Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Manchmal muss unter Umständen die Bereitstellung von Geräten aufgehoben werden, die zuvor automatisch über den Gerätebereitstellungsdienst bereitgestellt wurden. Beispielsweise kann ein Gerät verkauft oder an einen anderen IoT-Hub verschoben werden oder verloren gehen, gestohlen oder anderweitig kompromittiert werden.
Im Allgemeinen umfasst das Aufheben der Bereitstellung eines Geräts zwei Schritte:
Entregistrieren Sie das Gerät von Ihrem Bereitstellungsdienst, um die zukünftige automatische Bereitstellung zu verhindern. Je nachdem, ob Sie den Zugriff vorübergehend oder dauerhaft widerrufen möchten, können Sie entweder einen Registrierungseintrag deaktivieren oder löschen. Für Geräte, die den X.509-Nachweis verwenden, sollten Sie einen Eintrag in der Hierarchie Ihrer vorhandenen Registrierungsgruppen deaktivieren/löschen.
- Informationen zum Aufheben der Registrierung eines Geräts finden Sie unter "Aufheben der Registrierung oder Widerrufen eines Geräts vom Azure IoT Hub Device Provisioning Service".
- Informationen zum programmgesteuerten Aufheben der Registrierung eines Geräts mithilfe eines der Bereitstellungsdienst-SDKs finden Sie unter Programmgesteuertes Erstellen einer Registrierungsgruppe des Gerätebereitstellungsdiensts für den X.509-Zertifikatnachweis.
Deregistrieren Sie das Gerät von Ihrem IoT-Hub, um künftige Kommunikation und Datenübertragung zu verhindern. Auch hier können Sie den Eintrag des Geräts in der Identitätsregistrierung für den IoT-Hub, in dem es bereitgestellt wurde, vorübergehend deaktivieren oder endgültig löschen. Weitere Informationen zur Deaktivierung finden Sie unter Deaktivieren von Geräten.
Die genaue Vorgehensweise zum Aufheben der Bereitstellung eines Geräts hängt von dessen Nachweismechanismus und dem zugehörigen Registrierungseintrag in Ihrem Bereitstellungsdienst ab. In den folgenden Abschnitten finden Sie eine Übersicht über den Prozess basierend auf dem Registrierungs- und Nachweistyp.
Einzelne Registrierungen
Geräte mit TPM-Nachweis oder X.509-Nachweis und einem untergeordneten Zertifikat werden über einen individuellen Registrierungseintrag bereitgestellt.
So deprovisionieren Sie ein Gerät, das über eine einzelne Registrierung verfügt:
Heben Sie die Registrierung des Geräts bei Ihrem Bereitstellungsdienst auf:
- Löschen Sie für Geräte, die den TPM-Nachweis verwenden, den einzelnen Registrierungseintrag, um den Zugriff des Geräts auf den Bereitstellungsdienst dauerhaft zu widerrufen, oder deaktivieren Sie den Eintrag, um den Zugriff vorübergehend zu widerrufen.
- Für Geräte, die den X.509-Nachweis verwenden, können Sie den Eintrag entweder löschen oder deaktivieren. Beachten Sie jedoch, dass, wenn Sie eine einzelne Registrierung für ein Gerät löschen, das X.509 verwendet, und eine aktivierte Registrierungsgruppe für ein Signaturzertifikat in der Zertifikatkette dieses Geräts vorhanden ist, kann das Gerät erneut registriert werden. Für solche Geräte ist es möglicherweise sicherer, den Registrierungseintrag zu deaktivieren. Dadurch wird verhindert, dass das Gerät erneut registriert wird, unabhängig davon, ob eine aktivierte Registrierungsgruppe für eines seiner Signaturzertifikate vorhanden ist.
Deaktivieren oder löschen Sie das Gerät in der Identitätsregistrierung des IoT-Hubs, für den es bereitgestellt wurde.
Registrierungsgruppen
Mit dem X.509-Nachweis können Geräte auch über eine Registrierungsgruppe bereitgestellt werden. Registrierungsgruppen werden mit einem Signaturzertifikat konfiguriert, entweder einem Zwischenzertifikat oder einem Stammzertifikat. Sie kontrollieren den Zugriff auf den Bereitstellungsdienst für Geräte, die dieses Zertifikat in ihrer Zertifikatskette haben. Weitere Informationen zu Registrierungsgruppen und X.509-Zertifikaten mit dem Bereitstellungsdienst finden Sie unter X.509-Zertifikatnachweis.
Um eine Liste der Geräte anzuzeigen, die derzeit über eine Registrierungsgruppe bereitgestellt werden, können Sie die Details der Registrierungsgruppe anzeigen. Diese Liste ist eine einfache Möglichkeit, zu verstehen, für welche IoT-Hub jedes Gerät bereitgestellt wird. Um die Geräteliste anzusehen:
Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem Bereitstellungsdienst.
Wählen Sie "Registrierungen verwalten" und dann die Registerkarte " Registrierungsgruppen " aus.
Wählen Sie die Registrierungsgruppe aus, um die Details zu öffnen.
Wählen Sie "Details " aus, um die Registrierungsdatensätze für die Registrierungsgruppe anzuzeigen.
Bei Registrierungsgruppen gibt es zwei Zu berücksichtigende Szenarien:
So deprovisionieren Sie alle Geräte, die über eine Registrierungsgruppe bereitgestellt werden:
Deaktivieren Sie die Registrierungsgruppe, um ihr Signaturzertifikat zu sperren.
Verwenden Sie die Liste der bereitgestellten Geräte für diese Registrierungsgruppe, um jedes Gerät aus der Identitätsregistrierung des jeweiligen IoT-Hubs zu deaktivieren oder zu löschen.
Nachdem Sie alle Geräte aus ihren jeweiligen IoT-Hubs deaktiviert oder gelöscht haben, können Sie optional die Registrierungsgruppe löschen. Beachten Sie jedoch, dass Sie die Registrierungsgruppe löschen können. Falls eine aktivierte Registrierungsgruppe für ein Signaturzertifikat in der Zertifikatkette eines oder mehrerer Geräte vorhanden ist, können sich diese Geräte erneut registrieren.
Hinweis
Durch das Löschen einer Registrierungsgruppe werden die Registrierungsdatensätze für Geräte in der Gruppe nicht gelöscht. DPS ermittelt anhand der Registrierungsdatensätze, ob die maximale Anzahl von Registrierungen für die DPS-Instanz erreicht ist. Verwaiste Registrierungsdatensätze zählen immer noch für dieses Kontingent. Die aktuelle maximale Anzahl von Registrierungen, die für eine DPS-Instanz unterstützt werden, finden Sie unter "Kontingente und Grenzwerte".
Möglicherweise möchten Sie die Registrierungsdatensätze für die Registrierungsgruppe löschen, bevor Sie die Registrierungsgruppe selbst löschen. Sie können die Registrierungsdatensätze für eine Registrierungsgruppe manuell auf der Registrierungsstatusseite für die Gruppe im Azure-Portal anzeigen und verwalten. Oder Sie können die Registrierungsdatensätze programmgesteuert abrufen und verwalten, indem Sie die REST-APIs für den Geräteregistrierungsstatus oder gleichwertige APIs in den DPS-Dienst-SDKs verwenden, oder verwenden Sie die Azure CLI-Befehle für die Registrierung der Az iot dps-Einschreibungsgruppe.
So deprovisionieren Sie ein einzelnes Gerät aus einer Registrierungsgruppe:
Erstellen Sie eine deaktivierte individuelle Registrierung für das Gerät.
- Wenn Sie das Zertifikat des Geräts (Endentität) haben, können Sie eine deaktivierte individuelle X.509-Registrierung erstellen.
- Wenn Sie nicht über das Gerätezertifikat verfügen, können Sie eine deaktivierte symmetrische Schlüsselregistrierung basierend auf der Geräte-ID im Registrierungsdatensatz für dieses Gerät erstellen.
Weitere Informationen finden Sie unter Ausschließen spezifischer Geräte von der X.509-Registrierungsgruppe.
Das Vorhandensein einer deaktivierten individuellen Registrierung für ein Gerät widerruft den Zugriff auf den Bereitstellungsdienst für dieses Gerät und erlaubt gleichzeitig den Zugriff auf andere Geräte, auf denen das Signaturzertifikat der Registrierungsgruppe in ihrer Kette vorhanden ist. Löschen Sie nicht die deaktivierte einzelne Registrierung für das Gerät. Auf diese Weise kann das Gerät über die Registrierungsgruppe erneut registriert werden.
Verwenden Sie die Liste der bereitgestellten Geräte für diese Registrierungsgruppe, um den IoT-Hub zu finden, für den das Gerät bereitgestellt wurde, und es aus der Identitätsregistrierung dieses Hubs zu deaktivieren oder zu löschen.