如何從 Azure IoT 中樞 裝置布建服務取消註冊或撤銷裝置

  • 發行項

對於受到廣泛使用的系統 (例如 IoT 解決方案) 來說,適當地管理裝置認證非常重要。 適用於這類系統的最佳做法是清楚地規劃當裝置認證 (不論是共用存取簽章 (SAS) 權杖還是 X.509 憑證) 可能外洩時,如何撤銷裝置的存取權。

裝置布建服務中的註冊可讓裝置 布建。 布建的裝置是已向 IoT 中樞 註冊的裝置,允許它接收其初始裝置對應項狀態,並開始報告遙測數據。

本文說明如何撤銷布建服務實例中的裝置,以防止它在未來布建或重新佈建。 停用個別註冊或註冊群組並不會從 IoT 中樞 移除現有的裝置註冊。 若要瞭解如何取消布建已布建至 IoT 中樞的裝置,請參閱 管理取消布建

禁止裝置使用個別註冊

若要禁止透過裝置佈建服務來佈建裝置,您可以變更個別註冊的佈建狀態,以防止佈建和重新佈建該裝置。 如果裝置的行為超出其一般參數,或假設遭到入侵,或作為測試裝置布建重試機制的方式,您可以利用這項功能。

如果您想要不允許的裝置是透過註冊群組布建的,請參閱禁止 X.509 註冊群組中的特定裝置的步驟

注意

請注意您撤銷存取權之裝置的重試原則。 例如,具有無限重試原則的裝置可能會持續嘗試向布建服務註冊。 這種情況會耗用服務資源,例如服務作業配額,且可能會影響效能。

  1. 登入 Azure 入口網站 並流覽至您的裝置布建服務實例。

  2. 選取 [管理註冊],然後選取 [個別註冊] 索引標籤。

  3. 選取您要禁止之裝置的註冊項目。

  4. 在 [註冊詳細資料] 頁面上,取消核取 [佈建狀態] 區段中的 [啟用此註冊] 方塊,然後選取 [儲存]

    顯示停用入口網站中個別註冊的螢幕快照。

如果 IoT 裝置已處於其裝置生命週期尾端,且不應再允許佈建至 IoT 解決方案,則應從裝置佈建服務中移除裝置註冊:

  1. 在您的布建服務中,選取 [ 管理註冊],然後選取 [ 個別註冊] 索引卷 標。

  2. 針對您要禁止的裝置,選取其註冊項目旁邊的核取方塊。

  3. 選取視窗頂端的 [刪除],然後選取 [是] 以確認您要移除該註冊。

    顯示刪除入口網站中個別註冊的螢幕快照。

使用註冊群組禁止 X.509 中繼或根 CA 憑證

X.509 憑證通常會配置在信任的信任鏈結中。 如果憑證在鏈結中的任何階段發生外洩,信任就會遭到破壞。 您必須禁止該憑證,才能防止裝置佈建服務佈建在該憑證所屬任何鏈結中處於下游的裝置。 若要深入瞭解 X.509 憑證及其如何與布建服務搭配使用,請參閱 X.509 憑證

註冊群組是裝置的項目,這些裝置會共用由相同中繼或根 CA 所簽署之 X.509 憑證的通用證明機制。 註冊群組項目是使用與中繼或根 CA 關聯的 X.509 憑證所設定。 此項目的設定中也會包含其憑證鏈結中有該憑證之裝置所共用的任何設定值 (例如對應項狀態和 IoT 中樞連線)。 若要禁止該憑證,您可以停用或刪除其註冊群組。

若要藉由停用其註冊群組來暫時禁止憑證:

  1. 登入 Azure 入口網站 並流覽至您的裝置布建服務實例。

  2. 在您的布建服務中,選取 [ 管理註冊],然後選取 [ 註冊群組] 索引卷 標。

  3. 使用您要禁止的憑證選取註冊群組。

  4. 在 [註冊詳細資料] 頁面上,取消核取 [佈建狀態] 區段中的 [啟用此註冊] 方塊,然後選取 [儲存]

    在入口網站中停用註冊群組專案

若要藉由刪除憑證的註冊群組來永久禁止憑證:

  1. 在您的布建服務中,選取 [ 管理註冊],然後選取 [ 註冊群組] 索引卷 標。

  2. 針對您要禁止的憑證,選取其註冊群組旁邊的核取方塊。

  3. 選取視窗頂端的 [刪除],然後選取 [是] 以確認您要移除該註冊群組。

    刪除入口網站中的註冊群組專案

完成此程序之後,您應該會看到您的項目已從註冊群組清單中移除。

注意

您刪除了某憑證的註冊群組後,如果根憑證或憑證鏈結中較高層級的其他中繼憑證已啟用的註冊群組存在,則在憑證鏈結中具有該憑證的裝置或許仍可註冊。

注意

刪除註冊群組並不會刪除群組中裝置的註冊記錄。 DPS 使用註冊記錄來判斷是否已達到 DPS 執行個體的註冊數目上限。 孤立的註冊記錄仍計入此配額。 如需 DPS 實例目前支援的註冊數目上限,請參閱 配額和限制

您可能要先刪除註冊群組的註冊記錄,再刪除註冊群組本身。 您可以在 Azure 入口網站 中群組的 [註冊狀態] 索引標籤上,手動查看和管理註冊群組的註冊記錄。 您可以使用 DPS 服務 SDK 中的裝置註冊狀態 REST API 或對等 API,或使用 az iot dps enrollment-group registration Azure CLI 命令,以程式設計方式擷取和管理註冊記錄。

禁止 X.509 註冊群組中的特定裝置

如果您擁有透過您要取消註冊的註冊群組佈建的裝置,則可以只針對該裝置建立已停用的個別註冊來執行此動作。 當裝置連線並向 [裝置佈建服務] 驗證時,本服務會先尋找符合註冊識別碼的個別註冊。 只有在找不到裝置的個別註冊時,服務才會搜尋註冊群組。

若要停用註冊群組中的個別裝置,請遵循下列步驟:

  1. 登入 Azure 入口網站 並流覽至您的裝置布建服務實例。

  2. 在您的布建服務中,選取 [ 管理註冊],然後選取 [ 個別註冊] 索引卷 標。

  3. 選取 [新增個別註冊]

  4. 根據您是否擁有裝置 (終端實體) 憑證,來執行適當的步驟。

    • 如果您有裝置憑證,請在 [新增註冊] 頁面上提供下列值:

      欄位 描述
      證明機制 選取 [X.509 用戶端憑證]
      主要憑證檔案 上傳裝置憑證。 針對憑證,請使用安裝在裝置上的已簽署終端實體憑證。 裝置會使用已簽署的終端實體憑證進行驗證。

    • 如果您沒有裝置憑證,請在 [新增註冊] 頁面上提供下列值:

      欄位 描述
      證明機制 選取 [對稱金鑰]
      自動產生對稱金鑰 :請確定已選取此複選框。 此案例的金鑰並不重要。
      註冊識別碼 如果裝置已布建,請使用其 IoT 中樞 裝置標識符。 您可以在註冊群組的註冊記錄中,或在布建裝置的IoT中樞中找到此專案。 如果尚未布建裝置,請輸入裝置憑證 CN。 (在此案例中,您不需要裝置憑證,但您必須知道 CN。

  5. 捲動至 [新增註冊] 頁面底部,然後取消核取 [啟用此註冊] 核取方塊。

  6. 選取 [檢閱 + 建立],然後選取 [建立]

成功建立註冊之後,您應該會看到 [個別註冊] 索引標籤上列出的已停用裝置註冊。

下一步

取消註冊也是較大取消布建程式的一部分。 取消布建裝置包括取消註冊布建服務,以及從IoT中樞取消註冊。 若要瞭解完整程式,請參閱 如何取消布建先前布建的裝置