A Detecção de Rede Confiável (TND) não é não um recurso de segurança controlável pelo usuário. Ele é imposto pelo administrador do seu ponto de acesso VPN por meio do perfil de VPN.
Quando o domínio DNS do cliente não se enquadra nos domínios listados no perfil de VPN, o AnyConnect considera que o cliente está sob domínio não confiável e executa uma ação com base na política do TND no perfil de VPN. No seu caso, a política de rede não confiável é estabelecer conexão VPN (que deve ser um curso de ação para redes não confiáveis, de qualquer maneira). E sim, é altamente provável que o AnyConnect esteja iniciando automaticamente a conexão VPN quando você está trocando de rede Wi-Fi por causa do recurso TND.
Se o seu administrador tivesse configurado o AlwaysOn também para a AutomaticVPNPolicy , você estaria bloqueado do acesso à Internet, a menos que a conexão VPN fosse estabelecida.
PS: O controle do usuário não é relevante para o recurso TND e desculpe pelos comentários enganosos anteriores.