我在下有一个 AD应用（客户端ID：xyz，范围：xyz_123），还有另一个 AD应用（客户端ID：abc，作用域：abc_123） >同一租户。

假设我在服务中的jwt令牌验证代码类似于

.AddJwtBearer(o =>
        {
            o.Authority = Configuration["Authentication:Authority"];
            o.TokenValidationParameters = new microsoft.IdentityModel.Tokens.TokenValidationParameters
            {
                ValidAudiences = new List<string>
                {
                    xyz,xyz_123
                }
            };

所以现在，当我生成一个带有Grant_type作为客户端凭据和客户端ID：abc和resource_id：xyz_123 的承载令牌并启动我的服务时，身份验证就成功了。

是这种预期的行为。为什么当AD应用程序（客户端ID：abc）被没有的资源/作用域（xyz_123）击中时，会授予承载令牌。同一租户下的所有AD应用程序实例都可以访问其所有范围吗？