Always Encrypted (サーバー構成オプション) のエンクレーブの種類を構成する

適用対象: SQL Server 2019 (15.x) 以降 - Windows のみ

この記事では、セキュリティで保護されたエンクレーブが設定された Always Encrypted でセキュリティで保護されたエンクレーブを有効または無効にする方法について説明します。 詳細については、「セキュリティで保護されたエンクレーブが設定された Always Encrypted」と「SQL Server でセキュリティで保護されたエンクレーブを構成する」を参照してください。

列暗号化エンクレーブの種類サーバー構成オプションを使うと、Always Encrypted に使用されるセキュリティで保護されたエンクレーブの種類を制御できます。 次のいずれかの値にオプションを設定できます。

値	説明
0	セキュア エンクレーブなし。 データベース エンジン は Always Encrypted のセキュア エンクレーブを初期化しません。 そのため、セキュア エンクレーブを使用した Always Encrypted の機能は利用できなくなります。
1	仮想化ベースのセキュリティ (VBS) 。 データベース エンジン により、仮想化ベースのセキュリティ (VBS) エンクレーブの初期化が試みられます。

重要

列暗号化エンクレーブの種類の変更は、SQL Server インスタンスを再起動するまで反映されません。

sys.configurations (Transact-SQL) ビューを使うことで、構成されているエンクレーブの種類の値と、現在有効なエンクレーブの種類の値を確認できます。

現在有効になっている (0 より大きい) 種類のエンクレーブが SQL Server の最後の再起動後に正しく初期化されていることを確認するには、sys.dm_column_encryption_enclave (Transact-SQL) ビューを調べます。

• ビューに含まれているのが 1 行だけの場合、エンクレーブは正しく初期化されています。
• ビューに行が含まれていない場合は、SQL Server のエラー ログでエンクレーブの初期化エラーを確認します。「SQL Server エラー ログの表示 (SQL Server Management Studio)」を参照してください。

VBS エンクレーブを構成する手順について詳しくは、「手順 2: セキュリティで保護されたエンクレーブが設定された Always Encrypted を SQL Server で有効にする」をご覧ください。

例

次の例では、セキュリティで保護されたエンクレーブを有効にし、エンクレーブの種類を VBS に設定します。

sp_configure 'column encryption enclave type', 1;  
GO  
RECONFIGURE;  
GO  

次に示すのは、セキュア エンクレーブを無効にする場合の例です。

sp_configure 'column encryption enclave type', 0;  
GO  
RECONFIGURE;  
GO  

次のクエリでは、構成されているエンクレーブの種類と、現在有効なエンクレーブの種類を取得します。

USE [master];
GO
SELECT
[value]
, CASE [value] WHEN 0 THEN 'No enclave' WHEN 1 THEN 'VBS' ELSE 'Other' END AS [value_description]
, [value_in_use]
, CASE [value_in_use] WHEN 0 THEN 'No enclave' WHEN 1 THEN 'VBS' ELSE 'Other' END AS [value_in_use_description]
FROM sys.configurations
WHERE [name] = 'column encryption enclave type'; 

次の手順

セキュリティで保護されたエンクレーブが設定された Always Encrypted のキーを管理する

参照

サーバー構成オプション (SQL Server)
sp_configure (Transact-SQL)
RECONFIGURE (Transact-SQL)
sys.configurations (Transact-SQL)
sys.dm_column_encryption_enclave (Transact-SQL)