A autenticação 802.1x está ativada em nossas portas de acesso ao switch e APs sem fio. As solicitações RADIUS são enviadas para um servidor NPS Server 2012R2.
Este servidor NPS tem duas políticas de rede configuradas:
Autenticação via EAP-TLS (usando um certificado de máquina que é automaticamente distribuído para todas as máquinas associadas ao domínio do AD pela nossa Autoridade de certificação do AD) - prioridade # 1
Autenticação via PEAP (isso permite a autenticação via nome de usuário do AD e fornecida, desde que o usuário faça parte de um grupo de segurança específico) - prioridade # 2
Quando um dispositivo Android ou IOS se conecta à rede, ele tenta primeiro a autenticação do certificado EAP-TLS e, quando falha, solicita credenciais de nome de usuário / senha. Esse é o comportamento que queremos .
No entanto, um domínio que tenha ingressado no Windows 10 não tentará o EAP-TLS e, em seguida, retornará ao EAP-PEAP. Ele só tentará o EAP-TLS se a guia 'Authentication' na NIC for alterada de 'Smart Card ou Other Certificate' para EAP-PEAP e 'autenticação do usuário' for especificada.
Gostaríamos que os clientes Windows se comportassem como clientes Android / IOS. Alguém sabe se esse desligamento automático é possível?