Desaprovisionamiento de dispositivos previamente aprovisionados automáticamente

Es posible que necesite desaprovisionar dispositivos que anteriormente se aprovisionaron automáticamente a través del servicio Device Provisioning. Por ejemplo, un dispositivo puede venderse o moverse a otro centro de IoT, o podría perderse, robarse o poner en peligro.

En general, el desaprovisionamiento de un dispositivo implica dos pasos:

1. Desenrolle el dispositivo del servicio de aprovisionamiento para evitar el aprovisionamiento automático futuro. Dependiendo de si desea revocar el acceso temporalmente o permanentemente, puede deshabilitar o eliminar una entrada de inscripción. En el caso de los dispositivos que usan la atestación X.509, es posible que desee deshabilitar o eliminar una entrada en la jerarquía de los grupos de inscripción existentes.

   • Para obtener información sobre cómo anular la inscripción de un dispositivo, consulte Cómo anular la inscripción o revocar un dispositivo de Azure IoT Hub Device Provisioning Service.
   • Para obtener información sobre cómo anular la inscripción de un dispositivo mediante programación mediante uno de los SDK del servicio de aprovisionamiento, consulte Creación mediante programación de un grupo de inscripción de Device Provisioning Service para la atestación de certificados X.509.

2. Anule el registro del dispositivo desde ioT Hub para evitar futuras comunicaciones y transferencia de datos. Nuevamente, puede deshabilitar temporalmente o eliminar permanentemente la entrada del dispositivo en el registro de identidades del IoT Hub donde se aprovisionó. Consulte Deshabilitar dispositivos para obtener más información sobre la deshabilitación.

Los pasos exactos para desaprovisionar un dispositivo dependen de su mecanismo de atestación y de la inscripción correspondiente en su servicio de aprovisionamiento. En las secciones siguientes se proporciona información general sobre el proceso, en función del tipo de inscripción y atestación.

Inscripciones individuales

Los dispositivos que usan la atestación de TPM o la atestación de X.509 con un certificado de hoja se aprovisionan mediante una entrada de inscripción individual.

Para desaprovisionar un dispositivo que tenga una inscripción individual:

1. Cancele la inscripción del dispositivo en el servicio de aprovisionamiento:

   • En el caso de los dispositivos que usan la atestación de TPM, elimine la entrada de inscripción individual para revocar permanentemente el acceso del dispositivo al servicio de aprovisionamiento o deshabilite la entrada para revocar temporalmente su acceso.
   • En el caso de los dispositivos que usan la atestación X.509, puede eliminar o deshabilitar la entrada. Sin embargo, tenga en cuenta que, si elimina una inscripción individual para un dispositivo que usa X.509 y existe un grupo de inscripción habilitado para un certificado de firma en la cadena de certificados de ese dispositivo, el dispositivo puede volver a inscribirse. Para estos dispositivos, podría ser más seguro deshabilitar la entrada de inscripción. Al hacerlo, se impide que el dispositivo vuelva a inscribirse, independientemente de si existe un grupo de inscripción habilitado para uno de sus certificados de firma.

2. Deshabilite o elimine el dispositivo en el registro de identidades del centro de IoT al que se aprovisionó.

Grupos de inscripción

Con la atestación X.509, los dispositivos también se pueden aprovisionar a través de un grupo de inscripción. Los grupos de inscripción se configuran con un certificado de firma, que puede ser de una entidad certificadora intermedia o raíz, y controlan el acceso al servicio de aprovisionamiento para dispositivos que tienen ese certificado en su cadena de certificados. Para obtener más información sobre los grupos de inscripción y los certificados X.509 con el servicio de aprovisionamiento, consulte el apartado Atestación de certificados X.509.

Para ver una lista de dispositivos que se aprovisionan actualmente a través de un grupo de inscripción, puede ver los detalles del grupo de inscripción. Esta lista es una manera fácil de comprender a qué centro de IoT se aprovisiona cada dispositivo. Para ver la lista de dispositivos:

1. Inicie sesión en Azure Portal y vaya al servicio de aprovisionamiento.

2. Seleccione Administrar inscripciones y, a continuación, seleccione la pestaña Grupos de inscripción .

3. Seleccione el grupo de inscripción para abrir sus detalles.

4. Seleccione Detalles para ver los registros de registro del grupo de inscripción.

   

Con los grupos de inscripción, hay dos escenarios que se deben tener en cuenta:

• Para desaprovisionar todos los dispositivos aprovisionados mediante un grupo de inscripción, siga estos pasos:

  1. Deshabilite el grupo de inscripción para no permitir su certificado de firma.

  2. Use la lista de dispositivos aprovisionados para ese grupo de inscripción para deshabilitar o eliminar cada dispositivo del registro de identidad de su centro de IoT correspondiente.

  3. Después de deshabilitar o eliminar todos los dispositivos de sus respectivos centros de IoT, puede eliminar opcionalmente el grupo de inscripción. Sin embargo, tenga en cuenta que, si elimina el grupo de inscripción y hay un grupo de inscripción habilitado para un certificado de firma superior en la cadena de certificados de uno o varios de los dispositivos, esos dispositivos pueden volver a inscribirse.

     Nota:

     Al eliminar un grupo de inscripción no se eliminan los registros de registro de los dispositivos del grupo. DPS usa los registros de registro para determinar si se alcanza el número máximo de registros para la instancia de DPS. Las entradas de registro huérfanas siguen teniéndose en cuenta para esta cuota. Para obtener el número máximo actual de registros admitidos para una instancia de DPS, consulte Cuotas y límites.

     Es posible que desee eliminar los registros de registro del grupo de inscripción antes de eliminar el propio grupo de inscripción. Puede ver y administrar los registros de registro de un grupo de inscripción manualmente en la página de estado de registro del grupo en Azure Portal. O bien, puede recuperar y administrar los registros de registro mediante programación mediante las API REST de estado de registro de dispositivos o las API equivalentes en los SDK del servicio DPS o mediante los comandos az iot dps enrollment-group registration de la CLI de Azure.

• Para desaprovisionar un único dispositivo de un grupo de inscripción, siga estos pasos:

  1. Cree una inscripción individual deshabilitada para el dispositivo.

     • Si tiene el certificado de dispositivo (entidad final), puede crear una inscripción individual X.509 deshabilitada.
     • Si no tiene el certificado de dispositivo, puede crear una inscripción individual de clave simétrica deshabilitada en función del id. de dispositivo en el registro de ese dispositivo.

     Para más información, consulte Denegar dispositivos específicos de un grupo de inscripción X.509.

     La presencia de una inscripción individual deshabilitada para un dispositivo revoca el acceso al servicio de aprovisionamiento para dicho dispositivo mientras se sigue permitiendo el acceso para otros dispositivos que tienen el certificado de firma del grupo de inscripción en su cadena. No elimine la inscripción individual deshabilitada para el dispositivo. Si lo hace, permite al dispositivo volver a inscribirse a través del grupo de inscripción.

  2. Use la lista de dispositivos aprovisionados para ese grupo de inscripción para buscar el centro de IoT en el que se aprovisionó el dispositivo y deshabilitarlo o eliminarlo del registro de identidades de ese centro.