特定の条件を満たした端末のみCato Clientの接続を許可したい場合、
Client Connectivity Policyを利用することで実現が可能です。
Windows端末を一例にデバイス証明書を条件として接続を許可する場合の設定手順は以下のとおりです。

手順（デバイス証明書のインストール）

端末側にインストールするデバイス証明書は以下の条件を満たす必要があります。

• P12形式（.p12）であること
• 秘密鍵が含まれていること

インストール方法は下記のとおりです。
※下記は1例でありこの方法のみに限定されません。

1. 証明書ファイルを押下し、保存場所にローカルコンピューターを指定します。
   
2. 表示される内容に従い 次へ を押下します。
   
3. 証明書ストアの参照より個人を選択します。
   
4. 完了を押下します。
   

以上の手順でデバイス証明書の準備が完了しました。

手順（ルート証明書のアップロード）

CMAにアップロードするルート証明書は以下の条件を満たす必要があります。

• PEM形式（.pem）であること
• デバイス証明書を検証可能なルート証明書であること

Access > Client Access > Signing certificates よりNewを押下しルート証明書がアップロード可能です。
複数のルート証明書がアップロード可能です。
デバイス証明書はいずれかのルート証明書と紐づいていることが必要です。

手順（Client Connectivity Policyの作成）

デバイス証明書を条件とした接続ルールを作成します。
以下の方法でClient Connectivity Policyを設定します。

1. Resources > Device Posture > Device Checks より New を押下します。
   General欄よりDevice Certificate を選択し保存します。
   
2. Resources > Device Posture > Device Posture Profilesより New を押下します。
   Device Checks欄よりDevice Certificateを選択し、
   続いて項1で作成したDevice Checks名を選択し保存します。
   
3. Access > Client Connectivity Policy より New を押下し、
   Device Posture Profiles欄よりDevice Profileを選択し、
   続いて項2で作成したDevice Posture Profiles名を選択し保存します。
   Action欄が Allow であることで接続が許可されます。
   要件に応じてユーザー範囲やOSを指定します。
   

以上の手順でデバイス証明書に基づき接続を許可するルールの作成が完了しました。
Client Connectivity Policyは末尾に暗黙の拒否ルールが存在するため、
デバイス証明書をインストールしていない端末は、
デバイス証明書のルールに合致せず、暗黙の拒否ルールによって接続することが出来なくなります。

Client Connectivity Policyを初めて導入する際は、
末尾に明示的にAnyAnyAllowの許可ルールを作成したうえで
少数ユーザーを対象にテストすることを推奨します。

Client Connectivity Policyに関する注意点は、
「Client Connectivity Policyはどのような順番で評価されますか？」もご参照ください。

補足

本稿は下記メーカーKBを参考に作成されています。
Managing Signing Certificates for Remote Access – Cato Learning Center
Distributing Device Certificates to Windows Devices With Certutil – Cato Learning Center
本稿の内容は公開日時時点の情報に基づきます。