Зарегистрированное вами приложение будет иметь субъект службы в Azure AD. Ваше приложение выполняет действия под идентификатором участника службы.
Вы можете назначить освобожденные роли объекту субъекта службы вашего приложения, и тогда ваше приложение также должно быть освобождено.
Идентификатор роли можно найти с помощью этой команды: Get-AzureADDirectoryRole |Where-Object {$ _. DisplayName -eq 'Администратор службы поддержки'}
Идентификатор объекта субъекта службы можно найти, выполнив поиск непосредственно в корпоративных приложениях или через PS с помощью этой команды: Get-AzureADServicePrincipal -searchstring(имя вашего корпоративного приложения)
Наконец, вы можете назначить роль своему приложению с помощью этой команды: Add-AzureADDirectoryRoleMember -ObjectId $ AADRole.ObjectId -RefObjectId $ service princiapl.ObjectId
Надеюсь, что этопомогает.