Não há nada que impeça que as máquinas do grupo de trabalho usem o TMG como proxy, mas você não poderá autenticar os usuários usando a Autenticação Integrada no IE ou no cliente TMG.
Se você configurar as máquinas como clientes proxy (ou seja, configurando o endereço de proxy no navegador) e não houver regras que permitam conexões anônimas, os usuários do grupo receberão um prompt de logon do navegador - e precisarão de um domínio conta. Isso pode irritar os usuários e, se você precisar fornecer uma conta de domínio para cada usuário, também poderá ingressar as máquinas no domínio.
Se você quiser que as máquinas do grupo de trabalho tenham o mesmo conjunto de restrições (talvez um conjunto diferente de restrições das máquinas associadas ao domínio), você poderá garantir que todas elas tenham endereços IP em um intervalo específico e restringir o tráfego com base esse intervalo. Você precisaria permitir que as conexões fossem anônimas.