Depois de pesquisar na internet sem resultados satisfatórios, decidi compartilhar uma solução para fazer o deploy de novas estações de trabalho usando autopilot do Microsoft Intune em redes cabeadas com NAC (autenticação 802.1x).

O desafio é fazer com que novas máquinas sem políticas de conformidade se juntem à rede. Neste momento o endpoint não tem certificado digital, não recebeu politicas do domínio ainda, não possui Anyconnect instalado, etc.

Apenas whitelists de endereços mac (MAB) são sugeridas para esse tipo de situação. Mas e se você estiver instalando 100.000 novas máquinas?

Sugestão: configure a autenticação peap 802.1x durante a instalação do Windows (OOBE) para validar as credenciais do AD.

Verifique se o NAC pode entender o protocolo PEAP (Policy > Policy Elements > Authentication > Allowed Protocols) e se está conectado a fontes de identidade externas (Administration > Identity Management > External Identity Sources), como o Active Directory;

Windows:

Windows / na tela OOBE (Out-of-box experience):

Use Shift+F10 para abrir um prompt de comando

Habilitar suplicante nativo da rede cabeada

net start dot3svc

Chame as opções de rede com o comando abaixo:

Control.exe /name Microsoft.networkandSharingcenter

Nas opções do adaptador na guia Autenticação, habilite 802.1x, escolha PEAP. Em opções avançadas no modo de autenticação: autenticação do usuário.

ISE:

Crie uma regra no PolicySet (Policy > Policy Sets) do seu ISE autorizando a condition: Network Access : EapAuthentication Equals EAP-MSCHAPv2 e outros atributos que jugar necessário.

No Authorization Profile (Policy > Policy Elements > Results) desta autorização pode-se realizar provisão de Vlan ou qualquer atributo que ajude sua nova estação a encontrar o caminho aos servidores da Microsoft, de acordo com as características de sua rede, para iniciar a instalação via autopilot

Espero ter ajudado a trilhar um caminho na resolução desse problema.