Dela via


Avetablera enheter som tidigare var automatiskt etablerade

Du kanske tycker att det är nödvändigt att avetablera enheter som tidigare har etablerats automatiskt via Device Provisioning Service. En enhet kan till exempel säljas eller flyttas till en annan IoT-hubb, eller så kan den gå förlorad, bli stulen eller på annat sätt komprometterad.

I allmänhet innebär avetablering av en enhet två steg:

  1. Avregistrera enheten från etableringstjänsten för att förhindra framtida automatisk etablering. Beroende på om du vill återkalla åtkomst tillfälligt eller permanent kan du antingen inaktivera eller ta bort en registreringspost. För enheter som använder X.509-attestering kanske du vill inaktivera/ta bort en post i hierarkin för dina befintliga registreringsgrupper.

  2. Avregistrera enheten från din IoT-hubb för att förhindra framtida kommunikation och dataöverföring. Återigen kan du tillfälligt inaktivera eller permanent ta bort enhetens post i identitetsregistret för den IoT Hub där den etablerades. Mer information om inaktivering finns i Inaktivera enheter .

De exakta steg du vidtar för att avetablera en enhet beror på dess attesteringsmekanism och dess tillämpliga registreringspost med etableringstjänsten. Följande avsnitt innehåller en översikt över processen baserat på registrerings- och attesteringstypen.

Enskilda registreringar

Enheter som använder TPM-attestering eller X.509-attestering med ett lövcertifikat etableras via en enskild registreringspost.

Så här avetabler du en enhet som har en enskild registrering:

  1. Avregistrera enheten från etableringstjänsten:

    • För enheter som använder TPM-attestering tar du bort den enskilda registreringsposten för att permanent återkalla enhetens åtkomst till etableringstjänsten eller inaktiverar posten för att tillfälligt återkalla dess åtkomst.
    • För enheter som använder X.509-attestering kan du antingen ta bort eller inaktivera posten. Tänk dock på att om du tar bort en enskild registrering för en enhet som använder X.509 och det finns en aktiverad registreringsgrupp för ett signeringscertifikat i enhetens certifikatkedja, kan enheten registrera igen. För sådana enheter kan det vara säkrare att inaktivera registreringsposten. Detta förhindrar att enheten registreras igen, oavsett om det finns en aktiverad registreringsgrupp för något av dess signeringscertifikat.
  2. Inaktivera eller ta bort enheten i identitetsregistret för den IoT-hubb som den har etablerats till.

Registreringsgrupper

Med X.509-attestering kan enheter också etableras via en registreringsgrupp. Registreringsgrupper konfigureras med ett signeringscertifikat, antingen ett mellanliggande certifikat eller rotcertifikatutfärdarcertifikat, och styr åtkomsten till etableringstjänsten för enheter med certifikatet i certifikatkedjan. Mer information om registreringsgrupper och X.509-certifikat med etableringstjänsten finns i X.509-certifikatattestering.

Om du vill se en lista över enheter som har etablerats via en registreringsgrupp kan du visa registreringsgruppens information. Det här är ett enkelt sätt att förstå vilken IoT-hubb som varje enhet har etablerats till. Så här visar du enhetslistan:

  1. Logga in på Azure-portalen och gå till etableringstjänsten.

  2. Välj Hantera registreringar och välj sedan fliken Registreringsgrupper .

  3. Välj registreringsgruppen för att öppna dess information.

  4. Välj Information för att visa registreringsposterna för registreringsgruppen.

    Screenshot showing the details link to view registration records for an enrollment group in the portal.

Med registreringsgrupper finns det två scenarier att tänka på:

  • Så här avetabler du alla enheter som har etablerats via en registreringsgrupp:

    1. Inaktivera registreringsgruppen för att inte tillåta dess signeringscertifikat.

    2. Använd listan över etablerade enheter för den registreringsgruppen för att inaktivera eller ta bort varje enhet från identitetsregistret för respektive IoT-hubb.

    3. När du har inaktiverat eller tagit bort alla enheter från respektive IoT-hubbar kan du ta bort registreringsgruppen. Tänk dock på att om du tar bort registreringsgruppen och det finns en aktiverad registreringsgrupp för ett signeringscertifikat högre upp i certifikatkedjan för en eller flera av enheterna kan dessa enheter registreras igen.

      Kommentar

      Om du tar bort en registreringsgrupp tas inte registreringsposterna för enheter i gruppen bort. DPS använder registreringsposterna för att avgöra om det maximala antalet registreringar har nåtts för DPS-instansen. Överblivna registreringsposter räknas fortfarande mot den här kvoten. Det aktuella maximala antalet registreringar som stöds för en DPS-instans finns i Kvoter och gränser.

      Du kanske vill ta bort registreringsposterna för registreringsgruppen innan du tar bort själva registreringsgruppen. Du kan se och hantera registreringsposterna för en registreringsgrupp manuellt på registreringsstatussidan för gruppen i Azure-portalen. Eller så kan du hämta och hantera registreringsposterna programmatiskt med rest-API :er för enhetsregistreringstillstånd eller motsvarande API:er i DPS-tjänstens SDK:er, eller med azure CLI-kommandona az iot dps enrollment-group registration.

  • Så här avetabler du en enskild enhet från en registreringsgrupp:

    1. Skapa en inaktiverad individuell registrering för enheten.

      • Om du har enhetscertifikatet (slutentitet) kan du skapa en inaktiverad individuell X.509-registrering.
      • Om du inte har enhetscertifikatet kan du skapa en inaktiverad individuell registrering av symmetrisk nyckel baserat på enhets-ID:t i registreringsposten för den enheten.

      Mer information finns i Tillåt inte specifika enheter i en registreringsgrupp.

      Förekomsten av en inaktiverad individuell registrering för en enhet återkallar åtkomsten till etableringstjänsten för den enheten samtidigt som åtkomst tillåts för andra enheter som har registreringsgruppens signeringscertifikat i sin kedja. Ta inte bort den inaktiverade enskilda registreringen för enheten. Om du gör det kan enheten registrera sig igen via registreringsgruppen.

    2. Använd listan över etablerade enheter för den registreringsgruppen för att hitta den IoT-hubb som enheten har etablerats till och inaktivera eller ta bort den från hubbens identitetsregister.