Cara melakukan deprovisi perangkat yang sebelumnya telah diprovisi otomatis

Anda mungkin merasa perlu untuk mendeprovisi perangkat yang sebelumnya diprovisi secara otomatis melalui Layanan Provisi Perangkat. Misalnya, perangkat dapat dijual atau dipindahkan ke hub IoT yang berbeda, atau mungkin hilang, dicuri, atau dalam bahaya.

Secara umum, deprovisi perangkat melibatkan dua langkah:

1. Disenroll perangkat dari layanan provisi Anda untuk mencegah provisi otomatis di masa mendatang. Bergantung pada apakah Anda ingin mencabut akses untuk sementara atau permanen, Anda dapat menonaktifkan atau menghapus entri pendaftaran. Untuk perangkat yang menggunakan atestasi X.509, Anda mungkin ingin menonaktifkan/menghapus entri dalam hierarki grup pendaftaran yang ada.

   • Untuk mempelajari cara pencabutan pendaftaran perangkat, lihat Cara pencabutan perangkat dari Azure IoT Hub Device Provisioning Service.
   • Untuk mempelajari cara pencabutan pendaftaran perangkat secara terprogram menggunakan salah satu SDK layanan provisi, lihat Kelola pendaftaran perangkat dengan SDK layanan.

2. Batalkan pendaftaran perangkat dari hub IoT Anda untuk mencegah komunikasi dan transfer data di masa mendatang. Sekali lagi, Anda dapat menonaktifkan sementara atau menghapus entri perangkat secara permanen di registri identitas untuk IoT Hub tempat perangkat tersebut diprovisi. Lihat Nonaktifkan perangkat untuk mempelajari selengkapnya tentang penonaktifan.

Langkah-langkah tepat yang Anda ambil untuk mendeprovisi perangkat tergantung pada mekanisme atestasinya dan entri pendaftaran yang berlaku dengan layanan provisi Anda. Bagian berikut memberikan gambaran umum proses, berdasarkan jenis pendaftaran dan atestasi.

Pendaftaran individu

Perangkat yang menggunakan atestasi TPM atau atestasi X.509 dengan sertifikat daun diprovisi melalui entri pendaftaran individu.

Untuk mendeprovisi perangkat yang memiliki pendaftaran individual:

1. Cabut pendaftaran perangkat dari layanan provisi Anda:

   • Untuk perangkat yang menggunakan atestasi TPM, hapus entri pendaftaran individual untuk mencabut akses perangkat secara permanen ke layanan provisi, atau nonaktifkan entri untuk mencabut aksesnya untuk sementara waktu.
   • Untuk perangkat yang menggunakan atestasi X.509, Anda dapat menghapus atau menonaktifkan entri. Namun, perlu diperhatikan, jika Anda menghapus pendaftaran individual untuk perangkat yang menggunakan X.509 dan grup pendaftaran yang diaktifkan ada untuk sertifikat penandatanganan dalam rantai sertifikat perangkat tersebut, perangkat dapat mendaftar kembali. Untuk perangkat tersebut, mungkin lebih aman untuk menonaktifkan entri pendaftaran. Melakukan hal tersebut mencegah perangkat mendaftar ulang, terlepas dari apakah grup pendaftaran yang diaktifkan ada untuk salah satu sertifikat penandatanganannya.

2. Nonaktifkan atau hapus perangkat di registri identitas IoT Hub tempat perangkat tersebut diprovisikan.

Grup pendaftaran

Dengan atestasi X.509, perangkat juga dapat diprovisi melalui grup pendaftaran. Grup pendaftaran dikonfigurasi dengan sertifikat penandatanganan, baik sertifikat CA menengah atau akar, dan mengontrol akses ke layanan provisi untuk perangkat dengan sertifikat tersebut dalam rantai sertifikat mereka. Untuk mempelajari selengkapnya tentang grup pendaftaran dan sertifikat X.509 dengan layanan provisi, lihat atestasi sertifikat X.509.

Untuk melihat daftar perangkat yang telah diprovisi melalui grup pendaftaran, Anda dapat melihat detail grup pendaftaran. Ini adalah cara mudah untuk memahami IoT Hub mana yang telah diprovisi oleh setiap perangkat. Untuk melihat daftar perangkat:

1. Masuk ke portal Azure dan navigasikan ke layanan provisi Anda.

2. Pilih Kelola pendaftaran, lalu pilih tab Grup pendaftaran.

3. Pilih grup pendaftaran untuk membuka detailnya.

4. Pilih Detail untuk melihat rekaman pendaftaran untuk grup pendaftaran.

   

Dengan kelompok pendaftaran, ada dua skenario yang perlu dipertimbangkan:

• Untuk mendeprovisi semua perangkat yang telah diprovisi melalui grup pendaftaran:

  1. Nonaktifkan grup pendaftaran untuk melarang sertifikat penandatanganannya.

  2. Gunakan daftar perangkat yang diprovisi untuk grup pendaftaran tersebut untuk menonaktifkan atau menghapus setiap perangkat dari registri identitas IoT Hub masing-masing.

  3. Setelah menonaktifkan atau menghapus semua perangkat dari IoT Hub masing-masing, Anda dapat secara opsional menghapus grup pendaftaran. Namun, ketahuilah, bahwa jika Anda menghapus grup pendaftaran dan ada grup pendaftaran yang diaktifkan untuk sertifikat penandatanganan yang lebih tinggi dalam rantai sertifikat satu atau beberapa perangkat, perangkat tersebut dapat mendaftar kembali.

     Catatan

     Menghapus grup pendaftaran tidak menghapus rekaman pendaftaran untuk perangkat dalam grup. DPS menggunakan catatan pendaftaran untuk menentukan apakah jumlah maksimum pendaftaran telah tercapai untuk instans DPS. Catatan pendaftaran yatim piatu masih dihitung terhadap kuota ini. Untuk jumlah maksimum pendaftaran saat ini yang didukung untuk instans DPS, lihat Kuota dan batasan.

     Anda mungkin ingin menghapus catatan pendaftaran untuk grup pendaftaran sebelum menghapus grup pendaftaran itu sendiri. Anda dapat melihat dan mengelola catatan pendaftaran untuk grup pendaftaran secara manual di halaman status pendaftaran untuk grup di portal Azure. Atau, Anda dapat mengambil dan mengelola rekaman pendaftaran secara terprogram menggunakan REST API Status Pendaftaran Perangkat atau API yang setara di SDK layanan DPS, atau menggunakan perintah Azure CLI pendaftaran grup pendaftaran az iot dps.

• Untuk mendeprovisi satu perangkat dari grup pendaftaran:

  1. Buat pendaftaran individual yang dinonaktifkan untuk perangkat.

     • Jika Anda memiliki sertifikat perangkat (entitas akhir), Anda dapat membuat pendaftaran individu X.509 yang dinonaktifkan.
     • Jika Anda tidak memiliki sertifikat perangkat, Anda dapat membuat pendaftaran individual kunci konten yang dinonaktifkan berdasarkan ID perangkat dalam catatan pendaftaran untuk perangkat tersebut.

     Untuk mempelajari selengkapnya, lihat Melarang perangkat tertentu dalam grup pendaftaran.

     Kehadiran pendaftaran individu yang dinonaktifkan untuk perangkat mencabut akses ke layanan provisi untuk perangkat tersebut sambil tetap mengizinkan akses untuk perangkat lain yang memiliki sertifikat penandatanganan grup pendaftaran dalam rantai mereka. Jangan hapus pendaftaran individual yang dinonaktifkan untuk perangkat. Melakukannya akan memungkinkan perangkat untuk mendaftar ulang melalui grup pendaftaran.

  2. Gunakan daftar perangkat terprovisi untuk grup pendaftaran tersebut untuk menemukan IoT Hub yang diprovisi perangkat dan menonaktifkan atau menghapusnya dari registri identitas hub tersebut.