Al fin luego de tanto luchar hemos encontrado la respuesta de esta inconveniente que muchos los lectores de nuestro espacio han presentado. Si quieres aportar alguna información no dejes de dejar tu conocimiento.
Solución:
En realidad, después de leer un poco, resultó que la conexión de SPA a Azure AD requiere un flujo de concesión implícita de OAuth 2.0. La documentación de Microsoft dice:
En este escenario, cuando el usuario inicia sesión, el front-end de JavaScript usa la biblioteca de autenticación de Active Directory para JavaScript (ADAL.JS) y la concesión de autorización implícita para obtener un token de ID (id_token) de Azure AD. El token se almacena en caché y el cliente lo adjunta a la solicitud como el token portador cuando realiza llamadas a su back-end de Web API, que está protegido mediante el middleware OWIN.
Entonces, es el id_token mismo que necesito enviar a las API de back-end, que a su vez se pueden validar y usar. Más información sobre la validación se da aquí:
Solo recibir un id_token no es suficiente para autenticar al usuario; debe validar la firma de id_token y verificar los reclamos en el token según los requisitos de su aplicación. El punto final v2.0 usa JSON Web Tokens (JWT) y public key criptografía para firmar tokens y verificar que sean válidos.
Puede optar por validar el id_token en el código del cliente, pero una práctica común es enviar el id_token a un servidor backend y realizar allí la validación. Una vez que haya validado la firma del id_token, hay algunos reclamos que deberá verificar.