Dela via

Så här avregistrerar eller återkallar du en enhet från Azure IoT Hub Device Provisioning Service

Korrekt hantering av autentiseringsuppgifter för enheter är avgörande för högprofilerade system som IoT-lösningar. Bästa praxis för sådana system är att ha en tydlig plan för hur åtkomst för enheter återkallas när deras autentiseringsuppgifter, oavsett om en SAS-token (signaturer för delad åtkomst) eller ett X.509-certifikat kan komprometteras.

Registrering i enhetsetableringstjänsten gör att en enhet kan etableras. En etablerad enhet är en enhet som är registrerad med IoT Hub, vilket gör att den kan ta emot sitt ursprungliga enhetstvillingtillstånd och börja rapportera telemetridata.

Den här artikeln beskriver hur du tar bort en enhet från din tilldelningstjänstinstans, vilket förhindrar att den tilldelas eller tilldelas på nytt i framtiden. Om du inaktiverar en enskild registrering eller registreringsgrupp tar du inte bort en befintlig enhetsregistrering från IoT Hub. Information om hur du avetablera en enhet som redan har etablerats till en IoT-hubb finns i Så här avetableras enheter som tidigare har etablerats automatiskt.

Blockera en enhet genom att använda en enskild registrering

Om du inte vill tillåta att en enhet etableras via Device Provisioning Service kan du ändra etableringsstatusen för en enskild registrering för att förhindra att enheten etableras och etableras på nytt. Du kan använda den här funktionen om enheten beter sig utanför sina normala parametrar eller antas vara komprometterad, eller som ett sätt att testa mekanismen för etablering av återförsök för dina enheter.

Om den enhet som du inte vill tillåta har etablerats via en registreringsgrupp, hänvisar du till stegen i Avvisa specifika enheter från en X.509-registreringsgrupp.

Anmärkning

Tänk på återförsöksprincipen för enheter som du återkallar åtkomst för. Till exempel kan en enhet som har en oändlig återförsöksprincip kontinuerligt försöka registrera sig med etableringstjänsten. Den situationen förbrukar tjänstresurser som kvoter för tjänstverksamheter och kan påverka prestanda.

  1. Logga in på Azure Portal och navigera till instansen av enhetsetableringstjänsten.

  2. Välj Hantera registreringaroch välj sedan fliken Enskilda registreringar.

  3. Välj registreringsposten för den enhet som du inte vill tillåta.

  4. På sidan registreringsinformation avmarkerar du rutan Aktivera den här registreringen i avsnittet Etableringsstatus och väljer sedan Spara.

    Skärmbild som visar hur du inaktiverar en enskild registrering i portalen.

Om en IoT-enhet är i slutet av sin livscykel och inte längre bör tillåtas registrera sig till IoT-lösningen, bör enhetsregistreringen tas bort från Enhetsprovisioneringstjänsten.

  1. I etableringstjänsten väljer du Hantera registreringar och väljer sedan fliken Enskilda registreringar .

  2. Markera kryssrutan bredvid registreringsposten för den enhet som du inte vill tillåta.

  3. Välj Ta bort överst i fönstret och välj sedan Ja för att bekräfta att du vill ta bort registreringen.

    Skärmbild som visar hur du tar bort en enskild registrering i portalen.

Förbjud ett mellanliggande eller rot-CA-certifikat för X.509 genom användning av en registreringsgrupp

X.509-certifikat ordnas vanligtvis i en certifikatkedja med förtroende. Om ett certifikat i något skede i en kedja komprometteras bryts förtroendet. Certifikatet ska inte tillåtas för att förhindra att Enhetsetableringstjänsten provisionerar enheter nedströms i varje kedja som innehåller certifikatet. Mer information om X.509-certifikat och hur de används med etableringstjänsten finns i X.509-certifikat.

En registreringsgrupp är en post för enheter som delar en gemensam attesteringsmekanism för X.509-certifikat som signerats av samma mellanliggande certifikatutfärdare eller rotcertifikatutfärdare. Registreringsgruppens post konfigureras med X.509-certifikatet som är associerat med mellanliggande certifikatutfärdare eller rotcertifikatutfärdare. Inmatningen konfigureras också med alla konfigurationsvärden, till exempel tvillingtillstånd och IoT Hub-anslutning, som delas av enheter med det certifikatet i deras certifikatkedja. Om du vill neka certifikatet kan du antingen inaktivera eller ta bort dess registreringsgrupp.

Så här inaktiverar du tillfälligt certifikatet genom att inaktivera dess registreringsgrupp:

  1. Logga in på Azure Portal och navigera till instansen av enhetsetableringstjänsten.

  2. I etableringstjänsten väljer du Hantera registreringar och sedan fliken Registreringsgrupper .

  3. Välj registreringsgruppen med det certifikat som du inte vill tillåta.

  4. På sidan registreringsinformation avmarkerar du rutan Aktivera den här registreringen i avsnittet Etableringsstatus och väljer sedan Spara.

    Skärmbild som visar hur du inaktiverar en registreringsgrupp i portalen.

Så här inaktiverar du certifikatet permanent genom att ta bort dess registreringsgrupp:

  1. I etableringstjänsten väljer du Hantera registreringar och sedan fliken Registreringsgrupper .

  2. Markera kryssrutan bredvid registreringsgruppen för det certifikat som du inte vill tillåta.

  3. Välj Ta bort överst i fönstret och välj sedan Ja för att bekräfta att du vill ta bort registreringsgruppen.

    Skärmbild som visar hur du tar bort en registreringsgrupp i portalen.

När du har slutfört proceduren bör du se att posten har tagits bort från listan över registreringsgrupper.

Anmärkning

Om du tar bort en registreringsgrupp för ett certifikat kan enheter som har certifikatet i certifikatkedjan fortfarande kunna registrera sig om det finns en aktiverad registreringsgrupp för rotcertifikatet eller ett annat mellanliggande certifikat högre upp i certifikatkedjan.

Anmärkning

Om du tar bort en registreringsgrupp tas inte registreringsposterna för enheter i gruppen bort. DPS använder registreringsposterna för att avgöra om DPS-instansen har nått det maximala antalet registreringar. Överblivna registreringsposter räknas fortfarande mot den här kvoten. Det aktuella maximala antalet registreringar som stöds för en DPS-instans finns i Kvoter och gränser.

Du kanske vill ta bort registreringsposterna för registreringsgruppen innan du tar bort själva registreringsgruppen. Du kan se och hantera registreringsposterna för en registreringsgrupp manuellt på fliken Registreringsstatus för gruppen i Azure-portalen. Du kan hämta och hantera registreringsposterna programmatiskt med hjälp av REST API:er för enhetsregistreringstillstånd eller motsvarande API:er i DPS-tjänstens SDK:er, eller med azure CLI-kommandona az iot dps enrollment-group registration.

Tillåt inte specifika enheter från en X.509-registreringsgrupp

Om du har en enhet som har etablerats via en registreringsgrupp som du vill avregistrera kan du göra det genom att skapa en inaktiverad individuell registrering för just den enheten. När en enhet ansluter och autentiserar med Device Provisioning Service söker tjänsten först efter en enskild registrering med matchande registrerings-ID. Endast om ingen enskild registrering hittas för enheten söker tjänsten efter registreringsgrupper.

Följ dessa steg om du vill neka en enskild enhet i en registreringsgrupp:

  1. Logga in på Azure Portal och navigera till instansen av enhetsetableringstjänsten.

  2. I etableringstjänsten väljer du Hantera registreringar och väljer sedan fliken Enskilda registreringar .

  3. Välj Lägg till individuell registrering.

  4. Följ lämpligt steg beroende på om du har enhetens certifikat (slutentitet) eller inte.

    • Om du har enhetscertifikatet anger du följande värden på sidan Lägg till registrering:

      Field Beskrivning
      Attesteringsmekanism Välj X.509-klientcertifikat
      Primär certifikatfil Ladda upp enhetscertifikatet. För certifikatet använder du det signerade slutentitetscertifikatet som är installerat på enheten. Enheten använder det signerade slutentitetscertifikatet för autentisering.

    • Om du inte har enhetscertifikatet anger du följande värden på sidan Lägg till registrering:

      Field Beskrivning
      Attesteringsmekanism Välj symmetrisk nyckel
      Generera symmetriska nycklar automatiskt : Kontrollera att den här kryssrutan är markerad. Nycklarna spelar ingen roll för det här scenariot.
      Registrerings-ID Om enheten redan har konfigurerats använder du dess IoT Hub-enhets-ID. Du hittar det här värdet i registreringsposterna för registreringsgruppen eller i den IoT-hubb där enheten är provisionerad. Om enheten inte har etablerats än anger du enhetscertifikatets CN. (I det senare fallet behöver du inte enhetscertifikatet, men du måste känna till CN.)

  5. Rulla längst ned på sidan Lägg till registrering och avmarkera kryssrutan Aktivera den här registreringen.

  6. Välj Granska + skapaoch välj sedan Skapa.

När du har skapat registreringen bör du se din inaktiverade enhetsregistrering på fliken Enskilda registreringar .

Nästa steg

Avregistrering är också en del av den större avvecklingsprocessen. Avprovisionering av en enhet omfattar både avanmälan från provisioning-tjänsten och avregistrering från IoT-hubben. Mer information om hela processen får du i Så här avregistrerar du enheter som tidigare har registrerats.