チュートリアル · 読了まで約 19 分

2026 年 Microsoft 365 Copilot:
Clash 分流でサインインと Office クラウドを安定させる

「Office+AI」ブームの中心にある Microsoft 365 Copilot は、Word や Excel、Teams に埋め込まれた体験として企業テナントにも伸びています。一方で、Microsoft ログインが不安定だったり、OneDrive の同期だけ遅い、Copilot の応答だけエラーになるといった症状は、単一ドメインではなく Azure AD 認証・Microsoft Graph・CDN・クライアント更新が別々のホストに散らばっていることが背景にあります。本稿は GitHub Copilot 向けのルールや、ChatGPT 用の記事とは製品もドメイン集合も異なる前提で、Office 365Clash 分流DOMAIN-SUFFIX とミドルウェアとしての Mihomo 設計に落とし込む流れを整理します。

Microsoft 365 Copilot · Office 365 · Clash 分流 · DOMAIN-SUFFIX · Microsoft ログイン · OneDrive

1 なぜ「開発者向け Copilot 記事」だけでは足りないか

Microsoft 365 Copilot は、ブラウザ上の copilot.microsoft.com と同名でも、組織アカウントでは Microsoft Entra ID(旧 Azure AD)テナントへ紐づき、Word/Outlook/Teams などのアプリから Microsoft Graph 経由でコンテキストを読みに行きます。GitHub Copilot が主に github.com と API エンドポイントに集中するのに対し、Office 365 は認証基盤・メール・ファイル・会議がそれぞれ別サブドメインに分散しやすいのが実務上の難所です。

2026 年時点でも「ブラウザの Outlook Web だけつながるのに、デスクトップの Outlook だけプロキシを踏んで失敗する」「Teams の画面共有は問題ないのに、Copilot ペインだけタイムアウトする」といった報告は、HTTPS の経路がアプリ種別で分岐しているときに起きやすくなります。ここで重要なのは、OpenAI に向けた汎用ルールを足すことよりも、Microsoft 側のホスト束ねをまず揃え、同じセレクタに乗っているかをログで確認することです。

Word や Excel ではドキュメントの自動保存と翻訳、データ型の提案といった機能がバックグラウンドで継続的に通信し、それらが同じポリシーグループに収まっているかで体感のブレが変わります。Outlook ではメール本体と添付、予定表の空き時間問い合わせが別の API パターンになることもあり、単一の「Office」ラベルに逃げず、接続先のホスト単位でメモを残しておくと後から楽です。チーム全員のルールに組み込む前に、管理者アカウントと一般ユーザーアカウントの双方でスモークテストしておくと、条件付きアクセスの差分にも気づきやすくなります。

2 サインイン:Microsoft ログインとテナント境界

法人アカウントのサインインでは login.microsoftonline.com が中核となり、トークン発行や条件付きアクセスのリダイレクトがここを通ります。消費者向けアカウントが絡む場合は login.live.comaccount.microsoft.com も現れます。Clash 分流では、まずこれらを「認証用」として同一ポリシーへ寄せ、途中だけ別ノードへ落ちないようにします。

  • テナント単位: 会社のメールドメインが contoso.onmicrosoft.com などであっても、実際の認証ホストは多くの場合グローバルなログインエンドポイント側です。ルールでは DOMAIN-SUFFIX,microsoftonline.com をベースにし、例外があれば接続ログで足します。
  • 多要素認証やデバイス登録: 追加のリダイレクトで microsoft.com 配下の別ホストが混ざることがあり、アンチウィルスやエンドポイント製品のプロキシと二重にならないかも確認が必要です。
  • オフライン再ログイン: トークン更新の通信が途中で途切れると、アプリ全体が「サインアウトしたように見える」挙動になります。長めのキープアライブを期待するなら、出口ノードの安定性より前に、ルールの抜けがないかを疑う価値があります。

モバイルの Outlook や Teams は OS の VPN/プロファイルの影響を強く受けます。社用スマートフォンで Intune 等の管理エージェントが入っている場合、Clash 系クライアントの TUN と競合しないかも別軸で確認が必要です。こうした端末管理レイヤーまでは YAML だけでは説明できませんが、「プロキシをオフにすると直る」なら、まずは当該デバイスの証明書検証とタイム同期から疑うのが早いです。

3 Copilot が触れる Graph と関連ホスト

アプリ内 Copilot の多くは、最終的に graph.microsoft.com を介した操作や、テナント設定に応じたサービス境界を跨ぎます。加えて、ブラウザ製品体験と連携する部分では office.comoffice365.com 系のホスト、検索/推論まわりで bing.com や Microsoft 側の AI サービスホストが現れることがあります。これらを雑にバラすと、「Word の本体は通るのに Copilot の裏呼び出しだけ別アウトバウンド」となり、レイテンシだけ突出するケースが出ます。

第三者の Rule Provider に「Microsoft」カテゴリがあっても、Microsoft 365 Copilot 向けに細分化されていないバージョンでは、新しいサブドメインが欠落していることがあります。Notion AI 記事でも述べたとおり、テンプレートは出発点であり、Mihomo の接続ビューアで実際の SNI を確認して追記する運用が現実的です。

Teams 会議中に開く Copilot パネルや、会議の文字起こし・要約機能は、リアルタイムのメディアパイプラインとは別に Web API が走ることがあります。品質劣化や途切れを感じたときは、まず画面共有や音声そのものが問題ないかを切り分け、続いて Graph 呼び出しだけ遅延していないかをログのタイムラインで見比べます。検索連携が有効なテナントでは、社内 SharePoint のインデックスを読みにいく通信も増えるため、Copilot を有効にした直後から突然トラフィックが増えるのは自然な挙動です。

4 OneDrive と Office の更新・CDN

ファイル同期は onedrive.comlive.com 系、共有リンクや埋め込みでは sharepoint.com が絡みます。クライアントの大容量アップロードやブロック単位の再開は長時間セッションになりやすく、不安定なプロキシノードだと「同期バーが止まったまま」に見えることがあります。

また Office の更新プログラム配信では officecdn.microsoft.com などが使われ、ここだけ社内ポリシーで直結させたい場合があります。Copilot 本体と同じセレクタに寄せるかどうかは組織のセキュリティ要件次第ですが、意図せず別ルールに流れていると、ダウンロードだけ失敗していることに気づきにくい点には注意してください。

OneDrive for Business の同期クライアントは、大量ファイルの初回同期時にエッジキャッシュへのアクセスが続きます。家庭用回線で夜間バッチのように動かす使い方をしていると、出口プロキシの同時接続数や帯域制限に触れてスループットが頭打ちになることもあります。ルール上は正しくても物理的な帳尻が合わないケースは、プロキシのログではなく OS のリソースモニタやルーター側の統計を見に行く必要があります。

サンプルコードは「出発点」です 実際のホスト名はクライアントのチャネル(Insider 等)や地域設定で変わり得ます。以下の DOMAIN-SUFFIX は必ず自環境のログと突き合わせてください。

5 Clash 分流DOMAIN-SUFFIX と YAML の例

以下は 例示です。MS365_PROXY を実際のポリシー名に置き換え、MATCH より上(かつ国内直結ルールと競合しない位置)に置きます。

YAML(例) 
# Place ABOVE the final MATCH rule. Replace MS365_PROXY with your policy name.
- DOMAIN-SUFFIX,microsoftonline.com,MS365_PROXY
- DOMAIN-SUFFIX,microsoft.com,MS365_PROXY
- DOMAIN-SUFFIX,office.com,MS365_PROXY
- DOMAIN-SUFFIX,office.net,MS365_PROXY
- DOMAIN-SUFFIX,office365.com,MS365_PROXY
- DOMAIN-SUFFIX,sharepoint.com,MS365_PROXY
- DOMAIN-SUFFIX,onedrive.com,MS365_PROXY
- DOMAIN-SUFFIX,live.com,MS365_PROXY
- DOMAIN-SUFFIX,graph.microsoft.com,MS365_PROXY
- DOMAIN-SUFFIX,officecdn.microsoft.com,MS365_PROXY
- DOMAIN-SUFFIX,microsoftusercontent.com,MS365_PROXY

microsoft.com を広く取ると Bing なども含むため、テナント運用で「Office だけ同じ出口に寄せたい」場合は、まず狭い集合で試し、ログに出た不足ホストを足すほうが安全です。逆に、login.microsoftonline.com だけ通して本体は直結、といった混在はトークン取得と API 呼び出しの境界で不整合を起こしやすいです。

Copilot 固有の入口

コンシューマ向けブラウザ Copilot は copilot.microsoft.com などが中心になりがちですが、企業ポータル経由の場合は上記の認証・Graph 系とセットで見る必要があります。Office 365 アドオンとして課金されているシナリオでは、まずテナントの管理センターで許可されたエンドポイントと矛盾しない経路を選びましょう。

ルールを増やしすぎるとレビューと差分管理が破綻するため、現場では「認証」「Graph/API」「ファイル同期」「CDN/更新」の四层にラベルを付け、YAML のコメントでポリシー意図を残すやり方が読みやすいです。複数のプロファイル(仕事用/私用)を切り替える運用では、同じ proxy-groups 名でもインポート順が変わるとマッチ順がずれるため、mixin や上書きの作法は Mixin と購読の整理と合わせて確認すると安全です。

6 企業 IdP・条件付きアクセスと Rule Provider

企業では Microsoft ログインの前後に社内 IdP やゼロトラスト製品のリダイレクトが入ります。Clash 側のルールが再現性のある経路を保てていても、エンドポイントで証明書ピン留めが走ると失敗します。ネットワーク担当と設定を共有するときは、「プロキシで見える SNI」と「クライアントが信頼する CA」までセットで書類化しておくと手戻りが減ります。

Rule Provider を Git 管理しているチームでは、Microsoft 365 Copilot 用のファイルを分け、レビュー時に「認証」「Graph」「OneDrive」「CDN」のタグで分類しておくと、将来のドメイン追加が追いやすくなります。MCP やパッケージレジストリ向けの細粒度ルールと同じリポジトリに置く例も多いでしょう。

ライセンスとコンプライアンス: 本稿は技術的な経路設計の話です。組織内でのプロキシ利用・ログ取得は社内ポリシーと契約に従ってください。

7 DNS/FakeIP と Sniffer:同期の「止まった」表示を潰す

ルールが正しくても、DNS のフォールバックや fake-ip の扱いがアプリとずれると、一時的に期待と違うエッジへ向かいます。Meta カーネル向け DNS の記事で述べているように、海外 SaaS をまとめて扱うポリシー名と、クライアントが使うリゾルバの一貫性を取るのが前提です。

さらに HTTPS のみの情報では足りない接続では Mihomo の Sniffer が SNI を補いますが、過剰なスニファ設定はレイテンシや誤マッチの原因にもなります。Sniffer と HTTPS の挙動を押さえたうえで、Copilot の応答が遅い事象を切り分けてください。

企業ネットワークではピアリングや専用線で Microsoft 365 の最寄りエッジまで遅延が小さい一方、プロキシへ一度吸い上げてから別地域のノードに出していては逆に足を引っ張ることがあります。測定は 体感ではなく ping や traceroute だけでなく、実際に Outlook の「接続の状態」や Teams のデバッグ情報を併記しておくと、後から同じ構成を再現しやすくなります。DNS を変えた直後はキャッシュの影響で数分挙動がブレるため、その時間を見込んで検証してください。

8 切り分けチェックリスト

  • サインインだけ失敗する: login.microsoftonline.com とリダイレクト先が同一セレクタか。ブラウザと Office デスクトップでプロキシ設定が揃っているか。
  • OneDrive だけ遅い/止まる: 長時間接続が途中で切れていないか。ブロック同期で別ホストが未登録になっていないか。
  • Copilot だけエラー: graph.microsoft.com および関連ホストがルールに含まれているか。Teams/Outlook 側のバージョンと機能フラグを確認。
  • Office 更新だけ失敗: officecdn.microsoft.com が社内ブロックされていないか。別ポリシーに流している意図があるか。
  • 共有リンクだけ開けない: sharepoint.comonedrive.com が分断されていないか。

Windows ではシステムプロキシと WinHTTP プロキシ、ストアアプリのループバック免除がバラバラになることがあります。UWP とループバックの整理が役立つ場面もあります。macOS ではキーチェーンに保存された古い認証情報が残り、プロキシ経路を直してもアプリだけ再ログインを要求し続けることがあるため、アカウント削除と再追加も選択肢です。

9 まとめ

2026 年、Microsoft 365 Copilot を含む Office 365 体験は、単一の「AI サイト」ではなく、Microsoft ログインGraphOneDrive・更新 CDN に代表される広い Office クラウド集合として設計するのが現実的です。本稿では DOMAIN-SUFFIX を軸に Clash 分流の型を示し、第三者リストの不足を接続ログで補う運用を推奨しました。GitHub Copilot 向け記事と混同せず、ドメイン境界を最初から分けておくと、トラブル時の切り分けが速くなります。

プロキシ設定をチームで配布する際は、クライアントのバージョンと観測日をドキュメントに残し、机上の YAML だけで完結させないことが大切です。クライアントの入手は当サイトのダウンロードページから行い、オープンソースの参照は別途 GitHub を使う住み分けが安全です。

ルール・DNS・ログを一体で扱える Clash 互換スタックと、品質の揃った出口を両立すれば、サインインから Copilot、ファイル同期まで一連のOffice クラウド作業を途切れさせにくくできます。

→ 無料で Clash をダウンロードし、Microsoft 365 のログインと Copilot を同じ分流で安定させる

タグ: Microsoft 365 Copilot Office 365 Clash 分流 DOMAIN-SUFFIX Microsoft ログイン OneDrive Mihomo 2026
Clash Verge Rev のロゴ

Clash Verge Rev

次世代 Clash クライアント · 無料オープンソース

Microsoft テナント向けの DOMAIN-SUFFIX を追加したあと、接続ログで login.microsoftonline.comgraph.microsoft.com が意図したセレクタに載っているか確認するなら、GUI で扱いやすい Clash Verge Rev が向いています。システムプロキシと TUN を切り替えながら、ブラウザと Office デスクトップを同じルールに揃えられます。

Rule/セレクタ Mihomo コア DNS/FakeIP Rule Provider 接続ログ
Windows macOS Linux

関連記事

対比

GitHub Copilot:開発者向け API とサインイン(ドメインが異なる)

 オフィス SaaS

Notion AI:ワークスペース同期とログインの分流