Come eseguire il deprovisioning di dispositivi di cui in precedenza è stato eseguito il provisioning automatico

È possibile che sia necessario effettuare il deprovisioning di dispositivi precedentemente sottoposti a provisioning tramite il servizio di servizio Device Provisioning. È possibile, ad esempio, che un dispositivo debba essere venduto o spostato in un hub IoT diverso o che sia stato smarrito, rubato o danneggiato.

In generale, il deprovisioning di un dispositivo si articola in due passaggi:

1. Annullare la registrazione del dispositivo dal servizio di provisioning per impedire il provisioning automatico futuro. A seconda che si voglia revocare l'accesso temporaneamente o permanentemente, è possibile disabilitare o eliminare una voce di registrazione. Per i dispositivi che usano l'attestazione X.509, è possibile disabilitare o eliminare una voce nella gerarchia dei gruppi di registrazioni esistenti.

   • Per informazioni su come annullare la registrazione di un dispositivo, vedere Come annullare la registrazione di un dispositivo nel servizio Device Provisioning in hub IoT.
   • Per informazioni su come annullare la registrazione di un dispositivo a livello di programmazione tramite uno degli SDK del servizio Device Provisioning, vedere Gestire le registrazioni dei dispositivi con SDK di servizi.

2. Annullare la registrazione del dispositivo dall'hub IoT per impedire comunicazioni e trasferimenti di dati futuri. Di nuovo, è possibile disabilitare temporaneamente o eliminare definitivamente la voce del dispositivo nel registro delle identità relativo all'hub IoT in cui è stato effettuato il provisioning. Per altre informazioni sulla disabilitazione, vedere Disabilitare i dispositivi.

I passaggi esatti per effettuare il deprovisioning di un dispositivo dipendono dal meccanismo di attestazione del dispositivo e dalla relativa voce di registrazione applicabile con il servizio di provisioning. Le sezioni seguenti offrono una panoramica del processo, in base al tipo di registrazione e attestazione.

Registrazioni singole

Per i dispositivi che usano l'attestazione TPM o X.509 con un certificato foglia, il provisioning viene effettuato tramite una voce di registrazione singola.

Per effettuare il deprovisioning di un dispositivo associato a una registrazione singola:

1. Annullare la registrazione del dispositivo nel servizio di provisioning:

   • Per i dispositivi che usano l'attestazione TPM, eliminare la voce di registrazione singola per revocare in modo permanente l'accesso del dispositivo al servizio di provisioning oppure disabilitare la voce per revocarne temporaneamente l'accesso.
   • Per i dispositivi che usano l'attestazione X.509, è possibile eliminare o disabilitare la voce. Tenere tuttavia presente che, se si elimina una registrazione singola per un dispositivo che usa l'attestazione X.509 ed è presente un gruppo di registrazioni abilitato per un certificato di firma nella catena di certificati del dispositivo, il dispositivo potrà effettuare di nuovo la registrazione. Per questi dispositivi, può essere più sicuro disabilitare la voce di registrazione. In questo modo, è possibile impedire al dispositivo di effettuare di nuovo la registrazione, indipendentemente dalla presenza o meno di un gruppo di registrazioni abilitato per uno dei certificati di firma.

2. Disabilitare o eliminare la voce del dispositivo nel registro delle identità dell'hub IoT in cui è stato effettuato il provisioning.

Gruppi di registrazioni

Con l'attestazione X.509, il provisioning dei dispositivi può essere effettuato anche tramite un gruppo di registrazione. I gruppi di registrazione sono configurati con un certificato di firma, che può essere un certificato intermedio o CA radice, e autorizzano l'accesso al servizio di provisioning solo ai dispositivi che dispongono di tale certificato nella rispettiva catena di certificati. Per altre informazioni sui gruppi di registrazione e sui certificati X.509 con il servizio di provisioning, vedere Attestazione del certificato X.509.

Per visualizzare l'elenco dei dispositivi di cui è stato effettuato il provisioning tramite un gruppo di registrazione, è possibile visualizzare i dettagli del gruppo di registrazione. In questo modo, è possibile capire facilmente in quale hub IoT è stato effettuato il provisioning di ogni dispositivo. Per visualizzare l'elenco dei dispositivi:

1. Accedere al portale di Azure e passare al servizio di provisioning.

2. Selezionare Gestisci registrazioni e quindi selezionare la scheda Gruppi di registrazione.

3. Selezionare il gruppo di registrazione per aprire i relativi dettagli.

4. Selezionare Dettagli per visualizzare i record di registrazione per il gruppo di registrazione.

   

Con i gruppi di registrazione sono possibili due scenari:

• Per effettuare il deprovisioning di tutti i dispositivi sottoposti a provisioning tramite un gruppo di registrazioni:

  1. Disabilitare il gruppo di registrazione per impedire il certificato di firma.

  2. Usare l'elenco dei dispositivi sottoposti a provisioning per il gruppo di registrazioni per disabilitare o eliminare ogni dispositivo dal registro delle identità del rispettivo hub IoT.

  3. Dopo aver disabilitato o eliminato tutti i dispositivi dai rispettivi hub IoT, è possibile facoltativamente eliminare anche il gruppo di registrazione. Tenere presente, tuttavia, che se si elimina il gruppo di registrazione e si dispone di un gruppo di registrazione abilitato per un certificato di firma superiore nella catena di certificati di uno o più dispositivi, tali dispositivi possono ripetere la registrazione.

     Nota

     L'eliminazione di un gruppo di registrazione non elimina i record di registrazione per i dispositivi nel gruppo. Dps usa i record di registrazione per determinare se è stato raggiunto il numero massimo di registrazioni per l'istanza del servizio Device Provisioning. I record di registrazione orfani vengono ancora conteggiati rispetto a questa quota. Per il numero massimo corrente di registrazioni supportate per un'istanza del servizio Device Provisioning, vedere Quote e limiti.

     È possibile eliminare i record di registrazione per il gruppo di registrazione prima di eliminare il gruppo di registrazione stesso. È possibile visualizzare e gestire manualmente i record di registrazione per un gruppo di registrazione nella pagina relativa allo stato di registrazione del gruppo nel portale di Azure. In alternativa, è possibile recuperare e gestire i record di registrazione a livello di codice usando le API REST device registration state o le API equivalenti negli SDK del servizio DPS oppure usando i comandi az iot dps enrollment-group registration dell'interfaccia della riga di comando di Azure.

• Per effettuare il deprovisioning di un singolo dispositivo da un gruppo di registrazioni:

  1. Creare una registrazione singola disabilitata per il dispositivo.

     • Se si dispone del certificato del dispositivo (entità finale), è possibile creare una registrazione singola X.509 disabilitata.
     • Se non si dispone del certificato del dispositivo, è possibile creare una registrazione singola chiave simmetrica disabilitata in base all'ID dispositivo nel record di registrazione per tale dispositivo.

     Per altre informazioni, vedere Non consentire dispositivi specifici in un gruppo di registrazione.

     La presenza di una registrazione individuale disabilitata per un dispositivo revoca l'accesso al servizio di provisioning per tale dispositivo, consentendo comunque l'accesso ad altri dispositivi che dispongono del certificato di firma del gruppo di registrazione nella catena. Non eliminare la registrazione individuale disabilitata relativa al dispositivo, poiché questa operazione consentirebbe di eseguire nuovamente la registrazione del dispositivo tramite il gruppo di registrazione.

  2. Usare l'elenco dei dispositivi sottoposti a provisioning per il gruppo di registrazioni per trovare l'hub IoT in cui è stato effettuato il provisioning del dispositivo e disabilitarlo o eliminarlo dal registro delle identità dell'hub.