Como desprovisionar dispositivos que foram provisionados automaticamente anteriormente

Você pode achar necessário desprovisionar dispositivos que foram provisionados automaticamente anteriormente por meio do Serviço de Provisionamento de Dispositivos. Por exemplo, um dispositivo pode ser vendido ou movido para um hub IoT diferente, ou pode ser perdido, roubado ou comprometido de outra forma.

Em geral, o desprovisionamento de um dispositivo envolve duas etapas:

1. Desregistre o dispositivo do serviço de provisionamento para evitar o provisionamento automático futuro. Dependendo se você deseja revogar o acesso temporária ou permanentemente, você pode desabilitar ou excluir uma entrada de inscrição. Para dispositivos que usam o atestado X.509, convém desabilitar/excluir uma entrada na hierarquia de seus grupos de inscrição existentes.

   • Para saber como cancelar o registro de um dispositivo, consulte Como cancelar o registro de um dispositivo do Serviço de Provisionamento de Dispositivo do Hub IoT do Azure.
   • Para saber como cancelar o registro de um dispositivo programaticamente usando um dos SDKs de serviço de provisionamento, consulte Gerenciar registros de dispositivo com SDKs de serviço.

2. Cancele o registro do dispositivo do seu hub IoT para impedir futuras comunicações e transferência de dados. Novamente, você pode desabilitar temporariamente ou excluir permanentemente a entrada do dispositivo no registro de identidade do Hub IoT onde ele foi provisionado. Consulte Desativar dispositivos para saber mais sobre a desativação.

As etapas exatas que você toma para desprovisionar um dispositivo dependem de seu mecanismo de atestado e de sua entrada de inscrição aplicável com seu serviço de provisionamento. As seções a seguir fornecem uma visão geral do processo, com base no tipo de inscrição e atestado.

Inscrições individuais

Os dispositivos que usam o atestado TPM ou o atestado X.509 com um certificado folha são provisionados por meio de uma entrada de inscrição individual.

Para desprovisionar um dispositivo que tenha um registro individual:

1. Cancele o registro do dispositivo do serviço de provisionamento:

   • Para dispositivos que usam o atestado TPM, exclua a entrada de registro individual para revogar permanentemente o acesso do dispositivo ao serviço de provisionamento ou desative a entrada para revogar temporariamente seu acesso.
   • Para dispositivos que usam o atestado X.509, você pode excluir ou desabilitar a entrada. Esteja ciente, no entanto, se você excluir um registro individual para um dispositivo que usa X.509 e existir um grupo de registro habilitado para um certificado de assinatura na cadeia de certificados desse dispositivo, o dispositivo poderá se registrar novamente. Para esses dispositivos, pode ser mais seguro desativar a entrada de inscrição. Isso impede que o dispositivo se registre novamente, independentemente de existir um grupo de registro habilitado para um de seus certificados de assinatura.

2. Desative ou exclua o dispositivo no registro de identidade do hub IoT para o qual ele foi provisionado.

Grupos de inscrição

Com o atestado X.509, os dispositivos também podem ser provisionados por meio de um grupo de inscrição. Os grupos de registro são configurados com um certificado de assinatura, um certificado de CA intermediário ou raiz, e controlam o acesso ao serviço de provisionamento para dispositivos com esse certificado em sua cadeia de certificados. Para saber mais sobre grupos de inscrição e certificados X.509 com o serviço de provisionamento, consulte Atestado de certificado X.509.

Para ver uma lista de dispositivos que foram provisionados por meio de um grupo de inscrição, você pode exibir os detalhes do grupo de inscrição. Essa é uma maneira fácil de entender para qual hub IoT cada dispositivo foi provisionado. Para visualizar a lista de dispositivos:

1. Entre no portal do Azure e navegue até seu serviço de provisionamento.

2. Selecione Gerenciar inscrições e, em seguida, selecione a guia Grupos de inscrições.

3. Selecione o grupo de inscrição para abrir seus detalhes.

4. Selecione Detalhes para exibir os registros de registro para o grupo de inscrição.

   

Com os grupos de inscrição, há dois cenários a considerar:

• Para desprovisionar todos os dispositivos que foram provisionados por meio de um grupo de registro:

  1. Desative o grupo de inscrição para não permitir seu certificado de assinatura.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para desabilitar ou excluir cada dispositivo do registro de identidade de seu respetivo hub IoT.

  3. Depois de desativar ou excluir todos os dispositivos de seus respetivos hubs IoT, você pode, opcionalmente, excluir o grupo de registro. No entanto, esteja ciente de que, se você excluir o grupo de registro e houver um grupo de registro habilitado para um certificado de assinatura mais acima na cadeia de certificados de um ou mais dispositivos, esses dispositivos poderão se inscrever novamente.

     Nota

     A exclusão de um grupo de inscrição não exclui os registros de registro de dispositivos no grupo. O DPS usa os registros de registro para determinar se o número máximo de registros foi atingido para a instância do DPS. Os registos de registo órfãos continuam a contar para esta quota. Para obter o número máximo atual de registros suportados para uma instância DPS, consulte Cotas e limites.

     Talvez você queira excluir os registros de registro do grupo de inscrição antes de excluir o próprio grupo de inscrição. Você pode ver e gerenciar os registros de registro de um grupo de inscrição manualmente na página de status de registro do grupo no portal do Azure. Ou, você pode recuperar e gerenciar os registros de registro programaticamente usando as APIs REST do Estado de Registro do Dispositivo ou APIs equivalentes nos SDKs do serviço DPS ou usando os comandos az iot dps enrollment-group registration Azure CLI.

• Para desprovisionar um único dispositivo de um grupo de registro:

  1. Crie um registro individual desativado para o dispositivo.

     • Se você tiver o certificado de dispositivo (entidade final), poderá criar um registro individual X.509 desabilitado.
     • Se você não tiver o certificado do dispositivo, poderá criar um registro individual de chave simétrica desabilitado com base no ID do dispositivo no registro de registro desse dispositivo.

     Para saber mais, consulte Não permitir dispositivos específicos em um grupo de inscrição.

     A presença de um registro individual desabilitado para um dispositivo revoga o acesso ao serviço de provisionamento para esse dispositivo e, ao mesmo tempo, permite o acesso para outros dispositivos que têm o certificado de assinatura do grupo de registro em sua cadeia. Não exclua o registro individual desativado para o dispositivo. Isso permitirá que o dispositivo se inscreva novamente por meio do grupo de inscrição.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para localizar o hub IoT para o qual o dispositivo foi provisionado e desabilitá-lo ou excluí-lo do registro de identidade desse hub.