🚀 Sprawdzony plan migracji z setkami wdrożeń! Uniknij najczęstszych błędów i wdróż Windows 11 bez stresu. Praktyczne wskazówki czekają!
O aktualizacji do Windows 11 można myśleć jak o „kliknij i zapomnij”, ale w realnym świecie to projekt z wieloma ruchomymi elementami: sprzęt, aplikacje, bezpieczeństwo, sieć, a przede wszystkim ludzie. Spokojnie. Da się to zrobić przewidywalnie i bez bólu, jeśli podejdziemy do tematu metodycznie.
Na bazie naszych wdrożeń (od kilkudziesięciu stanowisk po środowiska liczące setki urządzeń) stworzyliśmy prosty plan, który działa. Zaczynamy od sprawdzenia czy park sprzętowy spełnia wymagania (TPM 2.0, UEFI/Secure Boot, GPT), potem przygotowujemy Intune (profile, automatyczna rejestracja, polityki zgodności, BitLocker i Defender), a na koniec przeprowadzamy migrację etapami: pilot → falowe wdrożenie → monitoring.
W tym artykule dowiesz się m.in.:
Gotowi? To zaczynamy.
Środowisko firmowe naszego klienta składało się z ponad 300 urządzeń z Windows 10, które przez lata doskonale służyły organizacji. Teraz jednak nadszedł czas na Windows 11, a każdy administrator wie, że takie przejście może przynieść niespodzianki. Dlatego zaczęliśmy od dokładnego przeglądu tego, co mamy.
Microsoft postawił poprzeczkę wyżej niż kiedykolwiek. Procesor minimum 1 GHz z co najmniej 2 rdzeniami, 4 GB RAM-u oraz 64 GB miejsca na dysku to tylko początek. Najważniejsze jednak okazuje się to, czy procesor w ogóle jest wspierany - dla Intela oznacza to 8. generację lub nowszą, z niewielkimi wyjątkami dla 7. generacji.
Szybko okazało się, że teoretyczne wymagania to jedno, a praktyczna weryfikacja to drugie. Aplikacja PC Health Check z Microsoft Store automatycznie sprawdzi kompatybilność sprzętu. Dla środowisk zarządzanych centralnie lepsze są narzędzia takie jak WhyNotWin11 czy Windows 11 Compatibility Check - pozwalają na masowe sprawdzenie zgodności.
Otóż Windows 11 bezwzględnie wymaga modułu TPM 2.0 oraz UEFI z włączonym Secure Boot. Problem? Większość komputerów ma TPM 2.0, ale jest domyślnie wyłączony w BIOS!
Sprawdzenie jest proste: Windows + R, wpiszcie "tpm.msc" i kliknijcie OK. Brak kompatybilnego TPM? Prawdopodobnie trzeba go aktywować w BIOS. Ścieżka prowadzi przez: Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchom ponownie teraz > Rozwiązywanie problemów > Opcje zaawansowane > Ustawienia oprogramowania UEFI.
Dodatkowo dysk systemowy musi mieć format GPT zamiast MBR. Tutaj czeka nas konwersja bez utraty danych lub czysta reinstalacja.
Czy aplikacje biznesowe będą działać na Windows 11? Microsoft twierdzi, że większość aplikacji z Windows 10 powinna funkcjonować bez problemów. Jak się okazuje w praktyce, nie zawsze jest tak różowo.
Testujemy wszystko: instalację, aktualizację, podstawowe funkcje oraz dodatkowe funkcjonalności. Szczególną uwagę zwracamy na aplikacje antywirusowe - mogą wymagać aktualizacji ze względu na zmiany w systemie plików.
Utworzenie laboratorium to najlepsza inwestycja przed migracją. Nasze podejście wygląda następująco:
Windows Sandbox okazuje się nieocenionym narzędziem - lekkie, izolowane środowisko idealne do bezpiecznego testowania.
Przygotowanie to podstawa. Bez dokładnego rozeznania w tym, co mamy, każda migracja może się zamienić w koszmar.
Teraz, gdy wiemy już że nasze środowisko jest gotowe, czas na właściwą konfigurację Microsoft Intune. Tutaj zaczynają się schody, ale z dobrym przygotowaniem można je pokonać bez większych problemów.
Rozpoczynamy od utworzenia profili wdrożeniowych w konsoli Microsoft Intune. Logujemy się do portalu i kierujemy się do Urządzenia > Windows > Rejestracja Windows > Profile wdrażania.
Klikamy Utwórz profil i wybieramy Windows PC jako platformę. Proste!
Na stronie konfiguracji OOBE wybieramy tryb Sterowany przez użytkownika - to najczęściej spotykany scenariusz w firmowych wdrożeniach. W polu Dołącz do Microsoft Entra ID jako ustawiamy Microsoft Entra joined dla optymalnej integracji z usługami chmurowymi.
Konfiguracja automatycznej rejestracji urządzeń to prawdziwy gamechanger. Przechodzimy do Urządzenia > Rejestracja > Windows > Automatyczna rejestracja.
W ustawieniach MDM wybieramy Wszystkie lub Niektóre - zależy to od skali naszego wdrożenia. Uwaga! Automatyczna rejestracja MDM wymaga Microsoft Entra ID Premium. Jeśli nie widzisz tych ustawień, możesz aktywować bezpłatną wersję próbną.
Polityki zgodności Intune pozwalają nam ocenić stan urządzeń zanim uzyskają dostęp do firmowych zasobów.
Przechodzimy do Endpoint Security > Dostęp warunkowy > Utwórz nową politykę. Najważniejsze ustawienie? Wymagaj, aby urządzenie było oznaczone jako zgodne. Dzięki temu tylko sprawdzone urządzenia będą miały dostęp do naszych systemów.
Zabezpieczenia to podstawa. Konfigurujemy polityki szyfrowania BitLocker oraz Microsoft Defender jeszcze przed migracją.
Dla BitLockera: Endpoint Security > Szyfrowanie dysku > Utwórz politykę. Wybieramy Windows jako system operacyjny i BitLocker jako profil. Włączamy obowiązkowe szyfrowanie urządzeń i ustawiamy metodę szyfrowania XTS-AES 256-bit. Dodatkowo konfigurujemy automatyczną rotację haseł odzyskiwania - to oszczędzi nam sporo bólu głowy później.
Dla Microsoft Defender tworzymy profile antywirusowe i ochrony przed zagrożeniami w sekcji Endpoint Security. Podstawowe kategorie to reguły redukcji powierzchni ataku, zabezpieczenia urządzeń, zapora sieciowa oraz sama ochrona antywirusowa.
Wszystkie te ustawienia razem tworzą solidne fundamenty pod bezpieczną migrację do Windows 11. Bez tego przygotowania możemy narazić się na nieprzyjemne niespodzianki podczas wdrożenia.
Właściwa migracja to nie tylko kwestia naciśnięcia przycisku "aktualizuj". Nasze doświadczenia z kilkudziesięcioma wdrożeniami pokazały, że to proces wymagający metodycznego podejścia.
Sieć to podstawa. Aktualizacja Windows 11 oznacza pobranie plików o wielkości około 5GB na każde urządzenie, co może sparaliżować łącze, szczególnie w oddziałach z ograniczoną przepustowością. Widzieliśmy sytuacje, gdzie nieprzygotowana infrastruktura zamieniała gładką migrację w koszmarne doświadczenie użytkowników.
Dlatego zawsze włączamy rejestrowanie i monitorowanie wszystkich krytycznych komponentów infrastruktury. Dlaczego? Żeby móc szybko zareagować, gdy coś pójdzie nie tak podczas procesu aktualizacji.
Testujemy również funkcję alertowania poprzez symulację scenariuszy awarii. Lepiej sprawdzić to wcześniej niż dowiedzieć się o problemach, gdy już będzie za późno.
Masowe wdrożenie bez pilotażu? To przepis na katastrofę. Zawsze przeprowadzamy testy z wybraną grupą użytkowników przez minimum 30 dni. Do pilotażu wybieramy ludzi z różnych działów i o różnych poziomach umiejętności technicznych.
Konfigurujemy politykę aktualizacji funkcji dla Windows 11, wybierając opcję "Udostępnij aktualizację jak najszybciej" dla grupy pilotażowej. To pozwala nam zidentyfikować i rozwiązać problemy, zanim wpłyną na całą organizację.
Po sukcesie fazy pilotażowej można rozpocząć szersze wdrażanie. Stosujemy politykę "Udostępnij aktualizację stopniowo" w Intune, co pozwala na dystrybucję aktualizacji w kontrolowanych odstępach czasu. To rozwiązanie znacznie zmniejsza obciążenie sieci w porównaniu z jednoczesną aktualizacją wszystkich urządzeń.
Ważne! Samo wdrożenie polityki aktualizacji funkcji nie wymusza natychmiastowej instalacji. Określa jedynie, które urządzenia mogą otrzymać aktualizację.
Praca nie kończy się na instalacji systemu. Stosujemy zalecenia Azure Advisor, optymalizujemy ustawienia poszczególnych usług oraz natychmiast reagujemy na wszelkie luki bezpieczeństwa.
Zbieramy też systematycznie opinie użytkowników. Ich feedback na temat wydajności systemu i funkcjonowania aplikacji po aktualizacji to cenne informacje dla kolejnych wdrożeń.
Czas aktualizacji zależy od kilku czynników: prędkości internetu, specyfikacji systemu oraz rozmiaru aktualizacji. Nasze doświadczenia pokazują, że proces zajmuje średnio od 30 do 90 minut dla aktualizacji funkcji. Niektórym użytkownikom udaje się w zaledwie 20 minut, ale starsze laptopy potrzebują więcej czasu - nawet ponad godzinę.
Ogólnie aktualizacja powinna zakończyć się w ciągu 1-2 godzin. Planujcie odpowiednio!
Każdy z nas popełnia błędy, nawet ci najbardziej doświadczeni administratorzy. Windows 11 i Intune to kombinacja, która potrafi zaskoczyć! Lepiej wiedzieć wcześniej, na co uważać.
Microsoft chwali się, że 99,7% aplikacji korporacyjnych działa bez problemu na Windows 11. Brzmi świetnie, prawda? Jak się jednak okazuje, te pozostałe 0,3% potrafi sprawić więcej kłopotów niż myślimy.
Starsze oprogramowanie szczególnie lubi sprawiać niespodzianki. Jedna aplikacja księgowa przestaje się uruchamiać, inna traci połączenie z bazą danych, a jeszcze inna po prostu "zawiesza się" w kluczowych momentach. Każda aplikacja krytyczna dla biznesu musi przejść testy w środowisku Windows 11 - instalacja, kluczowe funkcje, integracja z innymi systemami.
Tu łatwo wpaść w pułapkę! Członkostwa grup Intune i Azure AD uruchamiają się w różnych momentach procesu wdrażania. Mieszanie przypisań użytkowników i urządzeń prowadzi prosto do problemów.
Znacznie lepszym rozwiązaniem jest wdrażanie do Grupy Użytkowników, a następnie zastosowanie filtra wykluczającego konkretne urządzenia. Proste i działa!
"Przecież to tylko aktualizacja, co może pójść nie tak?" - słyszeliśmy to już nie raz. Przejście od razu do pełnego wdrożenia bez testów na małej grupie to loteria.
Pilotaż na reprezentatywnej grupie użytkowników z różnych działów pozwala wychwycić problemy, zanim dotkną całej organizacji. Dokumentowanie trudności i zbieranie opinii użytkowników oszczędza późniejszych kłopotów.
Aktualizacja wszystkich urządzeń jednocześnie może sparaliżować sieć i przytłoczyć zespół IT. Lepiej zastosować podejście stopniowe - dział po dziale, lokalizacja po lokalizacji.
Pamiętajmy też o Autopilot ESP - nie pakujmy tam wszystkich możliwych aplikacji! Tylko te krytyczne dla bezpieczeństwa i niezbędne do codziennej pracy.
Migracja do Windows 11 z Intune to podróż, która może przebiec gładko, jeśli traktujemy ją jak projekt. Nasze doświadczenia pokazują, że największe znaczenie ma dokładna analiza na początku. Sprawdzenie zgodności sprzętu, zwłaszcza TPM 2.0 i UEFI, to fundament sukcesu. Bez tego, reszta to tylko teoria.
Konfiguracja Intune przed startem to kolejny kluczowy moment. Profile wdrożeniowe, automatyczna rejestracja, polityki bezpieczeństwa - wszystko musi grać jak orkiestra. Stopniowe podejście do wdrożenia? To nie jest zachowawczość, to rozsądek!
Faza pilotażowa okazuje się być prawdziwym ratunkiem. Testujesz na małej grupie, wykrywasz problemy, rozwiązujesz je zanim wpłyną na całą firmę. Proste i skuteczne. Najczęstsze błędy, jak brak testów aplikacji czy mieszanie przypisań użytkowników i urządzeń, łatwiej złapać w kontrolowanych warunkach.
Po wdrożeniu praca wcale się nie kończy. Optymalizacja, monitorowanie, reagowanie na zgłoszenia użytkowników - to wszystko składa się na długoterminowy sukces. System działa, aplikacje odpowiadają, użytkownicy są zadowoleni. Właśnie o to chodziło!
Nie ma problemów nie do rozwiązania. Windows 11 z Intune może działać sprawnie, jeśli podejdziemy do tego metodycznie i bez pośpiechu. Dobrze zaplanowana migracja to inwestycja, która się zwraca.
76% menedżerów wskazało, że ich usługi IT są dostarczane za pośrednictwem zewnętrznych podmiotów.
CodeARM Sp. z o.o.
ul. Senatorska 31
93-192 Łódź
NIP 7292741912
KRS 0000939298
1 Deloitte Global Outsourcing Survey 2022.
2 Resilience reimagined, Economist Impact & Iron Mountain, 2022