Så här avregistrerar eller återkallar du en enhet från Azure IoT Hub Device Provisioning Service

  • Artikel

Korrekt hantering av autentiseringsuppgifter för enheter är avgörande för högprofilerade system som IoT-lösningar. Bästa praxis för sådana system är att ha en tydlig plan för hur åtkomst för enheter återkallas när deras autentiseringsuppgifter, oavsett om en SAS-token (signaturer för delad åtkomst) eller ett X.509-certifikat kan komprometteras.

Registrering i enhetsetableringstjänsten gör att en enhet kan etableras. En etablerad enhet är en enhet som har registrerats med IoT Hub, vilket gör att den kan ta emot sitt ursprungliga enhetstvillingtillstånd och börja rapportera telemetridata.

Den här artikeln beskriver hur du återkallar en enhet från din etableringstjänstinstans, vilket förhindrar att den etableras eller ometableras i framtiden. Om du inaktiverar en enskild registrering eller registreringsgrupp tar du inte bort en befintlig enhetsregistrering från IoT Hub. Information om hur du avetablerar en enhet som redan har etablerats till en IoT-hubb finns i Hantera avetablering.

Tillåt inte en enhet med hjälp av en enskild registrering

Om du inte vill tillåta att en enhet etableras via Device Provisioning Service kan du ändra etableringsstatusen för en enskild registrering för att förhindra att enheten etableras och etableras på nytt. Du kan utnyttja den här funktionen om enheten beter sig utanför sina normala parametrar eller antas vara komprometterad, eller som ett sätt att testa etableringsmekanismen för återförsök för dina enheter.

Om den enhet som du vill inte tillåta har etablerats via en registreringsgrupp läser du stegen för att neka specifika enheter från en X.509-registreringsgrupp.

Kommentar

Tänk på återförsöksprincipen för enheter som du återkallar åtkomst för. Till exempel kan en enhet som har en oändlig återförsöksprincip kontinuerligt försöka registrera sig med etableringstjänsten. Den situationen förbrukar tjänstresurser som kvoter för tjänståtgärder och påverkar eventuellt prestanda.

  1. Logga in på Azure-portalen och gå till instansen av enhetsetableringstjänsten.

  2. Välj Hantera registreringar och välj sedan fliken Enskilda registreringar .

  3. Välj registreringsposten för den enhet som du inte vill tillåta.

  4. På sidan registreringsinformation avmarkerar du rutan Aktivera den här registreringen i avsnittet Etableringsstatus och väljer sedan Spara.

    Skärmbild som visar hur du inaktiverar en enskild registrering i portalen.

Om en IoT-enhet är i slutet av enhetens livscykel och inte längre bör tillåtas etablera till IoT-lösningen, bör enhetsregistreringen tas bort från Device Provisioning Service:

  1. I etableringstjänsten väljer du Hantera registreringar och väljer sedan fliken Enskilda registreringar .

  2. Markera kryssrutan bredvid registreringsposten för den enhet som du inte vill tillåta.

  3. Välj Ta bort överst i fönstret och välj sedan Ja för att bekräfta att du vill ta bort registreringen.

    Skärmbild som visar hur du tar bort en enskild registrering i portalen.

Tillåt inte ett mellanliggande X.509- eller rotcertifikatutfärdarcertifikat med hjälp av en registreringsgrupp

X.509-certifikat ordnas vanligtvis i en certifikatkedja med förtroende. Om ett certifikat i något skede i en kedja komprometteras bryts förtroendet. Certifikatet måste inte tillåtas för att förhindra att Enhetsetableringstjänsten etablerar enheter nedströms i en kedja som innehåller certifikatet. Mer information om X.509-certifikat och hur de används med etableringstjänsten finns i X.509-certifikat.

En registreringsgrupp är en post för enheter som delar en gemensam attesteringsmekanism för X.509-certifikat som signerats av samma mellanliggande certifikatutfärdare eller rotcertifikatutfärdare. Registreringsgruppens post konfigureras med X.509-certifikatet som är associerat med mellanliggande certifikatutfärdare eller rotcertifikatutfärdare. Posten är också konfigurerad med alla konfigurationsvärden, till exempel tvillingtillstånd och IoT Hub-anslutning, som delas av enheter med certifikatet i certifikatkedjan. Om du vill neka certifikatet kan du antingen inaktivera eller ta bort dess registreringsgrupp.

Så här inaktiverar du tillfälligt certifikatet genom att inaktivera dess registreringsgrupp:

  1. Logga in på Azure-portalen och gå till instansen av enhetsetableringstjänsten.

  2. I etableringstjänsten väljer du Hantera registreringar och sedan fliken Registreringsgrupper .

  3. Välj registreringsgruppen med det certifikat som du inte vill tillåta.

  4. På sidan registreringsinformation avmarkerar du rutan Aktivera den här registreringen i avsnittet Etableringsstatus och väljer sedan Spara.

    Inaktivera registreringsgruppspost i portalen

Så här inaktiverar du certifikatet permanent genom att ta bort dess registreringsgrupp:

  1. I etableringstjänsten väljer du Hantera registreringar och sedan fliken Registreringsgrupper .

  2. Markera kryssrutan bredvid registreringsgruppen för det certifikat som du inte vill tillåta.

  3. Välj Ta bort överst i fönstret och välj sedan Ja för att bekräfta att du vill ta bort registreringsgruppen.

    Ta bort post för registreringsgrupper i portalen

När du har slutfört proceduren bör du se att posten har tagits bort från listan över registreringsgrupper.

Kommentar

Om du tar bort en registreringsgrupp för ett certifikat kan enheter som har certifikatet i certifikatkedjan fortfarande kunna registrera sig om det finns en aktiverad registreringsgrupp för rotcertifikatet eller ett annat mellanliggande certifikat högre upp i certifikatkedjan.

Kommentar

Om du tar bort en registreringsgrupp tas inte registreringsposterna för enheter i gruppen bort. DPS använder registreringsposterna för att avgöra om det maximala antalet registreringar har nåtts för DPS-instansen. Överblivna registreringsposter räknas fortfarande mot den här kvoten. Det aktuella maximala antalet registreringar som stöds för en DPS-instans finns i Kvoter och gränser.

Du kanske vill ta bort registreringsposterna för registreringsgruppen innan du tar bort själva registreringsgruppen. Du kan se och hantera registreringsposterna för en registreringsgrupp manuellt på fliken Registreringsstatus för gruppen i Azure-portalen. Du kan hämta och hantera registreringsposterna programmatiskt med hjälp av REST API:er för enhetsregistreringstillstånd eller motsvarande API:er i DPS-tjänstens SDK:er, eller med azure CLI-kommandona az iot dps enrollment-group registration.

Tillåt inte specifika enheter från en X.509-registreringsgrupp

Om du har en enhet som har etablerats via en registreringsgrupp som du vill avregistrera kan du göra det genom att skapa en inaktiverad individuell registrering för just den enheten. När en enhet ansluter och autentiserar med Device Provisioning Service söker tjänsten först efter en enskild registrering med matchande registrerings-ID. Endast om ingen enskild registrering hittas för enheten söker tjänsten efter registreringsgrupper.

Följ dessa steg om du vill neka en enskild enhet i en registreringsgrupp:

  1. Logga in på Azure-portalen och gå till instansen av enhetsetableringstjänsten.

  2. I etableringstjänsten väljer du Hantera registreringar och väljer sedan fliken Enskilda registreringar .

  3. Välj Lägg till enskild registrering.

  4. Följ lämpligt steg beroende på om du har enhetens certifikat (slutentitet) eller inte.

    • Om du har enhetscertifikatet anger du följande värden på sidan Lägg till registrering :

      Fält beskrivning
      Attesteringsmekanism Välj X.509-klientcertifikat
      Primär certifikatfil Ladda upp enhetscertifikatet. För certifikatet använder du det signerade slutentitetscertifikatet som är installerat på enheten. Enheten använder det signerade slutentitetscertifikatet för autentisering.

    • Om du inte har enhetscertifikatet anger du följande värden på sidan Lägg till registrering :

      Fält beskrivning
      Attesteringsmekanism Välj symmetrisk nyckel
      Generera symmetriska nycklar automatiskt : Kontrollera att den här kryssrutan är markerad. Nycklarna spelar ingen roll för det här scenariot.
      Registrerings-ID Om enheten redan har etablerats använder du dess IoT Hub-enhets-ID. Du hittar detta i registreringsposterna för registreringsgruppen eller i den IoT-hubb som enheten har etablerats till. Om enheten ännu inte har etablerats anger du enhetscertifikatets CN. (I det senare fallet behöver du inte enhetscertifikatet, men du måste känna till CN.)

  5. Rulla längst ned på sidan Lägg till registrering och avmarkera kryssrutan Aktivera den här registreringen .

  6. Välj Granska + skapa och välj sedan Skapa.

När du har skapat registreringen bör du se din inaktiverade enhetsregistrering på fliken Enskilda registreringar .

Nästa steg

Avregistrering är också en del av den större avetableringsprocessen. Avetablering av en enhet omfattar både avregistrering från etableringstjänsten och avregistrering från IoT Hub. Mer information om hela processen finns i Så här avetabler du enheter som tidigare har etablerats