Estou tentando acessar oAzure AD API do gráfico. Adicionei usuários com êxito ao meu ambiente de teste (ADFS) e alterou seu domínio para{mytestdomain}.onmicrosoft.com. A sincronização de senha usandoAzure AD Connect trabalho.

Agora eu configurei o ambiente de produção (incluindoADFS) de acordo e agora estou sincronizando os usuários, mas obviamente não é possível alterar os domínios para{mydomain}.onmicrosoft.com. Os usuários agora têm{mydomain}.net e estou sincronizando os usuários com um domínio verificado emAzure AD.

Ao tentar acessarhttps://login.microsoftonline.com/{mydomain}.net/oauth2/token usando o seguinte (sim, eu sei quegrant_type não é recomendado, mas esse não é o ponto)

grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}

Eu recebo:

AADSTS70002: Erro ao validar credenciais.
AADSTS50126: Nome de usuário ou senha inválidos

Se eu usar um administrador comoadmin@{mydomain}.onmicrosoft.com Funciona bem.

No portal do Azure, tentei alterar o domínio principal de{mydomain}.onmicrosoft.com para{mydomain}.net, mas não faz diferença.

Diz no portal de gerenciamento:

"Para configurar {mydomain} para logon federado no Azure Active Directory, execute o Azure AD Connect na sua rede local."

Isso se aplica ao usar a API do gráfico também? Preciso configurar a federação na minha rede local ou existe outra maneira de contornar?