Comment désinscrire ou révoquer un appareil dans le service Azure IoT Hub Device Provisioning
La gestion adéquate des informations d’identification des appareils est essentielle pour les systèmes de grande envergure tels que les solutions IoT. Pour ces systèmes, une bonne pratique consiste à disposer d’un plan indiquant clairement comment révoquer l’accès pour les appareils quand leurs informations d’identification, qu’il s’agisse d’un jeton de signature d’accès partagé (SAP) ou d’un certificat X.509, peuvent être compromises.
En inscrivant un appareil dans le service Device Provisioning, vous activez son approvisionnement. Un appareil provisionné est une instance inscrite auprès d’IoT Hub, qui peut recevoir son état initial de jumeau d’appareil et commencer à générer des rapports sur les données de télémétrie.
Cet article explique comment révoquer un appareil de votre instance de service de provisionnement, pour empêcher son provisionnement ou son reprovisionnement par la suite. La désactivation d’une inscription individuelle ou d’un groupe d’inscription ne supprime pas l’inscription d’appareil existante dans IoT Hub. Pour savoir comment annuler le provisionnement d’un appareil qui a déjà été provisionné sur un IoT Hub, consultez Gérer l’annulation du provisionnement.
Bloquer un appareil à l’aide d’une inscription individuelle
Pour interdire le provisionnement d’un appareil via le service de provisionnement des appareils, vous pouvez modifier l’état de provisionnement d’une inscription individuelle afin d’empêcher le provisionnement et le reprovisionnement de l’appareil. Vous pouvez tirer parti de cette fonctionnalité si l’appareil se comporte de façon non conforme à ses paramètres normaux ou s’il est supposé être compromis, ou pour tester le mécanisme de nouvelle tentative de provisionnement de vos appareils.
Si l’appareil que vous souhaitez interdire a été provisionné avec un groupe d’inscription, consultez les étapes pour Interdire des appareils spécifiques dans un groupe d’inscription X.509.
Remarque
Tenez compte de la stratégie de nouvelle tentative applicable aux appareils pour lesquels vous révoquer l’accès. Par exemple, un appareil qui utilise une stratégie de nouvelles tentatives infinies peut tenter de s’inscrire de manière continue auprès du service de provisionnement. Cette situation consomme des ressources du service, comme les quotas d’opérations du service, et peut affecter les performances.
Connectez-vous au portail Azure et accédez à votre instance du service Device Provisioning.
Sélectionnez Gérer les inscriptions, puis l’onglet Inscriptions individuelles.
Sélectionnez l’entrée d’inscription de l’appareil que vous souhaitez bloquer.
Sur la page de détails de l’inscription, désactivez la case Activer cette inscription dans la section État de provisionnement, puis sélectionnez Enregistrer.
Si un appareil IoT est à la fin de son cycle de vie et ne doit plus être autorisé à être provisionné dans la solution IoT, l’inscription de l’appareil doit être supprimée du service Device Provisioning :
Dans votre service de provisionnement, sélectionnez Gérer les inscriptions, puis sélectionnez l’onglet Inscriptions individuelles.
Cochez la case en regard de l’entrée d’inscription de l’appareil à bloquer.
Sélectionnez Supprimer en haut de la fenêtre, puis sélectionnez Oui pour confirmer que vous voulez supprimer l’inscription.
Bloquer un certificat d’autorité de certification racine ou intermédiaire X.509 à l’aide d’un groupe d’inscription
Les certificats X.509 sont généralement organisés en une chaîne d’approbation de confiance. Si un certificat à un endroit quelconque d’une chaîne est compromis, l’approbation est rompue. Le certificat doit être bloqué pour empêcher le service d’approvisionnement d’appareils d’approvisionner des appareils en aval dans la chaîne contenant ce certificat. Pour en savoir plus sur les certificats X.509 et sur leur utilisation avec le service de provisionnement, consultez Certificats X.509.
Un groupe d’inscriptions est une entrée pour des appareils partageant un mécanisme commun d’attestation de certificats X.509 signés par la même autorité de certification racine ou intermédiaire. L’entrée du groupe d’inscription est configurée avec le certificat X.509 associé à l’autorité de certification racine ou intermédiaire. L’entrée est également configurée avec toutes les valeurs de configuration, telles que l’état du jumeau et la connexion du hub IoT, qui sont partagées par les appareils dont la chaîne de certificats contient ce certificat. Pour bloquer le certificat, vous pouvez désactiver ou supprimer son groupe d’inscriptions.
Pour bloquer temporairement le certificat en désactivant son groupe d’inscriptions :
Connectez-vous au portail Azure et accédez à votre instance du service Device Provisioning.
Dans votre service de provisionnement, sélectionnez Gérer les inscriptions, puis sélectionnez l’onglet Groupes d’inscription.
Sélectionnez le groupe d’inscriptions utilisant le certificat à bloquer.
Sur la page de détails de l’inscription, désactivez la case Activer cette inscription dans la section État de provisionnement, puis sélectionnez Enregistrer.
Pour bloquer définitivement le certificat en supprimant son groupe d’inscriptions :
Dans votre service de provisionnement, sélectionnez Gérer les inscriptions, puis sélectionnez l’onglet Groupes d’inscription.
Cochez la case en regard du groupe d’inscriptions du certificat à bloquer.
Sélectionnez Supprimer en haut de la fenêtre, puis sélectionnez Oui pour confirmer que vous voulez supprimer le groupe d’inscription.
Une fois la procédure terminée, vous devriez constater que votre entrée a été supprimée de la liste des groupes d’inscription.
Remarque
Si vous supprimez un groupe d’inscription pour un certificat, les appareils dont la chaîne de certificats contient ce certificat peuvent quand même s’inscrire si celle-ci comporte plus en amont un groupe d’inscription activé pour le certificat racine ou un autre certificat intermédiaire.
Remarque
La suppression d’un groupe d’inscriptions ne supprime pas les enregistrements d’inscription des appareils du groupe. DPS utilise les enregistrements d’inscription pour déterminer si le nombre maximal d’inscriptions a été atteint pour l’instance DPS. Les enregistrements d’inscription orphelins sont toujours comptabilisés dans ce quota. Pour connaître le nombre maximal actuel d’inscriptions prises en charge pour une instance DPS, consultez Quotas et limites.
Vous pouvez supprimer les enregistrements d’inscription du groupe d’inscription avant de supprimer le groupe d’inscription lui-même. Vous pouvez voir et gérer manuellement les enregistrements d’inscription d’un groupe d’inscription sous l’onglet État d’inscription du groupe dans le portail Azure. Vous pouvez récupérer et gérer les enregistrements d’inscription par programmation à l’aide des API REST d’état d’inscription des appareils ou des API équivalentes dans les SDK de service DPS, ou à l’aide des commandes az iot dps enrollment-group registration d’Azure CLI.
Bloquer des appareils spécifiques d’un groupe d’inscription X.509
Si vous disposez d’un appareil provisionné via un groupe d’inscription que vous souhaitez désinscrire, vous pouvez le faire en créant une inscription individuelle désactivée pour cet appareil. Lorsqu’un appareil se connecte et s’authentifie auprès du service de provisionnement des appareils, le service recherche d’abord une inscription individuelle avec l’ID d’inscription correspondant. Uniquement si aucune inscription individuelle n’est trouvée pour l’appareil, le service recherche les groupes d’inscription.
Pour bloquer un appareil individuel dans un groupe d’inscriptions, procédez comme suit :
Connectez-vous au portail Azure et accédez à votre instance du service Device Provisioning.
Dans votre service de provisionnement, sélectionnez Gérer les inscriptions, puis sélectionnez l’onglet Inscriptions individuelles.
Sélectionnez Ajouter une inscription individuelle.
Suivez l’étape appropriée selon que vous disposez ou non du certificat d’appareil (entité de bout en bout).
Si vous disposez du certificat d’appareil, fournissez les valeurs suivantes sur la page Ajouter une inscription :
Champ Description Mécanisme d’attestation Sélectionner Certificats clients X.509 Fichier de certificat principal Chargez le certificat d’appareil. Pour le certificat, utilisez le certificat d’entité finale signé qui est installé sur l’appareil. L’appareil utilise ce certificat pour l’authentification. Si vous n’avez pas le certificat d’appareil, fournissez les valeurs suivantes sur la page Ajouter une inscription :
Champ Description Mécanisme d’attestation Sélectionnez Clé symétrique Générer automatiquement les clés symétriques : vérifiez que cette case est cochée. Les clés n’ont pas d’importance pour ce scénario. ID d'inscription Si l’appareil a déjà été provisionné, utilisez son ID d’appareil IoT Hub. Vous pouvez le trouver dans les enregistrements d’inscription du groupe d’inscription ou dans l’IoT Hub sur lequel l’appareil a été provisionné. Si l’appareil n’a pas encore été provisionné, entrez le nom de certificat de l’appareil. (Dans ce dernier cas, vous n’avez pas besoin du certificat de l’appareil, mais vous devez connaître le nom commun.)
Faites défiler vers le bas de la page Ajouter une inscription et désactivez la case Activer cette inscription.
Sélectionnez Vérifier + créer, puis sélectionnez Créer.
Une fois votre inscription créée, vous devez normalement voir l’inscription désactivée de votre appareil sous l’onglet Inscriptions individuelles.
Étapes suivantes
La désinscription fait également partie du processus général d’annulation du provisionnement. L’annulation de l’approvisionnement d’un appareil comprend la désinscription du service de provisionnement, et le retrait de l’instance IoT Hub. Pour plus d’informations sur le processus complet, consultez Guide pratique pour déprovisionner des appareils précédemment provisionnés