Megosztás a következőn keresztül:

Eszköz regisztrációjának megszüntetése vagy visszavonása az Azure IoT Hub Device Provisioning Service-ből

  • Cikk

Az eszköz hitelesítő adatainak megfelelő kezelése kulcsfontosságú a nagy profilú rendszerek, például az IoT-megoldások esetében. Az ilyen rendszerek ajánlott eljárása az eszközök hozzáférésének visszavonása, ha a hitelesítő adataik , akár a közös hozzáférésű jogosultságkódok (SAS) jogkivonata vagy egy X.509-tanúsítvány sérülhetnek.

A Device Provisioning Service-ben való regisztráció lehetővé teszi az eszköz kiépítését. A kiépített eszköz az IoT Hubon regisztrált eszköz, amely lehetővé teszi az ikereszköz kezdeti állapotának fogadását és a telemetriai adatok jelentésének megkezdését.

Ez a cikk azt ismerteti, hogyan vonhat vissza egy eszközt a kiépítési szolgáltatáspéldányból, és hogyan akadályozhatja meg, hogy a jövőben kiépíthesse vagy újraépíthesse. Az egyéni regisztráció vagy regisztrációs csoport letiltása nem távolít el meglévő eszközregisztrációt az IoT Hubról. Ha tudni szeretné, hogyan bonthat le egy IoT Hubra már kiépített eszközt, olvassa el a Deprovisioning kezelése című témakört.

Eszköz letiltása egyéni regisztrációval

Ha le szeretné tiltani az eszköz kiépítését az Eszközkiépítési szolgáltatáson keresztül, módosíthatja az egyes regisztrációk kiépítési állapotát, hogy megakadályozza az eszköz kiépítését és újbóli kiépítését. Ezt a képességet akkor használhatja, ha az eszköz a szokásos paraméterein kívül viselkedik, vagy azt feltételezi, hogy sérült, vagy így tesztelheti az eszközök kiépítési újrapróbálkozási mechanizmusát.

Ha a letiltani kívánt eszköz egy regisztrációs csoporton keresztül lett kiépítve, tekintse meg az X.509 regisztrációs csoport egyes eszközeinek letiltására vonatkozó lépéseket.

Feljegyzés

Vegye figyelembe azoknak az eszközöknek az újrapróbálkozési szabályzatát, amelyekhez visszavonja a hozzáférést. Előfordulhat például, hogy egy végtelen újrapróbálkozási szabályzattal rendelkező eszköz folyamatosan megpróbál regisztrálni a kiépítési szolgáltatásban. Ez a helyzet olyan szolgáltatáserőforrásokat használ fel, mint a szolgáltatásműveleti kvóták, és valószínűleg hatással van a teljesítményre.

  1. Jelentkezzen be az Azure Portalra , és keresse meg a Device Provisioning Service-példányt.

  2. Válassza a Regisztrációk kezelése lehetőséget, majd az Egyéni regisztrációk lapot.

  3. Válassza ki a letiltani kívánt eszköz regisztrációs bejegyzését.

  4. A regisztráció részletei lapon törölje a jelet a Beléptetés engedélyezése jelölőnégyzetből a Kiépítés állapota szakaszban, majd válassza a Mentés lehetőséget.

    Képernyőkép egy egyéni regisztráció letiltásról a portálon.

Ha egy IoT-eszköz az eszköz életciklusának végén van, és a továbbiakban nem szabad engedélyezni az IoT-megoldás kiépítését, az eszközregisztrációt el kell távolítani a Device Provisioning Service-ből:

  1. A kiépítési szolgáltatásban válassza a Regisztrációk kezelése lehetőséget, majd az Egyéni regisztrációk lapot.

  2. Jelölje be a letiltani kívánt eszköz regisztrációs bejegyzése melletti jelölőnégyzetet.

  3. Válassza a Törlés lehetőséget az ablak tetején, majd az Igen gombra kattintva erősítse meg, hogy el szeretné távolítani a regisztrációt.

    Képernyőkép egy egyéni regisztráció törléséről a portálon.

X.509 köztes vagy fő hitelesítésszolgáltatói tanúsítvány letiltása regisztrációs csoport használatával

Az X.509-tanúsítványok általában megbízhatósági tanúsítványláncba vannak rendezve. Ha egy lánc bármely szakaszában sérül a tanúsítvány, a megbízhatóság megszakad. A tanúsítványt el kell tiltani, hogy megakadályozza a Device Provisioning Service számára, hogy az eszközöket az adott tanúsítványt tartalmazó láncban az alsóbb rétegben építhesse ki. Az X.509-tanúsítványokról és azok kiépítési szolgáltatással való használatáról további információt az X.509-tanúsítványokban talál.

A regisztrációs csoport olyan eszközök bejegyzése, amelyek azonos köztes vagy legfelső szintű hitelesítésszolgáltató által aláírt X.509-tanúsítványok közös igazolási mechanizmusával rendelkeznek. A regisztrációs csoport bejegyzése a köztes vagy legfelső szintű hitelesítésszolgáltatóhoz társított X.509-tanúsítvánnyal van konfigurálva. A bejegyzés minden olyan konfigurációs értékkel is konfigurálva van, mint például az ikerállapot és az IoT Hub-kapcsolat, amelyeket az eszközök megosztanak ezzel a tanúsítvánnyal a tanúsítványláncukban. A tanúsítvány letiltásához letilthatja vagy törölheti annak regisztrációs csoportját.

A tanúsítvány ideiglenes letiltása a regisztrációs csoport letiltásával:

  1. Jelentkezzen be az Azure Portalra , és keresse meg a Device Provisioning Service-példányt.

  2. A kiépítési szolgáltatásban válassza a Regisztrációk kezelése lehetőséget, majd a Regisztrációs csoportok lapot.

  3. Válassza ki a regisztrációs csoportot a letiltani kívánt tanúsítvány használatával.

  4. A regisztráció részletei lapon törölje a jelet a Beléptetés engedélyezése jelölőnégyzetből a Kiépítés állapota szakaszban, majd válassza a Mentés lehetőséget.

    Regisztrációs csoport bejegyzésének letiltása a portálon

A tanúsítvány végleges letiltása a regisztrációs csoport törlésével:

  1. A kiépítési szolgáltatásban válassza a Regisztrációk kezelése lehetőséget, majd a Regisztrációs csoportok lapot.

  2. Jelölje be a letiltani kívánt tanúsítvány regisztrációs csoportja melletti jelölőnégyzetet.

  3. Válassza a Törlés lehetőséget az ablak tetején, majd az Igen gombra kattintva erősítse meg, hogy el szeretné távolítani a regisztrációs csoportot.

    Regisztrációs csoport bejegyzésének törlése a portálon

Az eljárás befejezése után a bejegyzésnek el kell távolítania a regisztrációs csoportok listájából.

Feljegyzés

Ha töröl egy tanúsítvány regisztrációs csoportját, azoknak az eszközöknek, amelyek tanúsítványláncában szerepel a tanúsítvány, továbbra is regisztrálhatnak, ha a főtanúsítványhoz vagy egy másik, a tanúsítványláncban magasabb szintű köztes tanúsítványhoz engedélyezett regisztrációs csoport létezik.

Feljegyzés

A regisztrációs csoport törlése nem törli a csoport eszközeinek regisztrációs rekordjait. A DPS a regisztrációs rekordokkal határozza meg, hogy elérte-e a dps-példány regisztrációinak maximális számát. Az árva regisztrációs rekordok továbbra is beleszámítanak ebbe a kvótába. A DPS-példányok által támogatott regisztrációk aktuális maximális számáról lásd : Kvóták és korlátok.

Előfordulhat, hogy törölni szeretné a regisztrációs csoport regisztrációs rekordjait, mielőtt törli magát a regisztrációs csoportot. A regisztrációs csoportok regisztrációs rekordjait manuálisan is megtekintheti és kezelheti az Azure Portalon a csoport Regisztráció állapota lapján. A regisztrációs rekordokat programozott módon is lekérheti és kezelheti a DPS szolgáltatás SDK-jaiban található Eszközregisztrációs állapot REST API-kkal vagy azzal egyenértékű API-kkal, vagy az az iot dps regisztrációs csoport regisztrációs Azure CLI-parancsaival.

Bizonyos eszközök letiltása egy X.509-regisztrációs csoportból

Ha rendelkezik egy olyan eszközzel, amelyet egy regisztrációs csoporton keresztül hoztak létre, amelyet le szeretne tiltani, ezt úgy teheti meg, hogy csak az adott eszközhöz hoz létre letiltott egyéni regisztrációt. Amikor egy eszköz csatlakozik és hitelesít a Device Provisioning Service szolgáltatással, a szolgáltatás először egy egyéni regisztrációt keres a megfelelő regisztrációs azonosítóval. A szolgáltatás csak akkor keres regisztrációs csoportokat, ha nem található egyéni regisztráció az eszközön.

Ha le szeretné tiltani az egyes eszközöket egy regisztrációs csoportban, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra , és keresse meg a Device Provisioning Service-példányt.

  2. A kiépítési szolgáltatásban válassza a Regisztrációk kezelése lehetőséget, majd az Egyéni regisztrációk lapot.

  3. Válassza az Egyéni regisztráció hozzáadása lehetőséget.

  4. Kövesse a megfelelő lépést attól függően, hogy rendelkezik-e az eszköz tanúsítványával (end-entity) vagy sem.

    • Ha rendelkezik az eszköztanúsítvánnyal, adja meg a következő értékeket a Regisztráció hozzáadása lapon:

      Mező Leírás
      Igazolási mechanizmus X.509-ügyféltanúsítványok kiválasztása
      Elsődleges tanúsítványfájl Töltse fel az eszköztanúsítványt. A tanúsítványhoz használja az eszközön telepített aláírt végfelhasználói tanúsítványt. Az eszköz az aláírt végfelhasználói tanúsítványt használja a hitelesítéshez.

    • Ha nem rendelkezik az eszköztanúsítvánnyal, adja meg a következő értékeket a Regisztráció hozzáadása lapon:

      Mező Leírás
      Igazolási mechanizmus Szimmetrikus kulcs kiválasztása
      Szimmetrikus kulcsok automatikus létrehozása : Győződjön meg arról, hogy ez a jelölőnégyzet be van jelölve. A kulcsok nem számítanak ebben a forgatókönyvben.
      Regisztrációs azonosító Ha az eszköz már ki van építve, használja az IoT Hub eszközazonosítóját. Ezt megtalálhatja a regisztrációs csoport regisztrációs rekordjaiban, vagy az IoT Hubon, amelybe az eszközt kiépítették. Ha az eszköz még nincs kiépítve, adja meg az eszköztanúsítvány CN-ét. (Ebben az utóbbi esetben nincs szüksége az eszköztanúsítványra, de ismernie kell a CN-t.)

  5. Görgessen a Regisztráció hozzáadása lap aljára, és törölje a jelet az Engedélyezés jelölőnégyzetből.

  6. Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.

Ha sikeresen létrehozta a regisztrációt, látnia kell a letiltott eszközregisztrációt az Egyéni regisztrációk lapon.

Következő lépések

A disenrollment is része a nagyobb leépítési folyamatnak. Az eszköz leépítése magában foglalja a kiépítési szolgáltatásból való törlést és az IoT Hubról való regisztráció törlését is. A teljes folyamat megismeréséhez tekintse meg a korábban kiépített eszközök kivonását ismertető témakört