Sì.
E ci sono molti modi per farlo. Non hai detto quanto sia sensibile / prezioso il bene che stai proteggendo, né quanto sia sicura la rete; questo ha qualche influenza sul livello di protezione che è necessario fornire per l'applicazione.
Una soluzione ovvia è bloccare l'accesso tramite l'indirizzo IP nella configurazione del server web, nell'applicazione o sul firewall tra il server e la rete. Tuttavia, questo sarà efficace solo all'interno di una rete ben gestita e altamente protetta. Lo spoofing di un indirizzo IP è facile all'interno di una LAN.
Ma tu dici che hai più sedi (ma non hai specificato in che modo i siti sono collegati). Quindi è improbabile che sia praticabile nel tuo caso.
Una soluzione migliore sarebbe utilizzare i certificati Clent. Questi non possono essere falsificati (se configurati correttamente) ma possono essere copiati (è solo un file) se non implementati in un modulo hardware o almeno implementati in un runtime di privilegi separato con autorizzazioni appropriate.
Vi sono altri approcci, come ad esempio le password una tantum memorizzate in una posizione opportunamente sicura o l'esecuzione di una VPN sulla parte superiore della LAN (ad esempio ssh, ipsec o openvpn).
Nessuno di questi dovrebbe essere considerato un sostituto dell'autenticazione dell'utente.