Tecnicamente não, os certs serão confiáveis e você não será o mais sábio. Note que o TMG é, enquanto ilustrativo, um arenque vermelho aqui; máquinas de domínio podem ter certificados de domínio instalados por outros motivos.
Você precisa confiar em qualquer provedor de certificado instalado para emitir apenas certificados válidos para um nome de domínio; seu departamento de TI poderia teoricamente interceptar qualquer tráfego HTTPS e gerar um certificado para ele e para o MITM, e você confiaria no certificado porque seu nome interno é um provedor confiável.
Dito isso, você teria que ter um departamento de TI para conseguir. Dado o número de departamentos de TI que mal consegue administrar o banal, eu não me preocuparia muito com isso. Você poderia descobrir tal subterfúgio verificando as informações do certificado da maneira usual na barra de endereços; o emissor do certificado será o seu domínio interno.