您在使用飞连动态控制模块的过程中，遇到疑问时可参考以下常见问题及解决方案。

动态控制中的触发参数，属于和包含怎么理解？

• 属于：如果集合 [A, B] 中的某个元素在集合 [B, C] 中也存在，则可以匹配。
• 包含：如果集合 [A, B] 包含 [B, C] 中的任意一个元素，则可以匹配。

某成员无法命中触发方式为“获取 VPN 节点”的动态策略是什么原因？

如果动态决策规则组中触发方式设置为“获取 VPN 节点”，则成员需要有以下操作才能重新拉取 VPN 节点列表，以触发该条策略。

1. 启动应。
2. 进入网络。
3. 打开节点列。
4. 检测到网络切。

动态控制功能调用内置的应用控制模板失败如何处理？

请您确认是否购买了应用控制的 License，未购买会导致调用报错。

动态控制功能中配置的机器人发送通知未引用真实信息，而是固定文字如何处理？

您需要确认配置的通知内容格式是否正确，变量需要使用井号（＃）引导出相关配置选项。

为什么动态控制策略未生效？

1. 若用户为首次登录，信息没有上报，所以未生效动态控制策略，第二次登录后触发动态控制策略。
2. 在动态控制 > 触发日志中，检查触发条件的触发参数是否为空。
3. 建议配置动态策略触发方式为周期触发（ 5分钟）。

为什么动态策略降级的设备手动恢复了依旧被降级？

您可以在处置记录模块检索该设备看看是否被多条策略命中降级了，所有该设备降级需要都进行恢复。

员工为何未命中“调整可见 VPN 节点”的动态决策规则（节点列表未更新）？

问题原因
客户端未触发刷新机制。“获取 VPN 节点”策略并非实时推送生效，而是需要客户端主动发起“拉取节点列表”的请求动作时才会触发。
解决方案
员工需执行以下任一操作以触发策略匹配与列表刷新：

1. 重启飞连客户端。
2. 进入客户端网络页面。
3. 点击打开 VPN 节点选择列表。
4. 切换终端的物理网络（如切换 Wi-Fi），触发环境感知刷新。

如何实现检测到员工安装特定应用（如 QQ）后自动处置并通知？

请通过组合配置终端风险检测和动态控制规则实现。

1. 配置检测策略
   1. 进入终端 > 终端管理 > 终端基线 > 策略配置，点击 + 新建检测策略。
   2. 在检测项中选择应用风险检测。
   3. 选中目标应用（如 QQ），将其标记为风险软件。
   4. 在检测方式中选择定时巡检（如每 5 分钟），以确保及时发现。
      
2. 配置联动响应
   1. 进入动态控制 > 控制策略，点击 + 新建规则组。
   2. 触发条件选择动态触发。
   3. 触发方式选择终端风险检测 > 应用风险。
   4. 触发参数中设定条件 设备信息/设备应用信息 包含 QQ。
   5. 按需配置动作（如弹窗警告、断网）及第三方通知（如飞书/钉钉通知管理员）。

设备首次连 Wi-Fi 未触发动态降级策略，重连后才生效，原因是什么？

问题原因
设备指纹 (DID) 关联滞后。
设备首次接入时，RADIUS 服务器尚未建立该终端 IP/MAC 与飞连 DID 的映射关系，因此无法匹配基于 DID 的高级策略，仅能下发基于账号的基础 VLAN 权限。
当设备再次连接时，系统已通过之前的计费报文获取并关联了设备信息，从而能够正确识别 DID 并触发动态降级规则。

多条动态决策规则组同时命中且动作类型相同，生效顺序如何？

随机生效。
系统不保证跨规则组的执行顺序。为避免冲突和不确定性，建议将针对同一触发条件的所有处置动作（如既弹窗又断网）合并配置在同一个规则组内。

卸载飞连后，为何未触发“未安装客户端则降级 Wi-Fi”的动态决策规则？

问题原因
条件逻辑定义限制。 参数项是否安装并登录飞连 通常仅判定“该设备历史记录中是否从未有过安装记录”。对于曾经安装过但现已卸载的设备，系统仍保留其历史设备指纹，因此判定该条件为假（False），导致规则组整体逻辑（AND）不成立。
解决方案
可参照下图优化规则逻辑，引入活跃时间作为辅助判断依据。

上图中参数组合的效果为终端超过一小时没活跃或者从未安装过飞连时，进行 Wi-Fi 降级。