Inrichting van apparaten ongedaan maken die eerder automatisch waren ingericht

Het is mogelijk dat u de inrichting van apparaten ongedaan wilt maken die eerder automatisch zijn ingericht via Device Provisioning Service. Een apparaat kan bijvoorbeeld worden verkocht of verplaatst naar een andere IoT-hub, of het kan verloren, gestolen of anderszins worden aangetast.

Over het algemeen bestaat het ongedaan maken van de inrichting van een apparaat uit twee stappen:

1. De registratie van het apparaat bij uw inrichtingsservice ongedaan maken om toekomstige automatische inrichting te voorkomen. Afhankelijk van of u de toegang tijdelijk of permanent wilt intrekken, kunt u een inschrijvingsvermelding uitschakelen of verwijderen. Voor apparaten die gebruikmaken van X.509-attestation, kunt u een vermelding in de hiërarchie van uw bestaande inschrijvingsgroepen uitschakelen/verwijderen.

   • Zie Hoe u een apparaat uitschrijft bij Azure IoT Hub Device Provisioning Service.
   • Zie Apparaatinschrijvingen beheren met service-SDK's voor informatie over het programmatisch uitschrijven van een apparaat met een van de SDK's van de inrichtingsservice.

2. De registratie van het apparaat bij uw IoT-hub ongedaan maken om toekomstige communicatie en gegevensoverdracht te voorkomen. Nogmaals, u kunt de vermelding van het apparaat in het identiteitsregister tijdelijk uitschakelen of definitief verwijderen voor de IoT Hub waar het is ingericht. Zie Apparaten uitschakelen voor meer informatie over uitschakelen.

De exacte stappen die u uitvoert om de inrichting van een apparaat ongedaan te maken, zijn afhankelijk van het attestation-mechanisme en de toepasselijke inschrijvingsvermelding bij uw inrichtingsservice. De volgende secties bieden een overzicht van het proces, op basis van het inschrijvings- en attestation-type.

Afzonderlijke inschrijvingen

Apparaten die TPM-attestation of X.509-attestation met een leaf-certificaat gebruiken, worden ingericht via een afzonderlijke inschrijvingsvermelding.

Het ongedaan maken van de inrichting van een apparaat met een afzonderlijke inschrijving ongedaan maken:

1. De registratie van het apparaat bij uw inrichtingsservice ongedaan maken:

   • Voor apparaten die TPM-attestation gebruiken, verwijdert u de afzonderlijke inschrijvingsvermelding om de toegang van het apparaat tot de inrichtingsservice permanent in te trekken of schakelt u de vermelding uit om de toegang tijdelijk in te trekken.
   • Voor apparaten met X.509-attestation kunt u de vermelding verwijderen of uitschakelen. Als u echter een afzonderlijke inschrijving verwijdert voor een apparaat dat gebruikmaakt van X.509 en een ingeschakelde inschrijvingsgroep bestaat voor een handtekeningcertificaat in de certificaatketen van dat apparaat, kan het apparaat opnieuw worden ingeschreven. Voor dergelijke apparaten is het mogelijk veiliger om de inschrijvingsvermelding uit te schakelen. Als u dit doet, voorkomt u dat het apparaat opnieuw wordt ingeschreven, ongeacht of er een ingeschakelde inschrijvingsgroep bestaat voor een van de handtekeningcertificaten.

2. Schakel het apparaat uit of verwijder het apparaat in het identiteitsregister van de IoT-hub waarvoor het is ingericht.

Inschrijvingsgroepen

Met X.509-attestation kunnen apparaten ook worden ingericht via een inschrijvingsgroep. Inschrijvingsgroepen worden geconfigureerd met een handtekeningcertificaat, een tussenliggend of basis-CA-certificaat, en beheren de toegang tot de inrichtingsservice voor apparaten met dat certificaat in hun certificaatketen. Zie X.509-certificaatverklaring voor meer informatie over inschrijvingsgroepen en X.509-certificaten met de inrichtingsservice.

Als u een lijst met apparaten wilt zien die zijn ingericht via een inschrijvingsgroep, kunt u de details van de inschrijvingsgroep bekijken. Dit is een eenvoudige manier om te begrijpen op welke IoT-hub elk apparaat is ingericht. Ga als volgende te werk om de lijst met apparaten weer te geven:

1. Meld u aan bij Azure Portal en navigeer naar uw inrichtingsservice.

2. Selecteer Inschrijvingen beheren en selecteer vervolgens het tabblad Inschrijvingsgroepen.

3. Selecteer de inschrijvingsgroep om de details te openen.

4. Selecteer Details om de registratierecords voor de inschrijvingsgroep weer te geven.

   

Bij inschrijvingsgroepen zijn er twee scenario's waarmee u rekening moet houden:

• Als u de inrichting van alle apparaten die zijn ingericht via een inschrijvingsgroep ongedaan wilt maken:

  1. Schakel de inschrijvingsgroep uit om het handtekeningcertificaat ervan niet toe te laten.

  2. Gebruik de lijst met ingerichte apparaten voor die inschrijvingsgroep om elk apparaat uit te schakelen of te verwijderen uit het identiteitsregister van de bijbehorende IoT-hub.

  3. Nadat u alle apparaten hebt uitgeschakeld of verwijderd uit hun respectieve IoT-hubs, kunt u eventueel de inschrijvingsgroep verwijderen. Houd er echter rekening mee dat als u de inschrijvingsgroep verwijdert en er een ingeschakelde inschrijvingsgroep is voor een handtekeningcertificaat hoger in de certificaatketen van een of meer apparaten, deze apparaten opnieuw kunnen worden ingeschreven.

     Notitie

     Als u een inschrijvingsgroep verwijdert, worden de registratierecords voor apparaten in de groep niet verwijderd. DPS gebruikt de registratierecords om te bepalen of het maximum aantal registraties is bereikt voor het DPS-exemplaar. Zwevende registratierecords tellen nog steeds mee voor dit quotum. Zie Quota en limieten voor het huidige maximum aantal registraties dat wordt ondersteund voor een DPS-exemplaar.

     U kunt de registratierecords voor de inschrijvingsgroep verwijderen voordat u de inschrijvingsgroep zelf verwijdert. U kunt de registratierecords voor een inschrijvingsgroep handmatig bekijken en beheren op de pagina registratiestatus voor de groep in Azure Portal. U kunt de registratierecords ook programmatisch ophalen en beheren met behulp van de REST API's voor apparaatregistratiestatus of equivalente API's in de DPS-service-SDK's, of met behulp van de Azure CLI-opdrachten voor registratie van az iot dps enrollment-group.

• De inrichting van één apparaat ongedaan maken vanuit een inschrijvingsgroep:

  1. Maak een uitgeschakelde afzonderlijke inschrijving voor het apparaat.

     • Als u het apparaatcertificaat (end-entity) hebt, kunt u een uitgeschakelde X.509-afzonderlijke inschrijving maken.
     • Als u het apparaatcertificaat niet hebt, kunt u een afzonderlijke registratie met een uitgeschakelde symmetrische sleutel maken op basis van de apparaat-id in de registratierecord voor dat apparaat.

     Zie Specifieke apparaten niet in een inschrijvingsgroep voor meer informatie.

     De aanwezigheid van een uitgeschakelde afzonderlijke inschrijving voor een apparaat trekt de toegang tot de inrichtingsservice voor dat apparaat in terwijl nog steeds toegang is toegestaan voor andere apparaten met het handtekeningcertificaat van de inschrijvingsgroep in de keten. Verwijder de uitgeschakelde afzonderlijke inschrijving voor het apparaat niet. Hierdoor kan het apparaat opnieuw worden ingeschreven via de inschrijvingsgroep.

  2. Gebruik de lijst met ingerichte apparaten voor die inschrijvingsgroep om de IoT-hub te vinden waarvoor het apparaat is ingericht en om het uit te schakelen of te verwijderen uit het identiteitsregister van die hub.