我之前碰到过完全相同的问题，咱们一步步拆解排查：

1. 先检查访问令牌的核心内容 #

拿到你获取的访问令牌，用jwt.ms（本地解析，无需上传数据）打开，重点核对两个关键字段：

• roles声明：必须明确包含Reports.Read.All，如果没有，说明权限没正确同步到令牌中。
• aud（受众）字段：必须是https://graph.microsoft.com，如果是其他值，说明你请求令牌时指定的资源不对，导致令牌无法用于Graph API调用。

2. 确认权限配置的细节 #

登录Azure AD的应用注册页面找到你的应用，进入「API权限」标签：

• 确保Reports.Read.All是应用权限（不是委派权限），客户端凭据流仅支持应用权限，委派权限对这个认证模式无效。
• 确认权限状态是「已授予[你的租户名称]」，有时候管理员授权后可能有短暂延迟，或者误操作选了委派权限，这都会导致权限不生效。

3. 检查令牌请求的参数是否合规 #

客户端凭据流请求令牌时，scope参数必须是https://graph.microsoft.com/.default，不能直接写Reports.Read.All。正确的请求体格式示例：

grant_type=client_credentials
&client_id=你的应用ID
&client_secret=你的应用密钥
&scope=https://graph.microsoft.com/.default

如果scope写错了，令牌里就不会包含对应的应用权限，自然会触发403错误。

4. 验证API调用的格式正确性 #

确认你调用的API端点和参数没有格式问题：

• 端点https://graph.microsoft.com/v1.0/reports/getEmailActivityUserCounts(period= 'D7')里的单引号必须是英文半角的，参数格式要严格符合Graph API的要求。
• 请求方法必须是GET，不要误用POST或其他方法。
• 可以用Graph Explorer（切换到「应用权限」模式，添加Reports.Read.All权限并完成授权）测试同一个端点，排除API本身的问题。

5. 排查租户级别的权限限制 #

有些租户可能配置了应用权限的额外限制，比如：

• 检查Azure AD的「企业应用」→ 你的应用 →「权限」，确认没有被手动限制权限范围。
• 确认租户没有开启「阻止非管理员同意应用权限」之类的设置（不过你已经是管理员授权，这个概率较低）。

如果以上步骤都排查过还是有问题，建议重新授予一次权限：先删除Reports.Read.All权限，保存后重新添加，再让管理员完成授权，最后重新获取令牌重试。

内容的提问来源于stack exchange，提问作者Alina Vishniakova