Estoy intentando acceder alAzure AD API gráfica. He agregado con éxito usuarios a mi entorno de prueba (ADFS) y cambió su dominio a{mytestdomain}.onmicrosoft.com. La sincronización de contraseña usandoAzure AD Connect trabajos.

Ahora he configurado el entorno de producción (incluidoADFS) en consecuencia y ahora estoy sincronizando a los usuarios, pero obviamente no puedo cambiar los dominios a{mydomain}.onmicrosoft.com. Los usuarios ahora tienen{mydomain}.net y estoy sincronizando a los usuarios con un dominio verificado enAzure AD.

Al intentar accederhttps://login.microsoftonline.com/{mydomain}.net/oauth2/token usando lo siguiente (sí, sé quegrant_type no se recomienda, pero ese no es el punto)

grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}

Yo obtengo:

AADSTS70002: Error al validar las credenciales.
AADSTS50126: nombre de usuario o contraseña no válidos

Si uso un administrador comoadmin@{mydomain}.onmicrosoft.com funciona bien.

En Azure Portal he intentado cambiar el dominio principal de{mydomain}.onmicrosoft.com a{mydomain}.net, pero no hace la diferencia.

Dice en el portal de gestión:

"Para configurar {mydomain} para el inicio de sesión federado en su Azure Active Directory, ejecute Azure AD Connect en su red local".

¿Se aplica eso también al usar la API de gráficos? ¿Tengo que configurar la federación en mi red local o hay otra forma de evitarlo?