Podobnie jak agent stały, nowy "agent na żądanie" obsługuje uwierzytelnianie 802.1x, pozwalając na wymuszanie polityk NAC pozapasmowo.

Nowy agent pozwala użytkownikom-gościom na wykonanie logowanie do witryny WWW, gdzie ich maszyny są kierowane do wirtualnych LAN dla gości, przez które podłączają się do sieci.

Oprogramowanie agenta jest podsyłane do maszyny gościa w postaci wtyczki Active X, Java lub Mozilla. Może być także wysłane do w postaci pliku .EXE. Z chwilą uwierzytelnienia, maszyna przydzielana jest do odpowiedniej VLAN - zgodnie z regułami polityki przechowywanymi w urządzeniu Symantec lub katalogu LDAP.

Agent on-demand obsługuje skanowanie programem antywirusowym, kontrolę rejestrów itp. Nowy agent jest dostępny dla platform Windows i McIntosh, ale wersja dla Windows ma szersze możliwość skanowania kondycji bezpieczeństwa punktów końcowych niż wersja dla Mac.

Nowością jest też możliwość wyzwalania automatycznych akcji korekcyjnych dla maszyn, które nie przeszły pomyślnie skanowania NAC, ale taki scenariusz jest mało prawdopodobny. Maszyny gości, zarządzane przez własne działy IT, prawdopodobnie nie będą udostępniane dla przeprowadzenie takich operacji przez inne firmy.

Po wylogowaniu, agent usuwa się z maszyny.

Nowe oprogramowanie dla urządzeń Symantec NAC obsługuje magistralę VLAN, tak więc jeżeli np. jedna ze skrzynek jest połączona przez koncentrator VLAN, który przekazuje ruch dla więcej niż jednej VLAN, to takie pojedyncze urządzenie Symantec może je wszystkie obsługiwać. Do tej pory każda VLAN wymagała osobnego urządzenia.