В корпоративной среде более правильным будет индивидуальная авторизация по доменному логину и паролю. Это позволяет обезопасить сеть от уволившихся сотрудников и следить кто подключается. Ведь у каждого свои учетные данные!
Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов.
Настройка на MikroTik:
Добавляем IP адрес сервера NPS и придумываем пароль,
который укажем ниже в настройках
Настройка nps.msc
Если точек много — лучше использовать шаблон секрета
Тип сети и идентификатор в формате .*:Название_Сети$
Создание сертификата
Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться.
Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP
/certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign
После этого экспортируем сертификат
Теперь его можно использовать в Windows Server NPS
Далее устанавливаем данный сертификат во все наши устройства. Именно сертификат crt без закрытого ключа.
Теперь Windows устройства смогут подключиться к Wi-Fi EAP сети
UPD 04/04/2021
Настройка назначения vlan:
Где 255 это номер vlan