你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
有时,可能需要取消预配以前通过设备预配服务自动预配的设备。 例如,设备可能会出售或移动到其他 IoT 中心,或者设备可能丢失、被盗或其他泄露。
通常,取消预配设备涉及两个步骤:
从您的预配服务中注销设备,以防止将来自动配置。 可以禁用或删除注册条目,具体取决于是暂时撤消访问权限还是永久撤消访问权限。 对于使用 X.509 认证的设备,您可能需要禁用/删除现有注册组层次结构中的一个条目。
- 若要了解如何取消注册设备,请参阅 如何从 Azure IoT 中心设备预配服务取消注册或撤销设备。
- 若要了解如何使用某个预配服务 SDK 以编程方式取消注册设备,请参阅 以编程方式为 X.509 证书证明创建设备预配服务注册组。
在物联网中心取消设备注册,以阻止未来的通信和数据传输。 同样,可以暂时禁用或永久删除预配 IoT 中心的标识注册表中的设备条目。 若要详细了解禁用,请参阅禁用设备。
取消预配设备所需执行的确切步骤取决于其证明机制和其适用于预配服务的注册条目。 以下部分提供基于注册和证明类型的过程概述。
个人注册
结合自签名叶证书(无证书链)使用 TPM 认证或 X.509 认证的设备是通过单独的登记条目预配的。
若要取消预配具有单独注册的设备,请执行以下操作:
将设备从预配服务中解除注册:
- 对于使用 TPM 证明的设备,请删除单个注册条目以永久撤销设备对预配服务的访问权限,或禁用该条目以暂时撤销其访问权限。
- 对于使用 X.509 证明的设备,可以删除或禁用该条目。 但是,请注意,如果删除使用 X.509 的设备的个人注册,并且该设备的证书链中存在一个已启用的注册组,则设备可以重新注册。 对于此类设备,禁用注册项可能更安全。 这样做因此阻止的设备重新注册,而不考虑启用的注册组是否存在为其签名的证书之一。
在预配到的 IoT 中心的标识注册表中禁用或删除设备。
注册组
通过 X.509 认证,还可以通过注册组的方式预配设备。 登记组中配置了一个签名证书(中间证书或根 CA 证书),可以使用其证书链中的该证书来控制设备对预配服务的访问。 若要了解有关预配服务的注册组和 X.509 证书的详细信息,请参阅 X.509 证书证明。
若要查看当前通过注册组预配的设备列表,可以查看注册组的详细信息。 此列表是一种简单的方法,用于了解每个设备预配到的 IoT 中心。 若要查看设备列表,请执行以下步骤:
登录到 Azure 门户 并导航到预配服务。
选择“ 管理注册”,然后选择“ 注册组 ”选项卡。
选择注册组以打开其详细信息。
选择 “详细信息 ”以查看注册组的注册记录。
使用登记组时,需要考虑两种情况:
若要取消预配通过注册组预配的所有设备,请执行以下操作:
禁用注册组以禁止其签名证书。
使用该注册组的预配设备列表,从其各自的 IoT 中心的标识注册表中禁用或删除每个设备。
从其各自的 IoT 中心禁用或删除所有设备后,可以选择删除注册组。 请注意,如果删除注册组,但在一个或多个设备的证书链中较高位置有一个启用的注册组用于签名证书,则这些设备可以重新注册。
注释
删除注册组不会删除组中设备的注册记录。 DPS 使用注册记录来确定是否达到 DPS 实例的最大注册数。 孤立的注册记录仍计入此配额。 有关当前 DPS 实例支持的最大注册数,请参阅配额和限制。
在删除注册组本身之前,可能需要删除注册组的注册记录。 可以在 Azure 门户中组的注册状态页上手动查看和管理注册组的注册记录。 或者,可以使用 DPS 服务 SDK 中的设备注册状态 REST API 或等效 API,或使用 az iot dps enrollment-group registration Azure CLI 命令以编程方式检索和管理注册记录。
若要从注册组取消预配单个设备,请执行以下操作:
为设备创建已禁用的个人注册。
- 如果你有设备(终端实体)证书,可以创建一个已禁用的 X.509 个人注册。
- 如果没有设备证书,则可以基于该设备注册记录中的设备 ID 创建已禁用的对称密钥个人注册。
若要了解详细信息,请参阅 禁止来自 X.509 注册组的特定设备。
如果设备存在已禁用的个人注册,就会撤销该设备对预配服务的访问权限,同时仍允许链中具有注册组签名证书的其他设备访问。 请勿删除针对残障人士的设备注册。 这样做允许设备通过注册组重新注册。
使用该注册组的预配设备列表,查找设备已预配到的 IoT 中心,并从该中心的标识注册表中将其禁用或删除。