Login Restrictions機能を使用してCMAへのログイン制限を実施する場合、
CMA > Administration > Login Restrictions > Login Restrictions for Cato Management Applicationより
Enable login restrictionsへチェックを入れます。

その後、同時にAllowed Login IPsへCMAへのログインを許可するGIPを登録することで、
登録したGIPからのみCMAへのログインを許可するといった制御が可能となります。

設定後、許可したIP以外からアクセスした場合には下記画像のようなエラー画面が表示されます。

Also allow logins from the NATed IPs項目では、特定のIPを指定せずに
Cato Cloud経由でのみCMAへのログインを許可する場合に設定する項目となります。

本項目を有効にする場合、CMA > Network > Network Rulesにて
App/CategoryにCMAを指定して、CMAを宛先とした通信をNATするよう設定する必要があります。
※以下はルール設定例となりますが、設定したTokyo DC2/Osaka DC2のIPアドレスからのみ
　CMAへのログインを許可する設定となります。
　

補足

本稿は下記のKBを参考に作成されております。
Managing Administrators