刚好之前我处理过类似的多租户Azure Function + Office 365授权的场景，给你梳理下可行的解决方案——核心是你得换个思路：Azure AD的安全设计不会把用户的明文凭据传递给你的Function，我们要靠用户登录后的身份令牌来提取租户ID，再用托管身份或服务主体去连接对应的租户。

步骤1：从用户登录请求中提取租户ID #

当用户通过Azure AD登录访问你的Function时，请求头里会携带一个Authorization Bearer令牌，我们可以解析这个令牌拿到用户所在的租户ID（tid声明）。

在PowerShell Function中，你可以这么写：

# 从请求头获取Bearer令牌
$authHeader = $Request.Headers.Authorization
if ($authHeader -match 'Bearer (.+)') {
    $token = $matches[1]
    # 解析JWT令牌
    $handler = New-Object System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler
    $jwtToken = $handler.ReadJwtToken($token)
    # 提取租户ID（tid声明）
    $tenantId = ($jwtToken.Claims | Where-Object { $_.Type -eq 'tid' }).Value
}

步骤2：用托管身份/服务主体连接对应的租户 #

因为没法直接拿到用户凭据，我们需要用预先授权的身份来连接Office 365，推荐两种方式：

方式一：使用Azure Function系统托管身份 #

这是最安全的方式，不需要存储任何密钥：

1. 给你的Azure Function启用系统分配托管身份；
2. 在每个目标租户中，把这个托管身份添加为Office 365的授权用户（比如分配全局管理员或所需的特定权限）；
3. 在脚本中指定租户ID连接：

Connect-MsolOnline -TenantId $tenantId -ManagedServiceAccount

方式二：使用多租户服务主体 #

如果需要跨大量租户操作，适合用服务主体：

1. 注册一个多租户服务主体（在你的主租户中创建，允许其他租户访问）；
2. 在每个目标租户中，将该服务主体授予Office 365的相应权限；
3. 把服务主体的密钥存储在Azure Key Vault中，Function通过托管身份访问Key Vault获取密钥；
4. 脚本中连接：

# 从Key Vault获取服务主体密钥（示例）
$clientSecret = (Get-AzKeyVaultSecret -VaultName "你的KeyVault名称" -Name "服务主体密钥名称").SecretValue
$credential = New-Object System.Management.Automation.PSCredential("服务主体ClientID", $clientSecret)
# 连接指定租户
Connect-MsolOnline -Credential $credential -TenantId $tenantId

关键注意事项 #

• 权限配置：无论是托管身份还是服务主体，都必须在目标租户中拥有足够的Office 365权限，否则Connect-MsolOnline会失败；
• 令牌验证：建议在解析令牌前先验证其有效性（比如签名、过期时间），避免使用伪造的令牌；
• 安全原则：永远不要尝试获取用户的明文凭据，这违反Azure AD的安全设计，也不符合合规要求。

内容的提问来源于stack exchange，提问作者Jason_Hough