デフォルトでは、CMA上でAlways-Onルールを作成した場合、
CatoClientに設定が反映されるためには接続操作が必要です。
そのためユーザーを追加していないCatoClientではAlways-Onを適用することができません。

ただしWindows版CatoClientをお使いの場合、以下の手順でレジストリキーの変更を行うことで
ユーザーを追加していない状態からAlways-Onを強制させることができます。

設定手順

HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPNの階層に、
InitialAlwaysOn＝1のキーを定義します。

1. レジストリエディターを起動。
   
2.  HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN の階層に移動し、
   右クリックより 新規 > DWORDを選択。
   
3. 作成された 新しい値#1 を選択し右クリックから 名前の変更 を押下。InitialAlwaysOn と入力。
   
4. 作成された InitialAlwaysOn  を選択し右クリックから 修正 を押下。
   
5. 値のデータに 1 と入力。
   

上記の設定後、CatoClientの画面上にAlways-On policy enabled と表記されます。

PCを再起動するとCatoClientが自動的に立ち上がり、認証を求める画面に遷移します。

認証が完了しなければユーザーはインターネット通信を行うことができません。
上記の手順でユーザーを追加していないCatoClientに対してAlways-Onを適用することができます。

なお初回の認証完了後は、CMA上で作成したAlways-Onルールに従ってAlways-Onが適用されます。
ユーザーを対象とした Always-Onルールがあれば、継続してAlways-Onが適用され、
そもそもユーザーがAlways-Onルールの対象外である場合はAlways-Onは適用されません。

※本稿の機能はWindows版CatoClient5.6以上でサポートされています。

補足

本稿は下記メーカーKBを参考に作成されています。
Protecting Users with Always-On Security
本稿の内容は公開日時時点の情報に基づきます。