Консультация у специалиста по Azure AD (проблема с SSO)

Мы разработали веб-приложение.

Одна из задач в нем реализация single sign on и интеграция с Azure AD.

Мы реализовали это при помощи OAuth 2.0 и, когда тестируем решение на нашем тестовом аккаунте Azure AD - все работает. Когда же перенастраиваемся на аккаунт Azure AD заказчика получаем ошибку

"Need admin approval

*Application*  needs permission to access resources in youк organization that only an admin can grant. Please, ask an admin to grant permission to this app before you can use it."

То есть очевидно какая-то проблема с правами.

Проставлены права для API этого приложения:   

User.Reademail    offline_access openid  profile

Нужна помощь/консультация специалиста по Azure AD в связи с этой проблемой. Возможно мы не знаем каких-то настроек для разрешения прав в Azure AD?

Ждем ваших предложений.