Okay ist erledigt.
Das Problem ist das das "&" Zeichen in der cmd.exe Konsole escaped werden muss.

Korrekt ist damit:

UrlStr := 'https://login.microsoftonline.com/{meine tenant id}/oauth2/v2.0/authorize' +
'?client_id={meine client id}' +
'^&response_type=code' +
'^&redirect_uri={meine redirect uri}' +
'^&response_mode=query' +
'^&scope=User.Read offline_access' +
'^&state=2020';