Como desprovisionar dispositivos que foram previamente provisionados automaticamente

Você pode achar necessário desprovisionar dispositivos que foram previamente provisionados automaticamente por meio do Serviço de Provisionamento de Dispositivos. Por exemplo, um dispositivo pode ser vendido ou movido para um hub IoT diferente ou pode ser perdido, roubado ou comprometido de outra forma.

Em geral, o desprovisionamento de um dispositivo envolve duas etapas:

1. Cancelar o registro do dispositivo do serviço de provisionamento para impedir o provisionamento automático futuro. Dependendo se você deseja revogar o acesso temporariamente ou permanentemente, você pode desabilitar ou excluir uma entrada de registro. Para dispositivos que usam o atestado X.509, pode ser desejável desabilitar/excluir uma entrada na hierarquia dos grupos de registro existentes.

   • Para saber como cancelar o registro de um dispositivo, confira Como cancelar o registro ou revogar um dispositivo do Serviço de Provisionamento de Dispositivos do Hub IoT do Azure.
   • Para saber como cancelar o registro de um dispositivo programaticamente usando um dos SDKs do serviço de provisionamento, consulte Criar programaticamente um grupo de registro do Serviço de Provisionamento de Dispositivos para atestado de certificado X.509.

2. Desregistre o dispositivo do hub IoT para impedir futuras comunicações e transferência de dados. Novamente, você pode desabilitar temporariamente ou excluir permanentemente a entrada do dispositivo no registro de identidade do Hub IoT em que ele foi provisionado. Consulte Desabilitar dispositivos para saber mais sobre desabilitação.

As etapas exatas que você adota para desprovisionar um dispositivo dependem do mecanismo de certificação e da entrada de registro aplicável ao serviço de provisionamento. As seções a seguir fornecem uma visão geral do processo, com base no registro e no tipo de atestado.

Registros individuais

Dispositivos que utilizam atestado de TPM ou atestado X.509 com um certificado secundário são provisionados através de uma entrada de registro individual.

Para desprovisionar um dispositivo que tenha uma inscrição individual:

1. Cancelar o registro do dispositivo do serviço de provisionamento:

   • Para dispositivos que usam o atestado do TPM, exclua a entrada de registro individual para revogar permanentemente o acesso do dispositivo ao serviço de provisionamento ou desabilite a entrada para revogar temporariamente seu acesso.
   • Para dispositivos que usam o atestado X.509, você pode excluir ou desabilitar a entrada. No entanto, lembre-se de que, se você excluir um registro individual para um dispositivo que usa x.509 e um grupo de registro habilitado existir para um certificado de autenticação na cadeia de certificados desse dispositivo, o dispositivo poderá se registrar novamente. Para esses dispositivos, pode ser mais seguro desabilitar a entrada de inscrição. Isso impede que o dispositivo se registre novamente, independentemente de existir um grupo de registro habilitado para um de seus certificados de assinatura.

2. Desabilite ou exclua o dispositivo no registro de identidade do hub IoT ao qual ele foi provisionado.

Grupos de registro

Com o atestado X.509, os dispositivos também podem ser provisionados por meio de um grupo de inscrição. Os grupos de registro são configurados com um certificado de autenticação, um certificado de AC raiz ou intermediário e controlam o acesso ao serviço de provisionamento para dispositivos com esse certificado na cadeia de certificados. Para saber mais sobre grupos de registro e certificados X.509 com o serviço de provisionamento, confira atestado de certificados X.509.

Para ver uma lista de dispositivos atualmente provisionados por meio de um grupo de registro, você pode exibir os detalhes do grupo de registro. Essa lista é uma maneira fácil de entender para qual hub IoT cada dispositivo é provisionado. Para exibir a lista de dispositivos:

1. Entre no portal do Azure e navegue até o serviço de provisionamento.

2. Selecione Gerenciar registros e, em seguida, selecione a guia Grupos de registro .

3. Selecione o grupo de registro para abrir seus detalhes.

4. Selecione Detalhes para exibir os registros de inscrição do grupo de inscrição.

   

Com os grupos de registro, há dois cenários a serem considerados:

• Para desprovisionar todos os dispositivos provisionados por meio de um grupo de inscrição:

  1. Desabilite o grupo de registro para cancelar a permissão do certificado de autenticação.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para desabilitar ou excluir cada dispositivo do registro de identidade de seu respectivo hub IoT.

  3. Depois de desabilitar ou excluir todos os dispositivos de seus respectivos hubs IoT, opcionalmente, você pode excluir o grupo de registro. No entanto, lembre-se de que, se você excluir o grupo de registro e houver um grupo de registro habilitado para um certificado de autenticação mais alto na cadeia de certificados de um ou mais dispositivos, esses dispositivos poderão se registrar novamente.

     Observação

     Excluir um grupo de registro não exclui os registros de registro para os dispositivos no grupo. O DPS usa os registros de inscrição para determinar se o número máximo de registros foi atingido para a instância do DPS. Registros órfãos ainda contam nessa cota. Para obter o número máximo atual de registros com suporte para uma instância DPS, veja Cotas e limites.

     Talvez você queira excluir os registros da inscrição do grupo de inscrição antes de excluir o próprio grupo de inscrição. Você pode ver e gerenciar os registros de registro de um grupo de registro manualmente na página de status de registro do grupo no portal do Azure. Ou você pode recuperar e gerenciar os registros de inscrição programaticamente usando as APIs REST do Estado de Registro de Dispositivo ou APIs equivalentes nos SDKs do serviço do DPS ou usando os comandos da CLI do Azure az iot dps enrollment-group registration.

• Para desprovisionar um único dispositivo de um grupo de inscrição:

  1. Crie um registro individual desabilitado para o dispositivo.

     • Se você tiver o certificado do dispositivo (entidade final), será possível criar um registro individual X.509 desabilitado.
     • Se você não tiver o certificado do dispositivo, será possível criar um registro individual de chave simétrica desabilitado com base na ID do dispositivo contida no registro dele.

     Para saber mais, consulte Impedir dispositivos específicos em um grupo de registro X.509.

     A presença de um registro individual desabilitado para um dispositivo revoga o acesso desse dispositivo ao serviço de provisionamento, mas ainda permite o acesso a outros dispositivos que têm o certificado de autenticação do grupo de registros em sua cadeia. Não exclua o registro individual desativado para o dispositivo. Isso permite que o dispositivo se registre novamente por meio do grupo de registro.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para localizar o hub IoT ao qual o dispositivo foi provisionado e desabilitá-lo ou excluí-lo do registro de identidade desse hub.