如何停用先前自动预配的设备

你可能会发现有必要取消预配以前通过设备预配服务自动预配的设备。 例如，设备可能会出售或移动到其他 IoT 中心，或者设备可能丢失、被盗或其他泄露。

通常，取消预配设备涉及两个步骤：

1. 从您的预配服务中注销设备，以防止将来自动配置。 可以禁用或删除注册条目，具体取决于是暂时撤消访问权限还是永久撤消访问权限。 对于使用 X.509 认证的设备，您可能需要禁用/删除现有注册组层次结构中的一个条目。

   • 若要了解如何取消注册设备，请参阅 如何从 Azure IoT 中心设备预配服务取消注册或撤销设备。
   • 若要了解如何使用某个预配服务 SDK 以编程方式取消注册设备，请参阅 以编程方式为 X.509 证书证明创建设备预配服务注册组。

2. 在物联网中心取消设备注册，以阻止未来的通信和数据传输。 同样，可以暂时禁用或永久删除预配 IoT 中心的标识注册表中的设备条目。 请参阅禁用设备了解更多关于禁用的内容。

撤销设备的预配具体步骤依赖于设备的验证机制以及其在您的预配服务中适用的注册条目。 以下部分提供基于注册和证明类型的过程概述。

个人注册

使用 TPM 证明或带有叶证书的 X.509 证明的设备通过单个注册条目进行预配。

若要注销具有单个注册的设备，请执行以下步骤：

1. 将设备从预配服务中解除注册：

   • 对于使用 TPM 证明的设备，请删除单个注册条目以永久撤销设备对预配服务的访问权限，或禁用该条目以暂时撤销其访问权限。
   • 对于使用 X.509 证明的设备，可以删除或禁用该条目。 但是，请注意，如果删除使用 X.509 的设备的个人注册，并且该设备的证书链中存在一个已启用的注册组，则设备可以重新注册。 对于此类设备，禁用注册项目可能更安全。 这样做会阻止设备重新注册，无论其签名证书之一是否存在已启用的注册组。

2. 在预配到的 IoT 中心的标识注册表中禁用或删除设备。

注册组

通过 X.509 认证，还可以通过注册组的方式预配设备。 注册组使用签名证书（中间证书或根 CA 证书）进行配置，并控制对其证书链中具有该证书的设备预配服务的访问。 若要了解有关预配服务的注册组和 X.509 证书的详细信息，请参阅 X.509 证书证明。

若要查看当前通过注册组预配的设备列表，可以查看注册组的详细信息。 此列表是一种简单的方法，用于了解每个设备预配到的 IoT 中心。 若要查看设备列表，请执行以下步骤：

1. 登录到 Azure 门户 并导航到预配服务。

2. 选择“ 管理注册”，然后选择“ 注册组 ”选项卡。

3. 选择注册组以打开其详细信息。

4. 选择 “详细信息 ”以查看注册组的注册记录。

   

使用注册组时，需要考虑两种情境：

• 取消预配通过注册组预配的所有设备：

  1. 停用注册组以禁用其签名证书。

  2. 使用该注册组的预配设备列表，从其各自的 IoT 中心的标识注册表中禁用或删除每个设备。

  3. 从其各自的 IoT 中心禁用或删除所有设备后，可以选择删除注册组。 请注意，如果删除注册组，但在一个或多个设备的证书链中较高位置有一个启用的注册组用于签名证书，则这些设备可以重新注册。

     注释

     删除注册组不会删除组中设备的注册记录。 DPS 使用注册记录来确定是否达到 DPS 实例的最大注册数。 孤立的注册记录仍计入此配额。 有关 DPS 实例支持的当前最大注册数，请参阅 配额和限制。

     在删除注册组本身之前，可能需要删除注册组的注册记录。 可以在 Azure 门户中组的注册状态页上手动查看和管理注册组的注册记录。 或者，可以使用 DPS 服务 SDK 中的设备注册状态 REST API 或等效 API，或使用 az iot dps enrollment-group registration Azure CLI 命令以编程方式检索和管理注册记录。

• 若要从注册组取消预配单个设备，请执行以下操作：

  1. 为设备创建禁用的单个注册。

     • 如果你有设备（终端实体）证书，则可以创建已禁用的 X.509 个人注册项。
     • 如果没有设备证书，则可以基于该设备注册记录中的设备 ID 创建已禁用的对称密钥个人注册。

     若要了解详细信息，请参阅 禁止来自 X.509 注册组的特定设备。

     如果设备存在已禁用的单个注册，则撤消对该设备的预配服务的访问权限，同时仍允许对其链中具有注册组签名证书的其他设备进行访问。 请勿删除针对残障人士的设备注册。 这样做允许设备通过注册组重新注册。

  2. 使用该注册组的预配设备列表，查找设备已预配到的 IoT 中心，并从该中心的标识注册表中将其禁用或删除。