Windows Autopilot + Intune dla MŚP 2026 — automatyczne provisioning urządzeń

Windows Autopilot i Intune w MŚP: koniec ręcznego przygotowywania laptopów

W firmie 25-200 osób największym kosztem wdrożenia nowego komputera rzadko jest sam system Windows. Kosztem jest czas: rozpakowanie sprzętu, instalacja aplikacji, dołączenie do domeny lub Microsoft Entra ID, konfiguracja BitLockera, poczty, OneDrive, Teams, zasad bezpieczeństwa i aktualizacji. Windows Autopilot 2026 z Microsoft Intune przenosi ten proces do chmury. Pracownik może dostać zapakowany laptop bezpośrednio od dystrybutora Dell, HP albo Lenovo, włączyć go w domu, połączyć z internetem, wpisać login Microsoft 365 i po kilkunastu minutach pracować na urządzeniu zgodnym z polityką firmy.

To nie jest osobny obraz systemu ani klasyczne klonowanie dysku. Microsoft opisuje Autopilot jako zestaw technologii do wstępnej konfiguracji i automatycznego dołączania urządzeń do Microsoft Entra oraz MDM, a Intune jako usługę zarządzania punktami końcowymi, aplikacjami i zgodnością urządzeń. W praktyce oznacza to zero touch deployment: dział IT przygotowuje profil raz, a kolejne laptopy pobierają konfigurację z chmury podczas pierwszego uruchomienia. Zobacz dokumentację Microsoft: Windows Autopilot oraz Microsoft Intune endpoint management.

Dla kogo jest Windows Autopilot w 2026 roku?

Największy sens biznesowy pojawia się tam, gdzie firma regularnie wydaje sprzęt nowym osobom, ma pracowników hybrydowych lub zdalnych, albo chce ustandaryzować konfigurację bez utrzymywania lokalnego serwera wdrożeniowego. Dla MŚP Autopilot jest szczególnie atrakcyjny, ponieważ Microsoft 365 Business Premium zawiera już Microsoft Intune Plan 1, Entra ID P1 i narzędzia bezpieczeństwa potrzebne do typowego wdrożenia.

• 25-osobowa firma może wdrożyć spójne ustawienia BitLockera, Defendera, Windows Update i aplikacji bez dodatkowego zakupu Intune, jeśli i tak używa Business Premium.
• 100-osobowa firma ogranicza ręczne przygotowanie komputerów, zwłaszcza przy rotacji, nowych oddziałach i pracy zdalnej.
• Organizacja blisko 300 użytkowników nadal może korzystać z Business Premium, ale powinna już planować, kiedy przejść na Microsoft 365 E3 lub Microsoft 365 E5.

Jak działa zero-touch provisioning krok po kroku?

Autopilot działa dzięki temu, że urządzenie jest znane dzierżawie Microsoft 365 przed pierwszym logowaniem użytkownika. Tożsamość sprzętu jest rejestrowana przez OEM, partnera CSP, dystrybutora albo ręcznie przez IT za pomocą hardware hash. Microsoft zaleca uzgodnienie z dostawcą sprzętu, aby rejestrował urządzenia bezpośrednio w dzierżawie klienta, co eliminuje ręczną obsługę hashy przy każdym zakupie.

1. Firma kupuje laptop z Windows 11 Pro od dystrybutora obsługującego Autopilot.
2. Dostawca rejestruje urządzenie w tenant Microsoft 365 firmy albo przekazuje dane do Partner Center.
3. Administrator tworzy w Intune grupę urządzeń i przypisuje profil Autopilot.
4. Do profilu podpinane są aplikacje, zasady bezpieczeństwa, compliance i Windows Update rings.
5. Pracownik otrzymuje zapakowany komputer, włącza go i łączy z Wi-Fi lub Ethernetem.
6. Po wpisaniu loginu służbowego urządzenie dołącza do Microsoft Entra ID, rejestruje się w Intune i pobiera konfigurację.
7. Użytkownik dostaje gotowe środowisko: Microsoft 365 Apps, Teams, OneDrive, Outlook, VPN lub aplikacje firmowe.

Warto rozdzielić dwie rzeczy: Autopilot odpowiada za doświadczenie pierwszego uruchomienia, a Microsoft Intune za realne zarządzanie urządzeniem po wdrożeniu. Bez Intune Autopilot nie dostarczy pełnej wartości, bo nie będzie centralnego mechanizmu instalowania aplikacji, egzekwowania szyfrowania i blokowania dostępu z niezgodnych urządzeń.

Wymagania licencyjne i techniczne

Dla typowego MŚP najprostsza ścieżka to Microsoft 365 Business Premium. Oficjalna strona Microsoft podaje cenę Business Premium na poziomie 22 USD za użytkownika miesięcznie przy płatności rocznej, a osobny Microsoft Intune Plan 1 kosztuje 8 USD za użytkownika miesięcznie i jest zawarty m.in. w Business Premium, E3 i E5. Ceny w złotych zależą od kursu, VAT, kanału zakupu i programu licencjonowania, dlatego w kalkulatorze należy traktować je jako poziom budżetowy, a nie ofertę handlową.

Po stronie technicznej potrzebne są: Windows 11 Pro lub wyższy, licencja Intune dla użytkownika, Microsoft Entra ID P1 do automatycznej rejestracji MDM i brandingu logowania, dostęp do internetu podczas OOBE oraz poprawnie zarejestrowany hardware hash. Ręczna rejestracja jest możliwa, ale Microsoft wskazuje, że w idealnym modelu robi ją OEM, reseller lub dystrybutor; procedura ręczna wymaga uruchomienia urządzenia i pobrania hashy, co ogranicza efekt zero-touch. Szczegóły opisuje Microsoft Learn w dokumentacji manual registration for Windows Autopilot.

Tryby wdrożenia Autopilot: który wybrać w MŚP?

Najczęstszy błąd w artykułach o Autopilot polega na traktowaniu go jako jednej funkcji. W praktyce trzeba dobrać tryb do typu urządzenia i użytkownika. Dla MŚP standardem jest User-Driven mode z dołączeniem do Microsoft Entra ID. Pozostałe tryby są przydatne, ale mają węższe zastosowanie.

Co powinien zawierać profil Intune?

Sam profil Autopilot to dopiero początek. Jakość wdrożenia zależy od tego, co Intune zrobi po pierwszym logowaniu. Dobrze przygotowany profil dla firmy usługowej, handlowej lub produkcyjnej powinien mieć kilka warstw.

• Aplikacje: automatyczna instalacja Microsoft 365 Apps, Teams, OneDrive, przeglądarki Chrome lub Edge, komunikatorów, narzędzi księgowych, aplikacji MSI i pakietów Win32.
• Polityki urządzeń: BitLocker, złożoność hasła lub Windows Hello for Business, konfiguracja Microsoft Defender, firewall, blokada lokalnych administratorów.
• Compliance: wymagane szyfrowanie, aktywny Defender, minimalna wersja Windows 11, brak jailbreak/root na urządzeniach mobilnych, kontrola ryzykownych lokalizacji.
• Conditional Access: dostęp do Exchange, SharePoint, Teams i OneDrive tylko z urządzeń zgodnych lub zaufanych.
• Windows 11 update rings: osobne pierścienie aktualizacji dla pilotażu, standardowych użytkowników i grup krytycznych.

Jeśli firma używa dodatkowych narzędzi ochrony stacji roboczych, warto powiązać je z profilem aplikacji. Przykładowo endpoint security można uzupełnić rozwiązaniami z kategorii antywirus dla firmy, a środowiska mieszane zaplanować razem z infrastrukturą serwerową, np. Windows Server 2025. Przy starszych komputerach ważna jest także kontrola licencji systemu, dlatego przy migracji warto zweryfikować legalność i edycję Windows 11 Pro.

Kalkulator ROI: 25 i 100 użytkowników

W 25-osobowej firmie, która już kupuje Business Premium, Intune nie jest dodatkowym kosztem licencyjnym. Kosztem będzie projekt: uporządkowanie tenant, profili, aplikacji, zasad bezpieczeństwa i testów. Zwrot pojawia się przy każdym kolejnym urządzeniu, bo IT nie musi wykonywać tych samych ręcznych czynności.

Dla 100-osobowej organizacji budżet licencyjny Business Premium przy cenie katalogowej 22 USD za użytkownika miesięcznie to 26 400 USD rocznie. Przy kursie około 3,35 zł za USD daje to w przybliżeniu 88 000 zł rocznie netto przed lokalnymi korektami handlowymi. Jeżeli firma wymienia lub wdraża 100 laptopów rocznie, a Autopilot oszczędza 4-8 godzin pracy IT na urządzenie, otrzymujemy 400-800 godzin. Przy stawce wewnętrznej lub partnerskiej 100 zł/h daje to 40 000-80 000 zł potencjalnej oszczędności rocznie. Najważniejsze: to oszczędność operacyjna, a nie tylko technologiczna. Krótszy onboarding oznacza, że nowy pracownik szybciej ma pocztę, pliki, Teams i aplikacje liniowe.

Dell, HP, Lenovo: dostawa bezpośrednio do pracownika

Najczystszy model Autopilot w MŚP wygląda tak: dział zakupów zamawia sprzęt, dystrybutor rejestruje urządzenia w tenant klienta, a laptop jedzie bezpośrednio do pracownika. IT nie musi rozpakowywać kartonów ani przepisywać numerów seryjnych. Taki proces wymaga wcześniejszego ustalenia uprawnień partnera, standardu modeli, nazewnictwa urządzeń, tagów grup i procedury reklamacji. Warto też mieć plan na wymianę płyty głównej, bo zmiana istotnych elementów sprzętu może wymagać ponownej rejestracji hash.

W zamówieniu sprzętu należy jasno wskazać, że urządzenia mają być Autopilot-registered dla konkretnej dzierżawy Microsoft 365. Przy dużych partiach dobrze stosować group tags, np. PL-SALES, PL-FINANCE albo KIOSK, aby Intune automatycznie przypisał właściwy zestaw aplikacji i polityk.

BYOD: gdzie kończy się Autopilot, a zaczyna MAM?

Autopilot dotyczy przede wszystkim urządzeń firmowych. Prywatny laptop pracownika nie powinien być bezrefleksyjnie przejmowany przez pełne MDM, bo firma zaczyna wtedy zarządzać całym urządzeniem, a nie tylko danymi służbowymi. Dla BYOD rozsądniejszy jest Microsoft Intune MAM, czyli Mobile App Management bez pełnego enrollmentu. Firma kontroluje aplikacje Microsoft 365, wymusza PIN, szyfrowanie danych aplikacji, blokadę kopiowania do prywatnych aplikacji i zdalne usunięcie danych służbowych, ale nie zarządza prywatnym systemem użytkownika.

To ważne rozróżnienie względem klasycznego artykułu o BYOD. W tym przewodniku priorytetem jest workflow dla nowych komputerów firmowych: zakup, rejestracja hardware hash, profil Autopilot, automatyczne enrollment do Intune i gotowość do pracy bez kontaktu z IT.

Najczęstsze pułapki wdrożenia

• Brak internetu przy pierwszym uruchomieniu: Autopilot musi pobrać profil z chmury. Sieci hotelowe, captive portal, restrykcyjny proxy lub VPN wymagany przed logowaniem mogą zablokować OOBE.
• Zbyt dużo aplikacji w fazie ESP: jeżeli wymusimy instalację każdej aplikacji przed pokazaniem pulpitu, użytkownik będzie czekał długo. Krytyczne aplikacje instaluj przed logowaniem, resztę po wejściu do systemu.
• Brak grup testowych: update rings i polityki bezpieczeństwa powinny przechodzić przez pilotaż, zanim trafią do całej firmy.
• Nieczytelne nazewnictwo: bez standardu nazw urządzeń, tagów i grup dynamicznych Intune szybko staje się chaotyczny.
• Pomieszanie MDM i MAM: prywatne urządzenia lepiej obsługiwać przez polityki aplikacyjne, a firmowe przez pełne MDM.

Warto pamiętać, że standardy bezpieczeństwa, takie jak ISO/IEC 27001, wymagają kontroli dostępu, zarządzania aktywami i egzekwowania zasad bezpieczeństwa, ale nie narzucają konkretnego narzędzia. Autopilot + Intune jest praktycznym sposobem udokumentowania i automatyzacji tych kontroli. Przy organizacjach objętych NIS2 lub wyższymi wymaganiami branżowymi warto dodatkowo odwołać się do dobrych praktyk ENISA dotyczących zarządzania podatnościami i higieny cyberbezpieczeństwa: ENISA NIS2.

Plan wdrożenia dla firmy 25-200 osób

1. Zweryfikuj licencje: Business Premium, E3 albo E5, Entra ID P1 i Intune dla użytkowników.
2. Ustal standard sprzętu: modele, Windows 11 Pro, TPM, Wi-Fi, gwarancja i procedura rejestracji Autopilot przez dostawcę.
3. Przygotuj grupy dynamiczne w Intune według tagów, działów lub typów urządzeń.
4. Utwórz profil User-Driven dla laptopów pracowników i osobny profil dla urządzeń współdzielonych, jeśli istnieją.
5. Skonfiguruj aplikacje wymagane przed pierwszym pulpitem oraz aplikacje instalowane po zalogowaniu.
6. Włącz BitLocker, Defender, compliance, Conditional Access i pierścienie aktualizacji Windows 11.
7. Przetestuj 3-5 urządzeń w pilotażu, w tym scenariusz domowego Wi-Fi, sieci biurowej i resetu urządzenia.
8. Opisz procedurę dla HR i zakupów: kiedy zamawiać laptop, jak przypisać użytkownika, jak wysłać sprzęt i jak obsłużyć zwrot.

Dobrze wdrożony proces nie kończy się na pierwszym logowaniu. Powinien obejmować cały cykl życia: zakup, provisioning, użytkowanie, aktualizacje, zdalne wipe, ponowne przypisanie i wycofanie sprzętu. W firmach, które korzystają z pakietów biurowych i poczty Microsoft, warto ułożyć ten proces razem z licencjami Office 2024 oraz subskrypcjami Microsoft 365, żeby uniknąć dublowania kosztów.

Wnioski: Autopilot jako proces, nie funkcja

Windows Autopilot 2026 i Microsoft Intune dla MŚP nie są magicznym przyciskiem „skonfiguruj laptop”. To powtarzalny proces dostarczania firmowych urządzeń, który usuwa ręczne obrazy systemu i zamienia je na polityki w chmurze. Największy zysk osiągają organizacje, które kupują sprzęt przez partnera rejestrującego hardware hash, standaryzują aplikacje i konsekwentnie egzekwują compliance przez Conditional Access.

Jeżeli firma ma już Microsoft 365 Business Premium, najczęściej ma też większość licencji potrzebnych do startu. Wtedy pytanie nie brzmi „czy kupić Intune”, tylko „jak dobrze zaprojektować profil, grupy, aplikacje i polityki, żeby każdy nowy laptop był gotowy bez pracy ręcznej”.