Como desprovisionar dispositivos que foram provisionados automaticamente anteriormente

Você pode achar necessário desprovisionar dispositivos que foram provisionados automaticamente anteriormente por meio do Serviço de Provisionamento de Dispositivos. Por exemplo, um dispositivo pode ser vendido ou movido para um hub IoT diferente, ou pode ser perdido, roubado ou comprometido.

Em geral, o desprovisionamento de um dispositivo envolve duas etapas:

1. Desregistre o dispositivo do serviço de provisionamento para evitar o provisionamento automático futuro. Dependendo se você deseja revogar o acesso temporária ou permanentemente, você pode desabilitar ou excluir uma entrada de inscrição. Para dispositivos que usam o certificado X.509, convém desabilitar/excluir uma entrada na hierarquia de seus grupos de inscrição existentes.

   • Para saber como cancelar o registro de um dispositivo, consulte Como cancelar o registro ou revogar um dispositivo do Serviço de Provisionamento de Dispositivo do Hub IoT do Azure.
   • Para saber como cancelar o registro de um dispositivo programaticamente usando um dos SDKs de serviço de provisionamento, consulte Criar programaticamente um grupo de registro do Serviço de Provisionamento de Dispositivo para certificado X.509.

2. Cancele o registro do dispositivo do seu hub IoT para impedir futuras comunicações e transferência de dados. Novamente, você pode desabilitar temporariamente ou excluir permanentemente a entrada do dispositivo no registro de identidade do Hub IoT onde ele foi provisionado. Consulte Desativar dispositivos para saber mais sobre a desativação.

As etapas exatas que você toma para desprovisionar um dispositivo dependem de seu mecanismo de atestado e de sua entrada de inscrição aplicável com seu serviço de provisionamento. As seções a seguir fornecem uma visão geral do processo, com base no tipo de inscrição e atestado.

Inscrições individuais

Os dispositivos que usam o atestado TPM ou o atestado X.509 com um certificado secundário são provisionados através de um registo de inscrição individual.

Para desprovisionar um dispositivo que tenha um registro individual:

1. Cancele o registro do dispositivo do serviço de provisionamento:

   • Para dispositivos que usam o atestado TPM, exclua a entrada de registro individual para revogar permanentemente o acesso do dispositivo ao serviço de provisionamento ou desative a entrada para revogar temporariamente seu acesso.
   • Para dispositivos que usam o atestado X.509, você pode excluir ou desabilitar a entrada. Esteja ciente, no entanto, se você excluir um registro individual para um dispositivo que usa X.509 e existir um grupo de registro habilitado para um certificado de assinatura na cadeia de certificados desse dispositivo, o dispositivo poderá se registrar novamente. Para esses dispositivos, pode ser mais seguro desativar a entrada de inscrição. Isso impede que o dispositivo se registre novamente, independentemente de existir um grupo de registro habilitado para um de seus certificados de assinatura.

2. Desative ou exclua o dispositivo no registro de identidade do hub IoT para o qual ele foi provisionado.

Grupos de inscrição

Com o atestado X.509, os dispositivos também podem ser provisionados por meio de um grupo de inscrição. Os grupos de inscrição são configurados com um certificado de assinatura, seja um certificado CA intermediário ou raiz, e controlam o acesso ao serviço de provisionamento para dispositivos que possuem esse certificado na sua cadeia de certificados. Para saber mais sobre grupos de inscrição e certificados X.509 com o serviço de provisionamento, consulte Atestado de certificado X.509.

Para ver uma lista de dispositivos que estão atualmente provisionados por meio de um grupo de inscrição, você pode exibir os detalhes do grupo de inscrição. Esta lista é uma maneira fácil de entender para qual hub IoT cada dispositivo é provisionado. Para visualizar a lista de dispositivos:

1. Entre no portal do Azure e navegue até seu serviço de provisionamento.

2. Selecione Gerir inscriçõese, em seguida, selecione o separador Grupos de inscrições.

3. Selecione o grupo de inscrição para abrir seus detalhes.

4. Selecione Detalhes para ver os registos de inscrição do grupo.

   

Com os grupos de inscrição, há dois cenários a considerar:

• Para desprovisionar todos os dispositivos que estão provisionados através de um grupo de inscrição:

  1. Desative o grupo de registo para não permitir o seu certificado de assinatura.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para desabilitar ou excluir cada dispositivo do registro de identidade de seu respetivo hub IoT.

  3. Depois de desativar ou excluir todos os dispositivos de seus respetivos hubs IoT, você pode, opcionalmente, excluir o grupo de registro. Esteja ciente, no entanto, de que, se você excluir o grupo de registro e houver um grupo de registro habilitado para um certificado de assinatura mais acima na cadeia de certificados de um ou mais dispositivos, esses dispositivos poderão se inscrever novamente.

     Observação

     A exclusão de um grupo de inscrição não exclui os registros de registro de dispositivos no grupo. O DPS usa os registos de inscrição para determinar se o número máximo de inscrições é atingido na instância do DPS. Os registos órfãos continuam a contar para esta cota. Para obter o número máximo atual de registos suportados para uma instância de DPS, consulte Cotas e limites.

     Talvez você queira excluir os registros de registro do grupo de inscrição antes de excluir o próprio grupo de inscrição. Você pode ver e gerenciar os registros de registro de um grupo de inscrição manualmente na página de status de registro do grupo no portal do Azure. Ou, você pode recuperar e gerenciar os registros de registro programaticamente usando as APIs REST do Estado de Registro do Dispositivo ou APIs equivalentes nos SDKs do serviço DPS ou usando os comandos az iot dps enrollment-group registration Azure CLI.

• Para desprovisionar um único dispositivo de um grupo de registo:

  1. Crie um registro individual desativado para o dispositivo.

     • Se tiveres o certificado de dispositivo (entidade final), podes criar uma inscrição individual X.509 desactivada.
     • Se não tiver o certificado do dispositivo, poderá criar uma inscrição individual com chave simétrica desativada com base na ID do dispositivo no registo de inscrição desse dispositivo.

     Para mais informações, consulte Proibir dispositivos específicos de um grupo de registo X.509.

     A presença de uma inscrição individual desativada para um dispositivo revoga o acesso ao serviço de provisionamento para esse dispositivo, enquanto ainda permite o acesso para outros dispositivos que possuem o certificado de assinatura do grupo de inscrição na sua cadeia. Não apague a inscrição individual desativada do dispositivo. Isso permite que o dispositivo se registre novamente por meio do grupo de inscrição.

  2. Use a lista de dispositivos provisionados para esse grupo de registro para localizar o hub IoT para o qual o dispositivo foi provisionado e desabilitá-lo ou excluí-lo do registro de identidade desse hub.