Compartilhar via

Como cancelar o registro de um dispositivo ou revogá-lo no Serviço de Provisionamento de Dispositivos no Hub IoT do Azure

  • Artigo

O gerenciamento adequado de credenciais do dispositivo é crucial para sistemas importantes como soluções de IoT. Uma melhor prática para tais sistemas é ter um plano claro de como revogar o acesso de dispositivos quando suas credenciais, sejam um token SAS (assinatura de acesso compartilhado) ou um certificado X.509, podem estar comprometidas.

O registro no Serviço de Provisionamento de Dispositivos permite que um dispositivo seja autoprovisionado. Um dispositivo provisionado é aquele que foi registrado no Hub IoT, permitindo que ele receba o estado de dispositivo gêmeo inicial e comece a relatar dados telemétricos.

Este artigo descreve como revogar um dispositivo da instância de serviço de provisionamento, evitando que ele seja provisionado ou reprovisionado no futuro. Desabilitar um registro individual ou um grupo de registro não remove um registro de dispositivo existente do Hub IoT. Para saber como desprovisionar um dispositivo que já foi provisionado em um Hub IoT, confira Gerenciar o desprovisionamento.

Cancelar a permissão de um dispositivo usando um registro individual

Para impedir que um dispositivo seja provisionado por meio do Serviço de Provisionamento de Dispositivos, você pode alterar o status de provisionamento de um registro individual para impedir que o dispositivo seja provisionado ou reprovisionado. Você poderá aproveitar essa funcionalidade se o dispositivo estiver se comportando fora dos parâmetros normais ou se for considerado comprometido, ou ainda como uma maneira de testar o mecanismo de repetição de provisionamento de seus dispositivos.

Se o dispositivo que você deseja não permitir foi provisionado por meio de um grupo de registro, veja as etapas para Não permitir dispositivos específicos de um grupo de registro X.509.

Observação

Atente-se à política de repetição dos dispositivos para os quais você revoga o acesso. Por exemplo, um dispositivo que tem uma política de repetição infinita tenta continuamente registrar com o serviço de provisionamento. Essa situação consome recursos de serviço, como cotas de operação de serviço, e possivelmente afeta o desempenho.

  1. Entre no portal do Azure e navegue até instância do Serviço de Provisionamento de Dispositivos.

  2. Selecione Gerenciar registros e, em seguida, selecione a guia Registros individuais.

  3. Selecione a entrada de registro do dispositivo do qual você deseja remover permissões.

  4. Na página de detalhes do registro, desmarque a caixa Habilitar esse registro na seção Status de provisionamento e, a seguir, selecione Salvar.

    Captura de tela que mostra a desabilitação de um registro individual no portal.

Se um dispositivo IoT estiver no final do ciclo de vida e não tiver mais permissão para ser provisionado na solução de IoT, o registro do dispositivo deverá ser removido do Serviço de Provisionamento de Dispositivos:

  1. No seu serviço de provisionamento, selecione Gerenciar registros e, em seguida, escolha a guia Registros individuais.

  2. Selecione a caixa de seleção ao lado da entrada de registro do dispositivo do qual você deseja remover permissões.

  3. Selecione Excluir na parte superior da janela e, em seguida, selecione Sim para confirmar que deseja remover o registro.

    Captura de tela que mostra a exclusão de um registro individual no portal.

Remover permissões de um intermediário X.509 ou Certificado de AC raiz usando um grupo de registros

Os certificados X.509 normalmente são organizados em uma cadeia de certificados de confiança. Se um certificado em qualquer estágio de uma cadeia for comprometido, a relação de confiança é quebrada. O certificado deve ter permissões removidas para impedir o Serviço de Provisionamento de Dispositivos de provisionar dispositivos downstream em qualquer cadeia que contenha esse certificado. Para saber mais sobre certificados X.509 e como eles são usados com o serviço de provisionamento, consulte Certificados X.509.

Um grupo de registros é uma entrada para dispositivos que compartilham um mecanismo de atestado comum de certificados X.509 assinados pela mesma AC intermediária ou raiz. A entrada de grupo de registros está configurada com o certificado x. 509 associado com a autoridade de certificação raiz ou intermediária. A entrada também é configurada com quaisquer valores de configuração, como um estado gêmeo e uma conexão de Hub IoT, que são compartilhados pelos dispositivos com esse certificado em sua cadeia de certificados. Para remover permissões do certificado, você pode desabilitar ou excluir seu grupo de registros.

Para remover temporariamente as permissões do certificado desabilitando sua entrada de registro:

  1. Entre no portal do Azure e navegue até instância do Serviço de Provisionamento de Dispositivos.

  2. No seu serviço de provisionamento, selecione Gerenciar registros e, em seguida, selecione a guia Grupos de Registros.

  3. Selecione o grupo de registros usando o certificado do qual você deseja remover permissões.

  4. Na página de detalhes do registro, desmarque a caixa Habilitar esse registro na seção Status de provisionamento e, a seguir, selecione Salvar.

    Desabilitar a entrada do grupo de registros no portal

Para remover permanentemente permissões do certificado excluindo seu grupo de registros:

  1. No seu serviço de provisionamento, selecione Gerenciar registros e, em seguida, selecione a guia Grupos de Registros.

  2. Marque a caixa de seleção ao lado do grupo de registros para o certificado do qual você deseja remover permissões.

  3. Selecione Excluir na parte superior da janela e, em seguida, selecione Sim para confirmar que deseja remover o grupo de registros.

    Excluir a entrada do grupo de registros no portal

Depois de concluir o procedimento, você deve ver sua entrada removida da lista de grupos de registros.

Observação

Se você excluir um grupo de registros de um certificado, os dispositivos que têm esse certificado na cadeia de certificados ainda poderão se registrar se houver um grupo de registro habilitado para o certificado raiz ou outro certificado intermediário mais alto na cadeia de certificados.

Observação

Excluir um grupo de inscrição não exclui os registros para os dispositivos no grupo. O DPS usa os registros para determinar se o número máximo de registros foi atingido para a instância DPS. Registros órfãos ainda contam nessa cota. Para obter o número máximo atual de registros com suporte para uma instância DPS, confira Cotas e limites.

Talvez você queira excluir os registros do grupo de inscrição antes de excluir o próprio grupo. Você pode ver e gerenciar os registros de um grupo de registro manualmente na guia Status de registro do grupo no portal do Azure. Pode recuperar e gerenciar os registros programaticamente usando as APIs REST do Estado de Registro de Dispositivo ou as APIs equivalentes nos SDKs do serviço DPS, ou usando os comandos da CLI do Azure de registro do grupo de inscrição az iot dps.

Cancelar a permissão de dispositivos específicos de um grupo de registro X.509

Se tiver um dispositivo que foi provisionado por meio de um grupo de registro cujo registro você quer cancelar, poderá fazer isso criando um registro individual desabilitado apenas para esse dispositivo. Quando um dispositivo se conecta e se autentica junto ao Serviço de Provisionamento de Dispositivos, o serviço primeiro procura um registro individual com uma ID de registro correspondente. Somente no caso de nenhum registro individual ser encontrado para o dispositivo o serviço irá pesquisar os grupos de registro.

Para remover permissões de um dispositivo individual em um grupo de registros, siga essas etapas:

  1. Entre no portal do Azure e navegue até instância do Serviço de Provisionamento de Dispositivos.

  2. No seu serviço de provisionamento, selecione Gerenciar registros e, em seguida, escolha a guia Registros individuais.

  3. Selecione Adicionar registro individual.

  4. Siga a etapa apropriada dependendo de você ter ou não o certificado do dispositivo (entidade final).

    • Se tiver o certificado do dispositivo, forneça os seguintes valores na página Adicionar registro:

      Campo Descrição
      Mecanismo de atestado Selecionar certificados de cliente X.509
      Arquivo de certificado primário Carregue o certificado do dispositivo. Para o certificado, use o certificado de entidade final assinado instalado no dispositivo. O dispositivo usa o certificado de entidade final assinado para autenticação.

    • Se não tiver o certificado do dispositivo, forneça os seguintes valores na página Adicionar registro:

      Campo Descrição
      Mecanismo de atestado Selecionar Chave simétrica
      Gerar chaves simétricas automaticamente : verifique se essa caixa de seleção está marcada. As chaves não importam nesse cenário.
      ID de registro Se o dispositivo já tiver sido provisionado, use a identidade do dispositivo do Hub IoT. Ela pode ser encontrada nos registros do grupo de registro ou no Hub IoT no qual o dispositivo foi provisionado. Se o dispositivo ainda não foi provisionado, insira o CN do certificado do dispositivo. (Neste último caso, você não precisa do certificado do dispositivo, mas precisa saber o CN.)

  5. Role até a parte de baixo da página Adicionar registro e desmarque a caixa de seleção Habilitar esse registro.

  6. Selecione Examinar + criare Criar.

Quando criar seu registro com sucesso, você deverá ver seu registro de dispositivo desabilitado listado na guia Registros individuais.

Próximas etapas

O cancelamento do registro também faz parte do processo de desprovisionamento maior. O desprovisionamento de um dispositivo inclui tanto o cancelamento do registro do serviço de provisionamento como o cancelamento do registro do Hub IoT. Para saber mais sobre o processo completo, confira Como desprovisionar dispositivos provisionados