次の方法で共有


CiTool テクニカル リファレンス

CiTool を使用すると、IT 管理者にとって App Control for Business ポリシー管理が容易になります。 このツールを使用して、App Control for Business ポリシーと CI トークンを管理できます。 この記事では、CiTool を使用してポリシーを更新および管理する方法について説明します。 Windows 11、バージョン 22H2、Windows Server 2025 以降の Windows イメージに含まれています。

ポリシー コマンド

コマンド 説明 Alias
--update-policy </Path/To/Policy/File> 現在のシステムでポリシーを追加または更新します。 -up
--remove-policy <PolicyGUID> PolicyGUID で示されているポリシーをシステムから削除します。 -rp
--list-policies アクティブかどうかに関係なく、システム上のすべてのポリシーに関する情報をダンプします。 -lp

トークン コマンド

コマンド 説明 Alias
--add-token <Path/To/Token/File> <--token-id ID> オプションの特定の ID を使用して、現在のシステムにトークンをデプロイします。 -at
--remove-token <ID> ID で示されるトークンをシステムから削除します。 -rt
--list-tokens システム上のすべてのトークンに関する情報をダンプします。 -lt

--add-tokenに関して、<ID>が指定されている場合、<ID>を持つ既存のトークンは存在しません。

その他のコマンド

コマンド 説明 Alias
--device-id コード整合性デバイス ID をダンプします。 -id
--refresh アプリ制御ポリシーの更新を試みます。 -r
--help ツールのヘルプ メニューを表示します。 -h

出力属性と説明

ポリシーの一覧表示 (--list-policies)

Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Base Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Friendly Name: Microsoft Windows Driver Policy
Version: 2814751463178240
Platform Policy: true
Policy is Signed: true
Has File on Disk: false
Is Currently Enforced: true
Is Authorized: true
Status: 0
属性 説明 値の例
ポリシー ID ポリシーの ID をListsします。 d2bda982-ccf6-4344-ac5b-0b44427b6816
基本ポリシー ID 基本ポリシーの ID をListsします。 d2bda982-ccf6-4344-ac5b-0b44427b6816
フレンドリ名 に一覧表示される値 <Setting Provider="PolicyInfo" Key="Information" ValueName="Name"> Microsoft Windows Driver Policy
バージョン に記載されているポリシーのバージョン <VersionEx> 2814751463178240
プラットフォーム ポリシー 脆弱なドライバー ブロックリスト ポリシーなど、ポリシーが Microsoft によって提供されるかどうかを示します。 true
ポリシーが署名済み ポリシーに有効な署名があるかどうかを示します。 true
ディスク上にファイルがある ポリシー ファイルが現在ディスク上にあるかどうかを示します。 false
現在適用されています ポリシー ファイルがアクティブかどうかを示します。 true
承認されている ポリシーでトークンをアクティブ化する必要がある場合、この値はトークンの承認の状態です。 ポリシーにトークンが必要ない場合、この値 は Is Currently Enforced プロパティの値と一致します。 true

アプリ制御ポリシーをデプロイする

CiTool --update-policy "\Windows\Temp\{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}.cip"

システム上のアプリ制御ポリシーを更新する

CiTool --refresh

ポリシー ID を使用して特定のアプリ制御ポリシーを削除する

CiTool --remove-policy "{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}"

システムでアクティブに適用されるアプリ制御ポリシーを一覧表示する

# Check each policy's IsEnforced state and return only the enforced policies
(CiTool -lp -json | ConvertFrom-Json).Policies | Where-Object {$_.IsEnforced -eq "True"} |
Select-Object -Property PolicyID,FriendlyName | Format-List

ヘルプ メニューを表示する

CiTool -h

----------------------------- Policy Commands ---------------------------------
  --update-policy /Path/To/Policy/File
    Add or update a policy on the current system
    aliases: -up
  --remove-policy PolicyGUID
    Remove a policy indicated by PolicyGUID from the system
    aliases: -rp
  --list-policies
    Dump information about all policies on the system, whether they be active or not
    aliases: -lp
----------------------------- Token Commands ---------------------------------
  --add-token Path/To/Token/File <--token-id ID>
    Deploy a token onto the current system, with an optional specific ID
    If <ID> is specified, a pre-existing token with <ID> should not exist.
    aliases:-at
  --remove-token ID
    Remove a Token indicated by ID from the system.
    aliases: -rt
  --list-tokens
    Dump information about all tokens on the system
    aliases: -lt
----------------------------- Misc Commands ---------------------------------
  --device-id
    Dump the Code Integrity Device Id
    aliases: -id
  --refresh
    Attempt to Refresh CI Policies
    aliases: -r
  --help
    Display this message
    aliases: -h