端末を絞って、小さなアプライアンスを導入するのは如何でしょうか？全端末である必要はありますか？

弊社の場合も認証サーバの導入が高価であったため、
セキュリティ的には心許ないですが
結局は「L2ブロッカー」という機器で
MAC認証とPSKのみで無線LAN管理をしています。

各PCのPSK入力についてですが、
クライントOSがWindowsであることが前提ですが、
SSID情報が記載された「無線LANプロファイル(xml)」を事前に作成（エクスポート作成）し、
そのファイルを各PCでインポートさせるという方法（DOSによるバッチ処理）ではいかがでしょうか？
　（※「無線LANプロファイル　インポート(エクスポート)」等で
キーワード検索すれば手順が沢山出てきます）

この方法はxmlファイルの以外に、
インポート実行指示をさせるbatファイルも必要ですが、
このbatファイルに、予め「xmlファイルをインポートする」というコマンド(netshコマンド)記述をしておき、
各ユーザのPCにおいて、このbatファイルを実行してあげれば、
SSID等の無線LAN情報を一瞬で登録させることが可能です。
　（※bat実行の際、xmlファイルとbatファイルは同一フォルダである必要があります）

ただし、このbatファイルは、
PSK情報も記載されており、テキスト形式で簡単に閲覧されてしまう状態ですので
自分の場合はこのbatファイルを、
EXE形式に変換(バイナリ)し（※変換にはフリーソフトを利用しました）
「EXEファイル」を各ユーザに実行させて無線LAN切り替えをさせたことがあります。

未検証ではありますが、
社内にADサーバを導入しているのであれば、
ADサーバ側の起動制御でこのbatファイルを強制的に実行させ
登録させることもできるのではと思います。

Windows10等でSyspep実行した時も
強制的に無線LAN情報がクリアされてしまいますが、
自分の場合、Sysprep後の初回起動処理において
上記のようなxmlファイルをバッチ処理でインポートするように組み込んでおり、
社内無線LAN(SSID)への自動接続ができるようにマスタ作成をしております。

自分の常駐先の1社(規模200～250台)でも、同じような悩みを抱えていた時期があり、本社と各拠点の無線ルーターをCisco製Merakiへ入れ替えました。
　　
　■Cisco Meraki（シスコ・メラキ）
　　https://meraki.cisco.com/ja/content
　　
Merakiは、従来型のRADIUS、Active Directory、LDAPサーバーに加えて、【MDM認証、ユーザーIDとパスワード認証、SMS認証、Facebook認証、Google認証】など複数の認証方法を選択可能です。
　　　
実際オープンスペースや来客者向け会議室では、ゲスト専用の無線LAN回線をFacebook認証にて運用してます。
(社内ネットワークへ接続不要な私物端末は、こちらを使用)
　　
他方、社内ネットワークへ接続したいという私物PCや私物スマホ端末には、「Meraki MDM」のインストールを義務付けています。
　　
この「Meraki MDM」は無線LANの親機である「Cisco Meraki」本体を購入すると、無料で使用できるようになります。
(MDMとしてGPS位置情報やリモートワイプなど、色々と活用可能。Win/Mac/Android/iOS対応)
　　
例えば私物iPhoneを社内ネットワークへ接続したい場合、ネットワーク アクセス コントロール（NAC）設定をしたMDMプロファイルを事前準備しておきます。
　　
ユーザーは、社内にネットワークへ接続しようすると、上記のプロファイルのインストールを求められます。
インストール官僚後、社内ネットワークへと接続可能になります。
(Cisco Merakiアクセスポイントとの連動し、システム マネージャで管理されているデバイスのみにネットワーク接続を許可可能)
　　
システム管理者は、社内ネットワークに接続している私物端末(プロファイルが入ってる端末)をブラウザ上で一括管理することが可能です。勿論ログも取れます。複数の拠点も、各拠点の接続状況を本社側で管理できます。
　
と、長くなってしまいましたが、上記と同様のサービスは、競合製品含めて複数有りますので、色々と吟味されてみては如何でしょうか？
以上、簡単ですが参考になれば幸いです。

返事が遅くなり申し訳ないです。
大変皆さんの意見参考になりました。

どんな方法がベストか探っていきたいと思います