Desaprovisionamiento de dispositivos aprovisionados automáticamente

Puede que sea necesario desaprovisionar los dispositivos que se hayan aprovisionado automáticamente mediante el servicio Device Provisioning. Por ejemplo, un dispositivo puede venderse, trasladarse a otra instancia de IoT Hub, perderse, robarse o verse en peligro de otro modo.

En general, el desaprovisionamiento de un dispositivo implica dos pasos:

1. Desenrolle el dispositivo del servicio de aprovisionamiento para evitar el aprovisionamiento automático futuro. Dependiendo de si desea revocar el acceso temporalmente o permanentemente, puede deshabilitar o eliminar una entrada de inscripción. Para los dispositivos que usan la atestación de X.509, es aconsejable deshabilitar/eliminar una entrada en la jerarquía de los grupos de inscripción existentes.

   • Para aprender a dar de baja un dispositivo, consulte Baja del servicio Azure IoT Hub Device Provisioning para un dispositivo.
   • Para información sobre cómo dar de baja un dispositivo mediante programación con uno de los SDK del servicio de aprovisionamiento, consulte el artículo sobre la administración de las inscripciones de dispositivos con los SDK de servicio.

2. Anule el registro del dispositivo desde ioT Hub para evitar futuras comunicaciones y transferencia de datos. De nuevo, deshabilite temporalmente o elimine la entrada del dispositivo en el registro de identidades de manera definitiva para la instancia de IoT Hub en la que se aprovisionó. Consulte Deshabilitación de dispositivos para más información sobre la deshabilitación.

Los pasos exactos que se realizan para el desaprovisionamiento de un dispositivo dependen del mecanismo de atestación y de la entrada de inscripción aplicable en el servicio de aprovisionamiento. En las secciones siguientes se ofrece una introducción al proceso basada en el tipo de inscripción y la atestación.

Inscripciones individuales

Los dispositivos que usan la atestación de TPM o la atestación de X.509 con un certificado de hoja se aprovisionan mediante una entrada de inscripción individual.

Para desaprovisionar un dispositivo con inscripción individual, siga estos pasos:

1. Dé de baja el dispositivo del servicio de aprovisionamiento:

   • En el caso de dispositivos que usan la atestación de TPM, elimine la entrada de inscripción individual para revocar el acceso del dispositivo al servicio de aprovisionamiento de manera definitiva o deshabilite la entrada para revocarlo temporalmente.
   • En dispositivos que usan la atestación de X.509, puede eliminar o deshabilitar la entrada. Sin embargo, tenga en cuenta que si elimina una inscripción individual de un dispositivo que usa X.509 y existe un grupo de inscripción habilitado para un certificado de firma en la cadena de certificados de ese dispositivo, el dispositivo se puede volver a inscribir. En estos dispositivos, puede ser más seguro deshabilitar la entrada de inscripción. De esta forma, evita que el dispositivo se vuelva a inscribir, con independencia de si existe un grupo de inscripción habilitado para uno de sus certificados de firma.

2. Deshabilite o elimine el dispositivo del registro de identidades de la instancia de IoT Hub en que se aprovisionó.

Grupos de inscripción

Con la atestación X.509, también se pueden aprovisionar los dispositivos a través de un grupo de inscripción. Los grupos de inscripción se configuran con un certificado de firma, ya sea un certificado de entidad de certificación raíz o intermedia, y controlan el acceso al servicio de aprovisionamiento para los dispositivos con ese certificado en su cadena de certificados. Para más información sobre los grupos de inscripción y los certificados X.509 en el servicio de aprovisionamiento, vea Atestación de certificados de cliente X.509.

Para ver una lista de dispositivos que se han aprovisionado a través de un grupo de inscripción, puede visualizar los detalles del grupo de inscripción. Se trata de una manera fácil de comprender a qué instancia de IoT Hub se ha aprovisionado cada dispositivo. Para ver la lista de dispositivos:

1. Inicie sesión en Azure Portal y vaya al servicio de aprovisionamiento.

2. Seleccione Administrar inscripciones y, a continuación, seleccione la pestaña Grupos de inscripción.

3. Seleccione el grupo de inscripción para abrir sus detalles.

4. Seleccione Detalles para ver los registros de registro del grupo de inscripción.

   

Hay dos escenarios que se deben tener en cuenta en relación con los grupos de inscripción:

• Para desaprovisionar todos los dispositivos que se han aprovisionado mediante un grupo de inscripción, siga estos pasos:

  1. Deshabilite el grupo de inscripción para no permitir su certificado de firma.

  2. Use la lista de dispositivos aprovisionados de ese grupo de inscripción para deshabilitar o eliminar todos los dispositivos del registro de identidades de su respectiva instancia de IoT Hub.

  3. Después de deshabilitar o eliminar todos los dispositivos de sus respectivas instancias de IoT Hub, puede eliminar opcionalmente el grupo de inscripción. Sin embargo, tenga en cuenta que, si elimina el grupo de inscripción y hay un grupo de inscripción habilitado para un certificado de firma superior en la cadena de certificados de uno o varios de los dispositivos, esos dispositivos pueden volver a inscribirse.

     Nota:

     La eliminación de un grupo de inscripción no elimina las entradas de registro de los dispositivos del grupo. DPS usa las entradas de registro para determinar si se ha alcanzado el número máximo de registros para la instancia de DPS. Las entradas de registro huérfanas siguen teniéndose en cuenta para esta cuota. Para conocer el número máximo actual de registros que se admite para una instancia de DPS, consulte Cuotas y límites.

     Es posible que le interese eliminar las entradas de registro del grupo de inscripción antes de eliminar el propio grupo de inscripción. Puede ver y administrar los registros de registro de un grupo de inscripción manualmente en la página de estado de registro del grupo en Azure Portal. O bien, puede recuperar y administrar los registros de registro mediante programación mediante las API REST de estado de registro de dispositivos o las API equivalentes en los SDK del servicio DPS o mediante los comandos az iot dps enrollment-group registration de la CLI de Azure.

• Para desaprovisionar un único dispositivo de un grupo de inscripción, siga estos pasos:

  1. Cree una inscripción individual deshabilitada para el dispositivo.

     • Si tiene el certificado de dispositivo (entidad final), puede crear una inscripción individual X.509 deshabilitada.
     • Si no tiene el certificado de dispositivo, puede crear una inscripción individual de clave simétrica deshabilitada en función del id. de dispositivo en el registro de ese dispositivo.

     Para más información, consulte Denegar dispositivos específicos en un grupo de inscripción.

     La presencia de una inscripción individual deshabilitada para un dispositivo revoca el acceso al servicio de aprovisionamiento para dicho dispositivo mientras se sigue permitiendo el acceso para otros dispositivos que tienen el certificado de firma del grupo de inscripción en su cadena. No elimine la inscripción individual deshabilitada para el dispositivo. Si lo hace, permitirá al dispositivo volver a inscribirse a través del grupo de inscripción.

  2. Use la lista de dispositivos aprovisionados para ese grupo de inscripción para buscar la instancia de IoT Hub en que se ha aprovisionado el dispositivo y deshabilitarlo o eliminarlo del registro de identidades de dicha instancia.