Quando registramos um aplicativo no Azure Active Directory para usar a API de gráfico, vejo que existem dois tipos de aplicativo Web e nativo.

Ao criar um aplicativo da web, existem dois valores solicitados: 1. URL de logon e 2. URL do ID do aplicativo. Qual é a utilidade desses valores? Exigimos URL do mundo real ou apenashttps: // localhost: randomePort o suficiente ?

Por outro lado, ao criar um aplicativo nativo, vejo apenas um valor necessário 'URL de redirecionamento'.

Posso obter o token de acesso para aplicativos da Web usando a chamada REST

POST https://login.microsoftonline.com/<tenant-id>/oauth2/token

grant_type      client_credentials
client_id       (the client ID of the calling service application in the AD)
client secret   (the key configured in the calling service application in the AD)
resource        https://graph.windows.net

Mas como posso obter o token de acesso para aplicativos nativos usando essa chamada REST? porque não há segredo do cliente para aplicação nativa

Chegando às permissões, para o aplicativo nativo, posso ver apenas a opção de permissões delegadas disponível, enquanto para o aplicativo Web posso ver a permissão do aplicativo e a opção de permissões delegadas.

Mais uma coisa, o exemplo de chamada REST acima autentica o aplicativo. Como autenticar o usuário usando sua credencial usando a chamada REST?