Для микротика + Виндовс домен технология такая:
1. Поднимаете центр сертификации, через GPO выдаёте сертификаты на всех пользователей или ПК
2. Поднимаете роль NPS (это виндовый радиус), настраиваете на ней клиента (это будет микротик) и правила авторизации с использованием сертификата.
3. На микротике настраиваете связь с радиус сервером
4. На микротике в профиле вайфая указываете что используется WPA2 Enterprise и EAP
Дальше уже тонкости, но при желании всё гуглится. Если интересно и нужно - стучи в скайп.
Средний
Сложный
