O processo de onboard consiste em preparar a estação para que a mesma possua todos os requisitos necessários para o processo de autenticação (como por exemplo, deployment do certificado digital), desta forma ele deveria ser anterior a qualquer tipo de método de autenticação.

A performance em máquinas virtuais é a mesma que em máquinas físicas desde que todas as reservas de recursos (CPU, Memória, Disco, etc...) sejam realizadas (obrigatóriamente). A vantagem da adoção de uma solução ou de outra depende somente da disponibilidade de recursos de hardware que o cliente já possua (caso já possua os recursos poderia optar pela virtualização).

De acordo com a melhores práticas de segurança, os certificados digitais precisam ser renovados antes da data de sua expiração. Contudo, o ISE pode ser configurado para autenticar certificados que estejam expirados mas não estejam revogados.

Para realizar controles de dispositivos que não possuem um suplicante 802.1x nativo, deve-se considerar uma autenticação MAB utilizando técnicas de profiling (descoberta de características do dispositivo). Como a tanto a autenticação MAB quanto a técnica de profiling são sucetíveis a falsidade de identidade, a recomendação é que este dispositivos tenham acesso limitado a rede (através de dACL ou SGACL).

Deve ser levada em consideração que 1 dia antes da implementação do low impact mode a rede já estava totalmente aberta para qualquer tipo de conexão (seja legítida ou não) e desta forma já estava sucetível a ataques. A idéia seria manter o low impact mode pelo menor tempo possível até que se tenha a certeza de que todos os dispositivos estão se autenticando através do ISE de forma efetiva.

Não é complicado, o segredo seria somente desabilitar o suplicante nativo através de uma GPO e realizar o deployment do AnyConnect através da ferramenta já utilizada pelo cliente para a atualização de softwares (ex: Microsoft SCCM).