AzureCLIでEntraIDのエンタープライズアプリケーションのSAML設定がうまくいかない

Question

エンタープライズアプリケーションのSAMLの設定をAzureCLIで自動化したいと考えています。
そのためにまず既存のエンタープライズアプリケーションに対して、AzurePortalにて手動でSAMLの設定を行い、正しく認証ができることを確認したうえで、そのエンドポイント（下記２点）の値の変化を観察しました。

az rest --method GET --url "https://graph.microsoft.com/v1.0/applications/$applicationId"
az rest --method GET --uri "https://graph.microsoft.com/v1.0/servicePrincipals/$objectID"

変化点を記録し、新しく別のエンタープライズアプリケーションを作成して、同じ個所をAzureCLIのRESTでPatchで変更してみました。
しかし、テストしてみると認証はできません。漏れなく変更したにも関わらずです。

この状態でAzurePortalにログインし、「シングル サインオンモードの変更」でSAMLの設定をいったん無効化したあと、もう一度有効化し、識別子 (エンティティ ID)、応答URLに元と同じ値をいれると、AzurePortal上のテストで正しく認証できるようになります。

おそらく上記のエンドポイント以外にも変更すべき点があると思うのですが、どのエンドポイントを変更すべきでしょうか？
もしくはAzureCLIのみでSAMLの設定を変更することは仕様上不可なのでしょうか？

なお設定変更のスクリプト例は以下のとおりです。

#制限解除
az rest --method PATCH --url "https://graph.microsoft.com/v1.0/applications/$applicationId" `
--headers "{'Content-Type':'application/json'}" `
--body "{'servicePrincipalLockConfiguration': {'isEnabled': false,'allProperties': false}}"

# エンタープライズアプリケーションのオブジェクトIDを取得
$objectID  = az ad sp list --display-name $enterpriseApplicationDisplayName --query "[0].id" --output tsv
Write-Host $objectID 

# 認証方式をsamlに設定
az rest --method PATCH `
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$objectID" `
--headers "{'Content-Type':'application/json'}" `
--body "{preferredSingleSignOnMode:'saml'}"

# 識別子（エンティティID）identifierUris
az rest --method PATCH `
--uri "https://graph.microsoft.com/v1.0/applications/$applicationId/" `
--headers "{'Content-Type':'application/json'}" `
--body "{'identifierUris':['$Url']}"
# :
#以下、他のポイントについてもPATCHで変更