Cara membatalkan pendaftaran atau mencabut perangkat dari Azure IoT Hub Device Provisioning Service

  • Artikel

Manajemen informasi masuk perangkat yang tepat sangat penting untuk sistem profil tinggi seperti solusi IoT. Praktik terbaik untuk sistem tersebut adalah memiliki rencana yang jelas tentang cara mencabut akses untuk perangkat ketika informasi masuk mereka, apakah token tanda tangan akses bersama (SAS) atau sertifikat X.509, mungkin dikompromikan.

Pendaftaran di Device Provisioning Service memungkinkan perangkat untuk diprovisikan. Perangkat yang disediakan adalah perangkat yang telah terdaftar di IoT Hub, memungkinkannya untuk menerima status perangkat ganda awalnya dan mulai melaporkan data telemetri.

Artikel ini menjelaskan cara mencabut perangkat dari instans layanan provisi Anda, mencegahnya diprovisikan atau diprovisikan ulang di masa mendatang. Menonaktifkan pendaftaran individu atau grup pendaftaran tidak menghapus pendaftaran perangkat yang ada dari IoT Hub. Untuk mempelajari cara mendeprovisi perangkat yang telah diprovisikan ke hub IoT, lihat Mengelola deprovisi.

Melarang perangkat dengan menggunakan pendaftaran individu

Untuk melarang perangkat diprovisikan melalui Device Provisioning Service, Anda dapat mengubah status provisi pendaftaran individu untuk mencegah perangkat menyediakan dan memprovisi ulang. Anda dapat memanfaatkan kemampuan ini jika perangkat berulah di luar parameter normalnya atau diasumsikan disusupi, atau sebagai cara untuk menguji mekanisme percobaan ulang provisi perangkat Anda.

Jika perangkat yang ingin Anda larang disediakan melalui grup pendaftaran, lihat langkah-langkah untuk Melarang perangkat tertentu dari grup pendaftaran X.509.

Catatan

Ketahui kebijakan percobaan kembali perangkat yang Anda cabut aksesnya. Misalnya, perangkat yang memiliki kebijakan percobaan kembali tak terbatas mungkin terus mencoba mendaftar ke layanan provisi. Situasi itu mengonsumsi sumber daya layanan seperti kuota operasi layanan dan mungkin memengaruhi performa.

  1. Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.

  2. Pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.

  3. Pilih entri pendaftaran untuk perangkat yang ingin Anda larang.

  4. Pada halaman detail pendaftaran, kosongkan centang kotak Aktifkan pendaftaran ini di bagian Status provisi lalu pilih Simpan.

    Screenshot that shows disabling an individual enrollment in the portal.

Jika perangkat IoT berada di akhir siklus hidup perangkatnya dan tidak boleh lagi diizinkan untuk menyediakan solusi IoT, pendaftaran perangkat harus dihapus dari Device Provisioning Service:

  1. Di layanan provisi Anda, pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.

  2. Pilih kotak centang di samping entri pendaftaran untuk perangkat yang ingin Anda larang.

  3. Pilih Hapus di bagian atas jendela, lalu pilih Ya untuk mengonfirmasi bahwa Anda ingin menghapus pendaftaran.

    Screenshot that shows deleting an individual enrollment in the portal.

Larang sertifikat OS menengah atau akar X.509 dengan menggunakan grup pendaftaran

Sertifikat X.509 biasanya diatur dalam rantai sertifikat kepercayaan. Jika sertifikat pada tahap apa pun dalam rantai menjadi terganggu, kepercayaan rusak. Sertifikat harus dilarang untuk mencegah Device Provisioning Service provisi perangkat downstream dalam rantai apa pun yang berisi sertifikat tersebut. Untuk mempelajari lebih lanjut tentang sertifikat X.509 dan cara mereka digunakan dengan layanan provisi, lihat sertifikat X.509.

Grup pendaftaran adalah entri untuk perangkat yang memiliki mekanisme pengesahan umum sertifikat X.509 yang ditandatangani oleh OS menengah atau akar yang sama. Entri grup pendaftaran dikonfigurasi dengan sertifikat X.509 yang terkait dengan OS menengah atau akar. Entri ini juga dikonfigurasi dengan nilai konfigurasi apa pun, seperti status ganda dan koneksi hub IoT, yang dibagikan oleh perangkat dengan sertifikat tersebut dalam rantai sertifikat mereka. Untuk melarang sertifikat, Anda bisa menonaktifkan atau menghapus grup pendaftarannya.

Untuk melarang sementara sertifikat dengan menonaktifkan grup pendaftarannya:

  1. Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.

  2. Di layanan provisi Anda, pilih Kelola pendaftaran, lalu pilih tab Grup Pendaftaran.

  3. Pilih grup pendaftaran menggunakan sertifikat yang ingin Anda larang.

  4. Pada halaman detail pendaftaran, kosongkan centang kotak Aktifkan pendaftaran ini di bagian Status provisi lalu pilih Simpan.

    Disable enrollment group entry in the portal

Untuk melarang sertifikat secara permanen dengan menghapus grup pendaftarannya:

  1. Di layanan provisi Anda, pilih Kelola pendaftaran, lalu pilih tab Grup Pendaftaran.

  2. Pilih kotak centang di samping grup pendaftaran untuk sertifikat yang ingin Anda larang.

  3. Pilih Hapus di bagian atas jendela, lalu pilih Ya untuk mengonfirmasi bahwa Anda ingin menghapus grup pendaftaran.

    Delete enrollment group entry in the portal

Setelah Anda menyelesaikan prosedur, Anda akan melihat entri Anda dihapus dari daftar pendaftaran grup.

Catatan

Jika Anda menghapus grup pendaftaran untuk sertifikat, perangkat yang memiliki sertifikat dalam rantai sertifikat mereka mungkin masih dapat mendaftar jika grup pendaftaran yang diaktifkan untuk sertifikat akar atau sertifikat menengah lain yang lebih tinggi dalam rantai sertifikat mereka ada.

Catatan

Menghapus grup pendaftaran tidak menghapus rekaman pendaftaran untuk perangkat dalam grup. DPS menggunakan catatan pendaftaran untuk menentukan apakah jumlah maksimum pendaftaran telah tercapai untuk instans DPS. Catatan pendaftaran yatim piatu masih dihitung terhadap kuota ini. Untuk jumlah maksimum pendaftaran saat ini yang didukung untuk instans DPS, lihat Kuota dan batasan.

Anda mungkin ingin menghapus catatan pendaftaran untuk grup pendaftaran sebelum menghapus grup pendaftaran itu sendiri. Anda dapat melihat dan mengelola catatan pendaftaran untuk grup pendaftaran secara manual pada tab Status pendaftaran untuk grup di portal Azure. Anda dapat mengambil dan mengelola rekaman pendaftaran secara terprogram menggunakan REST API Status Pendaftaran Perangkat atau API yang setara di SDK layanan DPS, atau menggunakan perintah Azure CLI pendaftaran grup pendaftaran az iot dps.

Melarang perangkat tertentu dari grup pendaftaran X.509

Jika Anda memiliki perangkat yang disediakan melalui grup pendaftaran yang ingin Anda daftarkan, Anda dapat melakukannya dengan membuat pendaftaran individual yang dinonaktifkan hanya untuk perangkat tersebut. Saat perangkat terhubung dan mengautentikasi dengan Device Provisioning Service, layanan pertama-tama mencari pendaftaran individu dengan ID pendaftaran yang cocok. Hanya jika tidak ada pendaftaran individu yang ditemukan untuk perangkat, maka layanan mencari grup pendaftaran.

Untuk melarang perangkat individual dalam grup pendaftaran, ikuti langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.

  2. Di layanan provisi Anda, pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.

  3. Pilih Tambahkan pendaftaran individual.

  4. Ikuti langkah yang sesuai tergantung pada apakah Anda memiliki sertifikat perangkat (entitas akhir) atau tidak.

    • Jika Anda memiliki sertifikat perangkat, berikan nilai berikut ini di halaman Tambahkan pendaftaran :

      Bidang Deskripsi
      Mekanisme pengesahan Pilih sertifikat klien X.509
      File sertifikat utama Unggah sertifikat perangkat. Untuk sertifikat, gunakan sertifikat entitas akhir yang ditandatangani yang diinstal pada perangkat. Perangkat menggunakan sertifikat entitas akhir yang ditandatangani untuk autentikasi.

    • Jika Anda tidak memiliki sertifikat perangkat, berikan nilai berikut ini di halaman Tambahkan pendaftaran :

      Bidang Deskripsi
      Mekanisme pengesahan Pilih Kunci konten
      Membuat kunci konten secara otomatis : Pastikan kotak centang ini dipilih. Kunci tidak penting untuk skenario ini.
      ID Pendaftaran Jika perangkat telah disediakan, gunakan ID perangkat IoT Hub-nya. Anda dapat menemukan ini di catatan pendaftaran grup pendaftaran, atau di hub IoT tempat perangkat disediakan. Jika perangkat belum disediakan, masukkan CN sertifikat perangkat. (Dalam kasus terakhir ini, Anda tidak memerlukan sertifikat perangkat, tetapi Anda perlu mengetahui CN.)

  5. Gulir ke bagian bawah halaman Tambahkan pendaftaran dan hapus centang pada kotak centang Aktifkan pendaftaran ini.

  6. Pilih Tinjau + buat, lalu pilih Buat.

Saat berhasil membuat pendaftaran, Anda akan melihat pendaftaran perangkat yang dinonaktifkan tercantum di tab Pendaftaran individual.

Langkah berikutnya

Disenrollment juga merupakan bagian dari proses pembatalan provisi yang lebih besar. Deprovisioning perangkat termasuk pembatalan pendaftaran dari layanan provisi, dan pembatalan pendaftaran dari IoT hub. Untuk mempelajari tentang proses lengkap, lihat Cara mendeprovisi perangkat yang sebelumnya disediakan