Guide pratique pour déprovisionner des appareils auparavant provisionnés automatiquement

Il peut être nécessaire de déprovisionner des appareils qui ont été provisionnés automatiquement par le biais du service Device Provisioning. Par exemple, un appareil peut avoir été vendu ou déplacé vers un autre hub IoT, ou encore perdu, volé ou compromis.

En règle générale, le déprovisionnement d’un appareil implique deux étapes :

1. Désinscrivez l’appareil de votre service d’approvisionnement pour empêcher l’approvisionnement automatique ultérieur. Selon que vous souhaitez révoquer l’accès temporairement ou définitivement, vous pouvez désactiver ou supprimer une entrée d’inscription. Pour les appareils qui utilisent une attestation X.509, il vous faut désactiver/supprimer une entrée dans la hiérarchie de vos groupes d’inscription existants.

   • Pour découvrir comment désinscrire un appareil, consultez la section Révoquer l’accès des appareils à votre service de provisionnement dans le portail Azure.
   • Pour découvrir comment révoquer l’accès des appareils par programmation à l’aide de l’un des SDK de service de provisionnement, consultez la page Manage device enrollments with service SDKs (Gérer les inscriptions d’appareils avec les SDK du service).

2. Annulez l’inscription de l’appareil à partir de votre ioT Hub pour empêcher les communications futures et le transfert de données. Là encore, vous pouvez désactiver temporairement ou supprimer définitivement l’entrée de l’appareil dans le registre des identités pour l’instance IoT Hub où il a été provisionné. Pour en savoir plus sur la désactivation, consultez la section Disable devices (Désactiver les appareils).

Les étapes précises à suivre pour déprovisionner un appareil dépendent de son mécanisme d’attestation et de son entrée d’inscription au service d’approvisionnement. Les sections suivantes fournissent une vue d’ensemble du processus, en fonction du type d’inscription et d’attestation.

Inscriptions individuelles

Les appareils qui utilisent l’attestation TPM ou l’attestation X.509 avec un certificat feuille sont approvisionnés par le biais d’une entrée d’inscription individuelle.

Pour déprovisionner un appareil inscrit individuellement :

1. Désinscrivez l’appareil de votre service d’approvisionnement :

   • Pour un appareil qui utilise l’attestation TPM, supprimez l’entrée d’inscription individuelle pour révoquer définitivement l’accès de l’appareil au service d’approvisionnement, ou désactivez-la pour révoquer l’accès de façon temporaire.
   • Dans le cas des appareils qui utilisent l’attestation X.509, vous pouvez soit supprimer, soit désactiver l’entrée. Sachez toutefois que, si vous supprimez l’inscription individuelle d’un appareil qui utilise l’attestation X.509 alors qu’il existe un groupe d’inscription activé pour un certificat de signature de la chaîne de certificats de l’appareil, celui-ci pourra se réinscrire. Il est peut-être plus sûr dans ce cas de désactiver l’entrée d’inscription, ce qui empêche l’appareil de se réinscrire, qu’il existe ou non un groupe d’inscription activé pour l’un de ses certificats de signature.

2. Désactivez ou supprimez l’appareil dans le registre des identités du hub IoT dans lequel il était approvisionné.

Groupes d’inscription

Avec l’attestation X.509, les appareils peuvent également être provisionnés par le biais d’un groupe d’inscription. Les groupes d’inscription sont configurés avec un certificat de signature (certificat intermédiaire ou certificat d’autorité de certification racine) et ils contrôlent l’accès au service de provisionnement pour les appareils dont la chaîne de certificats contient ce certificat. Pour en savoir plus sur les groupes d’inscription et les certificats X.509 avec le service de provisionnement, consultez Attestation de certificat X.509.

Pour voir la liste des appareils qui ont été provisionnés par le biais d’un groupe d’inscription, vous pouvez afficher les détails du groupe d’inscription. C’est une manière simple de savoir dans quel hub IoT chaque appareil a été provisionné. Pour afficher la liste des appareils

1. Connectez-vous au Portail Azure et accédez à votre service d’approvisionnement.

2. Sélectionnez Gérer les inscriptions, puis sélectionnez l’onglet Groupes d’inscriptions.

3. Sélectionnez le groupe d’inscription pour ouvrir ses détails.

4. Sélectionnez Détails pour afficher les enregistrements d’inscription du groupe d’inscription.

   

Avec les groupes d’inscriptions, il existe deux scénarios à prendre en compte :

• Pour déprovisionner tous les appareils qui ont été approvisionnés par le biais d’un groupe d’inscription :

  1. Désactivez le groupe d’inscription pour interdire l’utilisation de son certificat de signature.

  2. Utilisez la liste des appareils approvisionnés pour ce groupe d’inscription afin de désactiver ou de supprimer de son hub IoT chacun des appareils du registre des identités.

  3. Après avoir désactivé ou supprimé tous les appareils de leurs hubs IoT respectifs, vous pouvez éventuellement supprimer le groupe d’inscription. Sachez toutefois que si vous supprimez le groupe d’inscription et qu’il existe un groupe d’inscription activé pour un certificat de signature plus haut dans la chaîne de certificats d’un ou plusieurs des appareils, ces appareils peuvent réinscrire.

     Remarque

     La suppression d’un groupe d’inscriptions ne supprime pas les enregistrements d’inscription des appareils du groupe. DPS utilise les enregistrements d’inscription pour déterminer si le nombre maximal d’inscriptions a été atteint pour l’instance DPS. Les enregistrements d’inscription orphelins sont toujours comptabilisés dans ce quota. Pour connaître le nombre maximal actuel d’inscriptions prises en charge pour une instance DPS, consultez Quotas et limites.

     Vous pouvez supprimer les enregistrements d’inscription du groupe d’inscription avant de supprimer le groupe d’inscription lui-même. Vous pouvez voir et gérer les enregistrements d’inscription d’un groupe d’inscription manuellement dans la page d’état de l’inscription du groupe dans le Portail Azure. Vous pouvez également récupérer et gérer les enregistrements d’inscription par programmation à l’aide des API REST d’état d’inscription de l’appareil ou des API équivalentes dans les kits SDK de service DPS, ou à l’aide des commandes Azure CLI d’inscription de groupe d’inscription iots az iot.

• Pour déprovisionner un seul appareil d’un groupe d’inscription :

  1. Créez une inscription individuelle désactivée pour l’appareil.

     • Si vous avez le certificat d’appareil (entité finale), vous pouvez créer une inscription individuelle X.509 désactivée.
     • Si vous n’avez pas le certificat de l’appareil, vous pouvez créer une clé symétrique désactivée, basée sur l’ID de l’appareil dans l’enregistrement d’inscription de cet appareil.

     Pour plus d’informations, consultez Bloquer des appareils spécifiques dans un groupe d’inscriptions.

     La présence d’une inscription individuelle désactivée révoque l’accès au service de provisionnement pour cet appareil tout en autorisant l’accès pour d’autres appareils dont la chaîne contient le certificat de signature du groupe d’inscription. Ne supprimez pas l’inscription individuelle désactivée pour l’appareil, car cela permettrait à l’appareil d’être réinscrit par le biais du groupe d’inscription.

  2. Utilisez la liste des appareils approvisionnés de ce groupe d’inscription pour trouver le hub IoT dans lequel l’appareil était approvisionné, et désactivez-le ou supprimez-le du registre des identités de ce hub.