通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

如何从 Azure IoT 中心设备预配服务取消注册或撤销设备

妥善管理设备凭据对物联网解决方案等重要系统至关重要。 此类系统的最佳实践是制定明确计划,说明在设备凭据(无论是共享访问签名 (SAS) 令牌还是 X.509 证书)可能被破坏时,如何撤销设备的访问权限。

在设备预配服务中注册可预配设备。 预配的设备是向 IoT 中心注册的设备,允许它接收其初始 设备孪生 状态并开始报告遥测数据。

本文介绍如何从预配服务实例吊销设备,防止将来预配或重新预配设备。 禁用单个注册或注册组不会从 IoT 中心删除现有设备注册。 若要了解如何取消预配已预配到 IoT 中心的设备,请参阅 如何取消预配以前自动预配的设备

使用单独注册禁止设备

若要禁止设备通过设备预配服务进行预配,可以更改单个注册的预配状态,以防止设备预配和重新预配。 如果设备的行为超出了正常参数,或者被认为存在安全漏洞,或者用于测试设备预配重试机制的方法,则可以使用此功能。

如果想要禁止的设备是通过注册组预配的,请参阅 禁止 X.509 注册组中特定设备的步骤。

注释

请注意你撤消访问权限的设备重试策略。 例如,具有无限重试策略的设备可能会持续尝试向预配服务注册。 这种情况会占用服务资源,例如服务操作配额,并可能影响性能。

  1. 登录到 Azure 门户,并导航到设备预配服务实例。

  2. 选择“ 管理注册”,然后选择“ 单个注册 ”选项卡。

  3. 选择要禁用的设备的注册条目。

  4. 在“注册详细信息”页上,取消选中“预配状态”部分中的“启用此注册”框,然后选择“保存”。

    显示如何在门户中禁用单个注册的屏幕截图。

如果 IoT 设备在其设备生命周期结束时,不应再允许预配到 IoT 解决方案,则应从设备预配服务中删除设备注册:

  1. 在预配服务中,选择“ 管理注册”,然后选择“ 单个注册 ”选项卡。

  2. 选中要禁止的设备注册条目旁边的复选框。

  3. 在窗口顶部选择“ 删除 ”,然后选择“ ”以确认要删除注册。

    显示删除门户中单个注册记录的屏幕截图。

通过使用注册组来禁用 X.509 中间或根 CA 证书

X.509 证书通常排列在证书信任链中。 如果链中的任何阶段的证书遭到入侵,信任就会中断。 必须禁止该证书,以防止设备预配服务在包含该证书的任何链条中向下游设备进行预配。 若要详细了解 X.509 证书及其与预配服务的使用方式,请参阅 X.509 证书

注册组是共享 X.509 证书的常见证明机制的设备的项,由同一个中间或根 CA 签名。 注册组条目配置了与中间或根 CA 关联的 X.509 证书。 该条目还可配置为由证书链中包含该证书的设备共享的任何配置值(如孪生状态和 IoT 中心连接)。 若要禁止证书,可以禁用或删除其注册组。

若要通过禁用其注册组来暂时禁用证书:

  1. 登录到 Azure 门户,并导航到设备预配服务实例。

  2. 在预配服务中,选择“ 管理注册”,然后选择“ 注册组 ”选项卡。

  3. 选择正在使用要禁用的证书的注册组。

  4. 在“注册详细信息”页上,取消选中“预配状态”部分中的“启用此注册”框,然后选择“保存”。

    显示在门户中禁用注册组的屏幕截图。

若要永久禁用该证书,可删除其注册组:

  1. 在预配服务中,选择“ 管理注册”,然后选择“ 注册组 ”选项卡。

  2. 对于要禁用的证书,选中其注册组旁边的复选框。

  3. 在窗口顶部选择“ 删除 ”,然后选择“ ”以确认要删除注册组。

    显示删除门户中注册组的屏幕截图。

完成该过程后,您应该可以看到您的条目已从注册组列表中删除。

注释

删除证书登记组后,如果根证书或证书链中上游位置的其他中间证书存在已启用的登记组,则证书链中包含该证书的设备可能仍将能够登记。

注释

删除注册组不会删除组中设备的注册记录。 DPS 使用注册记录来确定是否达到 DPS 实例的最大注册数。 孤立的注册记录仍计入此配额。 有关当前 DPS 实例支持的最大注册数,请参阅配额和限制

在删除注册组本身之前,可能需要删除注册组的注册记录。 可以在 Azure 门户中组的 “注册状态 ”选项卡上手动查看和管理注册组的注册记录。 可以使用设备注册状态 REST APIDPS 设备 SDK 中的等效 API,或使用 az iot dps enrollment-group registration Azure CLI 命令以编程方式检索和管理注册记录。

禁用 X.509 注册组中的特定设备

如果设备是通过注册组预配的,而你想要取消注册该设备,你可以通过仅为该设备创建一个禁用的单独注册来实现此目的。 如果设备通过设备预配服务进行连接和身份验证,服务将首先查找具有匹配注册 ID 的单独注册。 仅当找不到该设备的单独注册时,服务才会搜索注册组。

若要禁止注册组中的单个设备,请执行以下步骤:

  1. 登录到 Azure 门户,并导航到设备预配服务实例。

  2. 在预配服务中,选择“ 管理注册”,然后选择“ 单个注册 ”选项卡。

  3. 选择 “添加单个注册”。

  4. 根据具体情况,按照相应的步骤操作,具体取决于您是否持有设备(终端实体)证书。

    • 如果有设备证书,请在 “添加注册 ”页上提供以下值:

      字段 Description
      证明机制 选择 X.509 客户端证书
      主证书文件 上传设备证书。 对于证书,使用安装在设备上的已签名的终端实体证书。 设备使用签名的终端实体证书进行身份验证。

    • 如果没有设备证书,请在 “添加注册 ”页上提供以下值:

      字段 Description
      证明机制 选择 对称密钥
      自动生成对称密钥 :确保选中此复选框。 对于此方案,密钥并不重要。
      注册 ID 如果设备已预配,请使用其 IoT 中心设备 ID。 可以在注册组的注册记录或预配设备的 IoT 中心中找到此值。 如果尚未预配设备,请输入设备证书 CN。 (在此后一种情况下,不需要设备证书,但需要知道 CN。

  5. 滚动到 “添加注册 ”页底部,然后取消选中“ 启用此注册 ”复选框。

  6. 选择查看 + 创建,然后选择创建

成功创建注册后,“单独注册”选项卡上应会列出你的已禁用设备注册

后续步骤

取消注册也是整个去配过程的一部分。 取消预配设备包括从预配服务取消注册以及从 IoT 中心取消注册。 若要了解整个过程,请参阅 如何取消预配以前预配的设备

  • Last updated on