Client Connectivity Policyで作成したルールは上から順番に評価されます。
ある特定のユーザーがルールに合致しない時は接続をBlockされるのではなく、
後順位のルールに評価が移ります。

例

以下の画像では、Rule1において特定ユーザーとプロファイルAを条件とし接続を許可しています。
Rule2においては全てのユーザーの接続を許可しています。
特定ユーザーがプロファイルAの条件を満たさない場合は、
Rule2に評価が移り特定ユーザーの接続が許可されます。
特定ユーザーがプロファイルAの条件を満たさない＝Blockではありません。

Client Connectivity Policyにおけるその他の注意点は以下のとおりです。

注意点1

Client Connectivity Policyを有効化した場合、ルール末尾には暗黙のBlockが存在します。
全てのルールに合致しないユーザーはCato Clientの接続が拒否されます。
以下の画像のとおりデフォルトルールとしてAnyAnyBlockのルールが存在します。

注意点2

Client Connectivity PolicyはSDPユーザーを対象としています。
Siteに接続されたユーザーには機能しません。

注意点3

一つのルールの中に複数のDevice Posture Profileを含んだ場合はOR条件となります。
以下の画像例では、特定ユーザーはプロファイルAまたはプロファイルBの条件を満たせば、
ルールに合致したものと見なされ接続が許可されます。

補足

本稿は下記メーカーKBを参考に作成されています。
What is the Client Connectivity Policy? 
Configuring the Client Connectivity Policy
本稿の内容は公開日時時点の情報に基づきます。