Meu objetivo é escrever um código para permitir que um usuário do Office 365 acesse arquivos no OneDrive for Business via API REST. Registrei um aplicativo no Azure AD (aplicativo Web / multilocatário) e adicionei permissões para acessar o SharePoint online. Desejo usar o cenário "identidade de usuário delegada com OAuth", em que meu aplicativo acessa o OneDrive for Business por meio de APIs REST usando a representação do usuário.

As permissões no manifesto do aplicativo como este:

"oauth2Permissions": [{"adminConsentDescription": "Permitir que o aplicativo acesse AppName em nome do usuário conectado.", "adminConsentDisplayName": "AppName", "id": "xxx", "isEnabled": true, "origin": "Application", "type": "User", "userConsentDescription": "Permitir que o aplicativo acesse AppName em seu nome.", "userConsentDisplayName": "AppName", "value": "user_impersonation"}

O aplicativo solicita que o usuário (OneDrive For Business) efetue login no Office365 para obter um código de autorização (enviado para o URL de redirecionamento registrado) e use-o para recuperar um token de acesso (por meio de um POST para o terminal do token do meu aplicativo). O campo "aud" no JWT retornado é definido como meu ID do cliente. Em vez disso, deveria ser algo como "00000003-0000-0ff1-ce00-0000000000000000" para o SharePoint Online?

Quando tento emitir um GET em https: // {tenant} -my.sharepoint.com/_api/v1.0/me/ usando o token de acesso como portador no cabeçalho da solicitação, recebo um erro 401: "erro: cliente inválido", "erro: URI de público-alvo inválido: https: // {tenant} -my.sharepoint.com/". Isso aponta para um erro de configuração em algum lugar, mas não consigo descobrir o que precisa ser alterado.