Azure active directory 访问令牌验证失败。无效观众

我需要错误上下文中的帮助=我收到“消息”：“访问令牌验证失败。无效访问群体。”

我在Oauth中使用授权代码grant类型。 我已使用Azure广告策略将自定义声明映射到应用程序。因此，如果I user Scope=AppId/.default，那么我将在令牌和作用域中获得一个自定义声明，该声明说明应用程序在Azure AD上具有API权限，例如user.read、directory.read。但当我调用graph API以查看用户配置文件的成员时https://graph.microsoft.com/v1.0/me/memberOf我收到错误“无效观众”

但是，如果我使用范围= 然后，我可以查询，虽然自定义声明映射到应用程序并没有出现

---

任何帮助都将不胜感激。

代币只能有一个观众，这控制着他们授予访问权的API。应用程序/API的令牌不能用于图形。现在还不清楚您的具体场景是什么，但如果您从应用程序/API调用Graph，您可能需要查看将第一个令牌交换为Graph令牌的步骤。

您可能需要两个令牌。一个用于Graph API，一个用于您的API。感谢您的回复Tanks感谢您的回复，是的，我们正在使用OBO flow，但是我想知道在这种情况下是否可以使用一个令牌？我的应用程序具有读取数据的API权限，因此我认为它应该调用graph API，其作用域在具有应用程序ID访问群体的令牌中。不，您的令牌必须具有graph作为访问群体。那么在Azure AD portal上提供graph API权限有什么用呢，如果应用程序在令牌中具有这些作用域，则具有读取目录数据的权限应足以满足要求，而访问群体不应成为问题。这就是JWT访问令牌在每个RFC中的工作方式：。如果处理索赔的委托人在该索赔存在时未在“aud”索赔中使用某个值标识自己，则必须拒绝JWT