CMA上の Access > Always-On Policy > Settings にConnect on Bootの設定項目があります。

Connect on Bootとは

Connect on BootはCatoClientのインストールされたデバイスが起動した際に、
自動的にCatoClientが起動し接続を行う機能です。

Connect on Bootが有効化された場合、CatoClientが一度接続を行うと
設定が反映され以下の画像のようにCatoClientのConnect at startupにチェックマークが入ります。
ユーザーは任意にチェックマークを外すことはできず、
以降デバイス起動時にCatoClientが自動的に起動します。

Always-Onとの違い

Always-Onでもデバイス起動時にCatoClientは自動的に起動し接続を行います。
Always-Onのポリシーが適用されたユーザーには、以下の画像のように
CatoClientのConnect at startupにチェックマークが入ります。
これはConnect on Bootの有効化/無効化に影響されません。

Always-OnとConnect on Bootの違いは、
ユーザーが任意にCatoClientの切断(Disconnected)を行えるか否かにあります。

Always-Onは原則、接続を強制しユーザーは切断を行うことはできません。
Connect on Bootではユーザーは任意に切断を行うことができます。

以上がConnect on BootとAlways-Onの違いとなります。

補足

本稿は下記メーカーKBを参考に作成されています。
Protecting Users with Always-On Security