IoT 中樞裝置布建服務 （DPS） 術語

IoT 中樞裝置布建服務是一項協助程式服務，可供 IoT 中樞您用來設定對指定的 IoT 中樞進行零觸控式裝置布建的協助程式服務。 透過裝置布建服務，您可以 以安全且可調整的方式布 建數百萬部裝置。

裝置布建是兩個部分的程式。 第一個部分是藉由 註冊 裝置來建立裝置與 IoT 解決方案之間的初始連線。 第二個部分是根據解決方案的特定需求，將適當的 設定套用至裝置。 完成這兩個步驟之後，裝置便已完全 布建 。 裝置布建服務會將這兩個步驟自動化，以提供裝置的無縫布建體驗。

本文提供最適合管理服務 的布建概念概觀。 本文與讓裝置準備好進行部署的雲端設定步驟 所涉及的 角色最相關。

服務作業端點

服務作業端點是管理服務設定和維護註冊清單的端點。 此端點僅供服務管理員使用;裝置不會使用它。

裝置布建端點

裝置布建端點是所有裝置用於自動布建的單一端點。 所有布建服務實例的 URL 都相同，因此不需要在供應鏈案例中使用新的連線資訊重新刷新裝置。 識別碼範圍可確保租使用者隔離。

連結的 IoT 中樞

裝置布建服務只能將裝置布建至已連結的 IoT 中樞。 將 IoT 中樞連結至裝置佈建服務的執行個體可為 IoT 中樞的裝置登錄提供該服務的讀/寫權限；這項連結可以讓裝置佈建服務申請裝置識別碼，以及在裝置對應項中進行初始設定。 連結的 IoT 中樞可能位於任何 Azure 區域中。 您可以將其他訂用帳戶中的中樞連結至布建服務。

配置原則

決定裝置布建服務如何將裝置指派給 IoT 中樞的服務等級設定。 支援配置原則有四個：

• 平均加權分佈 ：連結的 IoT 中樞同樣可能會布建裝置。 預設設定。 如果您只要將裝置佈建到一個 IoT 中樞，可以保留此設定。

• 最低延遲 ：裝置會布建至 IoT 中樞，且裝置的延遲最低。 如果多個連結的 IoT 中樞會提供相同的最低延遲，布建服務會跨這些中樞雜湊裝置

• 透過註冊清單進行靜態設定：註冊清單中的 所需 IoT 中樞規格優先于服務層級配置原則。

• 自訂 （使用 Azure 函式） ： 自訂配置原則 可讓您更充分掌控如何將裝置指派給 IoT 中樞。 這可藉由在 Azure 函式中使用自訂程式碼將裝置指派給 IoT 中樞來完成。 裝置佈建服務會呼叫您的 Azure 函式程式碼，提供關於裝置和程式碼註冊的所有資訊。 您的函式程式碼會執行並傳回用來布建裝置的 IoT 中樞資訊。

註冊

註冊是可透過自動布建註冊的裝置或裝置群組記錄。 註冊記錄包含關於裝置或裝置群組的資訊，包括：

• 裝置所使用的證明機制
• 選擇性的初始所需設定
• 所需的 IoT 中樞
• 所需的裝置識別碼

裝置布建服務支援兩種類型的註冊：

註冊群組

註冊群組是共用特定證明機制的裝置群組。 註冊群組支援 X.509 憑證或對稱金鑰證明。 X.509 註冊群組中的裝置會提供由相同根或中繼憑證授權單位單位 （CA） 簽署的 X.509 憑證。 每個裝置端實體 （分葉） 憑證的主體通用名稱 （CN） 會成為該裝置的註冊識別碼。 對稱金鑰註冊群組中的裝置會顯示衍生自群組對稱金鑰的 SAS 權杖。

註冊群組的名稱以及裝置所呈現的註冊識別碼，必須是不區分大小寫的英數位元字串加上特殊字元： '-' 、、 '.' 、 '_'':' 。 最後一個字元必須是英數位元或虛線 （ '-' ）。 註冊組名長度最多可達 128 個字元。 在對稱金鑰註冊群組中，裝置所呈現的註冊識別碼長度最多可達 128 個字元。 不過，在 X.509 註冊群組中，因為 X.509 憑證中主體一般名稱的最大長度是 64 個字元，因此註冊識別碼限制為 64 個字元。

對於註冊群組中的裝置，註冊識別碼也會作為註冊至IoT 中樞的裝置識別碼。

提示

我們建議針對共用所需初始設定的大量裝置，或針對所有前往相同租使用者的裝置，使用註冊群組。

個別註冊

個別註冊是單一裝置可註冊的專案。 個別註冊可以使用 X.509 分葉憑證或 SAS 權杖（來自實體或虛擬 TPM）作為證明機制。 個別註冊中的註冊識別碼是英數位元不區分大小寫的字串，加上特殊字元： '-' 、、 '.' 、 '_'':' 。 最後一個字元必須是英數位元或虛線 （ '-' ）。 DPS 支援最多 128 個字元的註冊識別碼。

針對 X.509 個別註冊，憑證的主體通用名稱 （CN） 會變成註冊識別碼，因此通用名稱必須遵守註冊識別碼字串格式。 主體一般名稱的長度上限為 64 個字元，因此 X.509 註冊的註冊識別碼限制為 64 個字元。

個別註冊可能會在註冊專案中指定所需的 IoT 中樞裝置識別碼。 如果未指定，註冊識別碼會變成註冊至IoT 中樞的裝置識別碼。

您可以控制 註冊的布建狀態，暫時或永久允許或封鎖特定裝置透過裝置布建服務進行布建

提示

我們建議針對需要唯一初始設定的裝置，或只能透過 TPM 證明使用 SAS 權杖進行驗證的裝置使用個別註冊。

證明機制

證明機制是用來確認裝置身分識別的方法。 證明機制是在註冊專案上設定，並告知布建服務在註冊期間驗證裝置身分識別時要使用的方法。

注意

IoT 中樞針對該服務中的類似概念使用「驗證配置」。

裝置布建服務支援下列形式的證明：

• 以標準 X.509 憑證驗證流程為基礎的 X.509 憑證。 如需詳細資訊，請參閱 X.509 證明 。
• 以 Nonce 挑戰為基礎的受信任平臺模組 （TPM）， 使用金鑰的 TPM 標準來呈現已簽署的共用存取簽章 （SAS） 權杖。 這不需要裝置上的實體 TPM，但服務預期會根據 TPM 規格 使用簽署金鑰進行證明。如需詳細資訊，請參閱 TPM 證明 。
• 以共用存取簽章 （SAS） SAS 權杖 為基礎的對稱金鑰 ，其中包含雜湊簽章和內嵌到期日。 如需詳細資訊，請參閱 對稱金鑰證明 。

硬體安全性模組

硬體安全性模組或 HSM 用於裝置密碼的安全、硬體型儲存，而且是最安全的秘密儲存形式。 X.509 憑證和 SAS 權杖都可以儲存在 HSM 中。 HSM 可以搭配布建服務支援的這兩種證明機制使用。

提示

強烈建議您將 HSM 與裝置搭配使用，以安全地將秘密儲存在您的裝置上。

裝置密碼也可能儲存在軟體（記憶體），但它是比 HSM 更安全的儲存體形式。

識別碼範圍

識別碼範圍會在使用者建立裝置布建服務時指派給裝置布建服務，並用來唯一識別裝置將註冊的特定布建服務。 識別碼範圍是由服務產生，且不可變，可保證唯一性。

注意

對於長時間執行的部署作業和合併和收購案例而言，唯一性很重要。

註冊記錄

註冊記錄是裝置透過裝置布建服務成功向IoT 中樞註冊/布建的記錄。 註冊記錄會自動建立;可以刪除它們，但無法更新。

註冊識別碼

註冊識別碼是用來唯一識別裝置布建服務的裝置註冊。 註冊識別碼在布建服務 識別碼範圍 中必須是唯一的。 每個裝置都必須有註冊識別碼。 註冊識別碼是英數位元不區分大小寫的字串，加上特殊字元： '-' 、、 '.' 、 '_'':' 。 最後一個字元必須是英數位元或虛線 （ '-' ）。 DPS 支援最多 128 個字元的註冊識別碼。

• 在 TPM 的情況下，註冊識別碼是由 TPM 本身提供。
• 在以 X.509 為基礎的證明案例中，註冊識別碼會設定為裝置憑證的主體通用名稱（CN）。 因此，一般名稱必須遵循註冊識別碼字串格式。 不過，註冊識別碼限制為 64 個字元，因為這是 X.509 憑證中主體一般名稱的最大長度。

裝置識別碼

裝置識別碼是出現在IoT 中樞中的識別碼。 所需的裝置識別碼可能會在註冊專案中設定，但不需要設定。 只有個別註冊才支援設定所需的裝置識別碼。 如果在註冊清單中未指定任何所需的裝置識別碼，註冊識別碼會在註冊裝置時當做裝置識別碼使用。 深入瞭解 IoT 中樞 中的裝置識別碼。

Operations

作業是裝置布建服務的計費單位。 一項作業是服務一個指令的成功完成。 作業包括裝置註冊和重新註冊，也包括服務端的變更，如新增和更新註冊清單項目。