Aufheben der Bereitstellung von Geräten, die zuvor automatisch bereitgestellt wurden

Manchmal muss unter Umständen die Bereitstellung von Geräten aufgehoben werden, die zuvor automatisch über den Device Provisioning-Dienst bereitgestellt wurden. Dies kann beispielsweise erforderlich sein, wenn ein Gerät verkauft oder in eine andere IoT Hub-Instanz verschoben wird oder wenn es verloren gegangen ist, gestohlen wurde oder anderweitig gefährdet ist.

Die Aufhebung der Bereitstellung eines Geräts umfasst im Allgemeinen zwei Schritte:

1. Heben Sie die Registrierung des Geräts vom Bereitstellungsdienst auf, um die zukünftige automatische Bereitstellung zu verhindern. Je nachdem, ob Sie den Zugriff vorübergehend oder dauerhaft widerrufen möchten, können Sie entweder einen Registrierungseintrag deaktivieren oder löschen. Für Geräte mit X.509-Nachweis empfiehlt es sich gegebenenfalls, einen Eintrag in der Hierarchie Ihrer vorhandenen Registrierungsgruppen zu deaktivieren bzw. zu löschen.

   • Informationen zum Aufheben der Registrierung eines Geräts finden Sie unter Aufheben der Registrierung eines Geräts bei IoT Hub Device Provisioning Service.
   • Unter Gewusst wie: Verwalten von Geräteregistrierungen mit Azure Device Provisioning Service-SDKs erfahren Sie, wie Sie die Registrierung eines Geräts programmgesteuert mithilfe eines der Bereitstellungsdienst-SDKs aufheben.

2. Registrieren Sie das Gerät von Ihrem IoT-Hub, um zukünftige Kommunikation und Datenübertragung zu verhindern. Auch hier können Sie den Eintrag des Geräts in der Identitätsregistrierung für die IoT Hub-Instanz, in der es bereitgestellt wurde, entweder vorübergehend deaktivieren oder dauerhaft löschen. Weitere Informationen zur Deaktivierung finden Sie unter Deaktivieren von Geräten.

Die genaue Vorgehensweise zum Aufheben der Bereitstellung eines Geräts hängt von dessen Nachweismechanismus und dem zugehörigen Registrierungseintrag in Ihrem Bereitstellungsdienst ab. Die folgenden Abschnitte geben einen Überblick über den Prozess auf der Grundlage von Registrierungs- und Nachweistyp.

Individuelle Registrierungen

Geräte mit TPM-Nachweis oder X.509-Nachweis und einem untergeordneten Zertifikat werden über einen individuellen Registrierungseintrag bereitgestellt.

So heben Sie die Bereitstellung eines Geräts auf, das über eine individuelle Registrierung verfügt:

1. Heben Sie die Registrierung des Geräts bei Ihrem Bereitstellungsdienst auf:

   • Bei Verwendung von Geräten mit TPM-Nachweis löschen Sie den individuellen Registrierungseintrag, um die Zugriffsberechtigung des Geräts auf den Bereitstellungsdienst dauerhaft zu widerrufen. Alternativ können Sie den Eintrag auch deaktivieren, um die Zugriffsberechtigung nur vorübergehend zu widerrufen.
   • Für Geräte mit X.509-Nachweis können Sie den Eintrag entweder löschen oder deaktivieren. Bedenken Sie jedoch, dass das Gerät erneut registriert werden kann, wenn Sie eine individuelle Registrierung für ein Gerät mit X.509 löschen und eine aktivierte Registrierungsgruppe für ein Signaturzertifikat in der Vertrauenskette des Geräts vorhanden ist. Für solche Geräte kann es sicherer sein, den Registrierungseintrag zu deaktivieren. Dadurch wird eine erneute Registrierung des Geräts verhindert, unabhängig davon, ob eine aktivierte Registrierungsgruppe für eines der Signaturzertifikate vorhanden ist.

2. Deaktivieren oder löschen Sie das Gerät in der Identitätsregistrierung für die IoT Hub-Instanz, in der es bereitgestellt wurde.

Registrierungsgruppen

Bei Verwendung des X.509-Nachweises können Geräte auch über eine Registrierungsgruppe bereitgestellt werden. Registrierungsgruppen werden mit einem Signaturzertifikat (Zwischenzertifikat oder Zertifikat der Stammzertifizierungsstelle) konfiguriert und steuern den Zugriff auf den Bereitstellungsdienst für Geräte mit diesem Zertifikat in ihrer Zertifikatkette. Weitere Informationen zu Registrierungsgruppen und X.509-Zertifikaten mit dem Bereitstellungsdienst finden Sie unter X.509-Zertifikatnachweis.

Eine Liste mit Geräten, die über eine Registrierungsgruppe bereitgestellt wurden, finden Sie in den Details der Registrierungsgruppe. So können Sie ganz einfach nachvollziehen, für welche IoT Hub-Instanz die einzelnen Geräte bereitgestellt wurden. So zeigen Sie die Geräteliste an:

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem Bereitstellungsdienst.

2. Wählen Sie " Registrierungen verwalten" und dann die Registerkarte "Registrierungsgruppen " aus.

3. Wählen Sie die Registrierungsgruppe aus, um die Details zu öffnen.

4. Wählen Sie "Details " aus, um die Registrierungsdatensätze für die Registrierungsgruppe anzuzeigen.

   

Mit Registrierungsgruppen sind zwei Szenarien denkbar:

• So heben Sie die Bereitstellung aller Geräte auf, die über eine Registrierungsgruppe bereitgestellt wurden:

  1. Deaktivieren Sie die Registrierungsgruppe, um die Zulassung ihres Signaturzertifikats aufzuheben.

  2. Verwenden Sie die Liste bereitgestellter Geräte für diese Registrierungsgruppe, um jedes Gerät aus der Identitätsregistrierung der entsprechenden IoT Hub-Instanz zu deaktivieren oder zu löschen.

  3. Nach dem Deaktivieren oder Löschen aller Geräte aus den entsprechenden IoT Hub-Instanzen können Sie optional die Registrierungsgruppe löschen. Beachten Sie jedoch, dass diese Geräte erneut registriert werden können, wenn Sie die Registrierungsgruppe löschen und eine aktivierte Registrierungsgruppe für ein Signaturzertifikat in der Zertifikatkette eines oder mehrerer Geräte vorhanden ist.

     Hinweis

     Wenn Sie eine Registrierungsgruppe löschen, werden dadurch nicht die Registrierungsdatensätze für Geräte in der Gruppe gelöscht. DPS verwendet die Registrierungsdatensätze, um zu ermitteln, ob die maximale Anzahl von Registrierungen für die DPS-Instanz erreicht wurde. Verwaiste Registrierungsdatensätze werden weiterhin auf dieses Kontingent angerechnet. Informationen zur aktuellen maximalen Anzahl von Registrierungen, die für eine DPS-Instanz unterstützt werden, finden Sie unter Kontingente und Grenzwerte.

     Möglicherweise möchten Sie die Registrierungsdatensätze für die Registrierungsgruppe löschen, bevor Sie die Registrierungsgruppe selbst löschen. Sie können die Registrierungsdatensätze für eine Registrierungsgruppe manuell auf der Registrierungsstatusseite für die Gruppe im Azure-Portal anzeigen und verwalten. Sie können die Registrierungsdatensätze auch programmgesteuert mithilfe der REST-APIs des Geräteregistrierungsstatus oder gleichwertiger APIs in den DPS-Dienst-SDKs abrufen und verwalten oder die Azure CLI-Befehle der Az iot dps-Registrierungsgruppe registrieren.

• So heben Sie die Bereitstellung eines einzelnen Geräts aus einer Registrierungsgruppe auf:

  1. Erstellen Sie eine deaktivierte individuelle Registrierung für das Gerät.

     • Wenn Sie das Zertifikat des Geräts (Endentität) haben, können Sie eine deaktivierte individuelle X.509-Registrierung erstellen.
     • Wenn Sie das Gerätezertifikat nicht haben, können Sie – basierend auf der Geräte-ID im Registrierungsdatensatz für dieses Gerät – einen symmetrischen Schlüssel für die deaktivierte individuelle Registrierung erstellen.

     Weitere Informationen finden Sie unter Verweigern bestimmter Geräte in einer Registrierungsgruppe.

     Durch das Vorhandensein einer deaktivierten individuellen Registrierung für ein Gerät wird der Zugriff auf den Bereitstellungsdienst für dieses Gerät widerrufen. Anderen Geräten, deren Zertifikatkette das Signaturzertifikat der Registrierungsgruppe enthält, wird dagegen weiterhin Zugriff gewährt. Löschen Sie die deaktivierte individuelle Registrierung für das Gerät nicht. Andernfalls kann sich das Gerät über die Registrierungsgruppe erneut registrieren.

  2. Ermitteln Sie anhand der Liste bereitgestellter Geräte für die Registrierungsgruppe die IoT Hub-Instanz, für die das Gerät bereitgestellt wurde. Anschließend deaktivieren Sie das Gerät oder löschen es aus der Identitätsregistrierung des Hubs.