Trusted Network Detection (TND) ist keine vom Benutzer kontrollierbare Sicherheitsfunktion. Sie wird von Ihrem VPN Access Point-Administrator über das VPN-Profil erzwungen.
Wenn die DNS-Domäne des Clients nicht unter die im VPN-Profil aufgelisteten Domänen fällt, betrachtet AnyConnect, dass sich der Client unter einer nicht vertrauenswürdigen Domäne befindet und auf der Grundlage der TND-Richtlinie im VPN-Profil Maßnahmen ergreift. In Ihrem Fall besteht eine nicht vertrauenswürdige Netzwerkrichtlinie darin, eine VPN-Verbindung herzustellen (was für ohnehin nicht vertrauenswürdige Netzwerke ohnehin eine Maßnahme sein sollte). Und ja, es ist sehr wahrscheinlich, dass AnyConnect automatisch eine VPN-Verbindung einleitet, wenn Sie aufgrund der TND-Funktion ein WLAN-Netzwerk wechseln.
Hätte Ihr Administrator AlwaysOn auch für die AutomaticVPNPolicy konfiguriert, werden Sie vom Internetzugriff gesperrt, sofern keine VPN-Verbindung besteht.
PS: Die Benutzerkontrolle ist für die TND-Funktion nicht relevant und meine früheren irreführenden Kommentare entschuldigen.