OAuth2 プラグインは、単一のエンドポイント(oauth2 user json url)からのデータ要求のみを許可します。すべての json *** path 設定は、別々の API エンドポイントではなく、JSON データ内の場所を指します。
graph.microsoft.com の API ドキュメントを少し確認しましたが、/me エンドポイントにはデフォルトでアバター URL は含まれていないようです。さらに、profilePhoto リソースを取得できたとしても、URL ではなく「写真 ID」が返されるようです。
そのため、残念ながらこれを機能させるには、カスタム認証プラグインを開発する必要があると思います 
。ただし、私の考えが間違っていることを証明されることを楽しみにしています!