您可以通过Excel、Word、Powerpoint和Publisher等客户端应用程序在AzureAD上进行OAuth 2.0身份验证。这适用于打开整个文件（Office 2016或更高版本）或从网页导入数据（Office 2019 / M365-应用程序）。
在REST客户端中使用OAuth身份验证时，设置OAuth身份验证的方式与常规的、文档化的OAuth流程稍有不同。
您需要返回http响应代码401（unauthorized）并添加下面的标头，而不是发送将客户端转发到https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize的标头：

WWW-Authenticate: Bearer resource="https://management.azure.com/" client_id="{the client id of your registered app in Azure AD}", trusted_issuers="00000001-0000-0000-c000-000000000000@*", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize",Basic Realm=""'

在Azure AD中的应用程序注册中：

• 在API权限中：
• Azure Active Directory图形〉用户。阅读
• 公开API：
• 添加范围：https：//{api的fqdn}/email（电子邮件或用于身份验证的其他属性）
• 授权客户端应用程序〉添加客户端应用程序：d3590 ed 6 - 52 b3 -4102-aeff-aad 2292 ab 01 c（微软办公软件的标识）

注意：所有这些都没有记录在案。我是通过嗅探Outlook和O365之间的流量发现这些标题的。
顺便说一句：如果您使用webdav协议提供文件：在Excel中从网页打开文件时，可以很好地使用javascript：

location.href = "ms-excel:ofe|https://{yourAPI}/your_output.xlsx"

将答案编辑为最终工作版本
部分感谢其他人在这个帖子上的评论，我已经能够得到这个工作。这是我的最终解决方案（编辑从原来的答案，有一些拼图的碎片丢失）
我在Azure中注册了应用程序，公开了API，将应用程序ID URI更改为我验证的应用程序URL，并添加了user_impersonation作用域。x1c 0d1x
您需要确保您在Azure AD中拥有经过验证的自定义域名。

我接受了默认的API权限。

我创建了一个.net 6 WebApi项目，做了一个简单的odata控制器。

[Route("odata")]
public class WBSController : BaseODataController
{
    public WBSController(IDbContextFactory<TableDbContext> db) : base(db)
    {

    }

    [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
    [EnableQuery]
    [HttpGet("WBS")]
    public IQueryable<WBS> Get()
    {
        IQueryable<WBS> ret = Db.WBS;

        return ret;
    }
}

然后我在Program.cs中配置了API。（注意：对于客户端ID -使用您应用程序ID URI。
Program.cs

.AddMicrosoftIdentityWebApi(
     opt => //JwtBearerOptions
    {
        opt.Audience = "[Your App Id Uri eg. acme.com.au]";
        opt.Events = new JwtBearerEvents()
        {
            OnChallenge = async ctxv =>  
            {
                opt.Challenge =
                    @"Bearer  realm="""", client_id=""[Your App Id Uri]"", trusted_issuers=""00000001-0000-0000-c000-000000000000@*"", token_types=""app_asserted_user_v1 service_asserted_app_v1"",  authorization_uri=""https://login.microsoftonline.com/[Your Tenant Id]/oauth2/v2.0/authorize""";  //This is the magic that forces the Microsoft login dialog to open
            }
        };
    },
    opt =>   //MicrosoftIdentityOptions
    {
        opt.Instance = "https://login.microsoftonline.com/";
        opt.ClientId = "[Your App Id Uri]";
        opt.TenantId = "common";
    },
    $"{JwtBearerDefaults.AuthenticationScheme}"  //Scheme Name
);

我认为这是一个很大的突破，因为我能够选择一个帐户并登录。

如果您遇到以下错误，则意味着您尚未将Azure AD中的应用ID设置为您验证的应用URL：无效资源：AADSTS 500011：在名为..... x1c4d 1x的租户中找不到资源主体......
如果你得到任何错误，或者它什么都不做，使用Fiddler运行一个跟踪。这就是我如何确定它正在寻找user_impersonation作用域。
如果您正确地完成了所有这些步骤，那么您应该在Excel中得到一个可刷新的OData数据表。
我注意到MS说它不支持连接到像这样的“任意”服务https://learn.microsoft.com/en-us/power-query/connectors/odatafeed#authenticating-to-arbitrary-services。
不过，我相信这是一个非常好的方式，为Excel超级用户提供了从Web API访问结构化数据的能力。我希望这篇文章可以为您节省我花了很多时间来完成这篇文章。