Você pode criar uma regra para permitir o acesso à Internet de usuários não autorizados e dar-lhe uma prioridade mais alta que a regra, permitindo apenas usuários autenticados; mas, então, os usuários simplesmente teriam permissão para acessar a Internet sem autenticação, porque a segunda regra nunca seria acionada.
Você pode criar uma conta de convidado para ser usada por usuários convidados, com acesso de domínio muito restrito (ou mesmo apenas como um usuário não administrativo local no computador do ISA Server) e usá-lo somente para acesso à Internet.