Jak anulować aprowizację urządzeń, które były wcześniej automatycznie aprowidowane

Może okazać się konieczne anulowanie aprowizacji urządzeń, które zostały wcześniej automatycznie aprowidowane za pośrednictwem usługi Device Provisioning Service. Na przykład urządzenie może zostać sprzedane lub przeniesione do innego centrum IoT Albo może zostać utracone, skradzione lub w inny sposób naruszone.

Ogólnie rzecz biorąc, anulowanie aprowizacji urządzenia obejmuje dwa kroki:

1. Wyrejestruj urządzenie z usługi aprowizacji, aby zapobiec przyszłej automatycznej aprowizacji. W zależności od tego, czy chcesz tymczasowo lub trwale odwołać dostęp, możesz wyłączyć lub usunąć wpis rejestracji. W przypadku urządzeń korzystających z zaświadczania X.509 można wyłączyć/usunąć wpis w hierarchii istniejących grup rejestracji.

   • Aby dowiedzieć się, jak wyrejestrować urządzenie, zobacz How to disenroll a device from Azure IoT Hub Device Provisioning Service (Jak wyrejestrować urządzenie z usługi Azure IoT Hub Device Provisioning).
   • Aby dowiedzieć się, jak programowo wyrejestrować urządzenie przy użyciu jednego z zestawów SDK usługi aprowizacji, zobacz Zarządzanie rejestracjami urządzeń przy użyciu zestawów SDK usługi.

2. Wyrejestruj urządzenie z centrum IoT, aby zapobiec przyszłej komunikacji i transferowi danych. Ponownie możesz tymczasowo wyłączyć lub trwale usunąć wpis urządzenia w rejestrze tożsamości usługi IoT Hub, w którym został on zaaprowizowany. Zobacz Wyłączanie urządzeń , aby dowiedzieć się więcej na temat wyłączania.

Dokładne kroki, które należy wykonać w celu anulowania aprowizacji urządzenia, zależą od jego mechanizmu zaświadczania i odpowiedniego wpisu rejestracji w usłudze aprowizacji. Poniższe sekcje zawierają omówienie procesu na podstawie typu rejestracji i zaświadczania.

Rejestracje indywidualne

Urządzenia korzystające z zaświadczania modułu TPM lub zaświadczania X.509 z certyfikatem liścia są aprowidowane za pośrednictwem wpisu rejestracji indywidualnej.

Aby usunąć aprowizację urządzenia z rejestracją indywidualną:

1. Wyrejestrowywanie urządzenia z usługi aprowizacji:

   • W przypadku urządzeń korzystających z zaświadczania TPM usuń wpis rejestracji indywidualnej, aby trwale odwołać dostęp urządzenia do usługi aprowizacji lub wyłączyć wpis, aby tymczasowo odwołać dostęp.
   • W przypadku urządzeń korzystających z zaświadczania X.509 można usunąć lub wyłączyć wpis. Należy jednak pamiętać, że jeśli usuniesz rejestrację indywidualną dla urządzenia korzystającego z biblioteki X.509, a włączona grupa rejestracji istnieje dla certyfikatu podpisywania w łańcuchu certyfikatów tego urządzenia, urządzenie może ponownie zarejestrować. W przypadku takich urządzeń może być bezpieczniej wyłączyć wpis rejestracji. Uniemożliwia to ponowne zarejestrowanie urządzenia, niezależnie od tego, czy dla jednego z certyfikatów podpisywania istnieje włączona grupa rejestracji.

2. Wyłącz lub usuń urządzenie w rejestrze tożsamości centrum IoT Hub, do którego została aprowizowana.

Grupy rejestracji

Za pomocą zaświadczania X.509 urządzenia można również aprowizować za pośrednictwem grupy rejestracji. Grupy rejestracji są konfigurowane przy użyciu certyfikatu podpisywania, pośredniego lub głównego urzędu certyfikacji oraz kontroli dostępu do usługi aprowizacji dla urządzeń z tym certyfikatem w łańcuchu certyfikatów. Aby dowiedzieć się więcej na temat grup rejestracji i certyfikatów X.509 z usługą aprowizacji, zobacz Zaświadczanie certyfikatów X.509.

Aby wyświetlić listę urządzeń, które zostały aprowidowane za pośrednictwem grupy rejestracji, możesz wyświetlić szczegóły grupy rejestracji. Jest to łatwy sposób zrozumienia, do którego centrum IoT Hub zostało aprowidowane każde urządzenie. Aby wyświetlić listę urządzeń:

1. Zaloguj się do witryny Azure Portal i przejdź do usługi aprowizacji.

2. Wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Grupy rejestracji.

3. Wybierz grupę rejestracji, aby otworzyć jej szczegóły.

4. Wybierz pozycję Szczegóły , aby wyświetlić rekordy rejestracji dla grupy rejestracji.

   

W przypadku grup rejestracji należy wziąć pod uwagę dwa scenariusze:

• Aby anulować aprowizację wszystkich urządzeń, które zostały aprowidowane za pośrednictwem grupy rejestracji:

  1. Wyłącz grupę rejestracji, aby uniemożliwić jej certyfikat podpisywania.

  2. Użyj listy aprowizowanych urządzeń dla tej grupy rejestracji, aby wyłączyć lub usunąć każde urządzenie z rejestru tożsamości odpowiedniego centrum IoT.

  3. Po wyłączeniu lub usunięciu wszystkich urządzeń z odpowiednich centrów IoT można opcjonalnie usunąć grupę rejestracji. Należy jednak pamiętać, że jeśli usuniesz grupę rejestracji i istnieje włączona grupa rejestracji dla certyfikatu podpisywania wyższego poziomu w łańcuchu certyfikatów jednego lub większej liczby urządzeń, te urządzenia mogą zostać ponownie zarejestrowane.

     Uwaga

     Usunięcie grupy rejestracji nie powoduje usunięcia rekordów rejestracji dla urządzeń w grupie. Usługa DPS używa rekordów rejestracji do określenia, czy osiągnięto maksymalną liczbę rejestracji dla wystąpienia usługi DPS. Oddzielone rekordy rejestracji nadal są liczone względem tego limitu przydziału. Aby uzyskać bieżącą maksymalną liczbę rejestracji obsługiwanych dla wystąpienia usługi DPS, zobacz Limity przydziału i limity.

     Możesz usunąć rekordy rejestracji dla grupy rejestracji przed usunięciem samej grupy rejestracji. Rekordy rejestracji dla grupy rejestracji można wyświetlić i zarządzać nimi ręcznie na stronie stanu rejestracji grupy w witrynie Azure Portal. Możesz też programowo pobierać rekordy rejestracji i zarządzać nimi przy użyciu interfejsów API REST stanu rejestracji urządzeń lub równoważnych interfejsów API w zestawach SDK usługi DPS lub za pomocą poleceń az iot dps enrollment-group registration interfejsu wiersza polecenia platformy Azure.

• Aby usunąć aprowizację pojedynczego urządzenia z grupy rejestracji:

  1. Utwórz wyłączoną rejestrację indywidualną dla urządzenia.

     • Jeśli masz certyfikat urządzenia (jednostki końcowej), możesz utworzyć wyłączoną rejestrację indywidualną X.509.
     • Jeśli nie masz certyfikatu urządzenia, możesz utworzyć wyłączoną rejestrację indywidualną klucza symetrycznego na podstawie identyfikatora urządzenia w rekordzie rejestracji dla tego urządzenia.

     Aby dowiedzieć się więcej, zobacz Nie zezwalaj określonym urządzeniom w grupie rejestracji.

     Obecność wyłączonej rejestracji indywidualnej dla urządzenia odwołuje dostęp do usługi aprowizacji dla tego urządzenia, jednocześnie zezwalając na dostęp dla innych urządzeń z certyfikatem podpisywania grupy rejestracji w łańcuchu. Nie usuwaj wyłączonej rejestracji indywidualnej dla urządzenia. Dzięki temu urządzenie będzie mogło ponownie zarejestrować się za pośrednictwem grupy rejestracji.

  2. Użyj listy aprowizowanych urządzeń dla tej grupy rejestracji, aby znaleźć centrum IoT Hub, na które urządzenie zostało aprowidowane, i wyłączyć lub usunąć je z rejestru tożsamości tego centrum.