はじめに

802.1x認証 - PEAP (MS-CHAPv2) の WiFi アクセスポイントに接続する際に必要な Windows クライアント側の設定です。

サーバーや WiFi-AP 側の設定については、以下の記事を参照してください。

本記事の内容とは別に、Intune でクライアント側の構成を配布する方法もあります。
ルート証明書や WiFi プロファイルの構成などをすべてまとめて構成して配布できます。
以下の記事にまとめてありますので、参照ください。

手順の開始前に

なお、1～3 章の構成を全く行わなくても、OS 既定の設定で WiFi-AP への接続は可能なはずです。
接続できるかどうか、確認してみましょう。
しかし、1～3 章の対応を行わないと、ID + Pass を入力したあとに、以下の画面が表示されます。

「接続を続けますか？」で、「接続」ボタンを押す必要があります。

クライアントがドメインに参加していれば、1～3 章のすべての対処を行うことで、「接続を続けますか？」の画面の表示を抑制することができます。

なお、2 章と 3 章の設定おこなって、1 章だけ未構成だと接続できないなど、動作要件が厳しいです。注意して対応してください。

中途半端に行わず、1～3 章はすべてセットで実装する必要があると考えて下さい。

1～3 章の作業は、PC 毎にいちいちやっていられませんよね？
なので、PC 単体で接続テストが成功したら、2章 , 3 章の設定は GPO を使って配布するのがベストプラクティスです。
そうすれば、ユーザーの手を煩わすことなく、「接続を続けますか？」のメッセージを抑制できます。

ドメインコントローラーにて、以下の記事に記載された対処を行ってください。
ドメインに参加した PC にも反映されます。
WORKGROUP の PC の場合は、各マシンごとに対応が必要です。その場合の手順も、以下の記事に記載してあります。

NPS 用サーバー証明書とペアとなったルート証明書が、クライアントの「信頼されたルート証明機関」にインポートされている必要があります。

以下の記事を参照し、クライアントの信頼されたルート証明機関へルート証明書をインポートしてください。

AD CS で、HTTP のファイアウォールが許可されて、クライアントPC がドメイン参加されていれば、クライアントのブラウザで直接　AD CS の IP に接続してクライアント証明書をダウンロードすることもできます。

（公開情報：グループポリシーを使用してクライアントコンピューターに証明書を配布する）

以下の記事を参考に、WiFi プロファイルを作成します。

（重要）
WiFi プロファイルは、一度 WiFi-AP に接続されるとそのまま PC 内に保存されて、以後同じ SSID に接続する際に転用されます。
接続しなおすテスト等を行う場合は、毎回 WiFi プロファイルを削除してください。

※ GUI でも接続中の WiFi 名を、右クリックして "削除" できます。

（公開情報：Windows で EAP プロファイルを構成する）
グループポリシーエディター (デスクトップとサーバー)
→　この章の手順で WiFi プロファイルを GPO で配布します。