【正解: B】の理由

Always Encrypted はクライアント (アプリ) 側で暗号化 / 復号 を行う 機能で SQL Database / DBA も平文データを参照できません。Column Master Key (CMK) は Key Vault や Windows Cert Store で保管し、暗号化対象カラムのデータは SQL Database 内では常に暗号化されたバイナリで保管されます。

【他選択肢が違う理由】

• A: TDE は Storage 暗号化で DBA も SQL クエリで平文取得できます。
• C: TLS は通信レイヤーで保存データ暗号化とは別です。
• D: スキーマ レベルは概念が異なります。

【参考】

Always Encrypted