Always Encrypted (サーバー構成オプション) のエンクレーブの種類を構成する
適用対象: SQL Server 2019 (15.x) 以降 - Windows のみ
この記事では、セキュリティで保護されたエンクレーブが設定された Always Encrypted でセキュリティで保護されたエンクレーブを有効または無効にする方法について説明します。 詳細については、「セキュリティで保護されたエンクレーブが設定された Always Encrypted」と「SQL Server でセキュリティで保護されたエンクレーブを構成する」を参照してください。
列暗号化エンクレーブの種類サーバー構成オプションを使うと、Always Encrypted に使用されるセキュリティで保護されたエンクレーブの種類を制御できます。 次のいずれかの値にオプションを設定できます。
値 | 説明 |
---|---|
0 | セキュア エンクレーブなし。 データベース エンジン は Always Encrypted のセキュア エンクレーブを初期化しません。 そのため、セキュア エンクレーブを使用した Always Encrypted の機能は利用できなくなります。 |
1 | 仮想化ベースのセキュリティ (VBS) 。 データベース エンジン により、仮想化ベースのセキュリティ (VBS) エンクレーブの初期化が試みられます。 |
重要
列暗号化エンクレーブの種類の変更は、SQL Server インスタンスを再起動するまで反映されません。
sys.configurations (Transact-SQL) ビューを使うことで、構成されているエンクレーブの種類の値と、現在有効なエンクレーブの種類の値を確認できます。
現在有効になっている (0 より大きい) 種類のエンクレーブが SQL Server の最後の再起動後に正しく初期化されていることを確認するには、sys.dm_column_encryption_enclave (Transact-SQL) ビューを調べます。
- ビューに含まれているのが 1 行だけの場合、エンクレーブは正しく初期化されています。
- ビューに行が含まれていない場合は、SQL Server のエラー ログでエンクレーブの初期化エラーを確認します。「SQL Server エラー ログの表示 (SQL Server Management Studio)」を参照してください。
VBS エンクレーブを構成する手順について詳しくは、「手順 2: セキュリティで保護されたエンクレーブが設定された Always Encrypted を SQL Server で有効にする」をご覧ください。
例
次の例では、セキュリティで保護されたエンクレーブを有効にし、エンクレーブの種類を VBS に設定します。
sp_configure 'column encryption enclave type', 1;
GO
RECONFIGURE;
GO
次に示すのは、セキュア エンクレーブを無効にする場合の例です。
sp_configure 'column encryption enclave type', 0;
GO
RECONFIGURE;
GO
次のクエリでは、構成されているエンクレーブの種類と、現在有効なエンクレーブの種類を取得します。
USE [master];
GO
SELECT
[value]
, CASE [value] WHEN 0 THEN 'No enclave' WHEN 1 THEN 'VBS' ELSE 'Other' END AS [value_description]
, [value_in_use]
, CASE [value_in_use] WHEN 0 THEN 'No enclave' WHEN 1 THEN 'VBS' ELSE 'Other' END AS [value_in_use_description]
FROM sys.configurations
WHERE [name] = 'column encryption enclave type';
次の手順
セキュリティで保護されたエンクレーブが設定された Always Encrypted のキーを管理する
参照
サーバー構成オプション (SQL Server)
sp_configure (Transact-SQL)
RECONFIGURE (Transact-SQL)
sys.configurations (Transact-SQL)
sys.dm_column_encryption_enclave (Transact-SQL)