Получение ролей пользователя в Azure AD при федерации в AD из Azure AD B2C

У меня есть каталоги Azure AD и Azure AD B2C. Я настроил настраиваемые политики в соответствии с этим руководством и могу выполнить федерацию в Azure AD из Azure AD B2C для проверки подлинности. Я хотел бы контролировать доступ по ролям, которые пользователи выполняют в Azure AD. Тем не менее, я не уверен, как это сделать? В конце последовательности заявки, которые я получаю, содержат только базовую информацию о пользователе и никаких данных о роли. Что мне нужно сделать, чтобы заявки включали роли пользователя в Azure AD? Если это невозможно, каков будет рекомендуемый способ достижения этой цели? Я думал, что другой способ - использовать Microsoft Graph. Это может повлечь за собой необходимость знать идентификатор объекта пользователя и идентификатор клиента Azure AD. Однако в токене я получаю только базовую информацию о пользователе, а идентификатор объекта пользователя отличается от фактического идентификатора в Azure AD.

Ценю любую помощь по этому поводу.