Jak anulować aprowizację urządzeń, które były wcześniej automatycznie aprowizowane

Może okazać się konieczne anulowanie aprowizacji urządzeń, które były wcześniej automatycznie aprowizowanie za pośrednictwem usługi Device Provisioning Service. Na przykład urządzenie może zostać sprzedane lub przeniesione do innego centrum IoT albo może zostać utracone, skradzione lub w inny sposób naruszone.

Ogólnie rzecz biorąc, anulowanie aprowizacji urządzenia obejmuje dwa kroki:

  1. Wyrejestrowywanie urządzenia z usługi aprowizacji, aby zapobiec przyszłej automatycznej aprowizacji. W zależności od tego, czy chcesz tymczasowo lub trwale odwołać dostęp, możesz wyłączyć lub usunąć wpis rejestracji. W przypadku urządzeń korzystających z zaświadczania X.509 możesz wyłączyć/usunąć wpis w hierarchii istniejących grup rejestracji.

  2. Wyrejestruj urządzenie z usługi IoT Hub, aby zapobiec przyszłej komunikacji i transferowi danych. Ponownie możesz tymczasowo wyłączyć lub trwale usunąć wpis urządzenia w rejestrze tożsamości dla usługi IoT Hub, w której została aprowizowana. Zobacz Wyłączanie urządzeń , aby dowiedzieć się więcej na temat wyłączania. Zobacz "Zarządzanie urządzeniami/urządzenia IoT" dla zasobu usługi IoT Hub w witrynie Azure Portal.

Dokładne kroki, które należy wykonać w celu anulowania aprowizacji urządzenia, zależą od mechanizmu zaświadczania i odpowiedniego wpisu rejestracji w usłudze aprowizacji. W poniższych sekcjach przedstawiono omówienie procesu na podstawie typu rejestracji i zaświadczania.

Rejestracje indywidualne

Urządzenia korzystające z zaświadczania modułu TPM lub zaświadczania X.509 z certyfikatem liścia są aprowizowane za pośrednictwem wpisu rejestracji indywidualnej.

Aby usunąć aprowizację urządzenia z rejestracją indywidualną:

  1. Wyrejestrowywanie urządzenia z usługi aprowizacji:

    • W przypadku urządzeń korzystających z zaświadczania modułu TPM usuń wpis rejestracji indywidualnej, aby trwale odwołać dostęp urządzenia do usługi aprowizacji lub wyłączyć wpis, aby tymczasowo odwołać dostęp.
    • W przypadku urządzeń korzystających z zaświadczania X.509 można usunąć lub wyłączyć wpis. Należy jednak pamiętać, że jeśli usuniesz rejestrację indywidualną dla urządzenia korzystającego z platformy X.509, a włączona grupa rejestracji istnieje dla certyfikatu podpisywania w łańcuchu certyfikatów tego urządzenia, urządzenie może ponownie zarejestrować. W przypadku takich urządzeń można bezpieczniej wyłączyć wpis rejestracji. Dzięki temu urządzenie nie zostanie ponownie zarejestrowane, niezależnie od tego, czy włączona grupa rejestracji istnieje dla jednego z jego certyfikatów podpisywania.
  2. Wyłącz lub usuń urządzenie w rejestrze tożsamości centrum IoT, do którego została ona aprowizowana.

Grupy rejestracji

Za pomocą zaświadczania X.509 urządzenia można również aprowizować za pośrednictwem grupy rejestracji. Grupy rejestracji są konfigurowane przy użyciu certyfikatu podpisywania, pośredniego lub głównego urzędu certyfikacji i kontrolują dostęp do usługi aprowizacji dla urządzeń z tym certyfikatem w łańcuchu certyfikatów. Aby dowiedzieć się więcej na temat grup rejestracji i certyfikatów X.509 z usługą aprowizacji, zobacz Zaświadczanie certyfikatów X.509.

Aby wyświetlić listę urządzeń, które zostały aprowizowane za pośrednictwem grupy rejestracji, możesz wyświetlić szczegóły grupy rejestracji. Jest to łatwy sposób zrozumienia, do którego centrum IoT Hub zostało zainicjowane aprowizowane każde urządzenie. Aby wyświetlić listę urządzeń:

  1. Zaloguj się do witryny Azure Portal i wybierz pozycję Wszystkie zasoby w menu po lewej stronie.

  2. Wybierz usługę aprowizacji na liście zasobów.

  3. W usłudze aprowizacji wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Grupy rejestracji .

  4. Wybierz grupę rejestracji, aby ją otworzyć.

  5. Wybierz kartę Rekordy rejestracji, aby wyświetlić rekordy rejestracji dla grupy rejestracji.

    Screenshot showing the registration records for an enrollment group in the portal.

W przypadku grup rejestracji należy wziąć pod uwagę dwa scenariusze:

  • Aby anulować aprowizację wszystkich urządzeń, które zostały aprowizowane za pośrednictwem grupy rejestracji:

    1. Wyłącz grupę rejestracji, aby uniemożliwić jej certyfikat podpisywania.

    2. Użyj listy aprowizowanych urządzeń dla tej grupy rejestracji, aby wyłączyć lub usunąć każde urządzenie z rejestru tożsamości odpowiedniego centrum IoT.

    3. Po wyłączeniu lub usunięciu wszystkich urządzeń z odpowiednich centrów IoT możesz opcjonalnie usunąć grupę rejestracji. Należy jednak pamiętać, że jeśli usuniesz grupę rejestracji i istnieje włączona grupa rejestracji dla certyfikatu podpisywania wyższego poziomu w łańcuchu certyfikatów jednego lub kilku urządzeń, te urządzenia mogą ponownie zarejestrować.

      Uwaga

      Usunięcie grupy rejestracji nie powoduje usunięcia rekordów rejestracji dla urządzeń w grupie. Usługa DPS używa rekordów rejestracji w celu określenia, czy osiągnięto maksymalną liczbę rejestracji dla wystąpienia usługi DPS. Oddzielone rekordy rejestracji nadal są liczone względem tego limitu przydziału. Aby uzyskać bieżącą maksymalną liczbę rejestracji obsługiwanych dla wystąpienia usługi DPS, zobacz Limity przydziału i limity.

      Możesz usunąć rekordy rejestracji dla grupy rejestracji przed usunięciem samej grupy rejestracji. Rekordy rejestracji dla grupy rejestracji można wyświetlić i zarządzać nimi ręcznie na karcie Rekordy rejestracji dla grupy w witrynie Azure Portal. Rekordy rejestracji można pobierać i zarządzać nimi programowo przy użyciu interfejsów API REST stanu rejestracji urządzeń lub równoważnych interfejsów API w zestawach SDK usługi DPS lub za pomocą poleceń az iot dps enrollment-group registration Interfejs wiersza polecenia platformy Azure.

  • Aby usunąć aprowizację pojedynczego urządzenia z grupy rejestracji:

    1. Utwórz wyłączoną rejestrację indywidualną dla urządzenia.

      • Jeśli masz certyfikat urządzenia (jednostki końcowej), możesz utworzyć wyłączoną rejestrację indywidualną X.509.
      • Jeśli nie masz certyfikatu urządzenia, możesz utworzyć wyłączoną rejestrację indywidualną klucza symetrycznego na podstawie identyfikatora urządzenia w rekordzie rejestracji dla tego urządzenia.

      Aby dowiedzieć się więcej, zobacz Nie zezwalaj określonym urządzeniom w grupie rejestracji.

      Obecność wyłączonej indywidualnej rejestracji urządzenia odwołuje dostęp do usługi aprowizacji dla tego urządzenia, jednocześnie zezwalając na dostęp do innych urządzeń z certyfikatem podpisywania grupy rejestracji w łańcuchu. Nie usuwaj wyłączonej rejestracji indywidualnej dla urządzenia. Dzięki temu urządzenie będzie mogło ponownie zarejestrować się za pośrednictwem grupy rejestracji.

    2. Użyj listy aprowizowanych urządzeń dla tej grupy rejestracji, aby znaleźć centrum IoT Hub, do którego aprowizowano urządzenie, i wyłączyć lub usunąć je z rejestru tożsamości tego centrum.