Always-OnのUsers & GroupsをAnyに設定しているルールの上位に、
以下のルールを作成することで該当ユーザーをAlways-Onの対象外とすることができます。

設定手順

1. Access > Access Configuration >Always-On Policy に進みNewを押下します。
   
2. Rule Orderに、例外を適用したいルールの上位に位置する番号を設定します。
   
3. Users & GroupsでUserを選択し対象外としたいユーザーを設定します。
   
4. ConnectedにOn-Demandを選択し、Apply及びSaveを押下します。
   

設定例

この例では#2 Anyルールで全てのユーザーをAlways-Onの対象としていますが、
上位に適用対象外ユーザーをOn-Demandに設定した#1 例外ルールを作成しています。
Always-Onの各ルールは上位から評価されるため、
特定ユーザーをAlways-Onの対象外とすることができます。

On-Demandについて

On-Demandはユーザーが任意にCatoClientの接続と切断を行うことができる状態です。
Always-Onを設定しないことと同義になります。

Always-Onポリシーの概要については下記FAQ記事をご参照ください。
Always-On Policy機能について

補足

本稿は下記メーカーKBを参考に作成されています。
Protecting Users with Always-On Security