Depois de pesquisar na internet sem resultados satisfatórios, decidi compartilhar uma solução para fazer o deploy de novas estações de trabalho usando autopilot do Microsoft Intune em redes cabeadas com NAC (autenticação 802.1x).
O desafio é fazer com que novas máquinas sem políticas de conformidade se juntem à rede. Neste momento o endpoint não tem certificado digital, não recebeu politicas do domínio ainda, não possui Anyconnect instalado, etc.
Apenas whitelists de endereços mac (MAB) são sugeridas para esse tipo de situação. Mas e se você estiver instalando 100.000 novas máquinas?
Sugestão: configure a autenticação peap 802.1x durante a instalação do Windows (OOBE) para validar as credenciais do AD.
Verifique se o NAC pode entender o protocolo PEAP (Policy > Policy Elements > Authentication > Allowed Protocols) e se está conectado a fontes de identidade externas (Administration > Identity Management > External Identity Sources), como o Active Directory;
Windows:
Windows / na tela OOBE (Out-of-box experience):
Use Shift+F10 para abrir um prompt de comando
Habilitar suplicante nativo da rede cabeada
net start dot3svc
Chame as opções de rede com o comando abaixo:
Control.exe /name Microsoft.networkandSharingcenter
Nas opções do adaptador na guia Autenticação, habilite 802.1x, escolha PEAP. Em opções avançadas no modo de autenticação: autenticação do usuário.
ISE:
Crie uma regra no PolicySet (Policy > Policy Sets) do seu ISE autorizando a condition: Network Access : EapAuthentication Equals EAP-MSCHAPv2 e outros atributos que jugar necessário.
No Authorization Profile (Policy > Policy Elements > Results) desta autorização pode-se realizar provisão de Vlan ou qualquer atributo que ajude sua nova estação a encontrar o caminho aos servidores da Microsoft, de acordo com as características de sua rede, para iniciar a instalação via autopilot
Espero ter ajudado a trilhar um caminho na resolução desse problema.