Существует пример использования пакета azure-active-directory-spring-boot-starter для добавления фильтра токенов JWT в цепочку фильтров Spring Security.
В примере извлекается членство в группе пользователей с помощью API графа AD Azure, для которого зарегистрированное приложение должно иметь Access the directory as the signed-in user в Delegated Permissions. Для предоставления разрешения в API ACCESS -> Обязательное разрешение требуется привилегия администратора AAD.
Для получения подробной информации, вы можете прочитать здесь . Надеюсь, это поможет вам.