以前に自動プロビジョニングされたデバイスのプロビジョニングを解除する方法

以前に Device Provisioning Service を介して自動プロビジョニングされたデバイスのプロビジョニングを解除する必要がある場合があります。 たとえば、デバイスが別の IoT ハブに販売または移動されたり、紛失、盗難、侵害されたりする可能性があります。

一般に、デバイスのプロビジョニング解除には、次の 2 つの手順が必要です。

1. 将来の自動プロビジョニングを防ぐために、プロビジョニング サービスからデバイスの登録を解除します。 アクセスを一時的に取り消すか完全に取り消すかに応じて、登録エントリを無効にするか削除することができます。 X.509 の構成証明を使用するデバイスでは、既存の登録グループの階層内のエントリを無効にするか削除することが必要になる場合があります。

   • デバイスの登録を解除する方法については、「 Azure IoT Hub Device Provisioning Service からデバイスの登録を解除または取り消す方法」を参照してください。
   • プロビジョニング サービス SDK のいずれかを使用してデバイスをプログラムで登録解除する方法については、「 X.509 証明書構成証明用の Device Provisioning Service 登録グループをプログラムで作成する」を参照してください。

2. 将来の通信やデータ転送を防ぐために、IoT ハブからデバイスを登録解除します。 ここでも、プロビジョニングされた IoT Hub の ID レジストリでデバイスのエントリを一時的に無効にしたり、完全に削除したりすることができます。 無効化の詳細については、「 デバイスを無効にする 」を参照してください。

デバイスのプロビジョニング解除に必要な正確な手順は、その構成証明メカニズムと、プロビジョニング サービスに適用される登録エントリによって異なります。 次のセクションでは、登録と構成証明の種類に基づいて、プロセスの概要を示します。

個別登録

TPM 構成証明または X.509 構成証明をリーフ証明書と共に使用するデバイスは、個々の登録エントリを通じてプロビジョニングされます。

個々の登録を持つデバイスのプロビジョニングを解除するには:

1. プロビジョニング サービスからデバイスの登録を解除します。

   • TPM 構成証明を使用するデバイスの場合は、個々の登録エントリを削除してプロビジョニング サービスへのデバイスのアクセスを完全に取り消すか、エントリを無効にしてそのアクセスを一時的に取り消します。
   • X.509 構成証明を使用するデバイスの場合は、エントリを削除または無効にすることができます。 ただし、X.509 を使用するデバイスの個々の登録を削除し、そのデバイスの証明書チェーンに署名証明書に対して有効な登録グループが存在する場合は、デバイスを再登録できます。 このようなデバイスでは、登録エントリを無効にした方が安全な場合があります。 これにより、いずれかの署名証明書に対して有効な登録グループが存在するかどうかに関係なく、デバイスは再登録できなくなります。

2. プロビジョニングされた IoT ハブの ID レジストリ内のデバイスを無効または削除します。

登録グループ

X.509 構成証明を使用すると、登録グループを介してデバイスをプロビジョニングすることもできます。 登録グループは署名証明書 (中間 CA 証明書またはルート CA 証明書) で構成され、証明書チェーン内のその証明書を持つデバイスのプロビジョニング サービスへのアクセスを制御します。 プロビジョニング サービスでの登録グループと X.509 証明書の詳細については、 X.509 証明書の構成証明に関するページを参照してください。

登録グループを通じて現在プロビジョニングされているデバイスの一覧を表示するには、登録グループの詳細を表示します。 この一覧は、各デバイスがどの IoT ハブにプロビジョニングされているかを簡単に理解する方法です。 デバイスの一覧を表示するには:

1. Azure portal にサインインし、プロビジョニング サービスに移動します。

2. [ 登録の管理] を選択し、[ 登録グループ ] タブを選択します。

3. 登録グループを選択して詳細を開きます。

4. [ 詳細] を選択して、登録グループの登録レコードを表示します。

   

登録グループでは、次の 2 つのシナリオを考慮する必要があります。

• 登録グループを介してプロビジョニングされているすべてのデバイスのプロビジョニングを解除するには:

  1. 登録グループを無効にして、その署名証明書を禁止します。

  2. その登録グループのプロビジョニング済みデバイスの一覧を使用して、それぞれの IoT ハブの ID レジストリから各デバイスを無効または削除します。

  3. それぞれの IoT ハブからすべてのデバイスを無効または削除した後、必要に応じて登録グループを削除できます。 ただし、登録グループを削除し、1 つ以上のデバイスの証明書チェーンの上位に署名証明書の登録グループが有効になっている場合は、それらのデバイスを再登録できることに注意してください。

     注

     登録グループを削除しても、グループ内のデバイスの登録レコードは削除されません。 DPS では、登録レコードを使用して、DPS インスタンスの登録の最大数に達したかどうかを判断します。 孤立した登録レコードは、引き続きこのクォータに対してカウントされます。 DPS インスタンスでサポートされている登録の現在の最大数については、「 クォータと制限」を参照してください。

     登録グループ自体を削除する前に、登録グループの登録レコードを削除することができます。 Azure portal のグループの登録状態ページで、登録グループの登録レコードを手動で表示および管理できます。 または、DPS サービス SDK の Device Registration State REST API または同等の API を使用するか、az iot dps enrollment-group registration Azure CLI コマンドを使用して、登録レコードをプログラムで取得および管理できます。

• 登録グループから 1 つのデバイスのプロビジョニングを解除するには:

  1. デバイスにおける障がい者向けの個別登録を作成します。

     • デバイス (エンド エンティティ) 証明書がある場合は、無効な X.509 個別登録を作成できます。
     • デバイス証明書がない場合は、そのデバイスの登録レコードのデバイス ID に基づいて、無効な対称キーの個別登録を作成できます。

     詳細については、「 X.509 登録グループから特定のデバイスを許可しない」を参照してください。

     デバイスの個別登録が無効になっていると、そのデバイスのプロビジョニング サービスへのアクセスは取り消されますが、登録グループの署名証明書がチェーン内にある他のデバイスへのアクセスは引き続き許可されます。 デバイスの無効な個別登録は削除しないでください。 これにより、デバイスは登録グループを介して再登録できます。

  2. その登録グループのプロビジョニング済みデバイスの一覧を使用して、デバイスがプロビジョニングされた IoT ハブを検索し、そのハブの ID レジストリからデバイスを無効または削除します。