Jak cofnąć prowizjonowanie urządzeń, które były wcześniej automatycznie provisionowane.

Może okazać się konieczne anulowanie aprowizacji urządzeń, które zostały wcześniej automatycznie aprowidowane za pośrednictwem usługi Device Provisioning Service. Na przykład urządzenie może zostać sprzedane lub przeniesione do innego centrum IoT Albo może zostać utracone, skradzione lub w inny sposób naruszone.

Ogólnie rzecz biorąc, anulowanie aprowizacji urządzenia obejmuje dwa kroki:

1. Wyrejestruj urządzenie z usługi aprowizacji, aby zapobiec przyszłej automatycznej aprowizacji. W zależności od tego, czy chcesz tymczasowo lub trwale odwołać dostęp, możesz wyłączyć lub usunąć wpis rejestracji. W przypadku urządzeń korzystających z uwierzytelniania X.509 można wyłączyć/usunąć wpis w hierarchii istniejących grup rejestracji.

   • Aby dowiedzieć się, jak wyrejestrować urządzenie, zobacz Jak wyrejestrować lub odwołać urządzenie z usługi Azure IoT Hub Device Provisioning.
   • Aby dowiedzieć się, jak automatycznie wyrejestrować urządzenie przy użyciu jednego z zestawów SDK dla usługi zarządzania urządzeniami, zobacz Programowe tworzenie grupy rejestracyjnej w usłudze Device Provisioning Service dla uwierzytelniania certyfikatem X.509.

2. Wyrejestruj urządzenie z centrum IoT, aby zapobiec przyszłej komunikacji i transferowi danych. Ponownie możesz tymczasowo wyłączyć lub trwale usunąć wpis urządzenia w rejestrze tożsamości usługi IoT Hub, w którym został on zaaprowizowany. Zobacz Wyłączenie urządzeń, aby dowiedzieć się więcej o wyłączaniu.

Dokładne kroki, które należy wykonać w celu anulowania aprowizacji urządzenia, zależą od jego mechanizmu zaświadczania i odpowiedniego wpisu rejestracji w usłudze aprowizacji. Poniższe sekcje zawierają omówienie procesu na podstawie typu rejestracji i zaświadczania.

Rejestracje indywidualne

Urządzenia korzystające z uwierzytelniania TPM lub uwierzytelniania X.509 z certyfikatem końcowym są przydzielane za pośrednictwem indywidualnego wpisu rejestracyjnego.

Aby wycofać aprowizację urządzenia z rejestracją indywidualną:

1. Wyrejestruj urządzenie z usługi aprowizacji:

   • W przypadku urządzeń korzystających z attestacji TPM usuń wpis rejestracji indywidualnej, aby trwale cofnąć dostęp urządzenia do świadczenia usług, lub czasowo wyłącz wpis, aby tymczasowo cofnąć dostęp.
   • W przypadku urządzeń korzystających z zaświadczania X.509 można usunąć lub wyłączyć wpis. Należy jednak pamiętać, że jeśli usuniesz rejestrację indywidualną dla urządzenia korzystającego z protokołu X.509, i istnieje włączona grupa rejestracji dla certyfikatu podpisywania w łańcuchu certyfikatów tego urządzenia, urządzenie może się ponownie zarejestrować. W przypadku takich urządzeń warto wyłączyć wpis rejestracyjny dla większego bezpieczeństwa. Uniemożliwia to ponowne zarejestrowanie urządzenia, niezależnie od tego, czy dla jednego z certyfikatów podpisywania istnieje włączona grupa rejestracji.

2. Wyłącz lub usuń urządzenie w rejestrze tożsamości centrum IoT, do którego zostało przypisane.

Grupy rejestracji

Za pomocą atestacji X.509 urządzenia można również wdrażać za pośrednictwem grupy rejestracji. Grupy rejestracji są konfigurowane z certyfikatem podpisywania, którym może być certyfikat pośredniego lub głównego urzędu certyfikacji, i kontrolują dostęp do usługi provisioning dla urządzeń z tym certyfikatem w ich łańcuchu certyfikatów. Aby dowiedzieć się więcej na temat grup rejestracji i certyfikatów X.509 z usługą aprowizacji, zobacz Zaświadczanie certyfikatów X.509.

Aby wyświetlić listę urządzeń, które są obecnie przydzielone przez grupę rejestracji, możesz sprawdzić jej szczegóły. Ta lista jest łatwym sposobem zrozumienia, do którego IoT hub przypisane jest każde urządzenie. Aby wyświetlić listę urządzeń:

1. Zaloguj się do witryny Azure Portal i przejdź do usługi aprowizacji.

2. Wybierz pozycję Zarządzaj rejestracjami, a następnie wybierz kartę Grupy rejestracji.

3. Wybierz grupę rejestracji, aby otworzyć jej szczegóły.

4. Wybierz pozycję Szczegóły, aby wyświetlić rekordy rejestracji dla grupy zapisów.

   

W przypadku grup rejestracji należy wziąć pod uwagę dwa scenariusze:

• Aby anulować aprowizację wszystkich urządzeń aprowizowania za pośrednictwem grupy rejestracji:

  1. Wyłącz grupę rejestracji, aby uniemożliwić jego użycie jako certyfikatu podpisywania.

  2. Użyj listy aprowizowanych urządzeń dla tej grupy rejestracji, aby wyłączyć lub usunąć każde urządzenie z rejestru tożsamości odpowiedniego centrum IoT.

  3. Po wyłączeniu lub usunięciu wszystkich urządzeń z odpowiednich centrów IoT można opcjonalnie usunąć grupę rejestracji. Należy jednak pamiętać, że jeśli usuniesz grupę rejestracji, a istnieje aktywna grupa rejestracji dla certyfikatu podpisywania znajdującego się wyżej w łańcuchu certyfikatów dla jednego lub kilku urządzeń, te urządzenia mogą się ponownie zarejestrować.

     Uwaga

     Usunięcie grupy rejestracji nie powoduje usunięcia rekordów rejestracji dla urządzeń w grupie. Usługa DPS używa rekordów rejestracji, aby określić, czy osiągnięto maksymalną liczbę rejestracji dla wystąpienia usługi DPS. Oddzielone rekordy rejestracji nadal są liczone względem tego limitu przydziału. Aby uzyskać aktualną maksymalną liczbę rejestracji obsługiwanych dla wystąpienia usługi DPS, zobacz Przydziały i limity.

     Możesz usunąć rekordy rejestracji dla grupy rejestracji przed usunięciem samej grupy rejestracji. Rekordy rejestracji grupy możesz ręcznie wyświetlić i zarządzać nimi na stronie stanu rejestracji grupy w portalu Azure. Możesz też pobrać i zarządzać rekordami rejestracji programowo, używając interfejsów REST API stanu rejestracji urządzeń lub równoważnych API dostępnych w zestawach SDK usługi DPS, lub korzystając z poleceń rejestracji grupy az iot dps w interfejsie wiersza poleceń platformy Azure.

• Aby cofnąć aprowizację jednego urządzenia z grupy rejestracji:

  1. Utwórz indywidualną rejestrację dla osób niepełnosprawnych na urządzeniu.

     • Jeśli masz certyfikat urządzenia (jednostki końcowej), możesz utworzyć nieaktywną indywidualną rejestrację X.509.
     • Jeśli nie masz certyfikatu urządzenia, możesz utworzyć nieaktywną indywidualną rejestrację na podstawie klucza symetrycznego oraz identyfikatora urządzenia w rekordzie rejestracji dla tego urządzenia.

     Aby dowiedzieć się więcej, zobacz Nie zezwalaj określonym urządzeniom z grupy rejestracji X.509.

     Obecność nieaktywnej indywidualnej rejestracji dla urządzenia wyklucza dostęp do usługi aprowizacji dla tego urządzenia, jednocześnie zezwalając na dostęp dla innych urządzeń, które mają certyfikat podpisywania grupy rejestracji w swoim łańcuchu. Nie usuwaj wyłączonej rejestracji indywidualnej dla urządzenia. Dzięki temu urządzenie może ponownie zarejestrować się za pośrednictwem grupy rejestracji.

  2. Użyj listy skonfigurowanych urządzeń dla tej grupy rejestracji, aby znaleźć IoT Hub, do którego urządzenie zostało skonfigurowane, i wyłączyć lub usunąć je z rejestru tożsamości tego huba.