Memeriksa cara mengelola pencabutan pendaftaran
Manajemen informasi masuk perangkat yang tepat sangat penting untuk sistem profil tinggi seperti solusi IoT. Praktik terbaik untuk sistem tersebut adalah memiliki rencana yang jelas tentang cara mencabut akses untuk perangkat ketika informasi masuk mereka, apakah token tanda tangan akses bersama (SAS) atau sertifikat X.509, mungkin dikompromikan.
Pendaftaran di Device Provisioning Service memungkinkan perangkat untuk diprovisikan. Perangkat yang disediakan adalah perangkat yang terdaftar di Azure IoT Hub, memungkinkannya menerima status kembar perangkat awalnya dan mulai melaporkan data telemetri.
Unit ini menjelaskan cara mencabut perangkat dari instans Device Provisioning Service Anda, mencegahnya diprovisikan atau diprovisikan ulang di masa mendatang. Menonaktifkan pendaftaran individu atau grup pendaftaran tidak menghapus pendaftaran perangkat yang ada dari Azure IoT Hub.
Melarang perangkat dengan menggunakan pendaftaran individu
Untuk melarang perangkat diprovisikan melalui Device Provisioning Service, Anda dapat mengubah status provisi pendaftaran individu untuk mencegah perangkat menyediakan dan memprovisi ulang. Anda dapat menggunakan kemampuan ini jika perangkat berulah di luar parameter normalnya atau diasumsikan disusupi, atau sebagai cara untuk menguji mekanisme coba lagi provisi perangkat Anda.
Catatan
Ketahui kebijakan percobaan kembali perangkat yang Anda cabut aksesnya. Misalnya, perangkat yang memiliki kebijakan coba lagi tak terbatas mungkin terus mencoba mendaftar dengan Device Provisioning Service. Situasi itu mengonsumsi sumber daya layanan seperti kuota operasi layanan dan mungkin memengaruhi performa.
Untuk melarang perangkat dengan menggunakan pendaftaran individual:
Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.
Pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.
Pilih entri pendaftaran untuk perangkat yang ingin Anda larang.
Pada halaman detail pendaftaran, kosongkan centang kotak Aktifkan pendaftaran ini di bagian Status provisi, lalu pilih Simpan.
Jika perangkat IoT berada di akhir siklus hidup perangkatnya dan tidak boleh lagi diizinkan untuk menyediakan solusi IoT, pendaftaran perangkat harus dihapus dari Device Provisioning Service:
Di Device Provisioning Service Anda, pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.
Pilih kotak centang di samping entri pendaftaran untuk perangkat yang ingin Anda larang.
Pilih Hapus di bagian atas jendela, lalu pilih Ya untuk mengonfirmasi bahwa Anda ingin menghapus pendaftaran.
Larang sertifikat OS menengah atau akar X.509 dengan menggunakan grup pendaftaran
Sertifikat X.509 biasanya diatur dalam rantai sertifikat kepercayaan. Jika sertifikat pada tahap apa pun dalam rantai menjadi terganggu, kepercayaan rusak. Sertifikat harus dilarang untuk mencegah Device Provisioning Service provisi perangkat downstream dalam rantai apa pun yang berisi sertifikat tersebut.
Grup pendaftaran adalah entri untuk perangkat yang memiliki mekanisme pengesahan umum sertifikat X.509 yang ditandatangani oleh OS menengah atau akar yang sama. Entri grup pendaftaran dikonfigurasi dengan sertifikat X.509 yang terkait dengan OS menengah atau akar. Entri ini juga dikonfigurasi dengan nilai konfigurasi apa pun, seperti status kembar dan koneksi hub Azure IoT, yang dibagikan oleh perangkat dengan sertifikat tersebut dalam rantai sertifikat mereka. Untuk melarang sertifikat, Anda bisa menonaktifkan atau menghapus grup pendaftarannya.
Untuk melarang sementara sertifikat dengan menonaktifkan grup pendaftarannya:
Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.
Di Device Provisioning Service Anda, pilih Kelola pendaftaran, lalu pilih tab Grup Pendaftaran.
Pilih grup pendaftaran menggunakan sertifikat yang ingin Anda larang.
Pada halaman detail pendaftaran, kosongkan centang kotak Aktifkan pendaftaran ini di bagian Status provisi lalu pilih Simpan.
Untuk melarang sertifikat secara permanen dengan menghapus grup pendaftarannya:
Di Device Provisioning Service Anda, pilih Kelola pendaftaran, lalu pilih tab Grup Pendaftaran.
Pilih kotak centang di samping grup pendaftaran untuk sertifikat yang ingin Anda larang.
Pilih Hapus di bagian atas jendela, lalu pilih Ya untuk mengonfirmasi bahwa Anda ingin menghapus grup pendaftaran.
Setelah Anda menyelesaikan prosedur, Anda akan melihat entri Anda dihapus dari daftar pendaftaran grup.
Jika Anda menghapus grup pendaftaran untuk sertifikat, perangkat yang memiliki sertifikat dalam rantai sertifikat mereka mungkin masih dapat mendaftar jika grup pendaftaran yang diaktifkan untuk sertifikat akar atau sertifikat menengah lain yang lebih tinggi dalam rantai sertifikat mereka ada.
Menghapus grup pendaftaran tidak menghapus rekaman pendaftaran untuk perangkat dalam grup. DPS menggunakan catatan pendaftaran untuk menentukan apakah jumlah maksimum pendaftaran telah tercapai untuk instans DPS. Catatan pendaftaran yatim piatu masih dihitung terhadap kuota ini.
Anda mungkin ingin menghapus catatan pendaftaran untuk grup pendaftaran sebelum menghapus grup pendaftaran itu sendiri. Anda dapat melihat dan mengelola catatan pendaftaran untuk grup pendaftaran secara manual pada tab Status pendaftaran untuk grup di portal Azure. Anda dapat mengambil dan mengelola rekaman pendaftaran secara terprogram menggunakan REST API Status Pendaftaran Perangkat atau API yang setara di SDK layanan DPS, atau menggunakan perintah Azure CLI pendaftaran grup pendaftaran az iot dps.
Melarang perangkat tertentu dari grup pendaftaran X.509
Jika Anda memiliki perangkat yang disediakan melalui grup pendaftaran yang ingin Anda daftarkan, Anda dapat melakukannya dengan membuat pendaftaran individual yang dinonaktifkan hanya untuk perangkat tersebut. Saat perangkat terhubung dan mengautentikasi dengan Device Provisioning Service, layanan pertama-tama mencari pendaftaran individu dengan ID pendaftaran yang cocok. Hanya jika tidak ada pendaftaran individu yang ditemukan untuk perangkat, maka layanan mencari grup pendaftaran.
Untuk melarang perangkat individual dalam grup pendaftaran, ikuti langkah-langkah berikut:
Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service.
Di Device Provisioning Service Anda, pilih Kelola pendaftaran, lalu pilih tab Pendaftaran individual.
Pilih Tambahkan pendaftaran individual.
Ikuti langkah yang sesuai tergantung pada apakah Anda memiliki sertifikat perangkat (entitas akhir) atau tidak.
Jika Anda memiliki sertifikat perangkat, berikan nilai berikut ini di halaman Tambahkan pendaftaran :
Bidang Deskripsi Mekanisme pengesahan Pilih sertifikat klien X.509 File sertifikat utama Unggah sertifikat perangkat. Untuk sertifikat, gunakan sertifikat entitas akhir yang ditandatangani yang diinstal pada perangkat. Perangkat menggunakan sertifikat entitas akhir yang ditandatangani untuk autentikasi. Jika Anda tidak memiliki sertifikat perangkat, berikan nilai berikut ini di halaman Tambahkan pendaftaran :
Bidang Deskripsi Mekanisme pengesahan Pilih Kunci konten Membuat kunci konten secara otomatis Pastikan kotak centang ini dipilih. Kunci tidak penting untuk skenario ini. ID Pendaftaran Jika perangkat telah disediakan, gunakan ID perangkat Azure IoT Hub-nya. Anda dapat menemukan ini di catatan pendaftaran grup pendaftaran, atau di hub Azure IoT tempat perangkat disediakan. Jika perangkat belum disediakan, masukkan CN sertifikat perangkat. (Dalam kasus terakhir ini, Anda tidak memerlukan sertifikat perangkat, tetapi Anda perlu mengetahui CN.)
Gulir ke bagian bawah halaman Tambahkan pendaftaran dan hapus centang pada kotak centang Aktifkan pendaftaran ini.
Pilih Tinjau + buat, lalu pilih Buat.
Saat berhasil membuat pendaftaran, Anda akan melihat pendaftaran perangkat yang dinonaktifkan tercantum di tab Pendaftaran individual.