Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het juiste beheer van apparaatreferenties is van cruciaal belang voor systemen met een hoog profiel, zoals IoT-oplossingen. Een aanbevolen procedure voor dergelijke systemen is om een duidelijk plan te hebben over het intrekken van toegang voor apparaten wanneer hun referenties, of een SAS-token (Shared Access Signatures) of een X.509-certificaat mogelijk is aangetast.
Met de inschrijving in Device Provisioning Service kan een apparaat worden ingericht. Een ingericht apparaat is een apparaat dat is geregistreerd bij IoT Hub, waardoor het de initiële staat van de device twin kan ontvangen en kan beginnen met het rapporteren van telemetriegegevens.
In dit artikel wordt beschreven hoe u een apparaat kunt uitsluiten van uw voorzieningsservice-instantie, waardoor het apparaat in de toekomst niet meer kan worden ingericht of opnieuw ingericht. Als u een afzonderlijke inschrijving of inschrijvingsgroep uitschakelt, wordt een bestaande apparaatregistratie niet uit IoT Hub verwijderd. Zie voor meer informatie over het ongedaan maken van de inrichting van een apparaat dat al is ingesricht voor een IoT-hub Hoe apparaten ongedaan te maken die eerder automatisch waren ingericht.
Een apparaat weigeren met behulp van een afzonderlijke inschrijving
Als u wilt voorkomen dat een apparaat wordt ingericht via Device Provisioning Service, kunt u de inrichtingsstatus van een afzonderlijke inschrijving wijzigen om te voorkomen dat het apparaat wordt ingericht en opnieuw wordt ingericht. U kunt deze mogelijkheid gebruiken als het apparaat zich buiten de normale parameters gedraagt of wordt verondersteld te worden aangetast, of als een manier om het inrichtingsmechanisme voor opnieuw proberen van uw apparaten te testen.
Als het apparaat dat u wilt weigeren via een inschrijvingsgroep is ingericht, raadpleegt u de stappen in Specifieke apparaten uit een X.509-inschrijvingsgroep weigeren.
Opmerking
Houd rekening met het beleid voor opnieuw proberen van apparaten waarvoor u de toegang intrekt. Een apparaat met een oneindig herhalingsbeleid kan bijvoorbeeld continu proberen zich te registreren bij de voorzieningsservice. Deze situatie verbruikt servicebronnen zoals quota voor servicebewerkingen en heeft mogelijk invloed op de prestaties.
Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.
Selecteer Inschrijvingen beheren en selecteer vervolgens het tabblad Afzonderlijke inschrijvingen .
Selecteer de inschrijvingsvermelding voor het apparaat dat u wilt weigeren.
Schakel op de pagina met inschrijvingsgegevens het selectievakje Deze inschrijving inschakelen uit in de sectie Inrichtingsstatus en selecteer Opslaan.
Als een IoT-apparaat zich aan het einde van de levenscyclus van het apparaat bevindt en niet langer mag worden ingericht voor de IoT-oplossing, moet de apparaatinschrijving worden verwijderd uit Device Provisioning Service:
In uw inrichtingsservice, selecteer Inschrijvingen beheren en selecteer vervolgens het tabblad Afzonderlijke inschrijvingen.
Schakel het selectievakje in naast de inschrijvingsvermelding voor het apparaat dat u wilt weigeren.
Selecteer Verwijderen boven aan het venster en selecteer vervolgens Ja om te bevestigen dat u de inschrijving wilt verwijderen.
Een X.509-tussen- of basis-CA-certificaat weigeren met behulp van een inschrijvingsgroep
X.509-certificaten worden doorgaans gerangschikt in een certificaatketen van vertrouwen. Als een certificaat in een willekeurige fase van een keten wordt aangetast, wordt de vertrouwensrelatie verbroken. Het certificaat moet worden geweigerd om te voorkomen dat Device Provisioning Service apparaten downstream in een keten met dat certificaat configureert. Zie voor meer informatie over X.509-certificaten en hoe ze worden gebruikt met de provisioneringsdienst, X.509-certificaten.
Een inschrijvingsgroep is een vermelding voor apparaten die een gemeenschappelijk attestation-mechanisme delen van X.509-certificaten die zijn ondertekend door dezelfde tussenliggende of basis-CA. De vermelding voor de inschrijvingsgroep is geconfigureerd met het X.509-certificaat dat is gekoppeld aan de intermediaire of root-CA. De vermelding wordt ook geconfigureerd met configuratiewaarden, zoals de dubbele status en de IoT-hubverbinding, die worden gedeeld door apparaten met dat certificaat in hun certificaatketen. Als u het certificaat wilt weigeren, kunt u de inschrijvingsgroep uitschakelen of verwijderen.
Als u het certificaat tijdelijk wilt weigeren door de inschrijvingsgroep uit te schakelen:
Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.
Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Inschrijvingsgroepen .
Selecteer de inschrijvingsgroep met het certificaat dat u wilt weigeren.
Schakel op de pagina met inschrijvingsgegevens het selectievakje Deze inschrijving inschakelen uit in de sectie Inrichtingsstatus en selecteer Opslaan.
Als u het certificaat permanent wilt weigeren door de inschrijvingsgroep te verwijderen:
Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Inschrijvingsgroepen .
Schakel het selectievakje in naast de inschrijvingsgroep voor het certificaat dat u wilt weigeren.
Selecteer Verwijderen boven aan het venster en selecteer vervolgens Ja om te bevestigen dat u de inschrijvingsgroep wilt verwijderen.
Nadat u de procedure hebt voltooid, ziet u dat de vermelding is verwijderd uit de lijst met inschrijvingsgroepen.
Opmerking
Als u een inschrijvingsgroep voor een certificaat verwijdert, kunnen apparaten met het certificaat in de certificaatketen mogelijk nog steeds worden ingeschreven als er een ingeschakelde inschrijvingsgroep voor het basiscertificaat of een ander tussencertificaat hoger in de certificaatketen bestaat.
Opmerking
Als u een inschrijvingsgroep verwijdert, worden de registratierecords voor apparaten in de groep niet verwijderd. DPS gebruikt de registratierecords om te bepalen of het maximum aantal registraties voor het DPS-exemplaar wordt bereikt. Verweesde registratierecords tellen nog steeds mee voor dit quotum. Zie Quota en limieten voor het huidige maximum aantal registraties dat wordt ondersteund voor een DPS-exemplaar.
U kunt de registratierecords voor de inschrijvingsgroep verwijderen voordat u de inschrijvingsgroep zelf verwijdert. U kunt de registratierecords voor een inschrijvingsgroep handmatig bekijken en beheren op het tabblad Registratiestatus voor de groep in Azure Portal. U kunt de registratierecords programmatisch ophalen en beheren met behulp van de REST API's voor apparaatregistratiestatus of equivalente API's in de SDK's van de DPS-service, of met behulp van de Azure CLI-opdrachten az iot dps enrollment-group.
Specifieke apparaten van een X.509-inschrijvingsgroep niet uitsluiten
Als u een apparaat hebt dat is ingericht via een inschrijvingsgroep die u wilt uitschrijven, kunt u dit doen door een uitgeschakelde afzonderlijke inschrijving voor alleen dat apparaat te maken. Wanneer een apparaat verbinding maakt en verifieert met Device Provisioning Service, zoekt de service eerst naar een afzonderlijke inschrijving met de overeenkomende registratie-id. Alleen als er geen afzonderlijke inschrijving voor het apparaat wordt gevonden, zoekt de service inschrijvingsgroepen.
Voer de volgende stappen uit om een afzonderlijk apparaat in een inschrijvingsgroep niet toe te laten:
Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.
In uw voorzieningenservice, selecteer Inschrijvingen beheren en selecteer vervolgens het Individuele Inschrijvingen tabblad.
Selecteer Afzonderlijke inschrijving toevoegen.
Volg de juiste stap, afhankelijk van of u het apparaatcertificaat (end-entity) hebt of niet.
Als u het apparaatcertificaat hebt, geeft u de volgende waarden op de pagina Inschrijving toevoegen op:
Veld Description Attestation-mechanisme X.509-clientcertificaten selecteren Primair certificaatbestand Upload het apparaatcertificaat. Gebruik voor het certificaat het ondertekende eindentiteitscertificaat dat op het apparaat is geïnstalleerd. Het apparaat maakt gebruik van het ondertekende end-entity-certificaat voor verificatie. Als u het apparaatcertificaat niet hebt, geeft u de volgende waarden op de pagina Inschrijving toevoegen op:
Veld Description Attestatiemechanisme Selecteer symmetrische sleutel Symmetrische sleutels automatisch genereren : Zorg ervoor dat dit selectievakje is ingeschakeld. De sleutels maken niet uit voor dit scenario. Registratie-id Als het apparaat al is ingericht, gebruikt u de ioT Hub-apparaat-id. U vindt deze waarde in de registratierecords van de inschrijvingsgroep of in de IoT-hub waarvoor het apparaat is ingericht. Als het apparaat nog niet is voorzien, voert u de CN van het apparaatcertificaat in. (In dit laatste geval hebt u het apparaatcertificaat niet nodig, maar moet u de CN kennen.)
Schuif naar de onderkant van de pagina Inschrijving toevoegen en schakel het selectievakje Deze inschrijving inschakelen uit.
Selecteer Beoordelen + creëren en selecteer daarna Creëren.
Wanneer u uw inschrijving hebt gemaakt, ziet u dat uw uitgeschakelde apparaatinschrijving wordt vermeld op het tabblad Afzonderlijke inschrijvingen .
Volgende stappen
De uitschrijving maakt ook deel uit van het grotere deprovisioningproces. Deprovisioning van een apparaat omvat zowel het uitschrijven van de provisioning service als het uitschrijven uit de IoT-hub. Zie Apparaten deprovisioneren die eerder zijn ingericht om meer te weten te komen over het gehele proces.