動的なエンドポイントを持つIPsecトンネル
IPsecトンネルの動的エンドポイントの設定
IPsecトンネルは、トンネルのリモートエンドに静的に割り当てられたIPアドレスを持たない 動的ピア セキュリティゲートウェイを使用して確立することもできます。リモートアドレスは不明であり、リモートホストが再起動するたびにアドレスプールから引き出される可能性があるため、トンネルの確立は、事前共有グローバルキーまたは任意のリモート識別値を受け入れるデジタル証明書のいずれかでIKE main モードを使用します。ポリシーベースのトンネルとリンクタイプの両方のトンネルがサポートされています。
共有モードを使用したポリシーベースのトンネル。
リンクタイプまたはルーテッドトンネルは、専用モードを使用します。各トンネルは、動的ピアに設定されたインターフェイスのプールからサービスインターフェイスを割り当てます。ルーティング プロトコルは、これらのサービス インターフェイスで実行するように設定することで、このシナリオでリンクとして使用される IPsec トンネル上のルートを学習できます。
このセクションには、以下のトピックが含まれています。
- 認証プロセス
- 暗黙的な動的ルール
- リバースルート挿入
- IKE アクセス プロファイルの設定
- サービス セットでの IKE アクセス プロファイルの参照
- インターフェイス識別子の設定
- デフォルトの IKE および IPsec プロポーザル
- サービスインターフェイス間でのエンドポイントIPsecトンネルの分散
認証プロセス
リモート(動的ピア)が、ローカル(ジュニパーネットワークス)ルーターとのネゴシエーションを開始します。ローカルルーターは、デフォルトのIKEおよびIPsecポリシーを使用して、リモートピアから送信されたプロポーザルと照合し、セキュリティアソシエーション(SA)値をネゴシエートします。暗黙的なプロポーザルには、ローカル ルーターがすべての動的ピアに期待する、サポートされているすべてのトランスフォームのリストが含まれています。
事前共有鍵認証を使用する場合、事前共有鍵はサービス セットに対してグローバルです。ピアの事前共有キーを探す場合、ローカルルーターはピアの送信元アドレスを、そのサービスセット内で明示的に設定された事前共有キーと照合します。一致するものが見つからない場合、ローカルルーターは認証にグローバル事前共有鍵を使用します。
認証のフェーズ 2 では、ピアから送信された保護されたホストおよびネットワークの プロキシ ID を、構成済みのプロキシ ID のリストと照合します。受け入れられたプロキシ ID は、トラフィックを暗号化するための動的ルールを作成するために使用されます。IKE アクセス プロファイルに allowed-proxy-pair ステートメントを含めることで、プロキシ ID を設定できます。一致するエントリーがない場合、ネゴシエーションは拒否されます。
allowed-proxy-pairステートメントを設定しない場合、デフォルト値ANY(0.0.0.0/0)-ANYが適用され、ローカルルーターはピアから送信されたプロキシIDを受け入れます。IPv4 アドレスと IPv6 アドレスの両方が受け入れられますが、すべての IPv6 アドレスを手動で設定する必要があります。
フェーズ2のネゴシエーションが正常に完了すると、ルーターは動的ルールを構築し、受け入れたプロキシIDを使用してルーティングテーブルにリバースルートを挿入します。
暗黙的な動的ルール
動的ピアとのネゴシエーションが成功すると、キー管理プロセス(kmd)は、受け入れられたフェーズ2プロキシの動的ルールを作成し、ローカルASまたはマルチサービスPICに適用します。送信元アドレスと宛先アドレスは、承認されたプロキシによって指定されます。このルールは、フェーズ 2 プロキシ ID のエンド ホストの 1 つに送信されるトラフィックを暗号化するために使用されます。
動的ルールには、動的トンネルに割り当てられたインターフェイス名である ipsec-inside-interface 値が含まれます。 source-address と destination-address の値は、プロキシ ID から受け入れられます。 match-direction 値は、ネクストホップスタイルのサービス セットでは input です。
このルールは設定しません。これは、キー管理プロセス(KMD)によって作成されます。
スタティック トンネルのルール ルックアップは、ダイナミック ルールの存在による影響を受けません。設定された順序で実行されます。サービス セットのパケットを受信すると、スタティック ルールが常に最初に一致します。
動的ルールは、静的ルールのルール一致に失敗した後に照合されます。
デッドピア検出(DPD)helloメッセージへの応答は、静的ピアと同様に動的ピアで行われます。動的ピアからの DPD hello メッセージの開始はサポートされていません。
リバースルート挿入
静的ルートは、リモートトンネルのエンドポイントによって保護されているネットワークとホストのルートテーブルに自動的に挿入されます。これらの保護されたホストとネットワークは、リモート プロキシ ID と呼ばれます。
各ルートは、ピアから送信されたリモートプロキシネットワークとマスクに基づいて作成され、フェーズ1とフェーズ2のネゴシエーションが成功した後、関連するルートテーブルに挿入されます。
各スタティックリバースルートのルート優先度は1です。この値は、ルーティングプロトコルプロセス(rpd)によって追加される可能性のある類似ルートとの競合を避けるために必要です。
受け入れたリモート プロキシ アドレスがデフォルト(0.0.0.0/0)の場合、ルートは追加されません。この場合、IPsec トンネル上でルーティングプロトコルを実行してルートを学習し、このトンネル上で保護したいトラフィックの静的ルートを追加することができます。
ネクストホップスタイルのサービス セットの場合、リバース ルートには、 inside-service-interface ステートメントで指定されたロケーションを指すネクスト ホップが含まれます。
これらのルートを挿入するルート テーブルは、 inside-service-interface の場所がリストされている場所によって異なります。これらのインターフェイスがVPNルーティングおよび転送(VRF)インスタンスに存在する場合、ルートは対応するVRFテーブルに追加されます。それ以外の場合、ルートは inet.0に追加されます。
リバース ルート挿入は、動的ピアへのトンネルでのみ行われます。これらのルートは、ネクストホップスタイルのサービス セットにのみ追加されます。
IKE アクセス プロファイルの設定
すべての動的ピアに対して、サービスセットごとに1つのトンネルプロファイルのみを設定できます。プロファイルで設定された事前共有キーは、そのサービス セットで終端するすべての動的ピアの IKE 認証に使用されます。または、 ike-policy ステートメントを含めて、特定の識別値またはワイルドカード( any-remote-id オプション)で定義したIKEポリシーを参照することもできます。IKEポリシーは、 [edit services ipsec-vpn ike] 階層レベルで設定します。
IKEトンネルプロファイルは、IKEネゴシエーションを完了するために必要なすべての情報を指定します。各プロトコルは、プロトコル固有の属性値ペアを設定するために、clientステートメント内に独自のステートメント階層を持ちますが、各プロファイルに対して許可されるクライアント設定は1つだけです。以下に、 [edit access] 階層レベルの設定を示します。アクセスプロファイルの詳細については、 ルーティングデバイス用Junos OS管理ライブラリを参照してください。
[edit access]
profile profile-name {
client * {
ike {
allowed-proxy-pair {
remote remote-proxy-address local local-proxy-address;
}
pre-shared-key (ascii-text key-string | hexadecimal key-string);
ike-policy policy-name;
interface-id <string-value>;
ipsec-policy ipsec-policy;
}
}
}
動的ピアの場合、Junos OS は、事前共有鍵認証方式またはローカルデジタル証明書を使用する IKE アクセス プロファイルのいずれかで、IKE メイン モードをサポートします。
事前共有鍵モードでは、IP アドレスを使ってトンネル ピアを識別し、事前共有鍵情報を取得します。
client値*(ワイルドカード)は、このプロファイル内の設定が、このプロファイルにアクセスするサービス セット内で終端するすべての動的ピアに対して有効であることを意味します。デジタル証明書モードでは、IKE ポリシーによって、許可されるリモート識別値が定義されます。
IKE プロファイルは、以下のステートメントで構成されます。
allowed-proxy-pair- フェーズ2 IKEネゴシエーション中に、リモートピアは自身のネットワークアドレス(remote)とピアのネットワークアドレス(local)を提供します。複数の動的トンネルが同じメカニズムで認証されるため、このステートメントには可能な組み合わせのリストを含める必要があります。動的ピアが有効な組み合わせを提示しない場合、フェーズ2 IKEネゴシエーションは失敗します。デフォルトでは、値が設定されていない場合、
remote 0.0.0.0/0 local 0.0.0.0/0が使用されます。この設定では、IPv4 と IPv6 の両方のアドレス形式がサポートされていますが、デフォルトの IPv6 アドレスはありません。偶数0::0/0を指定する必要があります。pre-shared-key—IKE フェーズ 1 ネゴシエーション中に動的ピアを認証するために使用されるキー。この鍵は、帯域外のセキュア メカニズムを通じて両端で認識されます。値は、hexadecimal形式またはascii-text形式で設定できます。これは必須の値です。ike-policy—許可された動的ピアに対応するリモート識別値を定義するポリシー。ワイルドカード値を含めることができますany-remote-id動的エンドポイント構成でのみ使用できます。interface-id—インターフェイス識別子。セッションの論理サービス インターフェイス情報を取得するために使用される必須属性。ipsec-policy—セッションの IPsec ポリシー情報を定義する IPsec ポリシーの名前。IPsecポリシーは、[edit services ipsec-vpn ipsec policy policy-name]階層レベルで定義します。ポリシーが設定されていない場合、動的ピアから提案されたすべてのポリシーが受け入れられます。
サービス セットでの IKE アクセス プロファイルの参照
設定を完了するには、[edit access]階層レベルで設定されたIKEアクセスプロファイルを参照する必要があります。これを行うには、[edit services service-set name ipsec-vpn-options]階層レベルでike-access-profileステートメントを含めます。
[edit services service-set name] ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; }
ike-access-profileステートメントは、[edit access]階層レベルでIKEアクセス用に設定したprofileステートメントと同じ名前を参照する必要があります。各サービス セットで参照できるアクセス プロファイルは 1 つだけです。このプロファイルは、動的ピアとのIKEおよびIPsecセキュリティアソシエーションのネゴシエートにのみ使用されます。
サービス セット内の inside-service-interface ステートメントで参照されるすべてのインターフェイスは、同じ VRF インスタンスに属している必要があります。
インターフェイス識別子の設定
動的ピアのグループに対して、どの適応型サービス論理インターフェイスが動的IPsecネゴシエーションに参加するかを指定するインターフェイス識別子を設定できます。複数の論理インターフェイスに同じインターフェイス識別子を割り当てることで、この目的のためのインターフェイスのプールを作成できます。インターフェイス識別子を設定するには、[edit interfaces interface-name unit logical-unit-number dial-options]階層レベルでipsec-interface-idステートメントとdedicatedまたはsharedステートメントを含めます。
[edit interfaces interface-name unit logical-unit-number dial-options] ipsec-interface-id identifier; (dedicated | shared);
dial-options ステートメントでインターフェイス識別子を指定すると、この論理インターフェイスは ipsec-interface-id ステートメントで識別されるプールの一部になります。
インターフェイス識別子は一度に1つだけ指定できます。 ipsec-interface-id ステートメントまたは l2tp-interface-id ステートメントを含めることができますが、両方を含めることはできません。
sharedモードを設定すると、1つの論理インターフェイスを複数のトンネルで共有することができます。dedicatedステートメントは、論理インターフェイスが専用モードで使用されることを指定します。これは、IPsecリンクタイプトンネルを設定する場合に必要となります。ipsec-interface-id値を指定する場合は、dedicated ステートメントを含める必要があります。
デフォルトの IKE および IPsec プロポーザル
ソフトウェアには、動的ピアから送信されたプロポーザルと一致するように、暗黙的なデフォルトのIKEおよびIPsecプロポーザルが含まれています。値は 表1に示されています。複数の値が表示されている場合は、最初の値がデフォルトです。
RSA 証明書は、動的エンドポイント構成ではサポートされていません。
ステートメント名 |
価値観 |
|---|---|
| 暗黙的 IKE プロポーザル | |
|
|
|
|
|
|
|
|
|
|
| 暗黙的な IPsec プロポーザル | |
|
|
|
|
|
|
|
|
サービスインターフェイス間でのエンドポイントIPsecトンネルの分散
Junos OS リリース 16.2R1 以降、複数の MS-MIC 間または MS-MPC の複数のサービス PIC 間で、動的エンドポイントを持つ IPsec トンネルを配布できます。トンネル配信を設定するには、各サービスPICのマルチサービス(ms-)インターフェイスにネクストホップIPsecサービス セットを設定します。Junos OS リリース 17.1R1 以降では、各 AMS インターフェイスにネクストホップ IPsec サービス セットを設定することで、MS-MIC または MS-MPC の集約されたマルチサービス(AMS)インターフェイス間で、動的なエンドポイントを持つ IPsec トンネルを配信することもできます。
IPsecピアの設定を変更することなく、別のサービスセットを追加するだけで、後でサービスPICハードウェアをMXシリーズルーターに追加し、そのサービスPICをトンネルディストリビューションに含めることができます。
トンネル配信を設定するには、動的エンドポイントIPsecトンネルを設定する際に以下のステップを実行します。
動的エンドポイント IPsec トンネルで使用される各サービス インターフェイスまたは AMS インターフェイスに対して、ネクストホップ IPsec サービス セットを設定します( サービス セット内の IKE アクセス プロファイルの参照を参照を参照)。すべてのサービスセットは、次の条件を満たす必要があります。
マルチサービス(ms-)インターフェイスまたは AMS(ams-)インターフェイスのいずれかの、同じタイプのサービスインターフェイスを使用します。
outside-serviceステートメントに、他のサービスセット内のインターフェイスと同じVPNルーティングおよび転送(VRF)インスタンスにあるインターフェイスがあります。同じ
local-gatewayIP アドレスを使用します。同じ
ike-access-profile名を持ちます。
インターフェイス識別子を設定する場合( インターフェイス識別子の設定を参照)、
ipsec-interface-id identifierを設定する必要があります。サービス セットの
inside-service-setステートメントに表示されるインターフェイスのみ。すべてのインターフェイスに
dedicated、すべてのインターフェイスにsharedがあります。インターフェイスの共有ユニットが1つ以下。
service-domain insideで設定されたインターフェイスのみ。同じ VRF 内のインターフェイスのみ。
例:動的に割り当てられたポリシーベースのトンネルの設定
この例では、動的に割り当てられるポリシーベースのトンネルを設定する方法を示し、以下のセクションが含まれています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
M Series、MXシリーズ、T Series ルーター 3 台。
-
Junos OS リリース 9.4 以降
概要とトポロジー
動的エンドポイントの IPsec ポリシーは、トンネルのリモートエンドに静的に割り当てられた IP アドレスを持たない、動的ピア セキュリティ ゲートウェイ間の IPsec ネゴシエーション中に使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。
ポリシーベースVPNは、トンネルとして機能するポリシーで参照される特定のVPNトンネルを使用する設定です。ポリシーベースのVPNを使用するのは、リモートVPNデバイスがジュニパー以外のデバイスであり、VPNを経由してリモートサイトの1つのサブネットまたは1つのネットワークにのみアクセスする必要がある場合です。
この例では、 図 1 に示す IPsec 動的エンドポイント トンネリング トポロジーについて説明します。
動的に割り当てられたトンネルを設定する前に、必ず以下を確認してください。
-
セキュリティゲートウェイSG-1に接続されたローカルネットワークN-1。出口点には、静的および動的なピアエンドポイントを終端するためのジュニパーネットワークスルーターが必要です。SG-1のトンネル終端アドレスは10.1.1.1で、ローカルネットワークアドレスは172.16.1.0/24です。
-
ISPプールからアドレスを取得し、RFC準拠のIKEを実行する2つのリモートピアルーター。リモート ネットワーク N-2 は、アドレス 172.16.2.0/24 を持ち、トンネル終端アドレス 10.2.2.2 のセキュリティ ゲートウェイ SG-2 に接続されています。リモート ネットワーク N-3 のアドレスは 172.16.3.0/24 で、トンネル終端アドレス 10.3.3.3 のセキュリティ ゲートウェイ SG-3 に接続されています。
位相幾何学
構成
動的に割り当てられるポリシーベースのトンネルを設定するには、以下のタスクを実行します。
この例に示されているインターフェイスタイプは、あくまでも目安です。たとえば、ge-の代わりにso-インターフェイスを使用し、ms-の代わりにsp-を使用できます。
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更した後、コマンドをコピーして、SG1ルーターのCLI([edit]階層レベル)に貼り付けます。
インターフェイスの設定
set interfaces ms-0/0/0 unit 0 family inet set interfaces ms-0/0/0 unit 1 family inet set interfaces ms-0/0/0 unit 1 service-domain inside set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id set interfaces ms-0/0/0 unit 1 dial-options shared set interfaces ms-0/0/0 unit 2 family inet set interfaces ms-0/0/0 unit 2 service-domain outside
アクセス プロファイルの設定
set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.3.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike ascii-text keyfordynamicpeers set access profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
サービス セットの設定
set services service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
IPsecプロパティの設定
set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo2 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo2 proposals ipsec_proposal_demo1 set services ipsec-vpn ike proposal ike_proposal_demo1 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_demo1 dh-group group2 set services ipsec-vpn ike policy ike_policy_demo1 version 2 set services ipsec-vpn ike policy ike_policy_demo1 proposals ike_proposal_demo1 set services ipsec-vpn ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
ルーティングインスタンスの設定
set routing-instances demo-vrf instance-type vrf set routing-instances demo-vrf ms-0/0/0.1 set routing-instances demo-vrf ms-0/0/0.2
ネクストホップSG1サービスセットの設定
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
-
インターフェイスを設定します。
[edit interfaces] user@router1# set interfaces ms-0/0/0 unit 0 family inet user@router1# set interfaces ms-0/0/0 unit 1 family inet user@router1# set interfaces ms-0/0/0 unit 1 service-domain inside user@router1# set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id user@router1# set interfaces ms-0/0/0 unit 1 dial-options mode shared user@router1# set interfaces ms-0/0/0 unit 2 family inet user@router1# set interfaces ms-0/0/0 unit 2 service-domain outside
-
アクセスプロファイルを設定します。
[edit access] user@router1# set profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 user@router1# set profile demo-access-profile client * ike ascii-text keyfordynamicpeers user@router1# set profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
-
サービスセットを設定します。
[edit services] user@router1# set service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 user@router1# set service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
-
IPsecプロパティを設定します。
[edit services ipsec-vpn] user@router1#set ipsec proposal ipsec_proposal_demo1 protocol esp user@router1#set ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 user@router1#set ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc user@router1#set ipsec policy demo2 perfect-forward-secrecy keys group2 user@router1#set ipsec policy demo2 proposals ipsec_proposal_demo1 user@router1#set ike proposal ike_proposal_demo1 authentication-method pre-shared-keys user@router1#set ike proposal ike_proposal_demo1 dh-group group2 user@router1#set ike policy ike_policy_demo1 version 2 user@router1#set ike policy ike_policy_demo1 proposals ike_proposal_demo1 user@router1#set ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
-
ルーティングインスタンスを設定します。
[edit routing-instances] user@router1# set demo-vrf instance-type vrf user@router1# set demo-vrf ms-0/0/0.1 user@router1# set demo-vrf ms-0/0/0.2
業績
ルーター 1 の設定モードから、 show interfaces、 show access、および show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
interfaces {
ms-0/0/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
dial-options {
ipsec-interface-id demo-ipsec-interface-id;
mode shared;
}
}
unit 2 {
family inet;
service-domain outside;
}
}
}
access {
profile demo-access-profile client * {
ike {
allowed-proxy-pair {
remote 172.16.2.0/24 local 172.16.1.0/24; #Set for Network 2 connected to Network 1
remote 172.16.3.0/24 local 172.16.1.0/24; #Set for Network 3 connected to Network 1
}
pre-shared-key {
ascii-text keyfordynamicpeers;
}
interface-id demo-ipsec-interface-id;
}
}
}
services {
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-0/0/0.1;
outside-service-interface ms-0/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.1.1;
ike-access-profile demo-access-profile;
}
}
ipsec-vpn {
ipsec {
proposal ipsec_proposal_demo1 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo2 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_demo1;
}
}
ike {
proposal ike_proposal_demo1 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_demo1 {
version 2;
proposals ike_proposal_demo1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-instances {
demo-vrf {
instance-type vrf;
interface ms-0/0/0.1;
interface ms-0/0/0.2;
}
}
検証
ポリシーベースのトンネルを使用したネクストホップ SG1 サービスセットが作成されていることの確認
目的
ポリシーベースのトンネルで設定されたネクストホップ SG1 サービスが作成されていることを確認します。
アクション
動作モードから、 show route コマンドを入力します。
user@router1> show route demo-vrf.inet.0: .... # Routing instance 172.11.0.0/24 *[Static/1].. > via ms-0/0/0.1 172.12.0.0/24 *[Static/1].. > via ms-0/0/0.1
動作モードから、show services ipsec-vpn ipsec security-associations detailを入力します
user@router1>show services ipsec-vpn ipsec security-associations detail rule: junos-dynamic-rule-0 term: term-0 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.2.2.2 #Tunnel termination address on SG-2 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 ipsec-inside-interface: ms-0/0/0.1 term: term-1 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.3.3.3 #Tunnel termination address on SG-3 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 IPsec Properties ipsec-inside-interface: ms-0/0/0.1 match-direction: input
意味
show services ipsec-vpn ipsec security-associations detailコマンドの出力には、設定したプロパティが表示されます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。