我们有一个主要面向企业用例的客户端-服务器应用程序。我们希望测试Azure AD是否是我们的应用程序的有效IDP，该应用程序现在支持授权代码流，但可能会开发为支持PKCE授权代码。
我们的要求是，我们需要'preferred_username'和'groups'作为基于jwt的访问令牌中的声明。客户端应用程序是一个基于桌面的应用程序（Win & Linux），它使用任何IDP发言授权代码流对用户进行身份验证。
对于POC，我使用了Azure广告中的试用帐户和Azure广告中的默认用户集。在Azure广告门户中创建了安全组，并将用户添加到这些组。我将应用注册为基于桌面/移动的平台，并使用任意重定向URL。在令牌配置下，我在访问令牌中添加了“preferred_username”作为可选声明，并添加了“groups”作为ID和访问令牌的一部分。我在应用程序清单中设置了以下内容：

"accessTokenAcceptedVersion": 2,

但是这些声明从来没有在访问令牌中列出，而只出现在ID令牌中。是否有可能在访问令牌中获得这些声明，以便我们的应用程序可以使用结果访问令牌？
已尝试：桌面/移动应用程序的PKCE授权代码流。
jwt访问标记中应有声明preferred_username和组。