在我看来，Angular客户端app + .net核心web API，这种场景，我们应该把认证和授权部分放到angular项目中，这样用户就可以登录并生成访问令牌来调用API。
在API内部，如果我们需要调用MS graph API，我们可以使用代表流来生成访问令牌。在API项目中使用代表流，我们只需要添加认证方案并注入图SDK或令牌获取服务。这个流程，也许你可以看看这个代码片段。

StringValues authorizationToken;
HttpContext.Request.Headers.TryGetValue("Authorization", out authorizationToken);
var token = authorizationToken.ToString().Replace("Bearer ","");
var scopes = new[] { "User.Read.All" };
var tenantId = "xxxx";
var clientId = "xxxx";
var clientSecret = "xxxx";
var onBehalfOfCredential = new OnBehalfOfCredential(tenantId, clientId, clientSecret, token);
var tokenRequestContext = new TokenRequestContext(scopes);
var token2 = onBehalfOfCredential.GetTokenAsync(tokenRequestContext, new CancellationToken()).Result.Token;
var graphClient = new GraphServiceClient(onBehalfOfCredential, scopes);
var user = await graphClient.Users.GetAsync();

顺便说一下，当我们使用授权代码流登录时，如果我们没有在Azure AD API权限刀片中给予给予管理员同意，则在输入密码和用户名后，它应该要求我们给予给予同意，对于客户端凭据流，需要给予给予管理员同意。如果我们在多租户场景中使用客户端凭证流，恐怕我们应该提前通过管理员同意步骤。

https://login.microsoftonline.com/common/adminconsent?client_id=xxxe&state=12345&redirect_uri=http://localhost/myapp/permissions

客户端凭证流程代码示例，这是基于Microsoft.Graph v4.x包的，使用v5.x应该有一些区别：

using Microsoft.Graph;
using Azure.Identity;

var scopes = new[] { "https://graph.microsoft.com/.default" };
var tenantId = "tenant_name.onmicrosoft.com";//common for multi-tenant
var clientId = "aad_app_id";
var clientSecret = "client_secret";
var clientSecretCredential = new ClientSecretCredential(
                tenantId, clientId, clientSecret);
var graphClient = new GraphServiceClient(clientSecretCredential, scopes);
var res = await graphClient.Users["{user-id}"].Messages["{message-id}"].Request().GetAsync();