Memeriksa proses pembatalan provisi

  • 4 menit

Anda mungkin merasa perlu untuk membatalkan provisi perangkat yang sebelumnya tersedia otomatis melalui Device Provisioning Service. Misalnya, perangkat dapat dijual atau dipindahkan ke hub Azure IoT yang berbeda, atau mungkin hilang, dicuri, atau disusupi.

Secara umum, deprovisi perangkat melibatkan dua langkah:

  • Batalkan pendaftaran perangkat dari Device Provisioning Service Anda, untuk mencegah provisi otomatis di masa mendatang. Bergantung pada apakah Anda ingin mencabut akses untuk sementara atau permanen, Anda mungkin ingin menonaktifkan atau menghapus entri pendaftaran. Untuk perangkat yang menggunakan atestasi X.509, Anda mungkin ingin menonaktifkan/menghapus entri dalam hierarki grup pendaftaran yang ada. Disenrollment perangkat dijelaskan secara lebih rinci di halaman unit berikutnya.
  • Batalkan pendaftaran perangkat dari Azure IoT Hub Anda, untuk mencegah komunikasi dan transfer data di masa mendatang. Sekali lagi, Anda dapat menonaktifkan sementara atau menghapus entri perangkat secara permanen di registri identitas untuk Azure IoT Hub tempat perangkat disediakan.

Langkah-langkah tepat yang Anda ambil untuk mendeprovisi perangkat tergantung pada mekanisme atestasinya dan entri pendaftaran yang berlaku dengan layanan provisi Anda.

Bagian berikut memberikan gambaran umum proses, berdasarkan jenis pendaftaran dan atestasi.

Membatalkan provisi pendaftaran individu

Perangkat yang menggunakan atestasi TPM atau atestasi X.509 dengan sertifikat daun diprovisi melalui entri pendaftaran individu.

Untuk mendeprovisi perangkat yang memiliki pendaftaran individual:

  1. Disenroll perangkat dari Device Provisioning Service Anda:

    • Untuk perangkat yang menggunakan pengesahan TPM, hapus entri pendaftaran individual untuk mencabut akses perangkat secara permanen ke Device Provisioning Service, atau nonaktifkan entri untuk mencabut aksesnya untuk sementara waktu.

    • Untuk perangkat yang menggunakan atestasi X.509, Anda dapat menghapus atau menonaktifkan entri. Namun, perlu diperhatikan, jika Anda menghapus pendaftaran individual untuk perangkat yang menggunakan X.509 dan grup pendaftaran yang diaktifkan ada untuk sertifikat penandatanganan dalam rantai sertifikat perangkat tersebut, perangkat dapat mendaftar kembali. Untuk perangkat tersebut, mungkin lebih aman untuk menonaktifkan entri pendaftaran. Melakukan hal tersebut mencegah perangkat mendaftar ulang, terlepas dari apakah grup pendaftaran yang diaktifkan ada untuk salah satu sertifikat penandatanganannya.

      Disenrollment perangkat dijelaskan secara lebih rinci di halaman unit berikutnya.

  2. Nonaktifkan atau hapus perangkat di registri identitas hub Azure IoT tempat perangkat disediakan.

Grup pendaftaran deprovisi

Dengan atestasi X.509, perangkat juga dapat diprovisi melalui grup pendaftaran. Grup pendaftaran dikonfigurasi dengan sertifikat penandatanganan, baik sertifikat OS menengah atau akar, dan mengontrol akses ke Device Provisioning Service untuk perangkat dengan sertifikat tersebut dalam rantai sertifikat mereka.

Untuk melihat daftar perangkat yang disediakan melalui grup pendaftaran, Anda dapat melihat detail grup pendaftaran. Ini adalah cara mudah untuk memahami hub Azure IoT mana yang disediakan oleh setiap perangkat. Untuk melihat daftar perangkat:

  1. Masuk ke portal Azure dan navigasikan ke layanan provisi Anda.

  2. Pilih Kelola pendaftaran, lalu pilih tab Grup pendaftaran.

  3. Pilih grup pendaftaran untuk membuka detailnya.

  4. Pilih Detail untuk melihat rekaman pendaftaran untuk grup pendaftaran.

Dengan kelompok pendaftaran, ada dua skenario yang perlu dipertimbangkan:

  • Untuk mencabut semua perangkat yang disediakan melalui grup pendaftaran:

    1. Nonaktifkan grup pendaftaran untuk melarang sertifikat penandatanganannya.
    2. Gunakan daftar perangkat yang disediakan untuk grup pendaftaran tersebut untuk menonaktifkan atau menghapus setiap perangkat dari registri identitas hub Azure IoT masing-masing.
    3. Setelah menonaktifkan atau menghapus semua perangkat dari hub Azure IoT masing-masing, Anda dapat secara opsional menghapus grup pendaftaran. Namun, ketahuilah, bahwa jika Anda menghapus grup pendaftaran dan ada grup pendaftaran yang diaktifkan untuk sertifikat penandatanganan yang lebih tinggi dalam rantai sertifikat satu atau beberapa perangkat, perangkat tersebut dapat mendaftar kembali.

  • Untuk mendeprovisi satu perangkat dari grup pendaftaran:

    1. Buat pendaftaran individual yang dinonaktifkan untuk perangkat.

      • Jika Anda memiliki sertifikat perangkat (entitas akhir), Anda dapat membuat pendaftaran individu X.509 yang dinonaktifkan.
      • Jika Anda tidak memiliki sertifikat perangkat, Anda dapat membuat pendaftaran individual kunci konten yang dinonaktifkan berdasarkan ID perangkat dalam catatan pendaftaran untuk perangkat tersebut.

      Kehadiran pendaftaran individu yang dinonaktifkan untuk perangkat mencabut akses ke layanan provisi untuk perangkat tersebut sambil tetap mengizinkan akses untuk perangkat lain yang memiliki sertifikat penandatanganan grup pendaftaran dalam rantai mereka. Jangan hapus pendaftaran individual yang dinonaktifkan untuk perangkat. Melakukannya memungkinkan perangkat untuk mendaftar kembali melalui grup pendaftaran.

    2. Gunakan daftar perangkat yang disediakan untuk grup pendaftaran tersebut untuk menemukan hub Azure IoT tempat perangkat disediakan dan menonaktifkan atau menghapusnya dari registri identitas hub tersebut.