自動プロビジョニングされた以前のデバイスのプロビジョニングを解除する方法

デバイス プロビジョニング サービスによってプロビジョニングされたデバイスをプロビジョニング解除する必要が生じる場合があります。 たとえば、デバイスが売却されたり、別の IoT Hub に移動されたり、紛失、盗難、その他の理由で侵害された場合などです。

一般に、デバイスのプロビジョニング解除には 2 つの手順が含まれます。

1. 将来の自動プロビジョニングを防ぐために、プロビジョニング サービスからデバイスを登録解除します。 アクセスを一時的に取り消すか、または永続的に取り消すかに応じて、登録エントリを無効にするか、削除することができます。 X.509 の構成証明を使用するデバイスの場合は、既存の登録グループの階層内のエントリを無効または削除する必要があることがあります。

   • デバイスの登録を抹消する方法については、次を参照してください。 Azure IoT Hub Device Provisioning サービスからの登録を抹消する方法です。
   • いずれかのプロビジョニング サービス SDK を使用してプログラムでデバイスの登録を抹消する方法については、サービス SDK を使用したデバイスの登録の管理に関する記事をご覧ください。

2. 将来の通信とデータ転送を防ぐために、IoT ハブからデバイスを登録解除します。 デバイスがプロビジョニングされた IoT Hub の ID レジストリで、もう一度一時的にデバイスのエントリを無効化するか、または永続的に削除します。 無効化についての詳細はデバイスの無効化を参照してください。

デバイスをプロビジョニング解除するための実際の手順は、デバイスが使用している構成証明メカニズムと、プロビジョニング サービスで適用される登録エントリによって異なります。 次のセクションでは、登録と構成証明の種類に基づいて、プロセスの概要を説明します。

個々の登録

TPM 構成証明またはリーフ証明書による X.509 構成証明を使用するデバイスは、個別登録エントリを使用してプロビジョニングされます。

個別登録のあるデバイスのプロビジョニングを解除するには、次の手順を実行します。

1. プロビジョニング サービスからデバイスの登録を抹消します。

   • TPM 構成証明を使用するデバイスの場合は、個別登録エントリを削除してプロビジョニング サービスへのデバイスのアクセスを永続的に取り消すか、エントリを無効にして一時的にアクセスを取り消します。
   • X.509 構成証明を使用するデバイスの場合は、エントリを削除するか無効にすることができます。 ただし、X.509 を使用するデバイスの個別登録を削除した場合でも、そのデバイスの証明書チェーン内の署名証明書に対して有効な登録グループがあると、そのデバイスは再登録することができます。 このようなデバイスがある場合は、登録エントリを無効にするほうが安全であると考えられます。 登録エントリを無効にすれば、その署名証明書のいずれかに対して有効な登録グループが存在する場合でも、デバイスは再登録できなくなります。

2. デバイスがプロビジョニングされた IoT Hub の ID レジストリで、デバイスを無効化または削除します。

登録グループ

X.509 構成証明では、登録グループを使用してデバイスをプロビジョニングすることもできます。 登録グループは署名証明書 (中間 CA 証明書またはルート CA 証明書) を使用して構成され、証明書チェーン内のその証明書を使用して、プロビジョニング サービスへのデバイスのアクセスを制御します。 プロビジョニング サービスの登録グループと X.509 証明書の詳細については、「X.509 証明書の構成証明」を参照してください。

登録グループを使用してプロビジョニングされているデバイスの一覧を表示するには、登録グループの詳細を表示します。 これは、各デバイスがどの IoT Hub に対してプロビジョニングされているかを把握するための簡単な方法です。 デバイスの一覧を表示するには、次のようにします。

1. Azure portal にサインインし、プロビジョニング サービスに移動します。

2. [登録の管理] を選択し、[登録グループ] タブを選択します。

3. 登録グループを選択して、その詳細を開きます。

4. [詳細] を選択して、登録グループの登録レコードを表示します。

   

登録グループに関しては、2 つのシナリオが考えられます。

• 登録グループを使用してプロビジョニングされているすべてのデバイスのプロビジョニングを解除するには、次の手順を実行します。

  1. 登録グループを無効にして、その署名証明書を許可しないようにします。

  2. 登録グループのプロビジョニング済みデバイスの一覧を使用して、対応する IoT Hub の ID レジストリから各デバイスを無効化または削除します。

  3. すべてのデバイスを対応する IoT Hub から無効化または削除した後で、必要に応じて登録グループを削除できます。 ただし、登録グループを削除した場合、1 つまたは複数のデバイスの証明書チェーンの上位に署名証明書に対して有効な登録グループがあると、そのデバイスを再登録できることに注意してください。

     Note

     登録グループを削除しても、グループ内のデバイスの登録レコードは削除されません。 DPS では、登録レコードを使用して、DPS インスタンスで登録の最大数に達したかどうかを判断します。 孤立した登録レコードは、引き続きこのクォータに対してカウントされます。 DPS インスタンスでサポートされている現在の登録の最大数については、「クォータと制限」を参照してください。

     登録グループ自体を削除する前に、登録グループの登録レコードを削除することができます。 登録グループの登録レコードは、Azure portal のそのグループの登録状態ページで、手動で表示および管理できます。 または、DPS サービス SDK のデバイスの登録状態 REST API または同等の API を使用するか、登録グループの登録 Azure CLI コマンド az iot dps を使用すると、登録レコードをプログラムで取得および管理できます。

• 登録グループから 1 つのデバイスだけをプロビジョニング解除するには、次の手順を実行します。

  1. デバイスに対して無効化された個別登録を作成します。

     • デバイス (エンド エンティティ) 証明書をお持ちの場合は、無効化された X.509 の個別登録を作成できます。
     • デバイス証明書をお持ちでない場合は、そのデバイスの登録レコードのデバイス ID に基づいて、無効な対称キーの個別登録を作成できます。

     詳しくは、「登録グループ内の特定のデバイスを禁止する」をご覧ください。

     デバイスの無効な個別登録が存在すると、そのデバイスのプロビジョニング サービスへのアクセスが取り消されますが、チェーン内に登録グループの署名証明書を持つ他のデバイスは引き続きアクセスを許可されます。 デバイスに対して無効化された個別登録を削除しないでください。 削除した場合、登録グループを使用してそのデバイスを再登録することが可能になります。

  2. その登録グループのプロビジョニング済みデバイスの一覧を使用して、デバイスがどの IoT Hub に対してプロビジョニングされているかを確認し、そのハブの ID レジストリからデバイスを無効化または削除します。