Baja o revocación de un dispositivo desde Azure IoT Hub Device Provisioning Service

La administración adecuada de las credenciales del dispositivo es fundamental para los sistemas de alto perfil como las soluciones de IoT. Un procedimiento recomendado para estos sistemas es tener un plan claro de cómo revocar el acceso de los dispositivos en los casos en que sus credenciales, tanto un token de firmas de acceso compartido (SAS) como un certificado X.509, puedan suponer un riesgo.

La inscripción en Device Provisioning Service habilita el aprovisionamiento de un dispositivo. Al aprovisionar un dispositivo, se registra en IoT Hub, lo cual le permite recibir el estado del dispositivo gemelo inicial y empezar a informar de los datos de telemetría.

En este artículo se describe cómo revocar un dispositivo desde una instancia del servicio de aprovisionamiento, lo que evita que se aprovisione o reaprovisione en el futuro. Al deshabilitar una inscripción individual o un grupo de inscripción, no se quita un registro de dispositivo existente de IoT Hub. Para obtener información sobre cómo desaprovisionar un dispositivo que ya se ha aprovisionado en un centro de IoT, consulte Administración del desaprovisionamiento.

Denegar dispositivos con una entrada de inscripción individual

Para impedir que un dispositivo se aprovisione a través de Servicio de Aprovisionamiento de dispositivos, puede cambiar el estado de aprovisionamiento de una inscripción individual para evitar que el dispositivo se aprovisione y vuelva a aprovisionar. Puede aprovechar esta capacidad si el dispositivo no se comporta de la forma habitual o si se supone que está en peligro, o bien como una manera de probar el mecanismo de reintento de aprovisionamiento de los dispositivos.

Si el dispositivo que quiere no permitir se aprovisionó a través de un grupo de inscripción, consulte los pasos para No permitir dispositivos específicos de un grupo de inscripción X.509.

Nota:

Tenga en cuenta la directiva de reintentos de los dispositivos para los que se revoca el acceso. Por ejemplo, un dispositivo que tiene una directiva de reintentos infinitos puede reintentar continuamente registrarse en el servicio de aprovisionamiento. Esa situación consume recursos del servicio, como cuotas de operaciones de servicio y posiblemente afecta al rendimiento.

1. Inicie sesión en Azure Portal y vaya a la instancia de Device Provisioning Service.

2. Haga clic en Administrar inscripciones y seleccione la pestaña Inscripciones individuales.

3. Seleccione la entrada de inscripción del dispositivo que desee denegar.

4. En la página de detalles de la inscripción, desactive el cuadro Habilitar esta inscripción en la sección Estado de aprovisionamiento y seleccione Guardar.

   

Si un dispositivo IoT está al final de su ciclo de vida y ya no se le debería aprovisionarse en la solución de IoT, la inscripción de dispositivos debe quitarse del servicio Device Provisioning:

1. En el servicio de aprovisionamiento, seleccione Administrar inscripciones y después, la pestaña Inscripciones individuales.

2. Seleccione la casilla que se encuentra junto a la entrada de inscripción del dispositivo que desee denegar.

3. Seleccione Eliminar en la parte superior de la ventana y después seleccione Sí para confirmar que desea eliminar la inscripción.

   

Denegación de un certificado de entidad de certificación X.509 intermedia o raíz usando un grupo de inscripción

Los certificados X.509 normalmente están organizados en una cadena de certificados de confianza. Si un certificado en cualquier fase de una cadena está en peligro, se rompe la confianza. Se debe denegar el certificado para evitar que el servicio Device Provisioning aprovisione dispositivos en un nivel inferior de cualquier cadena que contiene ese certificado. Para más información sobre los certificados X.509 y cómo se utilizan con el servicio de aprovisionamiento, consulte certificados X.509.

Un grupo de inscripción es una entrada para dispositivos que comparten un mecanismo de atestación común de certificados X.509, firmados por la misma entidad de certificación intermedia o raíz. La entrada del grupo de inscripción se configura con el certificado X.509 asociado con la entidad de certificación intermedia o raíz. La entrada también se configura con cualquiera de los valores de configuración, como estado gemelo y conexión de IoT Hub compartidos por los dispositivos con ese certificado en su cadena de certificados. Para denegar el certificado, puede deshabilitar o eliminar su grupo de inscripción.

Para denegar temporalmente el certificado, deshabilite su grupo de inscripción:

1. Inicie sesión en Azure Portal y vaya a la instancia de Device Provisioning Service.

2. En el servicio de aprovisionamiento, seleccione Administrar inscripciones y después, la pestaña Grupos de inscripción.

3. Seleccione el grupo de inscripción con el certificado que desee denegar.

4. En la página de detalles de la inscripción, desactive el cuadro Habilitar esta inscripción en la sección Estado de aprovisionamiento y seleccione Guardar.

   

Para denegar el certificado de forma permanente, elimine su grupo de inscripción:

1. En el servicio de aprovisionamiento, seleccione Administrar inscripciones y después, la pestaña Grupos de inscripción.

2. Seleccione la casilla que se encuentra junto al grupo de inscripción del certificado que desee denegar.

3. Seleccione Eliminar en la parte superior de la ventana y después seleccione Sí para confirmar que desea eliminar el grupo de inscripción.

   

Una vez completado el procedimiento, debe ver que la entrada se ha eliminado de la lista de grupos de inscripción.

Nota:

Si elimina un grupo de inscripción de un certificado, los dispositivos que tienen el certificado en su cadena de certificados pueden seguir realizando inscripciones si existe un grupo de inscripción habilitado para el certificado raíz u otro certificado intermedio más arriba en la cadena de certificados.

Nota:

La eliminación de un grupo de inscripción no elimina las entradas de registro de los dispositivos del grupo. DPS usa las entradas de registro para determinar si se ha alcanzado el número máximo de registros para la instancia de DPS. Las entradas de registro huérfanas siguen teniéndose en cuenta para esta cuota. Para conocer el número máximo actual de registros que se admite para una instancia de DPS, consulte Cuotas y límites.

Es posible que le interese eliminar las entradas de registro del grupo de inscripción antes de eliminar el propio grupo de inscripción. Puede ver y administrar las entradas de registro de un grupo de inscripción manualmente en la pestaña Estado de registro del grupo en Azure Portal. Puede recuperar y administrar las entradas de registro mediante programación con las API REST de estado de registro del dispositivo o las API equivalentes de los SDK de servicio de DPS, o mediante los comandos de la CLI de Azure az iot dps enrollment-group registration.

No permitir dispositivos específicos de un grupo de inscripción X.509

Si tiene un dispositivo que se aprovisionó a través de un grupo de inscripción que desea anular la inscripción, puede hacerlo creando una inscripción individual deshabilitada solo para ese dispositivo. Cuando un dispositivo se conecta y se autentica con el Servicio de aprovisionamiento de dispositivos, el servicio busca primero una inscripción individual con el ID de registro correspondiente. Solo si no se encuentra ninguna inscripción individual para el dispositivo, el servicio busca grupos de inscripción.

Para denegar un dispositivo individual en un grupo de inscripción, siga estos pasos:

1. Inicie sesión en Azure Portal y vaya a la instancia de Device Provisioning Service.

2. En el servicio de aprovisionamiento, seleccione Administrar inscripciones y después, la pestaña Inscripciones individuales.

3. Seleccione Agregar inscripción individual.

4. Siga el paso adecuado en función de si tiene o no el certificado del dispositivo (entidad final).

   • Si tiene el certificado de dispositivo, proporcione los siguientes valores en la página Agregar inscripción:

     Campo	Descripción
     Mecanismo de atestación	Seleccione certificados de cliente X.509
     Archivo de certificado principal	Cargue el certificado de dispositivo. Para el certificado, utilice el certificado de entidad final firmado instalado en el dispositivo. El dispositivo usa el certificado de entidad final firmado para la autenticación.

   • Si no tiene el certificado de dispositivo, proporcione los siguientes valores en la página Agregar inscripción :

     Campo	Descripción
     Mecanismo de atestación	Seleccione Clave simétrica
     Generar claves simétricas automáticamente	: asegúrese de que esta casilla está activada. Las claves no son importantes para este escenario.
     Identificador de registro	Si el dispositivo ya se ha aprovisionado, use su id. de dispositivo de IoT Hub. Puede encontrarlo en los registros del grupo de inscripción o en el centro de IoT en el que se aprovisionó el dispositivo. Si el dispositivo aún no se ha aprovisionado, escriba el CN del certificado del dispositivo. (En este último caso, no necesita el certificado del dispositivo, pero deberá conocer el CN).

5. Desplácese hasta la parte inferior de la página Agregar inscripción y desactive la casilla Habilitar esta inscripción.

6. Seleccione Revisar y crear y, luego, Crear.

Al crear la inscripción correctamente, debería ver que la inscripción del dispositivo deshabilitado aparece en la pestaña Inscripciones individuales.

Pasos siguientes

La baja también forma parte del proceso global de desaprovisionamiento. El desaprovisionamiento de un dispositivo incluye tanto la baja del servicio de aprovisionamiento como la cancelación del registro en IoT Hub. Para obtener información sobre el proceso completo, consulte Desaprovisionamiento de dispositivos que estaban anteriormente aprovisionados