如何取消预配以前自动预配的设备
有时,可能需要取消预配以前通过设备预配服务自动预配的设备。 例如,设备已转售、移到不同的 IoT 中心、丢失、被盗或者信息泄露。
一般情况下,取消预配设备涉及到两个步骤:
从预配服务中取消注册该设备,以防止将来进行自动预配。 根据是要暂时还是永久撤销访问权限,可以禁用或删除注册条目。 对于使用 X.509 认证的设备,可能需要在现有注册组的层次结构中禁用/删除某个条目。
- 若要了解如何取消注册某个设备,请参阅如何从 Azure IoT 中心设备预配服务中取消注册某个设备。
- 若要了解如何使用某个预配服务 SDK 以编程方式取消注册某个设备,请参阅使用服务 SDK 管理设备注册。
从 IoT 中心取消注册设备,防止将来进行通信和传输数据。 另外,可以在预配设备的 IoT 中心的标识注册表中临时禁用或永久删除该设备的条目。 若要详细了解禁用,请参阅禁用设备。
取消预配设备所需执行的确切步骤取决于其证明机制和其适用于预配服务的注册条目。 以下部分概述了此过程,具体取决于注册和证明类型。
个人注册
结合自签名叶证书(无证书链)使用 TPM 认证或 X.509 认证的设备是通过单独的登记条目预配的。
若要取消预配具有单独注册的设备,请执行以下操作:
从预配服务中取消注册设备:
- 对于使用 TPM 证明的设备,请删除单独的注册项,以便永久撤消设备对预配服务的访问权限,或者禁用该项,以便暂时撤消其访问权限。
- 对于使用 X.509 证明的设备,可以删除或禁用该条目。 但请注意,如果删除设备的单个注册,该设备使用 X.509 并且在该设备的证书链中存在针对签名证书的已启用的注册组,则可以重新注册设备。 对于此类设备,可能有更安全,若要禁用的注册项。 这样做因此阻止的设备重新注册,而不考虑启用的注册组是否存在为其签名的证书之一。
在预配设备的 IoT 中心的标识注册表中禁用或删除该设备的条目。
注册组
使用 X.509 认证时,也可以通过登记组预配设备。 登记组中配置了一个签名证书(中间证书或根 CA 证书),可以使用其证书链中的该证书来控制设备对预配服务的访问。 若要详细了解注册组以及预配服务中的 X.509 证书,请参阅 X.509 证书证明。
若要查看已通过某个登记组预配的设备列表,可以查看该登记组的详细信息。 这样,便可以轻松了解每个设备已预配到哪个 IoT 中心。 查看设备列表:
登录到 Azure 门户,并导航到你的预配服务。
选择“管理注册”,然后选择“注册组”选项卡。
选择注册组以打开其详细信息。
选择“详细信息”以查看注册组的注册记录。
使用登记组时,需要考虑两种情况:
若要取消预配已通过注册组预配的所有设备,请执行以下操作:
禁用注册组以禁止其签名证书。
然后,可以使用该登记组的预配设备列表,从每个设备的相应 IoT 中心的标识注册表中禁用或删除该设备。
从相应的 IoT 中心禁用或删除所有设备后,可以选择删除登记组。 但请注意,如果删除注册组,并且在一个或多个设备的证书链中为某个级别较高的签名证书启用了注册组,则这些设备可以重新注册。
注意
删除注册组不会删除组中设备的注册记录。 DPS 使用注册记录来确定是否已达到 DPS 实例的最大注册数。 孤立的注册记录仍计入此配额。 有关当前 DPS 实例支持的最大注册数,请参阅配额和限制。
在删除注册组之前,请先删除注册组的注册记录。 可以在 Azure 门户中组的注册状态页上手动查看和管理注册组的注册记录。 或者,可以使用设备注册状态 REST API 或 DPS 设备 SDK 中的等效 API,或使用 az iot dps enrollment-group registration Azure CLI 命令以编程方式检索和管理注册记录。
若要从注册组取消预配单个设备,请执行以下操作:
为设备创建已禁用的个人注册。
- 如果你有设备(终端实体)证书,可以创建一个已禁用的 X.509 个人注册。
- 如果没有设备证书,可以基于该设备的注册记录中的设备 ID 创建一个已禁用的对称密钥个人注册。
若要了解详细信息,请参阅禁用注册组中的特定设备。
如果设备存在已禁用的个人注册,就会撤销该设备对预配服务的访问权限,同时仍允许链中具有注册组签名证书的其他设备访问。 不要删除设备的已禁用单独登记。 否则,设备会通过登记组重新登记。
然后,可以使用登记组详细信息中的预配设备列表来查找设备已预配到的 IoT 中心,并从该中心的标识注册表中禁用或删除该设备。