Não consigo encontrar nenhuma documentação sobre isso, mas, no meu entender, é possível combinar a autenticação do sistema e da janela de login. Essencialmente, você incluiria duas cargas úteis 802.1x diferentes em seu perfil MDM, uma definida como modo Sistema com o certificado cliente e a outra definida como modo Janela de Login sem o certificado cliente.