【正しい順序】

1. ステップ 1: Column Master Key (CMK) を Key Vault に作成
2. ステップ 2: Column Encryption Key (CEK) を CMK で暗号化
3. ステップ 3: 対象テーブル カラムに Always Encrypted 暗号化属性を設定
4. ステップ 4: クライアント アプリで CMK 参照設定 + 接続文字列に Column Encryption Setting=Enabled

【各ステップの理由】

• ステップ 1 Column Master Key (CMK) を Key Vault に作成: CMK は Azure Key Vault または Windows Cert Store で保管する最上位キー で Always Encrypted の起点です。
• ステップ 2 Column Encryption Key (CEK) を CMK で暗号化: CEK は カラム暗号化 用 Symmetric キー で CMK で暗号化されて DB 内に保管されます。
• ステップ 3 対象テーブル カラムに Always Encrypted 暗号化属性を設定: ALTER TABLE で対象カラムに ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = ...) を設定し暗号化を有効化します。
• ステップ 4 クライアント アプリで CMK 参照設定 + 接続文字列に Column Encryption Setting=Enabled: クライアント側 ADO.NET ライブラリで CMK Provider を設定し 接続文字列に Column Encryption Setting=Enabled を追加します。

【誤った順序の問題点】

• CEK 作成 → CMK 作成: CMK が先決で CEK は CMK で暗号化される下位キーです。
• クライアント設定 → CMK 作成: CMK が無いとクライアント設定でも 暗号化動作しません。

【参考】

Always Encrypted setup