在我的例子中，我得到了同样的错误后，我使用快速启动（步骤1），然后自动配置.net样本（步骤2），然后下载代码样本（步骤3），如下图所示。

除步骤3外，所有步骤均已成功完成。Microsoft代码成功生成了项目中的应用ID和应用机密，但appsetting.json中的租户设置为common，如下图所示。

我认为这是一件有效的事情，但后来发现这导致了这个问题。
解决方案：我复制了目录（租户）ID，然后用租户ID替换common，它工作了。我不确定这是否是Azure快速入门代码生成中的bug。

更新正如我最近阅读的，常见的原因。

• 对于多租户应用程序，可以使用“common”。
• 对于单租户应用程序，必须使用Azure门户中的租户ID

这个示例帮助我理解了仅限应用程序权限的流程。https://blogs.msdn.microsoft.com/tsmatsuz/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/
我的要点：

• 确保您设置了应用程序并指定了所需的应用程序权限
• 一定要让管理员授予应用程序在相关目录下运行的权限。
• 获取相关令牌：

请注意，以下请求中的范围是**https://graph.microsoft.com/.default**

POST https://login.microsoftonline.com/{tenantname}.onmicrosoft.com/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id=6abf3364-0a60-4603-8276-e9abb0d843d6&client_secret=JfgrNM9CcW...&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default

• 使用令牌请求相关的图形资源，例如：

GET https://graph.microsoft.com/v1.0/users/demouser01@[tenant-name].onmicrosoft.com/drive/root/children

Accept: application/json
Authorization: Bearer eyJ0eXAiOi

对我来说，我没有给予管理员同意。这是关键的一步。我的错误是认为通过授予应用程序权限，这就是给予管理员同意，但这不是一回事。
从本网站的步骤3开始：https://developer.microsoft.com/en-us/graph/docs/concepts/auth_v2_service
我只是在填写租户和客户ID后将他们的呼叫粘贴到浏览器中，然后登录，一切都正常了。

GET https://login.microsoftonline.com/{tenant}/adminconsent
?client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&state=12345
&redirect_uri=http://localhost/myapp/permissions

在生成新的访问令牌时，确保用实际承租人id https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token替换tenant_id

你会发现this document是一个更好的纯应用程序指令集。
从你的描述中有两个问题很突出。
1.您需要使用X509证书来调用仅限应用程序的流。
1.你需要在应用上设置应用作用域，而不是委托作用域-委托作用域用于委托流，而不是仅应用流。