На первый взгляд идентификатор эмитента выглядит нормально - это логический URL для представления Azure идентификатора AD.
Посмотрите на заголовок JWT и посмотрите, содержит ли он одноразовое значение. Похоже, что они всегда не проходят стандартную проверку токенов доступа.
Если это так, то использование конечных точек OAuth v1, вероятно, исправит это, хотя могут быть альтернативные решения. Стоит опубликовать скриншот (санированного) содержимого JWT.