Como cancelar o registro ou revogar um dispositivo do Serviço de Provisionamento de Dispositivo do Hub IoT do Azure

  • Artigo

O gerenciamento adequado de credenciais de dispositivos é crucial para sistemas de alto perfil, como soluções de IoT. Uma prática recomendada para esses sistemas é ter um plano claro de como revogar o acesso para dispositivos quando suas credenciais, seja um token de assinaturas de acesso compartilhado (SAS) ou um certificado X.509, possam ser comprometidas.

O registro no Serviço de Provisionamento de Dispositivo permite que um dispositivo seja provisionado. Um dispositivo provisionado é aquele que foi registrado no Hub IoT, permitindo que ele receba seu estado gêmeo inicial do dispositivo e comece a relatar dados de telemetria.

Este artigo descreve como revogar um dispositivo da instância do serviço de provisionamento, impedindo que ele seja provisionado ou reprovisionado no futuro. A desativação de um registro individual ou grupo de inscrição não remove um registro de dispositivo existente do Hub IoT. Para saber como desprovisionar um dispositivo que já foi provisionado para um hub IoT, consulte Gerenciar desprovisionamento.

Não permitir um dispositivo usando um registro individual

Para impedir que um dispositivo seja provisionado por meio do Serviço de Provisionamento de Dispositivo, você pode alterar o status de provisionamento de um registro individual para impedir que o dispositivo seja provisionado e reprovisionado. Você pode aproveitar esse recurso se o dispositivo estiver se comportando fora de seus parâmetros normais ou se presumir que está comprometido, ou como uma maneira de testar o mecanismo de repetição de provisionamento de seus dispositivos.

Se o dispositivo que você deseja não permitir foi provisionado por meio de um grupo de registro, consulte as etapas para Não permitir dispositivos específicos de um grupo de registro X.509.

Nota

Esteja ciente da política de repetição de dispositivos para os quais você revoga o acesso. Por exemplo, um dispositivo que tenha uma política de repetição infinita pode tentar se registrar continuamente no serviço de provisionamento. Essa situação consome recursos de serviço, como cotas de operação de serviço, e possivelmente afeta o desempenho.

  1. Entre no portal do Azure e navegue até sua instância do Serviço de Provisionamento de Dispositivo.

  2. Selecione Gerenciar inscrições e, em seguida, selecione a guia Inscrições individuais.

  3. Selecione a entrada de inscrição para o dispositivo que você deseja não permitir.

  4. Na página de detalhes do registro, desmarque a caixa Habilitar este registro na seção Status do provisionamento e selecione Salvar.

    Screenshot that shows disabling an individual enrollment in the portal.

Se um dispositivo IoT estiver no final do ciclo de vida do dispositivo e não tiver mais permissão para provisionar a solução IoT, o registro do dispositivo deverá ser removido do Serviço de Provisionamento de Dispositivo:

  1. No seu serviço de aprovisionamento, selecione Gerir inscrições e, em seguida, selecione o separador Inscrições individuais.

  2. Marque a caixa de seleção ao lado da entrada de registro do dispositivo que você deseja não permitir.

  3. Selecione Excluir na parte superior da janela e, em seguida, selecione Sim para confirmar que deseja remover o registro.

    Screenshot that shows deleting an individual enrollment in the portal.

Não permitir um certificado de autoridade de certificação X.509 intermediário ou raiz usando um grupo de registro

Os certificados X.509 são normalmente organizados em uma cadeia de confiança de certificados. Se um certificado em qualquer estágio de uma cadeia for comprometido, a confiança será quebrada. O certificado deve ser proibido para impedir que o Serviço de Provisionamento de Dispositivos provisione dispositivos downstream em qualquer cadeia que contenha esse certificado. Para saber mais sobre certificados X.509 e como eles são usados com o serviço de provisionamento, consulte Certificados X.509.

Um grupo de inscrição é uma entrada para dispositivos que compartilham um mecanismo de atestado comum de certificados X.509 assinados pela mesma autoridade de certificação intermediária ou raiz. A entrada do grupo de inscrição é configurada com o certificado X.509 associado à autoridade de certificação intermediária ou raiz. A entrada também é configurada com quaisquer valores de configuração, como estado gêmeo e conexão de hub IoT, que são compartilhados por dispositivos com esse certificado em sua cadeia de certificados. Para não permitir o certificado, você pode desabilitar ou excluir seu grupo de registro.

Para desativar temporariamente o certificado desativando seu grupo de inscrição:

  1. Entre no portal do Azure e navegue até sua instância do Serviço de Provisionamento de Dispositivo.

  2. No seu serviço de aprovisionamento, selecione Gerir inscrições e, em seguida, selecione o separador Grupos de Inscrições.

  3. Selecione o grupo de inscrição usando o certificado que você deseja não permitir.

  4. Na página de detalhes do registro, desmarque a caixa Habilitar este registro na seção Status do provisionamento e selecione Salvar.

    Disable enrollment group entry in the portal

Para desativar permanentemente o certificado excluindo seu grupo de registro:

  1. No seu serviço de aprovisionamento, selecione Gerir inscrições e, em seguida, selecione o separador Grupos de Inscrições.

  2. Marque a caixa de seleção ao lado do grupo de inscrição do certificado que você deseja não permitir.

  3. Selecione Eliminar na parte superior da janela e, em seguida, selecione Sim para confirmar que pretende remover o grupo de inscrição.

    Delete enrollment group entry in the portal

Depois de concluir o procedimento, você verá sua entrada removida da lista de grupos de inscrição.

Nota

Se você excluir um grupo de registro para um certificado, os dispositivos que têm o certificado em sua cadeia de certificados ainda poderão se inscrever se existir um grupo de registro habilitado para o certificado raiz ou outro certificado intermediário mais acima em sua cadeia de certificados.

Nota

A exclusão de um grupo de inscrição não exclui os registros de registro de dispositivos no grupo. O DPS usa os registros de registro para determinar se o número máximo de registros foi atingido para a instância do DPS. Os registos de registo órfãos continuam a contar para esta quota. Para obter o número máximo atual de registros suportados para uma instância DPS, consulte Cotas e limites.

Talvez você queira excluir os registros de registro do grupo de inscrição antes de excluir o próprio grupo de inscrição. Você pode ver e gerenciar os registros de registro de um grupo de inscrição manualmente na guia Status do registro do grupo no portal do Azure. Você pode recuperar e gerenciar os registros de registro programaticamente usando as APIs REST do Estado de Registro do Dispositivo ou APIs equivalentes nos SDKs do serviço DPS ou usando os comandos az iot dps enrollment-group registration Azure CLI.

Não permitir dispositivos específicos de um grupo de inscrição X.509

Se você tiver um dispositivo que foi provisionado por meio de um grupo de registro que deseja cancelar o registro, poderá fazê-lo criando um registro individual desabilitado apenas para esse dispositivo. Quando um dispositivo se conecta e se autentica com o Serviço de Provisionamento de Dispositivo, o serviço primeiro procura um registro individual com a ID de registro correspondente. Somente se nenhum registro individual for encontrado para o dispositivo, o serviço pesquisará grupos de registro.

Para não permitir um dispositivo individual em um grupo de registro, siga estas etapas:

  1. Entre no portal do Azure e navegue até sua instância do Serviço de Provisionamento de Dispositivo.

  2. No seu serviço de aprovisionamento, selecione Gerir inscrições e, em seguida, selecione o separador Inscrições individuais.

  3. Selecione Adicionar inscrição individual.

  4. Siga a etapa apropriada dependendo se você tem o certificado do dispositivo (entidade final) ou não.

    • Se você tiver o certificado do dispositivo, forneça os seguintes valores na página Adicionar registro :

      Campo Descrição
      Mecanismo de certificação Selecionar certificados de cliente X.509
      Arquivo de certificado primário Carregue o certificado do dispositivo. Para o certificado, use o certificado de entidade final assinado instalado no dispositivo. O dispositivo usa o certificado de entidade final assinado para autenticação.

    • Se você não tiver o certificado do dispositivo, forneça os seguintes valores na página Adicionar registro :

      Campo Descrição
      Mecanismo de certificação Selecione a chave simétrica
      Gere chaves simétricas automaticamente : Certifique-se de que esta caixa de verificação está selecionada. As chaves não importam para este cenário.
      ID de registo Se o dispositivo já tiver sido provisionado, use sua ID de dispositivo do Hub IoT. Você pode encontrar isso nos registros de registro do grupo de inscrição ou no hub IoT para o qual o dispositivo foi provisionado. Se o dispositivo ainda não tiver sido provisionado, insira o certificado de dispositivo CN. (Neste último caso, você não precisa do certificado do dispositivo, mas precisará conhecer o CN.)

  5. Role até a parte inferior da página Adicionar registro e desmarque a caixa de seleção Habilitar este registro.

  6. Selecione Rever + criar e, em seguida, selecione Criar.

Ao criar seu registro com êxito, você verá seu registro de dispositivo desabilitado listado na guia Inscrições individuais.

Próximos passos

A desinscrição também faz parte do processo de desprovisionamento maior. O desprovisionamento de um dispositivo inclui o cancelamento do registro do serviço de provisionamento e o cancelamento do registro do hub IoT. Para saber mais sobre o processo completo, consulte Como desprovisionar dispositivos que foram provisionados anteriormente