Ich habe APIs, die eine Azure AD-Trägerauthentifizierung erfordern.

public void ConfigureAuth(IAppBuilder app)
{
   app.UseWindowsAzureActiveDirectoryBearerAuthentication(
      new WindowsAzureActiveDirectoryBearerAuthenticationOptions
      {
         // ...
      });
}

Ist es dann möglich, Azure AD - möglicherweise mithilfe der Graph-API - abzufragen, um die Gruppeninformationen des aufrufenden Benutzers zu ermitteln? Das Endziel hierbei ist die Anwendung der rollenbasierten Sicherheit auf die API-Methoden / -Controller wie unten (oder ähnlich).

[PrincipalPermission(SecurityAction.Demand, Role = "Admin")]

Wie und wo werden die Identitätsinformationen zusätzlich auf den ausführenden Thread angewendet?