📖 튜토리얼 ⏱ 약 20분 분량

2026 Microsoft Copilot ·M365 로그인막힐 때: Clash 도메인 분류·DNS·fake-ip 단계별 실측

2026년에는 Microsoft 365 안팎에서 Copilot 배너·사이드 패널·별도 웹 앱까지 붙는 흐름이 늘었고, 검색어에도 「Copilot 웹」「m365」「로그인만 돈다」가 자주 붙습니다. 그런데 Clash를 켠 상태에서만 페이지 껍데기는 뜨는데 계정 선택·토큰 갱신·채팅 패널만 멈춘다면, 원인은 종종 단일 호스트가 아니라 인증(login.microsoftonline.com 등)·제품 프런트(copilot.microsoft.com 등)·Office·Graph API·정적 CDN이 서로 다른 분류 규칙이나 DNS 해석 경로로 갈라진 데 있습니다. 이 글은 넷플릭스 지역 해제Zoom·Teams 화상 글과 달리 브라우저 기반 업무 AI·M365 연동에 초점을 맞추고, 안정 접속을 위해 DOMAIN-SUFFIX 묶음·fake-ip·DoH·규칙 상대 순서를 Clash 연결 로그로 검증하는 순서를 한국어로 정리합니다. 조직의 조건부 액세스·라이선스·지역 롤아웃은 공식 정책을 따르고, 회사 장비에서는 내부 보안 가이드를 우선하세요.

① 왜 ChatGPT·Teams 글만으로는 부족한가

Microsoft Copilot 웹 세션은 OpenAI 계열과 달리 Azure AD(Entra ID) 로그인·Office 토큰·때로는 Bing·Edge 프로모션까지 한 브라우저 프로필 안에서 섞입니다. Zoom·Teams 화상 글은 RTC·UDP와 회의 클라이언트 호스트가 중심이고, Cursor·GitHub 글은 개발자 API·마켓 CDN이 중심입니다. 반면 오늘 글은 copilot.microsoft.com 같은 Copilot 웹 엔트리와 login.microsoftonline.com·graph.microsoft.com·office.com 계열이 같은 프록시 정책 그룹을 타야 세션이 끊기지 않는다는 전제에서 출발합니다.

제품명과 엔드포인트는 시기별로 바뀔 수 있으므로, 아래 호스트 목록은 출발점이며 최종 확인은 항상 본인 PC에서 개발자 도구 네트워크 탭Clash 로그로 하세요.

② 증상을 네 덩어리로 나누기

실무에서는 증상을 먼저 분류하면 디버깅이 빨라집니다. (1) 아예 Copilot URL이 안 열린다 — DNS·차단·노드 품질. (2) 페이지는 뜨는데 로그인만 무한 로딩 — 인증 호스트가 DIRECT나 다른 리전 노드로 새고, 쿠키·리다이렉트가 어긋남. (3) 로그인은 됐는데 채팅 입력·응답 스트림만 실패 — Graph·substrate·WebSocket류가 다른 규칙에 걸림. (4) 회사 계정만 안 되고 개인은 된다 — 프록시 문제가 아니라 테넌트 정책일 가능성이 큼. 네 번째는 Clash 설정으로 해결되지 않을 수 있으니 IT 안내와 구분하는 것이 중요합니다.

첫 세 가지는 분류 규칙DNS를 같은 타임라인에서 맞추면 재현성이 높아집니다. 특히 fake-ip를 켠 뒤 브라우저만 DoH를 쓰고 OS는 ISP DNS를 쓰면, 같은 microsoft.com이라도 프로세스마다 다른 IP를 보는 일이 생깁니다.

③ 규칙에 옮길 때 쓰는 도메인 묶음(예시)

아래는 개념을 보여 주는 출발점입니다. MS_WORK 자리에는 구독 프로필의 프록시 그룹 이름을 넣고, 상단의 GEOIP·광고 RULE-SET과의 위아래 관계를 꼭 확인하세요. 주석은 영문만 사용했습니다.

# Example rules — verify hosts in DevTools + Clash logs after M365 updates
rules:
  - DOMAIN-SUFFIX,copilot.microsoft.com,MS_WORK
  - DOMAIN-SUFFIX,m365.cloud.microsoft,MS_WORK
  - DOMAIN-SUFFIX,cloud.microsoft,MS_WORK
  - DOMAIN-SUFFIX,login.microsoftonline.com,MS_WORK
  - DOMAIN-SUFFIX,login.live.com,MS_WORK
  - DOMAIN-SUFFIX,graph.microsoft.com,MS_WORK
  - DOMAIN-SUFFIX,substrate.office.com,MS_WORK
  - DOMAIN-SUFFIX,outlook.office.com,MS_WORK
  - DOMAIN-SUFFIX,office.com,MS_WORK
  - DOMAIN-SUFFIX,office365.com,MS_WORK
  - DOMAIN-SUFFIX,microsoft.com,MS_WORK
  - DOMAIN-SUFFIX,msftauth.net,MS_WORK
  - DOMAIN-SUFFIX,msauth.net,MS_WORK
  - DOMAIN-SUFFIX,azureedge.net,MS_WORK
  - DOMAIN-SUFFIX,akamaized.net,MS_WORK

microsoft.com 한 줄은 범위가 넓어 다른 Microsoft 서비스까지 같은 그룹으로 몰릴 수 있습니다. 운영 중에는 로그에 실제로 찍힌 접미사만 남기고 나머지는 단계적으로 빼는 편이 안전합니다. Bing 연동 창만 따로 필요하면 bing.com·bingapis.com 등을 추가로 검토하되, 검색 트래픽 전체를 업무 그룹과 섞지 않을지도 정책적으로 결정하세요.

규칙 문법·순서 감각은 사용자 정의 규칙 튜토리얼과 같이 읽으면 실수가 줄어듭니다.

④ fake-ip·DoH·스플릿 DNS를 한 축으로 맞추기

fake-ip가 켜져 있으면 Clash가 먼저 가짜 응답을 주고, 실제 연결 단계에서 다시 이름을 풀기도 합니다. 이때 브라우저가 시스템 DNS를 우회하는 DoH만 쓰면, 규칙 엔진이 보는 이름과 브라우저 내부 해석이 어긋나 로그인 리다이렉트만 이상하게 보일 수 있습니다. 진단용으로는 잠시 fake-ip를 끄거나, nameserver-policymicrosoft.com·microsoftonline.com 계열 질의를 한 DoH 풀로 고정하는 방법이 자주 쓰입니다.

TUN시스템 프록시를 동시에 켜 두면 이중 경로가 생기기도 하니, 개념 정리는 TUN·DNS 심화 글의 체크리스트와 짝을 이룹니다. Windows에서 Edge·스토어 앱만 이상하다면 UWP 루프백 예외 글과 증상이 겹치는지도 같이 봅니다.

⑤ 실측 순서: 로그 → 규칙 → DNS → 노드

재현 가능한 순서를 한 줄로 적으면 다음과 같습니다. (1) Copilot 웹에서 로그인부터 짧은 질의·응답까지 한 사이클을 돌립니다. (2) Clash 연결 로그에서 호스트·적중 규칙·출구 그룹을 텍스트로 남깁니다. (3) 빠진 접미사를 DOMAIN-SUFFIX로 추가하되, 구독 RULE-SET보다 위에 둘지 아래에 둘지 정책적으로 결정합니다. (4) DNS 패널에서 해당 이름이 기대한 서버로만 질의되는지 확인합니다. (5) 마지막으로 동일 그룹 안에서 지연과 끊김이 적은 노드를 고릅니다. 이때 “규칙 미적중”과 “노드 품질”을 섞어 판단하지 않도록, 로그의 rule 열을 먼저 봅니다.

M365 세션은 장시간 유지되는 쿠키·리프레시 토큰에 민감해서, 세션 중간에 노드를 자주 바꾸면 서버 쪽에서 다시 로그인을 요구하기도 합니다. 안정 접속이 목표라면 같은 작업 시간대에는 select 그룹에서 노드를 고정해 두고 테스트하는 편이 낫습니다.

⑥ 기업 SSO·조건부 액세스와 네트워크 증상 구분하기

회사 Azure AD 테넌트는 조건부 액세스·승인된 위치·디바이스 준수 여부로 막히는 경우가 많습니다. 이때 브라우저에는 “관리자 승인 필요”“이 위치에서는 사용할 수 없음” 같은 문구가 뜨고, Clash 로그에는 정상적으로 프록시가 찍힙니다. 반대로 TLS가 중간에 끊기면 SNI·인증서·DNS 불일치를 의심합니다.

기술적인 분류 규칙을 조정하기 전에, 같은 브라우저 프로필에서 Clash를 완전히 끈 상태로만 성공하는지 비교해 보세요. 끈 상태에서도 동일하면 프록시 이전 단계의 정책일 가능성이 큽니다.

⑦ CDN·타사 위젯: Stripe·분석 스크립트

일부 화면에서는 결제·분석·A/B 테스트를 위한 서드파티 호스트가 붙습니다. 이들을 무조건 같은 MS_WORK로 몰면 오히려 느려질 수 있어, 로그에 찍힌 뒤 “업무 세션에 필수인지”를 보고 나눕니다. 광고 차단 RULE-SETMicrosoft 호스트를 과하게 건드리면 로그인 위젯만 깨지기도 하니, 증상이 생기면 해당 세트를 잠시 끄고 비교합니다.

⑧ 자주 생기는 오해

m365만 열어 두면 Copilot도 다 된다”는 말은 반만 맞습니다. 실제 세션에서는 Graph·substrate·정적 CDN 접미사가 따로 찍히는 경우가 많습니다. 반대로 copilot.microsoft.com만 프록시에 넣고 login.microsoftonline.com을 빼면 로그인 루프가 납니다. 증상별로 “이름 해석”과 “라우팅 결정”을 분리해서 생각하는 것이 핵심입니다.

⑨ 정리

2026년 Microsoft Copilot·M365 연동은 브라우저 한 탭 안에서도 호스트가 길게 이어져, Clash 분류 규칙DNS·fake-ip를 한 축으로 맞추지 않으면 “화면만 열리고 대화만 안 된다” 패턴이 잘 납니다. 클라이언트 설치와 기본 네트워크 정렬은 입문 튜토리얼다운로드 페이지를 함께 보는 편이 덜 헷갈리고, 규칙형 프록시와 상용 VPN의 차이는 Clash와 VPN 비교로 정리할 수 있습니다. 다른 생성형 AI 웹과 도메인 세트를 나누고 싶다면 ChatGPT·OpenAI 웹·API 글과 짝을 이루도록 구성해 두면 YAML이 길어져도 유지보수가 쉬워집니다. → Clash를 무료로 내려받고, Copilot·M365 트래픽을 로그 기준으로 한 세트에 맞춰 보세요.