VoIP jest trudnym obszarem do stosowania NAC, ponieważ taka kontrola dostępu opiera się głównie na ocenie punktów końcowych sieci jako głównym czynniku decydującym o tym, czy urządzenie może uzyskać dostęp do sieci. Telefony VoIP to zazwyczaj rozwiązania własne różnych firm, nie obsługujące oprogramowania klienckiego, które mogłoby skanować i dostarczać informacje o stanie bezpieczeństwa urządzenia końcowego, jakim jest telefon VoIP.

Ponieważ kontrola punktów końcowych NAC z wykorzystaniem oprogramowania klienckiego nie wchodzi w rachubę, kolejną możliwością jest wykorzystanie uwierzytelniania MAC - tzn. uwierzytelnianie urządzenia końcowego na podstawie adresu MAC. Do tworzenia polityki bezpieczeństwa dla telefonów, może być ono połączone z identyfikacją systemu operacyjnego telefonu, używanego portu przełącznika i innych zewnętrznie rozpoznawalnych czynników.

Taka ocena może dawać pewne gwarancje, że logujące się urządzenie jest telefonem i to właśnie z niego nawiązywane jest połączenie, ale też pozostawia otwartą możliwość, że urządzenie jest czymś, co udaje telefon. Nie mówi też nic o tym, czy urządzenie jest zainfekowane.

Jedynym sposobem ochrony przed urządzeniem podszywającym się pod telefon lub zainfekowanym telefonem, jest monitorowanie zachowań tego urządzenia z chwilą, gdy znajdzie się w sieci (post-admission NAC).

Ochrona NAC w tej sytuacji powinna mieć możliwość egzekwowania polityk post-admission, które określają jakie zasoby i telefony IP są dopuszczane do połączeń. Na przykład: urządzenie przedstawiające się jako telefon i próbują połączyć się z serwerem zasobów kadrowych przedsiębiorstwa, telefonem prawdopodobnie nie jest. Polityki post-admission NAC powinny odciąć takie urządzenia od sieci.