Udostępnij za pośrednictwem

Jak wyrejestrować lub odwołać urządzenie z usługi Azure IoT Hub Device Provisioning

  • Artykuł

Odpowiednie zarządzanie poświadczeniami urządzeń ma kluczowe znaczenie dla systemów o wysokim profilu, takich jak rozwiązania IoT. Najlepszym rozwiązaniem dla takich systemów jest posiadanie jasnego planu odwołania dostępu dla urządzeń w przypadku poświadczeń, czy tokenu sygnatur dostępu współdzielonego (SAS) lub certyfikatu X.509, mogą zostać naruszone.

Rejestracja w usłudze Device Provisioning Umożliwia aprowizację urządzenia. Aprowizowane urządzenie to urządzenie, które zostało zarejestrowane w usłudze IoT Hub, dzięki czemu może odbierać początkowy stan bliźniaczej reprezentacji urządzenia i rozpocząć raportowanie danych telemetrycznych.

W tym artykule opisano, jak odwołać urządzenie z wystąpienia usługi aprowizacji, uniemożliwiając jej aprowizację lub ponowne aprowizowanie w przyszłości. Wyłączenie indywidualnej rejestracji lub grupy rejestracji nie powoduje usunięcia istniejącej rejestracji urządzenia z usługi IoT Hub. Aby dowiedzieć się, jak anulować aprowizację urządzenia, które zostało już aprowidowane w centrum IoT, zobacz Zarządzanie anulowaniem aprowizacji.

Nie zezwalaj urządzeniu na korzystanie z rejestracji indywidualnej

Aby uniemożliwić aprowizację urządzenia za pośrednictwem usługi Device Provisioning Service, możesz zmienić stan aprowizacji indywidualnej rejestracji, aby uniemożliwić aprowizację i ponowne aprowizowanie urządzenia. Tę funkcję można wykorzystać, jeśli urządzenie zachowuje się poza normalnymi parametrami lub jest zakładane, że zostanie naruszone, albo jako sposób przetestowania mechanizmu ponawiania prób aprowizacji urządzeń.

Jeśli urządzenie, którego nie chcesz zezwalać na aprowizację, zostało zainicjowane za pośrednictwem grupy rejestracji, zapoznaj się z instrukcjami w temacie Nie zezwalaj określonym urządzeniom z grupy rejestracji X.509.

Uwaga

Należy pamiętać o zasadach ponawiania prób dotyczących urządzeń, dla których odwołujesz dostęp. Na przykład urządzenie, które ma nieskończone zasady ponawiania prób, może stale próbować zarejestrować się w usłudze aprowizacji. Taka sytuacja zużywa zasoby usługi, takie jak limity przydziału operacji usługi i prawdopodobnie wpływają na wydajność.

  1. Zaloguj się do witryny Azure Portal i przejdź do wystąpienia usługi Device Provisioning Service.

  2. Wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Rejestracje indywidualne.

  3. Wybierz wpis rejestracji dla urządzenia, które chcesz uniemożliwić.

  4. Na stronie szczegółów rejestracji usuń zaznaczenie pola Włącz tę rejestrację w sekcji Stan aprowizacji, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wyłączenie rejestracji indywidualnej w portalu.

Jeśli urządzenie IoT znajduje się na końcu cyklu życia urządzenia i nie powinno już być dozwolone aprowizacji w rozwiązaniu IoT, rejestracja urządzenia powinna zostać usunięta z usługi Device Provisioning Service:

  1. W usłudze aprowizacji wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Rejestracje indywidualne.

  2. Zaznacz pole wyboru obok wpisu rejestracji dla urządzenia, które chcesz uniemożliwić.

  3. Wybierz pozycję Usuń w górnej części okna, a następnie wybierz pozycję Tak , aby potwierdzić, że chcesz usunąć rejestrację.

    Zrzut ekranu przedstawiający usuwanie rejestracji indywidualnej w portalu.

Nie zezwalaj na certyfikat pośredniego lub głównego urzędu certyfikacji X.509 przy użyciu grupy rejestracji

Certyfikaty X.509 są zwykle rozmieszczone w łańcuchu zaufania certyfikatów. Jeśli certyfikat na dowolnym etapie w łańcuchu zostanie naruszony, zaufanie zostanie przerwane. Certyfikat musi być niedozwolony, aby uniemożliwić usłudze Device Provisioning Service aprowizowanie urządzeń podrzędnych w dowolnym łańcuchu zawierającym ten certyfikat. Aby dowiedzieć się więcej o certyfikatach X.509 i sposobie ich użycia z usługą aprowizacji, zobacz X.509 certificates (Certyfikaty X.509).

Grupa rejestracji jest wpisem dla urządzeń, które mają wspólny mechanizm zaświadczania certyfikatów X.509 podpisanych przez ten sam pośredni lub główny urząd certyfikacji. Wpis grupy rejestracji jest skonfigurowany z certyfikatem X.509 skojarzonym z pośrednim lub głównym urzędem certyfikacji. Wpis jest również skonfigurowany z dowolnymi wartościami konfiguracji, takimi jak stan bliźniaczej reprezentacji i połączenie centrum IoT Hub, które są współużytkowane przez urządzenia z tym certyfikatem w łańcuchu certyfikatów. Aby nie zezwalać na certyfikat, możesz wyłączyć lub usunąć jego grupę rejestracji.

Aby tymczasowo nie zezwalać na certyfikat, wyłączając jego grupę rejestracji:

  1. Zaloguj się do witryny Azure Portal i przejdź do wystąpienia usługi Device Provisioning Service.

  2. W usłudze aprowizacji wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Grupy rejestracji.

  3. Wybierz grupę rejestracji przy użyciu certyfikatu, który chcesz uniemożliwić.

  4. Na stronie szczegółów rejestracji usuń zaznaczenie pola Włącz tę rejestrację w sekcji Stan aprowizacji, a następnie wybierz pozycję Zapisz.

    Wyłączanie wpisu grupy rejestracji w portalu

Aby trwale uniemożliwić certyfikat, usuwając jego grupę rejestracji:

  1. W usłudze aprowizacji wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Grupy rejestracji.

  2. Zaznacz pole wyboru obok grupy rejestracji dla certyfikatu, który chcesz uniemożliwić.

  3. Wybierz pozycję Usuń w górnej części okna, a następnie wybierz pozycję Tak , aby potwierdzić, że chcesz usunąć grupę rejestracji.

    Usuwanie wpisu grupy rejestracji w portalu

Po zakończeniu procedury powinien zostać wyświetlony wpis usunięty z listy grup rejestracji.

Uwaga

Jeśli usuniesz grupę rejestracji dla certyfikatu, urządzenia, które mają certyfikat w łańcuchu certyfikatów, nadal mogą być w stanie zarejestrować, jeśli włączona grupa rejestracji dla certyfikatu głównego lub inny certyfikat pośredniczący w łańcuchu certyfikatów istnieje.

Uwaga

Usunięcie grupy rejestracji nie powoduje usunięcia rekordów rejestracji dla urządzeń w grupie. Usługa DPS używa rekordów rejestracji do określenia, czy osiągnięto maksymalną liczbę rejestracji dla wystąpienia usługi DPS. Oddzielone rekordy rejestracji nadal są liczone względem tego limitu przydziału. Aby uzyskać bieżącą maksymalną liczbę rejestracji obsługiwanych dla wystąpienia usługi DPS, zobacz Limity przydziału i limity.

Możesz usunąć rekordy rejestracji dla grupy rejestracji przed usunięciem samej grupy rejestracji. Rekordy rejestracji dla grupy rejestracji można wyświetlić i zarządzać nimi ręcznie na karcie Stan rejestracji dla grupy w witrynie Azure Portal. Rekordy rejestracji można pobierać i zarządzać nimi programowo przy użyciu interfejsów API REST stanu rejestracji urządzeń lub równoważnych interfejsów API w zestawach SDK usługi DPS lub za pomocą poleceń az iot dps enrollment-group registration interfejsu wiersza polecenia platformy Azure.

Nie zezwalaj na określone urządzenia z grupy rejestracji X.509

Jeśli masz urządzenie, które zostało aprowidowane za pośrednictwem grupy rejestracji, którą chcesz wyrejestrować, możesz to zrobić, tworząc wyłączoną rejestrację indywidualną tylko dla tego urządzenia. Gdy urządzenie łączy się i uwierzytelnia za pomocą usługi Device Provisioning Service, usługa najpierw wyszukuje rejestrację indywidualną z zgodnym identyfikatorem rejestracji. Tylko wtedy, gdy dla urządzenia nie zostanie znaleziona żadna rejestracja indywidualna, usługa wyszukuje grupy rejestracji.

Aby nie zezwalać na pojedyncze urządzenie w grupie rejestracji, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal i przejdź do wystąpienia usługi Device Provisioning Service.

  2. W usłudze aprowizacji wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Rejestracje indywidualne.

  3. Wybierz pozycję Dodaj rejestrację indywidualną.

  4. Postępuj zgodnie z odpowiednim krokiem w zależności od tego, czy masz certyfikat urządzenia (jednostki końcowej), czy nie.

    • Jeśli masz certyfikat urządzenia, podaj następujące wartości na stronie Dodawanie rejestracji :

      Pole opis
      Mechanizm zaświadczania Wybierz certyfikaty klienta X.509
      Plik certyfikatu podstawowego Przekaż certyfikat urządzenia. W przypadku certyfikatu użyj podpisanego certyfikatu jednostki końcowej zainstalowanego na urządzeniu. Urządzenie używa podpisanego certyfikatu jednostki końcowej do uwierzytelniania.

    • Jeśli nie masz certyfikatu urządzenia, podaj następujące wartości na stronie Dodawanie rejestracji :

      Pole opis
      Mechanizm zaświadczania Wybieranie klucza symetrycznego
      Automatyczne generowanie kluczy symetrycznych : Upewnij się, że to pole wyboru zostało zaznaczone. Klucze nie mają znaczenia w tym scenariuszu.
      Identyfikator rejestracji Jeśli urządzenie zostało już aprowidowane, użyj jego identyfikatora urządzenia usługi IoT Hub. Można to znaleźć w rekordach rejestracji grupy rejestracji lub w centrum IoT, do którego zainicjowano aprowizację urządzenia. Jeśli urządzenie nie zostało jeszcze aprowidowane, wprowadź certyfikat urządzenia CN. (W tym ostatnim przypadku nie potrzebujesz certyfikatu urządzenia, ale musisz znać nazwę CN).

  5. Przewiń do dołu strony Dodaj rejestrację i usuń zaznaczenie pola wyboru Włącz tę rejestrację .

  6. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Po pomyślnym utworzeniu rejestracji na karcie Rejestracje indywidualne powinny zostać wyświetlone wyłączone rejestracje urządzeń.

Następne kroki

Wyrejestrowanie jest również częścią większego procesu anulowania aprowizacji. Anulowanie aprowizacji urządzenia obejmuje zarówno wyrejestrowanie z usługi aprowizacji, jak i wyrejestrowanie z centrum IoT. Aby dowiedzieć się więcej o pełnym procesie, zobacz Jak anulować aprowizację urządzeń, które zostały wcześniej aprowidowane