【正解: B】の理由

図の BYOK 構成では TDE Protector となる Asymmetric キー (RSA 2048/3072/4096) を Azure Key Vault に保管し SQL Server が Managed Identity 経由でキーアクセスします。Soft Delete + Purge Protection を Key Vault で有効化することで誤削除によるデータ消失を防ぐ必須設定です。

【他選択肢が違う理由】

• A: SQL Database 内 保管は Service-Managed Key の動作で BYOK では Key Vault 保管です。
• C: PaaS で OS 操作不可のためローカル保管不可です。
• D: Storage Account はバックアップ保管用で TDE キー保管とは別です。

【参考】

TDE BYOK