Утвержденная администратором область User.Read.All не предоставляется в областях действия токена OAuth.

Область действия моего приложения Azure одобрена администратором:

Я запрашиваю следующие области в моей регистрации oauth:

      scope:
  - profile
  - email
  - openid
  - offline_access
  - User.Read.All
  - Files.Read.All

И суметь успешно сделатьauthorizeзвонок, получил следующий ответ:

      {
    "token_type": "Bearer",
    "scope": "profile email openid https://graph.microsoft.com/Files.Read.All",
    "expires_in": 3600,
    "ext_expires_in": 3600,
    "access_token": "...",
    "refresh_token": "...",
    "id_token": "..."
}

ПочемуUser.Read.Allне присутствует в области сгенерированного токена?

Я также проверил, что токен действительно не предоставляет мне доступ кhttps://graph.microsoft.com/v1.0/users:

      {
    "error": {
        "code": "ErrorInsufficientPermissionsInAccessToken",
        "message": "Exception of type 'Microsoft.Fast.Profile.Core.Exception.ProfileAccessDeniedException' was thrown.",
        "innerError": { ... }
    }
}

Я пропустил какую-то конфигурацию?

Если я также попрошуhttps://graph.microsoft.com/.defaultразрешение в области, я получаю действительный ответ от/usersконечная точка, однако она содержит только моего собственного пользователя.