Adicionar aplicativo AAD como membro de um grupo de segurança

Estou tentando ativar o serviço para autenticação de serviço usando tokens AAD. Meu plano é validar a declaração de "grupos" no token para garantir que o chamador seja membro de um grupo de segurança que criamos.

Por exemplo, criaremos o grupo1 para leitores e o grupo2 para escritores. Então, com base na reivindicação de "grupos", vou descobrir o nível de acesso correto.

Eu uso o aplicativo AAD para emitir os tokens (não um usuário), por isso preciso que ele seja membro do grupo de segurança. O PowerShell do Azure AD parece não aceitar identificações de aplicativo como membros do grupo. Como resolver isso? existem outros padrões recomendados quando o chamador é outro aplicativo AAD?

Comando usado:https://docs.microsoft.com/en-us/powershell/module/azuread/Add-AzureADGroupMember?view=azureadps-2.0

Error:  
Add-AzureADGroupMember : Error occurred while executing AddGroupMember
Code: Request_BadRequest
Message: An invalid operation was included in the following modified references: 'members'.
RequestId: 0441a156-3a34-484b-83d7-a7863d14654e
DateTimeStamp: Mon, 11 Dec 2017 21:50:41 GMT
HttpStatusCode: BadRequest
HttpStatusDescription: Bad Request
HttpResponseStatus: Completed
At line:1 char:1
+ Add-AzureADGroupMember -ObjectId "9c2cdf89-b8d6-4fb9-9116-7749adec85c ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Add-AzureADGroupMember], ApiException
    + FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.AddGroupMember

questionAnswers(1)

yourAnswerToTheQuestion