Uma vez que a Autenticação tenha sido bem-sucedida, você pode enviar requisições ao Servidor Protegido por OAuth2 usando o Public ID Token armazenado como um cookie.
O Componente Servidor Provedor OAuth2 tem vários métodos para enviar Requisições HTTP: GET, POST, DELETE...
Você pode passar o Token como parâmetro ou passar a classe RequestInfo se estiver utilizando os componentes Indy Server.
procedure OnCommandGet(AContext: TIdContext; ARequestInfo: TIdHTTPRequestInfo; AResponseInfo: TIdHTTPResponseInfo);
begin
if ARequestInfo.Document = '/private' then
begin
// return OAuth2 profile data
AResponseInfo.ContentText := OAuth2Provider.Get(ARequestInfo, 'https://graph.microsoft.com/v1.0/me');
AResponseInfo.ContentType := 'application/json';
AResponseInfo.ResponseNo := 200;
end
else
AResponseInfo.ResponseNo := 404;
end;