So, ich habe nochmal nachgesehen.

Es wird nur der tatsächliche Token verwendet, nicht das komplette JSON,
das war nur eine Logausgabe von dem Teil, der den Token abfragt.

Habe es auch mit der hier erwähnten Variante von TIdSASLXOAuth versucht.
Eine TIdSASLXOAuth2 ist im Fork von Remy Lebeau enthalten, diesen Fork habe ich verwendet.

Als Scope verwendet die Bibliothek (sgcWebSockets) 'https://graph.microsoft.com/.default'
(Token Abfrage für eine Service App).

Bekomme immer noch exakt den gleichen Fehler. Kann ich in Microsoft365 noch etwas
entscheidendes übersehen haben ?

Kann man in Microsft365 irgendwo fehlgeschlagene Anmeldeversuche anzeigen lassen ?
Habe jetzt unter https://compliance.microsoft.com/auditlogsearch die Überwachung aktiviert.
Mal schauen ob da dann etwas angezeigt wird.

Hat jemand einen Source zur Abfrage des Tokens mit "Bordmitteln" oder eine Empfehlung für
eine andere Bibliothek dazu mit der es schon mal funktioniert hat ? Eventuell stimmt ja was
bei der Tokenabfrage nicht.

Habe es mit https://github.com/geoffsmith82/GmailAuthSMTP versucht, da klappt aber die Tokenabfrage
schon nicht. Scheint als ob da die tenant-id nicht berücksichtigt wird.

Vielen Dank für die Antworten bisher.