На данный момент используем SAML SSO,
клиент заводит у себя В Azure Entrerprise App,
предоставляет нам tenantId, appId, certificate, и его пользователи могут к нам входить через microsoft аккаунт.

А можем ли мы с помощью той-же, или аналогичной интеграции в
фоновом режиме получить достпу к пользователям который назначены на наше Enterprise приложение?

сейчас они по инструкции делают Application Registration, с привелегией типа Directory.Read.All и дают нам tenantId, clientId, clientSecret
Многие не хотят давать нам доступ ко всей AD, а как в Enterprise App назначить нашему приложению группы/пользователей.
да и чтение всего AD у больших клиентов занимает прорву времени

Куда почитать? в идеале заиспользовать ровно тоже приложение что используется для SSO