De nombreuses organisations ont adopté une stratégie de confiance zéro qui implique de n'autoriser que les appareils gérés et conformes à accéder aux ressources de l'entreprise sensibles.
Cette approche est justifiée par plusieurs raisons :
Réduire considérablement les attaques de phishing en obligeant un attaquant à disposer d'un appareil physique de l'entreprise pour se connecter à l'aide d'identifiants volés (y compris les codes MFA).
Renforcer les contrôles de protection contre la perte de données (DLP) en n'autorisant l'accès aux ressources que sur les machines disposant de ces contrôles.
Révoquer l'accès des utilisateurs autorisés si leur appareil ne respecte plus la conformité ou est compromise.
La plupart des organisations utilisent leur fournisseur d'identité (IdP) pour appliquer ces contrôles au moment de la connexion. Mais comment le fournisseur d'identité peut-il déterminer de manière fiable si un appareil est géré ou non ?
Pour les organisations utilisant Microsoft Entra comme IdP, Jamf a implémenté une intégration de l'API de conformité des partenaires de Microsoft qui permet à Entra d'identifier les appareils Apple gérés et conformes selon Jamf Pro.
Bien que cette intégration soit largement déployée et utilisée dans les environnements de production petits et grands à l'échelle mondiale, elle est soumise à des défis liés à l'expérience utilisateur en raison d'un certain nombre de facteurs de conception inhérents :
Les utilisateurs finaux devant suivre des étapes spécifiques sur leur appareil pour enregistrer correctement leur appareil auprès d'Entra
Les délais de synchronisation et de mise à jour qui peuvent entraver la capacité d'un utilisateur à accéder à une ressource quand il devrait pouvoir le faire
Les erreurs de service intermittentes entraînant le marquage incorrect de l'état de conformité des appareils, nécessitant une intervention du support technique pour résoudre le problème
Grâce aux nouvelles technologies des plateformes Apple et Jamf, Jamf est désormais capable d'éliminer ces défis liés à l'expérience utilisateur, améliorant considérablement l'expérience utilisateur sans compromettre les capacités offertes par l'API de conformité des partenaires !
Présentation de la conformité des appareils attestés
L'intégration basée sur l'API de conformité des partenaires de Microsoft s'appuie sur l'enregistrement explicite de chaque appareil géré par Jamf Pro au sein d'Entra/Intune et la signalisation hors bande avant que l'accès puisse être accordé aux ressources qui exigent qu'un appareil soit marqué comme « conforme ». En revanche, la conformité des appareils attestés exploite un réseau sécurisé et déployé en sans contact, soutenu par la technologie d'attestation des appareils gérés d'Apple, pour signaler l'état de gestion et de conformité d'un appareil en ligne avec les demandes de connexion, sans nécessiter d'enregistrement Entra ni d'interaction utilisateur.
Cette approche résout de nombreux défis d'accès liés à l'expérience utilisateur rencontrés lorsque les mises à jour de l'API de conformité des partenaires prenaient plus de temps que prévu par l'utilisateur, notamment lors de l'intégration initiale ou de la résolution d'un problème de conformité. Bien que l'accès puisse être résolu en quasi-temps réel avec l'attestation des appareils attestés, l'API de conformité des partenaires devrait toujours être utilisée conjointement pour une protection en couches des applications extrêmement sensibles et à des fins d'audit de conformité des endpoints en un seul endroit dans Entra/Intune.
À haut niveau, au lieu de s'appuyer sur l'indicateur « Conforme » tel que signalé via l'API de conformité des appareils partenaires avant qu'une ressource soit disponible pour un appareil donné utilisant une stratégie d'accès conditionnel Entra, une « localisation nommée » est utilisée à la place. Cette localisation nommée est définie dans Entra par des paires d'adresses IP qui ont été attribuées à votre organisation par le service de sécurité cloud Jamf. En effet, tout appareil qui tente de se connecter via l'une de ces adresses IP sera considéré comme « conforme », c'est là que la conformité des appareils attestés intervient.
Diagramme d'architecture de la conformité des appareils attestés
Pour utiliser l'une de ces adresses IP afin de passer la vérification de conformité, un appareil donné DOIT être :
Inscrit dans Jamf Pro
Attesté par Apple comme matériel Apple authentique
Identifié cryptographiquement à l'aide des identifiants d'appareil attestés qui correspondent à un appareil inscrit dans votre locataire Jamf spécifique
Dans un groupe intelligent Jamf Pro qui correspond à un état de conformité satisfaisant
Exempt de menaces tel que défini par les catégories de menaces dans Jamf Security Cloud
Le non-respect de l'un des éléments ci-dessus entraînera la perte de la capacité de l'appareil à utiliser une adresse IP de confiance, ce qui le fera apparaître comme un appareil non fiable selon Entra (blocage de l'accès) jusqu'à ce que le problème soit résolu. Une fois résolu, l'appareil retrouve automatiquement sa capacité à utiliser l'IP de confiance en moins d'une minute environ.
Capacités et fonctionnalités de conformité des appareils
Le tableau ci-dessous compare la conformité des partenaires avec la conformité des appareils attestés, y compris l'utilisation des deux ensemble.
| Conformité des partenaires Entra | Conformité des appareils attestés | Conformité des partenaires Entra + Conformité des appareils attestés (Recommandé) | |
|---|---|---|---|
| Méthode d'intégration | Basée sur API, hors du flux de connexion | Basée sur le réseau, en ligne avec le flux de connexion | Stratégies d'accès : basées sur le réseau |
Audit de conformité Entra/Intune : basée sur API | | Critères d'accès conditionnel utilisés | Indicateur de conformité de l'appareil | Localisation nommée | Localisation nommée
(+ Indicateur de conformité de l'appareil pour les applications extrêmement sensibles) | | Exigences d'interaction utilisateur | Connexion utilisateur interactive via l'application Microsoft | Aucune, partie de l'inscription MDM | Connexion : Aucune
Indicateur de conformité : Connexion utilisateur requise | | Application de la modification de conformité | Minutes à heures | < 1 minute | Connexion : < 1 minute
Indicateur de conformité : Minutes à heures | | Point d'application de la conformité | Stratégie d'accès conditionnel Entra | Jamf Security Cloud + stratégie CA Entra | Jamf Security Cloud + stratégie CA Entra | | Marque l'appareil comme « Conforme » dans Entra | Oui | Non | Oui | | Protection du trafic de connexion Entra | TLS serveur uniquement | TLS mutuel : Obfuscation et chiffrement secondaire de tout le trafic Entra (Résistant à la surveillance et aux attaques de l'homme du milieu) |
Aperçu de la solution
Cette section fournit plus de détails techniques sur le fonctionnement et le déploiement de la conformité des appareils attestés avec la conformité des appareils partenaires Entra dans votre environnement.
La conformité des appareils attestés fonctionne en utilisant :
Un mécanisme de vectorisation du trafic sans contact, toujours actif, lié au matériel et natif (relais réseau) pour transmettre des données sensibles de l'endpoint à Entra.
Un réseau de routage du trafic global basé sur les stratégies hautement disponible qui assure une connectivité rapide depuis n'importe quel réseau n'importe où dans le monde.
Des adresses IP Internet sortantes globales privées dédiées (paires IP source HA) ainsi que des options de tunnel IPSec site à site privé pour une sécurité/contrôle supplémentaire selon les besoins.
L'expérience de bout en bout à haut niveau comprend :
Un administrateur configure un déploiement de configuration de relais réseau, définit une ou plusieurs sorties réseau (IP Internet ou tunnels IPSec) et la définition d'une stratégie d'accès à l'authentification Microsoft Entra.
Les appareils Apple sont inscrits dans Jamf Pro.
La configuration du relais est automatiquement déployée et activée sur l'appareil en fonction de l'adhésion au groupe intelligent basée sur la conformité dans Pro. L'attestation des appareils est effectuée avec les serveurs Apple et l'occupation du locataire de l'appareil dans Jamf Pro est vérifiée cryptographiquement. Aucune interaction utilisateur ou connexion n'est requise.
Le trafic réseau lié à Entra généré par les navigateurs ou les applications de l'appareil est chiffré et validé cryptographiquement sur le Jamf Global Cloud Edge. Le contexte de l'appareil est évalué par rapport aux critères d'accès, tels que le niveau de risque et l'adhésion au groupe.
Si l'accès est autorisé, le trafic généré par l'appareil est acheminé vers Entra via :
Une passerelle Internet Egress IP dédiée. Celle-ci utilise NAT pour présenter le trafic de l'appareil comme provenant de l'une de deux adresses IP publiques (globales) hautement disponibles.
Un tunnel IPSec dédié. Celui-ci utilise un routage VPN IPSec site à site pour faire atterrir directement les paquets de l'appareil sur le réseau propre d'une entreprise. NAT est utilisé pour présenter les appareils avec une adresse IP source appartenant à un sous-réseau privé configuré sur le LAN/DMZ/VPC.
Si l'accès est refusé (par exemple, en raison d'un appareil non conforme), le trafic est transmis via une adresse IP « publique », qui n'est pas approuvée par l'organisation.
Les stratégies d'accès conditionnel sont mises en correspondance pour autoriser les connexions depuis des appareils dont le trafic provient d'adresses IP approuvées (en utilisant les localisations nommées) et bloquer le trafic provenant d'IP non approuvées.
L'utilisateur se connecte selon les exigences d'authentification utilisateur de la stratégie d'accès conditionnel de l'application cible (par exemple, MFA). Il peut accéder à l'application.
À l'aide de l'API de conformité des appareils partenaires Microsoft, l'état « Conforme » de l'appareil est mis à jour vers Entra/Intune quand :
L'appareil est enregistré auprès d'Entra via Platform Single Sign On.
- L'utilisateur enregistre son appareil dans le libre-service, par exemple pour accéder à une application plus sensible au-delà des applications de productivité core.
Pour une immersion technique approfondie dans le fonctionnement de l'architecture de routage ZTNA de Jamf pour fournir un accès basé sur le principe du moindre privilège, basé sur des micro-tunnels, à des ressources spécifiques uniquement – sans exposer les IP internes ou les sous-réseaux aux endpoints – consultez Guide de l'ingénieur réseau sur Jamf Connect ZTNA.
Étapes de configuration de l'application exemple « My IP on a Map »
Grâce à la plateforme cloud-native et intégrée de Jamf, la configuration de la conformité des appareils attestés est très simple. Nous allons d'abord configurer un exemple d'application SaaS pour valider le routage basé sur relais avant d'ajouter les stratégies d'accès conditionnel Entra.
Avec les privilèges et les droits d'accès appropriés, cette configuration peut être complétée dans l'heure.
Conditions préalables
Pour configurer cette solution, vous aurez besoin de ce qui suit :
- Un ou plusieurs appareils Apple de test
Remarque : vous pouvez utiliser des appareils iOS, iPadOS, macOS ou visionOS pour tester la configuration. Ils fonctionnent tous de manière identique avec la conformité des appareils attestés.
- Les appareils sont inscrits dans Jamf Pro
Ces étapes sont spécifiques à Jamf, mais peuvent également être appliquées aux appareils gérés par Intune.
- Accès aux portails Jamf Pro et Jamf Security Cloud
Un compte administrateur Jamf Pro avec la capacité de créer une credential de client API qui peut gérer les appareils mobiles, les groupes intelligents d'appareils mobiles, les ordinateurs et les groupes intelligents d'ordinateurs.
- Un compte administrateur Jamf Security Cloud avec les droits d'administrateur global ou d'administrateur d'accès.
Si vous n'avez pas d'environnement Jamf Security Cloud, contactez votre représentant ou partenaire Jamf.
- Administration des stratégies d'infrastructure edge réseau.
Selon la façon dont vous vous connecterez à votre infrastructure (IdP et/ou intégration de pare-feu), un administrateur disposant des privilèges appropriés de stratégie ou de configuration d'infrastructure devra autoriser le trafic en provenance de Jamf Security Cloud.
Remarque : Vous pouvez configurer complètement le routage des appareils sans cette étape, mais vos accès et vos capacités seront intrinsèquement limités jusqu'à ce que ces étapes soient complétées.
Configuration de Jamf Pro
Étape 1 : Créer ou copier un groupe intelligent de conformité dans Jamf Pro
La création de ce groupe intelligent simplifiera l'affectation et l'attribution dans ce guide. Si vous avez déjà créé un groupe intelligent que vous souhaitez utiliser pour vos appareils, vous pouvez l'utiliser à la place.
Connectez-vous à Jamf Pro à l'aide de votre SSO de compte Jamf ou d'autres credentials.
Accédez à Devices et sélectionnez Smart Device Groups.
Cliquez sur le bouton + New pour créer un nouveau groupe intelligent.
Fournissez un Display Name approprié, nous recommandons "Compliant Devices". Fournissez une description selon vos besoins.
Sélectionnez l'onglet Criteria en haut de l'écran, puis cliquez sur + Add.
Définissez un ou plusieurs critères qui définissent un appareil « Conforme ».
Si vous testez : envisagez de limiter la portée à un seul appareil ou à un groupe d'appareils de test avant d'étendre à une population plus large.
- Cliquez sur Save pour créer le groupe intelligent.
Configuration et déploiement d'une configuration de relais réseau
Dans cette section, nous configurons la plateforme Jamf pour configurer et déployer une configuration de relais réseau sur les appareils Apple gérés.
Étape 1 : Configurer UEM Connect dans Jamf Security Cloud
Cette étape relie Jamf Security Cloud à Jamf Pro pour faciliter le déploiement et la validation continue de l'inscription des appareils afin de garantir que seuls les appareils gérés avec les niveaux de risque appropriés peuvent utiliser le service Network Relay.
Connectez-vous à Jamf Security Cloud à l'aide de votre SSO de compte Jamf ou d'autres credentials.
Accédez à Integrations et sélectionnez UEM Connect.
Suivez les étapes dans Configuration d'UEM Connect pour Jamf Pro et vérifiez que la configuration signale une connexion réussie.
Il est fortement recommandé de compléter la configuration du webhook pour assurer une expérience utilisateur transparente immédiatement après les nouvelles inscriptions d'appareils.
Étape 2 : Configurer un profil d'activation de relais réseau
Accédez à Devices > Activation Profiles. Sélectionnez le bouton Create profile.
Sélectionnez la capacité Network access, puis cliquez sur Next.
Vous pouvez éventuellement déployer les capacités Security (protection contre les menaces réseau et défense contre les menaces mobiles) et/ou Content controls (filtrage de contenu par catégorie), cependant celles-ci nécessitent des étapes supplémentaires de déploiement de l'application Jamf Trust qui ne sont pas dans le champ d'application de ce document.
- Lorsque vous êtes invité pour Authentication, sélectionnez Managed device attestation, puis cliquez sur Next.
Si vous avez besoin d'une connectivité toujours active que l'utilisateur ne peut pas désactiver, sélectionnez Locked-down.
Fournissez un Name pour le profil d'activation pour une référence facile. Nous suggérons « Attested Device Compliance Network Relay »
Définissez un Group pour ajouter les appareils qui s'activent à l'aide de ce profil. Nous suggérons "Attested Device Compliance Devices" à moins que vous n'ayez une stratégie de groupe d'appareils différente. Vous pouvez toujours changer cela plus tard. Cliquez sur Next.
Examinez la configuration, puis sélectionnez Save and Create.
Étape 3 : Déployer le profil d'activation sur les appareils
Cette étape nécessite que UEM Connect soit configuré avec succès.
Sur l'écran qui apparaît, assurez-vous que les boutons Jamf Pro et iOS/iPadOS/tvOS/visionOS sont sélectionnés. Développez Configuration profiles.
Sous UEM actions, sélectionnez le menu déroulant UEM group et sélectionnez le groupe intelligent de conformité que vous avez créé dans Pro à l'étape précédente.
Remarque : si votre groupe n'apparaît pas au clic, commencez à taper le nom du groupe intelligent et il devrait apparaître.
Si vous ignorez cette étape, vous devrez manuellement limiter le profil de configuration mobile qui est envoyé à Pro à un groupe intelligent.
Lorsque vous êtes prêt, cliquez sur Deploy to Jamf Pro. Cela déploiera la configuration Relay sur tous les appareils correspondant aux critères du groupe intelligent défini.
Remarque : À ce stade, aucune stratégie d'accès n'a été définie, donc bien que la configuration Relay soit envoyée à l'appareil, aucun trafic ne sera acheminé l'utilisant. Nous allons configurer cela ensuite.
- Répétez les étapes ci-dessus, mais en sélectionnant macOS comme type de plateforme si vous testez avec des Mac.
Configuration d'une stratégie d'accès exemple
Dans cette section, nous configurons la configuration de routage et les stratégies pour acheminer le trafic d'entreprise sélectionné de l'appareil vers un exemple de destinations SaaS pour valider que le routage fonctionne correctement avant d'introduire les stratégies d'accès conditionnel Entra.
Ce guide utilise une « Passerelle Internet partagée » à titre de simplicité pour mettre en place le routage basé sur relais.
Pour une utilisation en production, il est fortement recommandé de configurer et d'utiliser une passerelle Internet dédiée ou une passerelle IPSec dédiée en fonction de vos exigences de connectivité et de sécurité. Accédez à Integrations > Access gateways dans Jamf Security Cloud pour configurer des passerelles privées, qui peuvent alors être facilement utilisées à la place d'une passerelle partagée comme configuré dans ce guide.
Étape 1 : Configurer la stratégie d'accès « My IP on a Map »
Dans Jamf Security Cloud, accédez à Policies > Access policy et cliquez sur Create policy.
Sélectionnez Predefined App, choisissez My IP on a Map parmi les applications disponibles, puis cliquez sur Next.
Définissez éventuellement une Category, puis cliquez sur Next.
Les noms d'hôtes d'exemple pour l'application « My IP on a Map » sont déjà définis. Cliquez sur Next pour continuer.
Sélectionnez éventuellement les groupes d'appareils qui devraient avoir accès à cette application, qui doivent inclure le groupe d'appareils de conformité que vous avez peut-être défini plus tôt (si « All » n'est pas sélectionné).
Activez Access requires device to be managed puis cliquez sur Next.
Pour simplifier les tests, nous recommandons de désactiver la validation des risques à ce stade. Une fois le déploiement validé et la validation basée sur les risques bien comprise, c'est une excellente fonctionnalité à activer !
- Sur l'écran Application traffic routing, assurez-vous que Encrypt and route via ZTNA: est sélectionné, puis sélectionnez Nearest Data Center,
Pour cette application de test « My IP on a Map » spécifique, nous recommandons de ne pas utiliser une passerelle d'accès personnalisée.
En laissant les autres configurations à leurs paramètres par défaut, cliquez sur Next.
Examinez la configuration, puis cliquez sur Save and create app.
Étape 2 : Redéployer la stratégie d'accès Network Relay
Accédez à Devices > Activation Profiles et sélectionnez le profil d'activation que vous avez défini plus tôt.
Développez Configuration profiles puis cliquez sur Deploy to Jamf Pro.
Étape 3 : Confirmer le routage Relay sur l'appareil
Sur un appareil de test, ouvrez Safari.
Accédez à map.wandera.com
Si vous voyez une adresse IP et une carte, félicitations ! Votre configuration de relais fonctionne correctement.
Si vous voyez « Forbidden », revérifiez les étapes ci-dessus et assurez-vous que la configuration Relay est déployée sur votre appareil dans l'application Settings (ou System Preferences pour macOS) sous VPN & Relays.
Microsoft Conditional Access : Configuration de la conformité des appareils attestés
En utilisant le service Relay de Jamf en combinaison avec les stratégies d'accès conditionnel Microsoft, l'accès peut être restreint aux appareils Apple gérés avec une expérience utilisateur transparente, tout en améliorant la sécurité dans le processus.
Fonctionnement
Un appareil géré est déployé avec un profil de configuration mobile avec Network Relay et charges utiles ACME.
À l'aide de l'attestation des appareils gérés, le certificat ACME est émis à l'appareil après que le matériel soit validé par les serveurs d'attestation d'Apple. La clé privée du certificat est verrouillée dans la Secure Enclave de l'appareil et ne peut jamais être affichée ou partagée.
Un tunnel Relay QUIC/HTTP3 (MASQUE) TLS mutuel est utilisé pour encapsuler tout le trafic d'authentification Microsoft Entra quittant l'appareil. Ce tunnel offusque tout le trafic Entra, le protège contre les attaques TLS de l'adversaire du milieu et exploite QRC où pris en charge.
Le service de relais de Jamf termine le tunnel MASQUE entrant, en vérifiant l'intégrité de l'identifiant de l'appareil via le certificat TLS du client tout en vérifiant que l'appareil est inscrit dans le locataire Jamf lié du client et respecte d'autres stratégies de conformité et d'accès. Le trafic Entra n'est pas déchiffré ou autrement modifié dans ce processus !
En supposant que toutes ces vérifications soient réussies, le trafic Entra est acheminé sur Internet à l'aide d'adresses IP globales HA dédiées au locataire. En d'autres termes, seuls les appareils Apple authentiques, activement inscrits et conformes dans l'environnement Jamf Pro lié du client, peuvent utiliser ces adresses IP Internet dédiées.
Ces adresses IP sont configurées en tant que localisations nommées dans la configuration d'accès conditionnel Microsoft.
Ces localisations nommées sont utilisées pour contourner la stratégie de conformité des appareils Jamf typique utilisée pour les appareils Apple non gérés par Jamf (ou non autorisés). Les mêmes localisations nommées sont utilisées pour une nouvelle stratégie d'accès conditionnel qui autorise l'accès depuis les appareils dont le trafic provient de la localisation nommée (IP) sans exiger la conformité des appareils.
Le résultat net effectif est essentiellement le même : au lieu d'envoyer le bit de conformité de l'appareil à Entra pour déterminer la stratégie d'accès conditionnel, la vérification de conformité se fait sur la plateforme Jamf. Seuls les appareils gérés et conformes pourront jamais utiliser l'IP de confiance / la localisation nommée. Cette approche ajoute également des améliorations significatives de l'expérience utilisateur (aucune étape de configuration utilisateur final spécifique requise) tout en améliorant considérablement la sécurité en encapsulant et en protégeant le trafic Entra sur n'importe quel réseau approuvé ou non approuvé sur lequel l'appareil se trouve.
Configuration des stratégies d'accès conditionnel Entra pour l'attestation des appareils attestés
Conditions préalables
Vous avez configuré et déployé avec succès l'exemple d'application SaaS « My IP on a Map ».
Vous – ou un collègue avec lequel vous pouvez travailler – avez accès à la configuration des stratégies d'accès conditionnel Microsoft.
Étape 1 : Créer une passerelle Internet Egress dédiée dans Jamf Security Cloud
Dans cette étape, vous allez créer une paire d'adresses IP globales (publiques) dédiées qui seront uniquement disponibles pour votre organisation et personne d'autre.
Dans Jamf Security Cloud, accédez à Integrations > Access gateways.
À côté de Dedicated internet gateway, sélectionnez Create Gateway.
Fournissez un Name pour la passerelle et définissez une Egress region de votre choix.
Remarque : vous pouvez créer plusieurs passerelles Internet dédiées et puis les « regrouper ». Cela permet à la passerelle d'sortie la plus proche d'être utilisée pour un utilisateur qui peut se connecter à un point de présence Jamf dans cette région. Cette configuration est en dehors du champ d'application de ce document, contactez le support Jamf si vous avez besoin d'une assistance supplémentaire.
- Une fois créée, notez les deux IP publiques qui sont renvoyées. Celles-ci seront utilisées dans la configuration des localisations nommées dans Microsoft Entra.
Étape 2 : Créer une stratégie d'accès Microsoft Entra en utilisant la passerelle IP dédiée
Dans Jamf Security Cloud, accédez à Policies > Access Policies, puis cliquez sur Create Policy.
Sélectionnez Predefined App, puis sélectionnez Microsoft Authentication dans la liste des applications qui apparaissent.
Remarque : il n'est pas nécessaire de configurer d'autres applications Microsoft comme indiqué dans les stratégies d'accès pour que les contrôles d'accès conditionnel fonctionnent.
Définissez éventuellement une Category, puis cliquez sur Next.
Les noms d'hôtes pour Microsoft Entra sont déjà définis. À moins que vous n'utilisiez une configuration Entra très spécialisée, cliquez sur Next pour continuer.
Sélectionnez éventuellement les groupes d'appareils qui devraient avoir accès à cette application, qui doivent inclure le groupe d'appareils de conformité que vous avez peut-être défini plus tôt (si « All » n'est pas sélectionné).
Activez Access requires device to be managed puis cliquez sur Next.
Pour simplifier les tests, nous recommandons de désactiver la validation des risques à ce stade. Une fois le déploiement validé et la validation basée sur les risques bien comprise, c'est une excellente fonctionnalité à activer !
Sur l'écran Application traffic routing, assurez-vous que Encrypt and route via ZTNA: est sélectionné, puis sélectionnez la passerelle Internet dédiée que vous avez créée à l'étape précédente.
En laissant les autres configurations à leurs paramètres par défaut, cliquez sur Next.
Examinez la configuration, puis cliquez sur Save and create app.