No final, decidimos que a melhor maneira de usarmos o PXE com o 802.1X era atribuir máquinas não autenticadas a uma VLAN convidada. No roteador, a VLAN é ACL para apenas os servidores DC (que também hospedam DHCP), Enterprise CA e PXE. Em seguida, adicionamos as entradas ip-helper-address à VLAN em ambos os servidores.
Quando a máquina é gravada com sucesso na VLAN convidada, o sistema operacional assume o controle. Nossa sequência de tarefas faz com que ele se junte automaticamente ao domínio. A Diretiva de Grupo direciona a máquina para obter um certificado de cliente e participar da autenticação 802.1X.
A vantagem deste método é que não precisamos nos preocupar com o desvio do endereço MAC ou com a desativação / reativação manual do 802.1X em uma porta.
O desvio de endereços MAC seria difícil para nós, já que isso exigiria que criassemos contas de usuário no AD do endereço MAC da máquina. Como a senha também é o endereço MAC, teríamos que desabilitar nossa política de complexidade de senha, que não é uma novidade.
Para que possamos usar o AMT para o suplicante, é necessário que realizemos o provisionamento fora de banda, o que nos coloca em um cenário de ovo ou galinha.
Obrigado a todos que visualizaram / forneceram informações sobre esta questão.