Acabei de me lembrar de algo que li há meio ano, quando fiz algumas leituras em pastas de trabalho também. A conta de convidado no AD tinha que ser desativada.
Eu encontrei tentativas de conexão no log onde o usuário 'Guest' não foi encontrado no servidor do AD e o acesso de pastas de trabalho foi negado. Achei isso estranho e lógico ao mesmo tempo, porque esperava um pop-up de login que também aparecia quando eu me conectava através de VPN. Como eu ainda não tinha inserido as credenciais, o servidor obviamente me considerou um convidado. Eu só não achei que seria a conta de convidado do AD.
Então, sim, você pode executar pastas de trabalho junto com uma função de AD (embora o analisador de práticas recomendadas da Microsoft a desestimule). Sem proxy, sem AD FS e sem acesso direto necessário.