Stoisz przed ekranem konfiguracji nowego komputera z Windows 11 i widzisz pytanie: „Jak chcesz skonfigurować to urządzenie?”. Obok siebie stoją trzy ścieżki – grupa robocza, dołączenie do domeny Active Directory oraz Azure AD Join (obecnie Microsoft Entra Join). Każda z nich prowadzi do zupełnie innego modelu zarządzania, bezpieczeństwa i codziennej pracy. Wybór nie jest oczywisty, a konsekwencje tej decyzji będziesz odczuwać przy każdym logowaniu, każdej aktualizacji i każdej próbie dostępu do firmowych zasobów. W tym artykule przeprowadzę Cię przez wszystkie trzy mechanizmy – bez uproszczeń, za to z konkretami, które pomogą Ci podjąć świadomą decyzję w 2026 roku.
Czym jest grupa robocza w Windows 11 i kiedy ma sens
Grupa robocza (workgroup) to najprostszy model organizacji komputerów w sieci lokalnej, obecny w Windows od wersji 3.11. W Windows 11 pozostaje domyślną konfiguracją dla każdej nowej instalacji w wariancie niekorporacyjnym. Komputery należące do tej samej grupy roboczej widzą się nawzajem w Eksploratorze plików w sekcji Sieć, ale każdy z nich utrzymuje własną, niezależną bazę kont użytkowników (lokalny SAM – Security Account Manager).
W praktyce oznacza to, że jeśli masz trzy komputery w grupie roboczej o nazwie WORKGROUP, to użytkownik janek na komputerze A i janek na komputerze B to dwie zupełnie różne tożsamości. Aby uzyskać dostęp do udostępnionego folderu na komputerze B, użytkownik z komputera A musi znać login i hasło zdefiniowane lokalnie na komputerze B. System nie oferuje żadnego centralnego mechanizmu uwierzytelniania ani zarządzania uprawnieniami.
W 2026 roku Microsoft nie zrezygnował z grup roboczych, ale wyraźnie ogranicza ich funkcjonalność. Protokół SMB 1.0 – historycznie kluczowy dla wykrywania sieciowego w grupach roboczych – jest domyślnie wyłączony ze względów bezpieczeństwa. Wykrywanie sieciowe opiera się teraz na protokole Function Discovery, który wymaga włączonych usług FDResPub i FDProvider. W czystych instalacjach Windows 11 24H2 usługi te są domyślnie wyłączone, co sprawia, że wiele osób błędnie uznaje grupę roboczą za „zepsutą” – tymczasem wystarczy je uruchomić przez services.msc.
Grupa robocza sprawdza się dziś w dwóch scenariuszach: w mikro-firmach (1–5 komputerów), gdzie nie ma budżetu ani potrzeby na serwer, oraz w środowiskach domowych z zaawansowanym użytkownikiem, który chce udostępniać pliki między własnymi maszynami. Limit praktyczny to około 20 komputerów – powyżej tej liczby chaos administracyjny (osobne konta na każdym komputerze, brak centralnych polityk haseł, brak audytu) staje się nie do opanowania.
Domena Active Directory – fundament infrastruktury on-premises
Active Directory Domain Services (AD DS) to usługa katalogowa Microsoftu, która od 25 lat stanowi kręgosłup korporacyjnych sieci Windows. W przeciwieństwie do grupy roboczej, domena opiera się na scentralizowanym kontrolerze (Domain Controller, DC), który przechowuje bazę wszystkich kont użytkowników, komputerów i grup w pliku NTDS.dit oraz zarządza procesem uwierzytelniania za pomocą protokołu Kerberos v5.
Gdy Windows 11 dołącza do domeny, na komputerze tworzone jest konto komputera (Computer Object) w AD, a relacja zaufania między stacją roboczą a kontrolerem domeny jest zabezpieczona unikalnym hasłem maszynowym – automatycznie rotowanym co 30 dni. Od tego momentu każdy użytkownik domenowy może zalogować się na tym komputerze, a jego tożsamość weryfikuje nie lokalny SAM, lecz kontroler domeny. To fundamentalna różnica architektoniczna: w grupie roboczej to komputer decyduje, czy Cię wpuścić; w domenie to kontroler domeny wydaje „bilet” Kerberosa.
Konfiguracja dołączenia do domeny w Windows 11 wymaga łączności sieciowej z DC (porty 88, 389, 445, 53), prawidłowego DNS (rekordy SRV _ldap._tcp.dc._msdcs.<domena>), oraz konta z uprawnieniami do tworzenia obiektów komputerów. Sam proces odbywa się przez Ustawienia → Konta → Dostęp służbowy → Połącz lub klasycznie przez sysdm.cpl. Windows 11 24H2 wprowadził usprawniony kreator, który przed dołączeniem sprawdza dostępność DC i rozdzielczość DNS – to ukłon w stronę administratorów, którzy w starszych wersjach często walczyli z enigmatycznym błędem „nie można odnaleźć kontrolera domeny”.
Po dołączeniu do domeny aktywują się Zasady grupy (Group Policy), które z kontrolera domeny pobierane są podczas startu systemu i logowania. To właśnie GPO umożliwia wymuszenie takich ustawień jak minimalna długość hasła, blokada ekranu po 5 minutach, mapowanie dysków sieciowych czy instalacja certyfikatów – wszystko bez dotykania fizycznego komputera. Dla organizacji powyżej 20 użytkowników Group Policy jest krytycznym narzędziem bezpieczeństwa i zgodności z regulacjami.
Domena AD wymaga jednak infrastruktury: co najmniej jednego serwera z Windows Server (2022 lub 2025), licencji CAL (Client Access License) dla każdego użytkownika lub urządzenia, oraz – w dobrej praktyce – drugiego kontrolera dla nadmiarowości. W 2026 roku Microsoft nadal rozwija AD DS: Windows Server 2025 wprowadził ulepszone zabezpieczenia Kerberosa (AES-256 jako domyślny algorytm, rezygnacja z RC4), a także funkcję forest-level security defaults, która automatycznie blokuje przestarzałe protokoły uwierzytelniania.
Azure AD Join / Microsoft Entra Join – tożsamość w chmurze
Trzecia ścieżka – Azure AD Join, od 2024 roku oficjalnie przemianowana na Microsoft Entra Join – reprezentuje filozofię cloud-first. W tym modelu komputer nie należy do żadnej domeny on-premises. Zamiast tego jest rejestrowany bezpośrednio w katalogu Entra ID (dawniej Azure AD) w chmurze Microsoftu. Użytkownicy logują się za pomocą tożsamości cloudowej – najczęściej konta Microsoft 365 – a proces uwierzytelniania obsługuje globalna infrastruktura Entra ID, z opcjonalnym wzmocnieniem przez MFA, Windows Hello for Business czy FIDO2.
Proces dołączania jest drastycznie prostszy niż w przypadku domeny tradycyjnej. Wystarczy podczas początkowej konfiguracji systemu (OOBE) wybrać opcję „Skonfiguruj dla organizacji” i podać adres e-mail w domenie firmowej. Windows 11 automatycznie wykrywa, czy organizacja ma skonfigurowane Entra Join, i przeprowadza użytkownika przez proces bez potrzeby znajomości jakichkolwiek ustawień sieciowych. W wariancie dla już działającego systemu ścieżka wiedzie przez Ustawienia → Konta → Dostęp służbowy → Połącz → Dołącz do Microsoft Entra ID.
Kluczowa różnica architektoniczna: w Entra Join nie ma Computer Object w tradycyjnym rozumieniu AD. Urządzenie otrzymuje certyfikat tożsamości oraz jest rejestrowane jako obiekt w Entra ID. Uwierzytelnianie odbywa się przez protokół OAuth 2.0 / OpenID Connect, a nie Kerberos. Token PRT (Primary Refresh Token) jest przechowywany lokalnie w TPM lub w bezpiecznej enklawie sprzętowej i umożliwia Single Sign-On do wszystkich aplikacji zintegrowanych z Entra ID – w tym Microsoft 365, aplikacji korporacyjnych w Azure i tysięcy aplikacji third-party z galerii Entra.
Zarządzanie urządzeniem po dołączeniu do Entra ID odbywa się przez Microsoft Intune – usługę MDM (Mobile Device Management) działającą w chmurze. Intune dostarcza profile konfiguracyjne, polityki zgodności, aplikacje i aktualizacje systemu. To odpowiednik GPO, ale bez potrzeby łączności z kontrolerem domeny i bez wymogu VPN. Urządzenie może znajdować się w dowolnym miejscu na świecie – byle miało dostęp do Internetu.
W 2026 roku Entra Join obsługuje już pełną gamę polityk bezpieczeństwa porównywalnych z GPO: Windows LAPS (Local Administrator Password Solution) natywnie w chmurze, Device Control (ograniczenia nośników wymiennych), Defender for Endpoint z poziomu Intune, a także zaawansowane reguły Windows Firewall dystrybuowane chmurową ścieżką CSP (Configuration Service Provider). Microsoft wyraźnie pozycjonuje Entra Join jako strategiczny kierunek, a tradycyjną domenę jako rozwiązanie dla środowisk, które z przyczyn regulacyjnych, aplikacyjnych lub infrastrukturalnych nie mogą jeszcze przejść na model cloud-native.
Porównanie techniczne: grupa robocza vs domena vs Entra Join
| Cecha | Grupa robocza | Domena AD DS | Microsoft Entra Join |
|---|---|---|---|
| Centralne uwierzytelnianie | Brak – konta lokalne na każdym PC | Tak – kontroler domeny (Kerberos) | Tak – Entra ID w chmurze (OAuth 2.0) |
| Wymagana infrastruktura | Brak | Windows Server + CAL | Subskrypcja Entra ID / M365 |
| Zarządzanie politykami | Lokalne zasady zabezpieczeń | Group Policy (GPO) | Intune MDM (profile CSP) |
| Konfiguracja zdalna | Ręczna per komputer | Automatyczna przez GPO | Automatyczna przez Intune |
| Maksymalna praktyczna skala | ~20 komputerów | 100 000+ obiektów | Nieograniczona (chmurowa) |
| Zależność od sieci firmowej | Lokalna LAN | Łączność z DC (site-aware) | Tylko Internet |
| SSO do chmury | Brak | Hybrid Join + ADFS/Entra Connect | Natywne (PRT) |
| Windows Hello for Business | Tak (lokalne) | Tak (certyfikat lub klucz) | Tak (natywnie, preferowane) |
| Koszty licencyjne | Brak | Windows Server + CAL | Microsoft 365 E3/E5 lub Entra ID P1/P2 |
| Offline logon | Zawsze dostępne | Buforowane poświadczenia | Buforowane (PRT ważny 90 dni) |
Hybrid Join – kiedy łączysz domenę on-premises z chmurą
Istnieje czwarty wariant, który łączy światy: Hybrid Microsoft Entra Join. W tym scenariuszu komputer jest jednocześnie dołączony do tradycyjnej domeny AD DS i zarejestrowany w Entra ID. Synchronizacja odbywa się przez Microsoft Entra Connect Sync – narzędzie replikujące obiekty z lokalnego AD do chmury.
Komputer hybrydowy uwierzytelnia się Kerberosem wobec kontrolera domeny, ale jednocześnie posiada certyfikat tożsamości Entra ID i może korzystać z PRT do aplikacji cloudowych. To rozwiązanie pomostowe, zaprojektowane dla organizacji, które mają głęboko osadzoną infrastrukturę AD (aplikacje legacy, drukarki sieciowe, zależności od GPO), ale chcą stopniowo korzystać z możliwości chmurowych: Intune, Windows Autopilot, Conditional Access.
Warunkiem działania Hybrid Join jest prawidłowo skonfigurowane Entra Connect Sync, które musi replikować atrybuty userPrincipalName i msDS-KeyCredentialLink, a także odpowiednie rekordy SCP (Service Connection Point) w lokalnym AD, które wskazują urządzeniom, do którego tenanta Entra ID mają się rejestrować. W Windows 11 24H2 proces hybrydowego dołączania został uproszczony – zadanie Scheduled Task o nazwie Automatic-Device-Join wykonuje się w tle po pomyślnym zalogowaniu użytkownika domenowego i rejestruje urządzenie w Entra ID bez interakcji administratora.
Bezpieczeństwo i zgodność w każdym z modeli
Model bezpieczeństwa diametralnie różni się między omawianymi architekturami. Grupa robocza oferuje wyłącznie obronę perymetryczną: hasło lokalnego administratora, ewentualnie szyfrowanie BitLocker. Nie ma centralnego audytu logowań, nie ma wymuszania MFA, nie ma Conditional Access. Jeśli komputer z grupy roboczej zostanie skradziony, a hasło lokalne jest słabe, dane są praktycznie niechronione – BitLocker bez PIN-u odszyfrowuje dysk automatycznie przy starcie systemu.
Domena AD DS, poprawnie skonfigurowana, dostarcza wielowarstwowego bezpieczeństwa: Kerberos z AES-256, Tiered Admin Model (osobne konta dla administratorów domeny, serwerów i stacji roboczych), audyt przez Event Forwarding do SIEM, LAPS dla unikalnych haseł lokalnych administratorów, oraz Credential Guard w Windows 11 chroniący przed atakami Pass-the-Hash i DCSync. W 2026 roku Microsoft domyślnie wymusza w Windows 11 24H2 włączenie Credential Guard na sprzęcie z wirtualizacją sprzętową – to znacząco podnosi poprzeczkę atakującym.
Entra Join z kolei przesuwa filozofię bezpieczeństwa z obrony sieciowej na tożsamościową (Zero Trust). Nie ma znaczenia, z jakiej sieci łączy się urządzenie – każda próba dostępu do zasobu jest weryfikowana przez Conditional Access: czy urządzenie jest zgodne z politykami Intune, czy ryzyko sesji (oceniane przez Entra ID Protection) jest akceptowalne, czy użytkownik przeszedł MFA. Token PRT jest sprzętowo chroniony przez TPM 2.0, a Windows Hello for Business zapewnia uwierzytelnianie biometryczne odporne na phishing (protokół WebAuthn, klucze asymetryczne – żadne hasło nie opuszcza urządzenia).
Wybór modelu ma też implikacje regulacyjne. Organizacje podlegające normom ISO 27001, RODO, PCI-DSS czy NIS2 muszą wykazać centralne zarządzanie tożsamościami i politykami – co praktycznie wyklucza grupę roboczą dla regulowanych środowisk. Domena AD i Entra Join spełniają te wymagania, przy czym Entra Join ułatwia audyt przez natywne logowanie każdej operacji w chmurze (dzienniki Entra ID, Intune Audit Logs, Defender XDR).
Wybór ścieżki – praktyczne kryteria decyzyjne
Jak podjąć decyzję? Przedstawiam matrycę opartą na trzech osiach: skala, budżet i gotowość na chmurę.
Mikrofirma do 5 osób, brak serwerów, ograniczony budżet – grupa robocza jest akceptowalna, ale pod warunkiem stosowania kont Microsoft (MSA), które zapewniają przynajmniej szyfrowanie poświadczeń po stronie chmury i Windows Hello. Dla biznesowego minimum zalecałbym jednak Microsoft 365 Business Basic (zawiera Entra ID w wersji darmowej) i Entra Join – kosztuje to około 25 zł miesięcznie za użytkownika, a daje centralne zarządzanie, MFA i Intune.
Firma 10–50 użytkowników z aplikacjami klient-serwer – jeśli posiadasz aplikację wymagającą Kerberosa, udziałów plikowych na SQL Server lub serwer wydruku, domena AD DS jest trudna do pominięcia. Wdrożenie Windows Server 2025 Essentials (jeśli Microsoft przywróci ten SKU) lub dwóch maszyn wirtualnych z Windows Server 2025 Standard w konfiguracji DC + serwer plików jest optymalnym rozwiązaniem.
Organizacja 50+, bez aplikacji legacy zależnych od Kerberos – Entra Join z Intune. Oszczędzasz na serwerach, zyskujesz natychmiastowe wdrożenia przez Windows Autopilot (komputer wysyłany bezpośrednio od dostawcy do pracownika, konfiguruje się sam po pierwszym uruchomieniu) i masz pewność, że każde urządzenie – nawet zgubione na lotnisku – podlega politykom bezpieczeństwa.
Enterprise 500+, mieszane środowisko – Hybrid Join jako stan przejściowy z roadmapą do pełnego Entra Join. Kluczowe: inwentaryzacja aplikacji zależnych od Kerberos/NTLM, migracja udziałów plikowych do SharePoint/OneDrive, wymiana drukarek sieciowych na model Universal Print (natywnie zintegrowany z Intune), dekomisja GPO na rzecz Configuration Profiles w Intune.
Konfiguracja krok po kroku – Entra Join w Windows 11
Dla czytelnika gotowego do działania przygotowałem ścieżkę dołączenia Windows 11 do Entra ID – bez konieczności przebudowy infrastruktury.
Wymagania wstępne: licencja Microsoft 365 Business Premium, E3 lub E5 (zawierająca Entra ID P1 i Intune), użytkownik z rolą Global Administrator do pierwszej konfiguracji, urządzenie z Windows 11 Pro/Enterprise (wersja Home oficjalnie nie wspiera Entra Join). Jeśli używasz wersji Home – konieczna jest aktualizacja do Pro.
Krok 1 – konfiguracja Entra ID. W portalu entra.microsoft.com przejdź do Identity → Devices → Device Settings. Ustaw opcję „Users may join devices to Microsoft Entra” na All lub Selected (rekomendowane: grupa testowych użytkowników na początek). Zapisz zmiany – replikacja zajmuje do 5 minut.
Krok 2 – konfiguracja Intune. W intune.microsoft.com skonfiguruj Windows Enrollment (Devices → Enroll devices → Automatic Enrollment), włącz MDM scope dla wybranych użytkowników. Stwórz podstawowe profile: Device Restrictions (wymuś BitLocker, blokada ekranu po 5 min), Windows Update ring (odroczone aktualizacje jakości o 7 dni), oraz Compliance Policy (wymaganie TPM 2.0, Secure Boot, antywirus włączony).
Krok 3 – dołączanie urządzenia. Na Windows 11: Ustawienia → Konta → Dostęp służbowy → Połącz → „Dołącz to urządzenie do Microsoft Entra ID”. System poprosi o adres e-mail i hasło, a następnie przeprowadzi przez MFA (jeśli skonfigurowane). Po pomyślnym dołączeniu urządzenie pojawi się w Entra ID (sekcja Devices) i automatycznie zarejestruje w Intune – proces trwa do 15 minut.
Krok 4 – weryfikacja. Otwórz PowerShell jako administrator i wykonaj dsregcmd /status. W sekcji Device State pole AzureAdJoined musi mieć wartość YES. Sprawdź też DomainJoined – powinno być NO (czyste Entra Join). Pole SsoState pokazuje szczegóły PRT – kluczowy wskaźnik poprawnego działania SSO do chmury.
Dla użytkowników oczekujących maksymalnej wygody przy zakupie licencji Windows 11 – zaufane źródło z szybką dostawą kluczy cyfrowych może zaoszczędzić godziny poszukiwań i wyeliminować ryzyko nieautoryzowanego oprogramowania.
Częste pytania
1. Czy mogę zmienić grupę roboczą na Entra Join bez ponownej instalacji systemu?
Tak – proces jest odwracalny. W Ustawieniach → Konta → Dostęp służbowy wybierasz „Połącz” i dołączasz do Entra ID. Profil użytkownika lokalnego zostanie połączony z kontem cloudowym. Utracisz dostęp do zasobów opartych na lokalnych kontach SAM, ale wszystkie pliki użytkownika zostaną zachowane.
2. Ile kosztuje infrastruktura domeny Active Directory w 2026 roku?
Windows Server 2025 Standard (licencja 16-rdzeniowa) to wydatek rzędu 3500–4500 zł. Do tego CAL-e na użytkownika – około 180 zł za sztukę. Dla 50 użytkowników samo oprogramowanie to wydatek 12 500–13 500 zł, plus sprzęt fizyczny lub maszyny wirtualne.
3. Czy Entra Join działa bez Internetu?
Logowanie działa offline przez buforowany PRT (ważny do 90 dni). Ale nowe polityki Intune, aplikacje ani aktualizacje nie dotrą do urządzenia bez połączenia z Internetem. To fundamentalna różnica względem domeny AD, gdzie DC jest dostępny lokalnie.
4. Czy mogę jednocześnie być w domenie AD i w Entra ID?
Dokładnie to robi Hybrid Join. Komputer należy do domeny on-premises i jest zarejestrowany w chmurze. Użytkownik ma jednocześnie bilet Kerberosa i token PRT. To model przejściowy, nie docelowy.
5. Jakie wersje Windows 11 wspierają Entra Join?
Windows 11 Pro, Pro for Workstations, Enterprise i Education. Windows 11 Home nie wspiera Entra Join ani domeny AD – tylko grupę roboczą lub konto Microsoft.
6. Czy w grupie roboczej mogę używać Windows Hello for Business?
Windows Hello (PIN/biometria) – tak, ale tylko w wariancie lokalnym (klucz chroniony przez TPM, niezsynchronizowany). Windows Hello for Business (z certyfikatem lub kluczem bezpieczeństwa FIDO2, zsynchronizowany przez Entra ID) – nie, ponieważ wymaga Entra ID lub domeny AD z PKI.
7. Co z drukarkami sieciowymi w środowisku Entra Join?
Tradycyjne drukarki sieciowe, uwierzytelniające się przez Kerberos do serwera wydruku, nie zadziałają bez domeny. Rozwiązania: Universal Print (Microsoft 365), drukarki z natywną obsługą chmury (IPP Everywhere), lub serwer wydruku podłączony przez Azure Virtual Desktop.
8. Jak długo trwa synchronizacja GPO z Intune przy migracji?
To nie synchronizacja, tylko ręczna migracja. Trzeba odtworzyć polityki GPO jako Configuration Profiles w Intune. Microsoft udostępnia narzędzie Group Policy Analytics w Intune, które analizuje eksportowane GPO i wskazuje, które ustawienia mają bezpośredni odpowiednik w CSP. Średni czas migracji dla 100 GPO to 3-5 dni roboczych z testowaniem.
9. Czy Entra Join oznacza, że Microsoft ma dostęp do moich plików?
Nie. Entra ID przechowuje wyłącznie metadane tożsamości i urządzeń, nie dane użytkownika. Pliki na dysku lokalnym pozostają lokalne (zabezpieczone BitLockerem). Dane w OneDrive/SharePoint są szyfrowane kluczami zarządzanymi przez organizację (CMK – Customer Managed Key) – Microsoft nie ma do nich dostępu technicznego.
10. Który model wybrać dla firmy 100-osobowej zakładającej infrastrukturę od zera w 2026?
Zdecydowanie Entra Join z Intune. Brak kosztów serwerowych, pełna skalowalność, Windows Autopilot do wdrożenia urządzeń, Conditional Access dla bezpieczeństwa. Domenę AD rozważałbym tylko w przypadku absolutnej konieczności – np. aplikacji legacy, która nie działa bez Kerberos i której nie da się zmodyfikować ani zastąpić.