Администратор согласен предоставить приложению, зарегистрированному в Арендаторе A, доступ к Графику в Арендаторе B

Моя заявка зарегистрирована в tenant A и требует Microsoft Graph разрешение Invite guest users to the organization, Приложение представляет собой приложение API без графического интерфейса.

Подать заявку Graph доступ в Tenant A Я делаю следующее:
1. перейти к https://login.windows.net/common/oauth2/authorize?response_type=code&client_id= <My application ID>&prompt=admin_consent
2. Войти с учетными данными администратора для tenant A

Готово - мой Service Principal в tenant A сейчас имеет Invite guest users to the organization разрешение

Все идет нормально. Теперь я хочу дать тому же приложению доступ к приглашению гостевых пользователей в tenant B, Как я могу это сделать?

Я попробовал тот же поток, что и раньше:
1. перейти к https://login.windows.net/common/oauth2/authorize?response_type=code&client_id= <My application ID>&prompt=admin_consent
2. Войти с учетными данными администратора для tenant B

Это приводит к следующему сообщению об ошибке:

AADSTS50020: Учетная запись пользователя "xxx@yyy.com" от провайдера идентификации "yyy.com" не существует в арендаторе "Арендатор A" и не может получить доступ к приложению "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" в этом арендаторе. Сначала необходимо добавить учетную запись в качестве внешнего пользователя в клиенте. Выйдите из системы и войдите снова, используя другую учетную запись пользователя Azure Active Directory.

Похоже, что это действие пытается дать приложению необходимые разрешения в Tenant A хотя я вхожу с учетными данными администратора от Tenant B,

Как мне дать приложению необходимые разрешения в Tenant B? Можно ли использовать поток согласия администратора с Service Principal ID от Tenant B вместо глобального Application ID для моего приложения?