to osobna kategoria GPO umożliwiająca mapowanie dysków, tworzenie skrótów, kopiowanie plików, zarządzanie drukarkami i usługami. W Intune odpowiedniki są możliwe tylko przez PowerShell (platform scripts), OMA-URI lub Custom CSP — brakuje dedykowanego GUI.

2. Szybkość: Intune jest wolniejszy przy pierwszym wdrożeniu

GPO przy starcie komputera pobiera wszystkie polityki w ciągu sekund (jeśli DC jest dostępny). Intune działa asynchronicznie — pierwszy sync po rejestracji może zająć kilkanaście minut. Kolejne sync są szybsze, ale GPO pozostaje bardziej przewidywalne w sieci LAN.

3. Intune wygrywa w pracy zdalnej i hybrydowej

Pracownik w domu z laptopem Entra ID joined dostaje wszystkie polityki Intune przez internet — bez VPN. Z GPO byłby to problem: bez połączenia z DC przez VPN polityki się nie aktualizują. To największa przewaga architektoniczna Intune w erze pracy hybrydowej (model przyjęty trwale po 2020 roku).

4. Raportowanie: przepaść na korzyść Intune

GPO oferuje tylko rsop.msc i ręczne przeglądanie dziennika zdarzeń. Intune daje per-setting status — widzisz dokładnie, które ustawienie na którym urządzeniu się nie zastosowało, wraz z kodem błędu. Copilot dodatkowo robi podsumowania analityczne i pomaga rozwiązywać konflikty.

5. Bezpieczeństwo: Intune + Conditional Access

Intune integruje się z Microsoft Entra Conditional Access — dostęp do firmowych zasobów może być uzależniony od stanu zgodności urządzenia (compliance). GPO nie ma takiej możliwości — kontroluje tylko to, co dzieje się w domenie, bez łączenia z dostępem do aplikacji chmurowych (M365, SharePoint, Exchange Online).

Kiedy wybrać GPO, a kiedy Intune

Wybierz GPO, gdy:

• Masz istniejącą domenę Active Directory, która działa stabilnie i nie planujesz migracji do chmury.
• Potrzebujesz Preferences (mapowanie dysków, skróty, drukarki przez GPP).
• Działasz w środowisku air-gapped (bez dostępu do internetu) — Intune nie zadziała.
• Korzystasz intensywnie z WMI filtering — Intune nie ma bezpośredniego odpowiednika.
• Wymagasz loopback processing w trybie replace — Intune obsługuje podobny efekt tylko częściowo przez scope.

Wybierz Intune, gdy:

• Pracownicy są zdalni/hybrydowi — potrzebujesz zarządzać urządzeniami przez internet.
• Zarządzasz wieloma platformami — Windows + macOS + iOS + Android.
• Wdrażasz model Zero Trust — chcesz uzależniać dostęp od stanu urządzenia (Conditional Access).
• Budujesz nowe środowisko i nie chcesz stawiać serwerów AD — cloud-native z Entra ID Join.
• Chcesz zautomatyzować provisioning przez Windows Autopilot (od razu po wyjęciu z pudełka).

Opcja hybrydowa: co-management

Nie musisz wybierać jednego lub drugiego. Co-management (Configuration Manager + Intune) pozwala używać obu równolegle na tych samych urządzeniach. Możesz stopniowo przełączać poszczególne obciążenia (compliance, Windows Update, Endpoint Protection, konfiguracja urządzeń) z ConfigMgr na Intune, zachowując GPO dla tych warstw, które jeszcze nie są gotowe do migracji.

Microsoft określa co-management jako ścieżkę do chmury, nie jako stan docelowy — w dłuższej perspektywie firma zachęca do pełnego przejścia na Intune i Entra ID join.

Proces migracji z GPO do Intune — w praktyce

1. Analiza GPO: Wyeksportuj istniejące GPO (Backup-GPO) i zmapuj, które ustawienia faktycznie są używane. Narzędzia: Group Policy Analytics (wbudowane w Intune admin center od 2023 r.) — analizuje GPO i pokazuje, które ustawienia mają odpowiednik w Settings Catalog.
2. Pilotaż: Wybierz grupę testowych urządzeń, przełącz je na co-management i wdróż odpowiedniki GPO przez Intune.
3. Testowanie konfliktów: MDM wins over GP — Intune nadpisuje GPO jeśli oba dotyczą tego samego ustawienia. Sprawdź, czy zamierzony efekt jest zachowany.
4. Stopniowe przełączanie: Przełączaj kolejne obciążenia (workloads) w co-management, monitorując compliance.
5. Czyste Entra ID Join: Docelowo — nowe urządzenia przez Autopilot, bez dołączania do domeny AD.

Częste pytania

Czy Microsoft wycofuje Group Policy?

Nie — Microsoft oficjalnie nie zapowiedział końca życia GPO. Jednak cały rozwój nowych funkcji zarządzania (ustawienia, raportowanie, AI Copilot) trafia wyłącznie do Intune. GPO pozostaje w trybie utrzymania (maintenance mode) — działa, dostaje poprawki bezpieczeństwa, ale nie otrzymuje nowych możliwości. Nowe ustawienia Windows 11 (np. Copilot w systemie, Windows Backup, nowe kontrolki prywatności) są często dostępne tylko przez CSP/MDM, nie przez ADMX.

Czy Intune ma wszystkie ustawienia dostępne w GPO?

Nie wszystkie — ale pokrycie stale rośnie. Intune obsługuje ponad 3400 ustawień przez Settings Catalog. GPO ma ich ~4000+. Różnica dotyczy głównie niszowych, starszych ustawień legacy, które Microsoft uznaje za przestarzałe. Do końca 2026 roku pokrycie ma sięgnąć ~90%. Dla pozostałych 10% można użyć Custom OMA-URI lub skryptów PowerShell.

Czy Intune działa na Windows 11 Home?

Ograniczenie — Intune działa na Windows 11 Home, ale część ustawień CSP wymaga wersji Pro, Enterprise lub Education. Microsoft oficjalnie zaleca Windows 11 Enterprise dla pełnego doświadczenia z Intune. W praktyce, do zarządzania flotą firmową potrzebujesz minimum Windows 11 Pro.

Co jest szybsze — GPO czy Intune?

W sieci LAN GPO jest szybsze — polityki są pobierane podczas startu systemu (~kilka–kilkanaście sekund). Intune ma opóźnienie — pierwsze sprawdzenie po rejestracji może zająć do 15 minut, kolejne synchronizacje są szybsze. W pracy zdalnej Intune wygrywa: urządzenie pobiera polityki przez internet bez VPN, podczas gdy z GPO potrzebowałbyś połączenia VPN do kontrolera domeny.

Czy mogę używać Group Policy i Intune jednocześnie?

Tak — to właśnie co-management. Na tym samym urządzeniu może działać klient Configuration Manager (z GPO) i Intune MDM. Trzeba tylko uważać na konflikty — zasada jest taka, że MDM (Intune) nadpisuje GPO, jeśli oba próbują kontrolować to samo ustawienie. Microsoft zaleca, aby nie konfigurować tych samych ustawień w obu systemach.

Jak sprawdzić, które ustawienia GPO mają odpowiednik w Intune?

Użyj wbudowanego narzędzia Group Policy Analytics w Intune admin center. Importujesz kopię zapasową GPO (folder z plikami XML), a narzędzie pokazuje: które ustawienia mają bezpośredni odpowiednik w Settings Catalog, które wymagają Custom OMA-URI, a które nie mają jeszcze odpowiednika w MDM. Narzędzie jest darmowe dla posiadaczy licencji Intune.

Czy potrzebuję Intune, jeśli mam tylko kilka komputerów?

Dla małych firm (1–25 komputerów) lokalny Edytor zasad grupy (gpedit.msc) może wystarczyć — pozwala skonfigurować większość ustawień na pojedynczym komputerze. Jednak gpedit.msc nie skaluje się — każdą zmianę trzeba robić ręcznie na każdym urządzeniu. Intune w planie Business Premium (ok. 90 zł/użytkownika/miesiąc) daje scentralizowane zarządzanie nawet dla małych zespołów.

Jeśli planujesz migrację na Intune i potrzebujesz nowych licencji Windows 11 z pełnym wsparciem zarządzania chmurami — w KluczeSoft znajdziesz legalne, niskokosztowe licencje Microsoft Windows 11 Professional w cenach zaczynających się od 199 zł. To pełnoprawne klucze, które umożliwiają dołączenie do Entra ID i pełne zarządzanie przez Intune — bez przepłacania za wersje retail.

→ Microsoft Windows 11 Professional — klucz licencyjny od 199 zł

Powiązane artykuły

• Windows 11: Grupa robocza, domena i Microsoft Entra ID Join — porównanie metod dołączania komputera do sieci — Grupa robocza to najprostszy model organizacji komputerów w sieci lokalnej (LAN).
• Najlepszy emulator Androida na Windows 11 — pełne porównanie 2026 — BlueStacks to najdłużej rozwijany i najbardziej rozpoznawalny emulator Androida na PC.
• Intune vs Jamf vs VMware Workspace ONE — porównanie systemów MDM (2026) — Microsoft Intune to oparta wyłącznie na chmurze usługa UEM (Unified Endpoint Management), która od 2023 roku dostępna jest w trzech planach.
• Windows 11 Autopilot vs MDT vs SCCM — porównanie narzędzi do wdrożenia systemu (2026) — Technicznie — częściowo, przez manualne modyfikacje (podmiana ADK, hacki na boot image), ale nie jest to wspierane, grozi niestabilnością i.
• Windows 11 — WSL2 vs Hyper-V vs Windows Sandbox: porównanie narzędzi wirtualizacyjnych (2026) — WSL2 używa zarządzanej maszyny wirtualnej Hyper-V, która uruchamia pełne, zoptymalizowane jądro Linux (zbudowane przez Microsoft z kernel.or.