Используемый вами поток аутентификации (учетные данные пароля владельца ресурса) имеет проблемы с федеративными пользователями. Иногда это срабатывало, хотя я не совсем уверен, почему.
Ваше приложение должно использовать поток аутентификации на основе перенаправления, такой как портал. Не следует обрабатывать пароли пользователей и публиковать их в Azure AD. Используя, например, поток кода авторизации, ваши пользователи могут войти в систему с локальной учетной записью / федеративной учетной записью / учетной записью Microsoft / учетной записью с многофакторной аутентификацией / сбросить просроченный пароль. Вашему приложению не нужно заботиться о том, что пользователь должен был сделать для аутентификации.
При использовании потока ROPC ваши пользователи не могут, например, использовать многофакторную аутентификацию. Они также не могут сбросить просроченный пароль.
См. Мою статью для дальнейших размышлений о том, почему следует избегать ROPC: https://joonasw.net/view/ropc-grant-flow-in-azure-ad