다음을 통해 공유

이전에 자동으로 프로비전된 디바이스의 프로비전을 해제하는 방법

  • 아티클

이전에 Device Provisioning Service를 통해 프로비전된 디바이스를 프로비전 해제해야 하는 경우가 있을 수 있습니다. 예를 들어 디바이스가 다른 IoT 허브로 판매, 이동하거나 분실, 도난당하거나 손상될 수 있습니다.

일반적으로 디바이스를 프로비전 해제하는 작업은 다음 두 단계로 이루어집니다.

  1. 향후 자동 프로비전을 방지하기 위해 프로비전 서비스에서 디바이스의 등록을 해제합니다. 액세스 권한을 일시적으로 해지할지 또는 영구적으로 해지할지에 따라, 등록 항목을 사용하지 않도록 설정하거나 삭제할 수 있습니다. X.509 증명을 사용하는 디바이스의 경우, 기존 등록 그룹의 계층 구조에서 항목을 사용하지 않도록 설정하거나 삭제할 수 있습니다.

  2. 향후 통신 및 데이터 전송을 방지하기 위해 IoT 허브에서 디바이스 등록을 취소합니다. 다시, 프로비전된 IoT Hub에 대한 ID 레지스트리에서 해당 디바이스의 항목을 일시적으로 사용하지 않도록 설정하거나 영구적으로 삭제할 수 있습니다. 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 디바이스 사용 안 함을 참조하세요.

디바이스의 프로비전을 해제하기 위해 수행하는 정확한 단계는 프로비전 서비스에 대한 증명 메커니즘 및 해당 등록 항목에 따라 달라집니다. 다음 섹션에서는 등록 및 증명 형식을 기준으로 하는 프로세스의 개요를 제공합니다.

개별 등록

리프 인증서가 있는 TPM 증명 또는 X.509 증명을 사용하는 디바이스는 개별 등록 항목을 통해 프로비전됩니다.

개별 등록이 있는 디바이스의 프로비전을 해제하려면:

  1. 프로비전 서비스에서 디바이스의 등록 해제:

    • TPM 증명을 사용하는 디바이스의 경우, 개별 등록 항목을 삭제하여 프로비저닝 서비스에 대한 디바이스 액세스 권한을 영구적으로 취소하거나, 해당 항목을 사용하지 않도록 설정하여 액세스 권한을 일시적으로 취소합니다.
    • X.509 증명을 사용하는 디바이스의 경우 해당 항목을 삭제하거나 사용하지 않도록 설정할 수 있습니다. 그렇지만 X.509를 사용하는 디바이스의 개별 등록을 삭제하고, 해당 디바이스의 인증서 체인의 서명 인증서에 대해 사용하도록설 정된 등록 그룹이 존재하는 경우 디바이스를 다시 등록할 수 있습니다. 이러한 디바이스의 경우 등록 항목을 사용하지 않도록 설정하는 것이 더 안전할 수 있습니다. 이렇게 하면 서명 인증서 중 하나에 대해 사용하도록설 정된 등록 그룹이 존재하는지 여부에 관계없이 디바이스가 다시 등록되지 않게 됩니다.

  2. 프로비전된 IoT Hub의 ID 레지스트리에서 해당 디바이스를 사용하지 않도록 설정하거나 삭제합니다.

등록 그룹

X.509 증명을 사용하면 등록 그룹을 통해 디바이스를 프로비전할 수도 있습니다. 등록 그룹은 중간 또는 루트 CA 인증서 중 하나인 서명 인증서로 구성되며, 인증서 체인에 해당 인증서가 있는 디바이스의 프로비전 서비스에 대한 액세스를 제어합니다. 프로비전 서비스를 사용하는 등록 그룹 및 X.509 인증서에 대한 자세한 내용은 X.509 인증서를 참조하세요.

등록 그룹을 통해 프로비전된 디바이스 목록을 보려면 등록 그룹의 세부 정보를 확인하면 됩니다. 이는 각 디바이스가 프로비전된 IoT 허브를 이해하는 쉬운 방법입니다. 디바이스 목록을 보려면 다음을 수행합니다.

  1. Azure Portal에 로그인한 다음, 프로비전 서비스로 이동합니다.

  2. 등록 관리를 선택한 다음, 등록 그룹 탭을 선택합니다.

  3. 등록 그룹을 선택하여 세부 정보를 엽니다.

  4. 세부 정보를 선택하여 등록 그룹에 대한 등록 레코드를 봅니다.

    Screenshot showing the details link to view registration records for an enrollment group in the portal.

등록 그룹에는 고려해야 할 다음 두 가지 시나리오가 있습니다.

  • 등록 그룹을 통해 프로비전된 모든 디바이스의 프로비전을 해제하려면:

    1. 등록 그룹을 사용하지 않도록 설정하여 서명 인증서를 허용하지 않습니다.

    2. 해당 등록 그룹에 대해 프로비전된 디바이스 목록을 사용하여 해당 IoT Hub의 ID 레지스트리에서 각 디바이스를 사용하지 않도록 설정하거나 삭제합니다.

    3. 해당 IoT 허브에서 모든 디바이스를 사용하지 않도록 설정하거나 삭제한 후 필요에 따라 등록 그룹을 삭제할 수 있습니다. 하지만 등록 그룹을 삭제하고 하나 이상의 디바이스에 대한 인증서 체인에서 상위에 있는 서명 인증서에 대해 사용하도록 설정된 등록 그룹이 있는 경우 해당 디바이스를 다시 등록할 수 있습니다.

      참고 항목

      등록 그룹을 삭제해도 그룹의 디바이스에 대한 등록 레코드는 삭제되지 않습니다. DPS는 등록 레코드를 사용하여 DPS 인스턴스에 대한 최대 등록 수에 도달했는지 여부를 확인합니다. 분리된 등록 레코드는 여전히 이 할당량에 포함됩니다. DPS 인스턴스에 대해 지원되는 현재 최대 등록 수는 할당량 및 제한을 참조하세요.

      등록 그룹 자체를 삭제하기 전에 등록 그룹에 대한 등록 레코드를 삭제할 수 있습니다. Azure Portal의 그룹에 대한 등록 레코드 상태 페이지에서 등록 그룹의 등록 레코드를 수동으로 보고 관리할 수 있습니다. 또는 디바이스 등록 상태 REST API를 사용하거나, DPS 서비스 SDK에서 동등한 API를 사용하거나, az iot dps enrollment-group registration Azure CLI 명령을 사용하여 프로그래밍 방식으로 등록 레코드를 검색하고 관리할 수 있습니다.

  • 등록 그룹에서 단일 디바이스의 프로비전을 해제하려면:

    1. 디바이스에 대해 사용하지 않도록 설정된 개별 등록을 만듭니다.

      • 디바이스(최종 엔터티) 인증서가 있는 경우 비활성화된 X.509 개별 등록을 만들 수 있습니다.
      • 디바이스 인증서가 없는 경우 해당 디바이스에 대한 등록 레코드의 디바이스 ID에 따라 비활성화된 대칭 키 개별 등록을 만들 수 있습니다.

      자세한 내용은 등록 그룹에서 특정 디바이스 허용하지 않음을 참조하세요.

      디바이스에 대해 사용하지 않도록 설정된 개별 등록이 있으면 인증서 체인에 등록 그룹의 서명 인증서가 있는 다른 디바이스에 대한 액세스를 허용하면서도 해당 디바이스의 프로비전 서비스에 대한 액세스가 취소됩니다. 디바이스에 대해 사용하지 않도록 설정된 개별 등록은 삭제하지 않습니다. 이렇게 하면 해당 디바이스가 등록 그룹을 통해 다시 등록될 수 있습니다.

    2. 등록 그룹의 프로비전된 디바이스 목록을 사용하여 디바이스가 프로비전된 IoT 허브를 찾고 해당 허브의 ID 레지스트리에서 사용하지 않도록 설정하거나 삭제할 수 있습니다.