Ограничить результаты Microsoft Graph Api

В настоящее время поставщик услуг внедряет имя входа Azure Active Directory для клиентского приложения, которое мы используем. Они планируют создать учетные записи пользователей приложений для наших пользователей AAD и предоставить им разрешения приложений в зависимости от их членства в группах AAD.
Для этого они зарегистрировали мультитенантное приложение в Azure AD, которое я предоставлю разрешениям в нашем каталоге.

Чтобы иметь возможность выбирать группы и пользователей из каталога клиентов, приложению необходимы следующие разрешения для Microsoft Graph Api:

• Group.Read.All
• User.Read.All

Но так как только некоторые из наших пользователей будут использовать приложение, и только некоторые из наших групп безопасности будут использоваться для контроля доступа к приложению, я не хочу, чтобы приложение получало информацию обо всех наших группах и всех наших пользователях.

Есть ли способ ограничить результат Graph Api только определенным подмножеством объектов, доступных в каталоге?
Или есть другой API, который они должны использовать вместо Microsoft Graph Api, чтобы запросить эту информацию?