似乎有两种方法来定义要包含在令牌中的可选声明。您可以按照https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims的规定使用App Registrations应用清单文件来做到这一点,但有一些限制(需要声明)。但是,New-AzureADPolicy也可以做到这一点-我无法使用第一种方法添加employeeId声明-但它适用于ServicePrincipal而不是Application。除了看似更严格的声明列表之外,还有其他区别之间有吗?为什么有两种方法?