Como desprovisionar dispositivos autoprovisionados anteriormente

Talvez seja necessário desprovisionar dispositivos autoprovisionados anteriormente por meio do Serviço de Provisionamento de Dispositivos. Por exemplo, um dispositivo pode ser vendido ou movido para um Hub IoT diferente, ou ser perdido, roubado ou comprometido de qualquer outro modo.

Em geral, o desprovisionamento de um dispositivo envolve duas etapas:

1. Cancele o registro do dispositivo do serviço de provisionamento para evitar o provisionamento automático futuro. Dependendo se você deseja revogar o acesso temporária ou permanentemente, você pode desabilitar ou excluir uma entrada de registro. Para dispositivos que usam o atestado X.509, convém desabilitar/excluir uma entrada na hierarquia dos grupos de registros existentes.

   • Para saber como cancelar o registro de um dispositivo, consulte Como cancelar o registro de um dispositivo no Provisionamento de Dispositivos no Hub IoT.
   • Para saber como cancelar o registro de um dispositivo programaticamente usando uma das SDKs do serviço de provisionamento, consulte Gerenciar registros de dispositivos com SDKs de serviço.

2. Cancele o registro do dispositivo do hub IoT para impedir futuras comunicações e transferência de dados. Novamente, será possível desabilitar temporariamente ou excluir permanentemente a entrada do dispositivo no registro de identidade do Hub IoT em que foi provisionado. Consulte Desabilitar dispositivos para saber mais sobre a desabilitação.

As etapas exatas que você adota para desprovisionar um dispositivo dependem do mecanismo de certificação e da entrada de registro aplicável ao serviço de provisionamento. As seções a seguir fornecem uma visão geral do processo, com base no tipo de registro e atestado.

Registros individuais

Dispositivos que utilizam atestado de TPM ou atestado X.509 com um certificado secundário são provisionados através de uma entrada de registro individual.

Para desprovisionar um dispositivo que possui um registro individual:

1. Cancele o registro do dispositivo no serviço de provisionamento:

   • Para dispositivos que usam o atestado de TPM, exclua a entrada de registro individual para revogar permanentemente o acesso do dispositivo ao serviço de provisionamento ou desabilite a entrada para revogar temporariamente o acesso.
   • Para dispositivos que usam o atestado X.509, você pode excluir ou desabilitar a entrada. Lembre-se, no entanto, se você excluir um registro individual de um dispositivo que usa o X.509 e existir um grupo de registro habilitado para um certificado de autenticação na cadeia de certificados desse dispositivo, o dispositivo poderá registrar-se novamente. Para esses dispositivos, é mais seguro desabilitar a entrada de registro. Isso impedirá que o dispositivo registre-se novamente, independentemente da existência de um grupo de registro habilitado para um dos certificados de autenticação.

2. Desabilite ou exclua o dispositivo no registro de identidade do Hub IoT para o qual ele foi provisionado.

Grupos de registro

Com o atestado X.509, os dispositivos também podem ser provisionados através de um grupo de registros. Os grupos de registro são configurados com um certificado de autenticação, um certificado de AC raiz ou intermediário e controlam o acesso ao serviço de provisionamento para dispositivos com esse certificado na cadeia de certificados. Para saber mais sobre grupos de registro e certificados X.509 com o serviço de provisionamento, confira atestado de certificados X.509.

Para ver uma lista de dispositivos provisionados através de um grupo de registros, você pode visualizar os detalhes do grupo de registros. Essa é uma maneira fácil de entender qual Hub IoT para o qual cada dispositivo foi provisionado. Para visualizar a lista de dispositivos:

1. Entre no portal do Azure e navegue até seu serviço de provisionamento.

2. Selecione Gerenciar inscrições e, em seguida, selecione a guia Grupos de registros.

3. Selecione o grupo de inscrição para abrir seus detalhes.

4. Selecione Detalhes para exibir os registros de registro do grupo de inscrição.

   

Com grupos de registro há dois cenários a considerar:

• Para desprovisionar todos os dispositivos que foram provisionados por meio de um grupo de registros:

  1. Desabilite o grupo de registro para cancelar a permissão do certificado de autenticação.

  2. Use a lista de dispositivos provisionados desse grupo de registros para desabilitar ou excluir cada dispositivo do registro de identidade do respectivo Hub IoT.

  3. Após desabilitar ou excluir todos os dispositivos dos respectivos Hubs IoT, você poderá optar por excluir o grupo de registros. No entanto, esteja ciente de que, se você excluir o grupo de registro e houver um grupo de registro habilitado para um certificado de assinatura mais acima na cadeia de certificados de um ou mais dispositivos, esses dispositivos poderão se registrar novamente.

     Observação

     Excluir um grupo de inscrição não exclui os registros para os dispositivos no grupo. O DPS usa os registros para determinar se o número máximo de registros foi atingido para a instância DPS. Registros órfãos ainda contam nessa cota. Para obter o número máximo atual de registros com suporte para uma instância DPS, confira Cotas e limites.

     Talvez você queira excluir os registros do grupo de inscrição antes de excluir o próprio grupo. Você pode ver e gerenciar os registros de registro de um grupo de registro manualmente na página de status de registro do grupo no portal do Azure. Ou, você pode recuperar e gerenciar os registros de registro programaticamente usando as APIs REST do Estado de Registro de Dispositivo ou APIs equivalentes nos SDKs de serviço do DPS ou usando os comandos az iot dps enrollment-group registration Azure CLI.

• Para desprovisionar um único dispositivo de um grupo de registros:

  1. Crie um registro individual desabilitado para o dispositivo.

     • Se você tiver o certificado do dispositivo (entidade final), será possível criar um registro individual X.509 desabilitado.
     • Se você não tiver o certificado do dispositivo, será possível criar um registro individual de chave simétrica desabilitado com base na ID do dispositivo contida no registro dele.

     Para saber mais, confira Remover permissões de dispositivos específicos em um grupo de registro.

     A presença de um registro individual desabilitado para um dispositivo revoga o acesso desse dispositivo ao serviço de provisionamento, mas ainda permite o acesso a outros dispositivos que têm o certificado de autenticação do grupo de registros em sua cadeia. Não exclua o registro individual desabilitado para o dispositivo. Isso permitirá ao dispositivo registrar novamente através do grupo de registros.

  2. Use a lista de dispositivos provisionados desse grupo de registros para encontrar o Hub IoT ao qual o dispositivo foi provisionado e desabilitá-lo ou excluí-lo do registro de identidade desse hub.