NPS Динамическая VLAN Catch-All

У меня есть аутентификация MAC по радиусу с динамической настройкой VLAN в беспроводной сети WPA-PSK, чтобы легко подключать различные устройства IOT/VOIP к различным сетям, которые могут не поддерживать нашу сеть WPA-Enterprise. В настоящее время мы просто добавляем MAC-адреса устройств в Active Directory, а политика NPS — это принятие/запрет, а затем назначение VLAN при принятии. Можно ли перехватить все VLAN с помощью NPS? Например, если MAC-адрес устройства имеет учетную запись в AD, назначьте это устройство соответствующей VLAN, но если устройство присоединяется и не находится в AD, то назначьте его универсальной/изолированной VLAN? Это больше подходит для инициализации устройств, поскольку найти правильный MAC-адрес на нашем DHCP-сервере легче, чем различные настройки на устройстве. Я попробовал несколько разных вещей, но безуспешно. У нас есть точки доступа Unifi, коммутаторы и NPS, работающие в Windows 2019.