应用错误收集

我正在为我的公司设置WPA2企业安全Wifi。我设置了一个RADIUS服务器（FreeRadius），该服务器与我们的Azure AD对话以对我们的用户进行身份验证。由于连接（RADIUS <-> AzureAD）的性质，EAP-TTLS是唯一可以使用的协议。

由于EAP-TTLS可以通过服务器证书进行服务器验证，但是客户端不必通过客户端证书进行验证，这使得部署到连接到我们WiFi的员工很容易，因为我不必部署客户端认证所有客户端设备。

问题是我不了解连接客户端的确切过程。

示例＃1 ：将iOS设备连接到WiFi时，我在屏幕上看到了在RADIUS服务器上生成的虚拟CA和服务器证书。我可以选择不信任他们。这样就完成了服务器验证，这使连接安全并且对我来说完全有意义。

示例2 ：在连接Android设备时，我未收到带有CA和服务器证书的提示。我得到的是以下一种选择：

选择一个CA证书->这意味着我必须将RADIUS生成的CA证书部署到每个客户端设备。这对我来说没有任何意义，因为最后就像是我将客户端证书部署到设备上一样，这会使设置变得非常复杂，并且使EAP-TTLS的主要优势无效。
不验证->这意味着设备仅连接到网络而根本不验证服务器。这样，我也可以连接到WiFi，但这是不可接受的，因为客户端根本不验证服务器，这使网络不安全。
使用系统证书->选择此项会提示用户输入域。我想此选项默认情况下使用的是Android预先安装的CA，但是我不确定该怎么做。设备要求哪个域？如果我输入公司的域，则无法以这种方式进行连接，RADIUS服务器说客户端具有未知的CA证书。有道理，因为该设备未使用其生成的CA证书。

总而言之，我了解iOS进行连接的方式，并且在我看来，这就是EAP-TTLS应该通过服务器验证和所有方式工作的方式。 Android使事情变得非常混乱，因为它使我手动在设备上安装CA，而不仅仅是通过启动的连接（如iOS）来获取它。

有人可以指出我在这里缺少什么吗？我是否在某些假设中错了？或者这只是应该以这种方式工作的Android技术性？在这种情况下，最简单的设置解决方案是什么？

谢谢！